Sécurité dans AWS Database Migration Service

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le modèle de responsabilité partagée décrit cette notion par les termes sécurité du cloud et sécurité dans le cloud :

• Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des programmes de conformitéAWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS DMS, consultez la section AWS Services concernés par programme de conformité.

• Sécurité dans le cloud — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS DMS. Les rubriques suivantes expliquent comment procéder à la configuration AWS DMS pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS DMS ressources.

Vous pouvez gérer l'accès à vos AWS DMS ressources et à vos bases de données (DBs). La méthode que vous utilisez pour gérer l'accès dépend de la tâche de réplication que vous devez effectuer avec AWS DMS :

• Utilisez des politiques AWS Identity and Access Management (IAM) pour attribuer des autorisations qui déterminent qui est autorisé à gérer les AWS DMS ressources. AWS DMS nécessite que vous disposiez des autorisations appropriées si vous vous connectez en tant qu'IAMutilisateur. Par exemple, vous pouvez utiliser IAM pour déterminer qui est autorisé à créer, décrire, modifier et supprimer des instances et clusters de base de données, attribuer des balises à des ressources ou modifier des groupes de sécurité. Pour plus d'informations sur IAM son utilisation et son utilisation avec AWS DMS, consultezGestion des identités et des accès pour AWS Database Migration Service.

• AWS DMS utilise Secure Sockets Layer (SSL) pour les connexions de vos terminaux avec Transport Layer Security (TLS). Pour plus d'informations sur l'utilisation deSSL/TLSavec AWS DMS, consultezUtilisation SSL avec AWS Database Migration Service.

• AWS DMS utilise des clés de chiffrement AWS Key Management Service (AWS KMS) pour chiffrer le stockage utilisé par votre instance de réplication et ses informations de connexion au point de terminaison. AWS DMS utilise également des clés de AWS KMS chiffrement pour sécuriser vos données cibles au repos pour les points de terminaison cibles Amazon S3 et Amazon Redshift. Pour de plus amples informations, veuillez consulter Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations.

• AWS DMS crée toujours votre instance de réplication dans un cloud privé virtuel (VPC) basé sur le VPC service Amazon pour un contrôle d'accès réseau optimal. Pour vos instances de base de données et vos clusters d'instances, utilisez la même instance VPC que votre instance de réplication, ou une option supplémentaire VPCs pour correspondre à ce niveau de contrôle d'accès. Chaque Amazon VPC que vous utilisez doit être associé à un groupe de sécurité doté de règles autorisant tout le trafic sur tous les ports à quitter (sortir) leVPC. Cette approche permet la communication de l'instance de réplication avec vos points de terminaison de base de données source et cible, tant que les bonnes règles de trafic entrant sont activées sur ces points de terminaison.

  Pour plus d'informations sur les configurations réseau disponibles pour AWS DMS, consultezConfiguration d'un réseau pour une instance de réplication. Pour plus d'informations sur la création d'une instance de base de données ou d'un cluster d'instances dans unVPC, consultez la documentation sur la sécurité et la gestion des clusters pour vos bases de données Amazon sur AWS la page documentation. Pour plus d'informations sur les configurations réseau prises en charge par AWS DMS , consultez Configuration d'un réseau pour une instance de réplication.

• Pour consulter les journaux de migration de base de données, vous devez disposer CloudWatch des autorisations Amazon Logs appropriées au IAM rôle que vous utilisez. Pour plus d'informations sur la journalisation pour AWS DMS, consultez Surveillance des tâches de réplication à l'aide d'Amazon CloudWatch.

Rubriques

• Protection des données dans AWS Database Migration Service
• Gestion des identités et des accès pour AWS Database Migration Service
• Validation de la conformité pour AWS Database Migration Service
• Résilience dans AWS Database Migration Service
• Sécurité de l’infrastructure dans AWS Database Migration Service
• Contrôle précis des accès à l'aide des noms de ressources et des balises
• Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations
• Sécurité du réseau pour AWS Database Migration Service
• Utilisation SSL avec AWS Database Migration Service
• Modification du mot de passe de base de données
• Utilisation de l'authentification Kerberos avec AWS Database Migration Service

Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations

AWS DMS chiffre le stockage utilisé par une instance de réplication et les informations de connexion du point de terminaison. Pour chiffrer le stockage utilisé par une instance de réplication, AWS DMS utilisez une clé AWS Key Management Service (AWS KMS) propre à votre AWS compte. Vous pouvez consulter et gérer cette clé avec AWS KMS. Vous pouvez utiliser la clé KMS par défaut de votre compte (aws/dms) ou créer une clé KMS personnalisée. Si vous disposez d'une clé KMS existante, vous pouvez également utiliser cette clé pour le chiffrement.

Note

Toute AWS KMS clé personnalisée ou existante que vous utilisez comme clé de chiffrement doit être une clé symétrique. AWS DMS ne prend pas en charge l'utilisation de clés de chiffrement asymétriques. Pour plus d’informations sur les clés de chiffrement symétriques et asymétriques, consultez https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html dans le Guide du développeur AWS Key Management Service .

La KMS clé par défaut (aws/dms) est créée lorsque vous lancez une instance de réplication pour la première fois, si vous n'avez pas sélectionné de KMS clé personnalisée dans la section Avancé de la page Créer une instance de réplication. Si vous utilisez la KMS clé par défaut, les seules autorisations que vous devez accorder au compte IAM utilisateur que vous utilisez pour la migration sont kms:ListAliases etkms:DescribeKey. Pour de plus amples informations sur l'utilisation de la clé KMS par défaut, veuillez consulter IAMautorisations nécessaires pour utiliser AWS DMS.

Pour utiliser une clé KMS personnalisée, vous devez attribuer des autorisations pour la clé KMS personnalisée en appliquant l'une des options suivantes :

• Ajoutez le compte IAM utilisateur utilisé pour la migration en tant qu'administrateur clé ou utilisateur clé pour la clé AWS KMS personnalisée. Cela garantit que AWS KMS les autorisations nécessaires sont accordées au compte IAM utilisateur. Cette action s'ajoute aux IAM autorisations que vous accordez au compte IAM utilisateur à utiliser AWS DMS. Pour plus d'informations sur l'octroi d'autorisations à un utilisateur clé, voir Autoriser les utilisateurs clés à utiliser la KMS clé dans le Guide du AWS Key Management Service développeur.

• Si vous ne souhaitez pas ajouter le compte IAM utilisateur en tant qu'administrateur clé ou utilisateur clé pour votre KMS clé personnalisée, ajoutez les autorisations supplémentaires suivantes aux IAM autorisations que vous devez accorder au compte IAM utilisateur à utiliser AWS DMS.

  
  {
              "Effect": "Allow",
              "Action": [
                  "kms:ListAliases",
                  "kms:DescribeKey",
                  "kms:CreateGrant",
                  "kms:Encrypt",
                  "kms:ReEncrypt*"
              ],
              "Resource": "*"
          },
              

AWS DMS fonctionne également avec les alias KMS clés. Pour plus d'informations sur la création de vos propres AWS KMS clés et sur l'accès des utilisateurs à une KMS clé, consultez le guide du AWS KMS développeur.

Si vous ne spécifiez pas d'identifiant de KMS clé, AWS DMS utilise votre clé de chiffrement par défaut. AWS KMS crée la clé de chiffrement par défaut AWS DMS pour votre AWS compte. Votre AWS compte possède une clé de chiffrement par défaut différente pour chaque AWS région.

Pour gérer les AWS KMS clés utilisées pour chiffrer vos AWS DMS ressources, utilisez le AWS Key Management Service. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. À l'aide de AWS KMS, vous pouvez créer des clés de chiffrement et définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées.

Vous pouvez trouver AWS KMS dans AWS Management Console

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

3. Choisissez l'une des options suivantes pour utiliser les AWS KMS touches :

   • Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez les clés AWS gérées.

   • Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

AWS KMS prend en charge AWS CloudTrail, afin que vous puissiez auditer l'utilisation des clés pour vérifier que les clés sont utilisées de manière appropriée. Vos AWS KMS clés peuvent être utilisées en combinaison avec AWS DMS des AWS services pris en charge tels qu'AmazonRDS, Amazon S3, Amazon Redshift et Amazon. EBS

Vous pouvez également créer des AWS KMS clés personnalisées spécifiquement pour chiffrer les données cibles pour les points de AWS DMS terminaison suivants :

• Amazon Redshift : pour plus d’informations, consultez Création et utilisation de AWS KMS clés pour chiffrer les données cibles Amazon Redshift.

• Amazon S3 : pour plus d’informations, consultez Création de AWS KMS clés pour chiffrer les objets cibles d'Amazon S3.

Une fois que vous avez créé vos AWS DMS ressources avec une KMS clé, vous ne pouvez pas modifier la clé de chiffrement de ces ressources. Assurez-vous de déterminer vos exigences en matière de clé de chiffrement avant de créer vos AWS DMS ressources.

Sécurité du réseau pour AWS Database Migration Service

Les exigences de sécurité pour le réseau que vous créez lors de l'utilisation AWS Database Migration Service dépendent de la façon dont vous configurez le réseau. Les règles générales relatives à la sécurité du réseau AWS DMS sont les suivantes :

• L'instance de réplication doit avoir accès aux points de terminaison source et cible. Le groupe de sécurité de l'instance de réplication doit disposer d'un réseau ACLs ou de règles autorisant la sortie de l'instance sur le port de base de données vers les points de terminaison de la base de données.

• Les points de terminaison de base de données doivent inclure des règles de réseau ACLs et de groupe de sécurité qui autorisent l'accès entrant depuis l'instance de réplication. Vous pouvez y parvenir en utilisant le groupe de sécurité de l'instance de réplication, l'adresse IP privée, l'adresse IP publique ou l'adresse publique de la NAT passerelle, selon votre configuration.

• Si votre réseau utilise un VPN tunnel, l'EC2instance Amazon agissant en tant que NAT passerelle doit utiliser un groupe de sécurité doté de règles permettant à l'instance de réplication d'envoyer du trafic par ce tunnel.

Par défaut, le groupe VPC de sécurité utilisé par l'instance de AWS DMS réplication possède des règles qui autorisent la sortie vers 0.0.0.0/0 sur tous les ports. Si vous modifiez ce groupe de sécurité ou que vous utilisez votre propre groupe de sécurité, le trafic sortant doit, au minimum, être autorisé sur les points de terminaison sources et cibles des ports de base de données respectifs.

Les configurations de réseau que vous pouvez utiliser pour la migration de base de données chaque requièrent toutes des normes de sécurité spécifiques :

• Configuration avec tous les composants de migration de base de données dans un VPC : le groupe de sécurité utilisé par les points de terminaison doit autoriser le trafic entrant sur le port de base de données à partir de l’instance de réplication. Veillez que le groupe de sécurité utilisé par l'instance de réplication dispose du trafic entrant vers les points de terminaison, ou créez une règle dans le groupe de sécurité utilisé par les points de terminaison qui autorise l'adresse IP privée de l'accès à la réplication d'instance.

• Configuration avec plusieurs VPCs— Le groupe de sécurité utilisé par l'instance de réplication doit avoir une règle pour la VPC plage et le port de base de données de la base de données.

• Configuration d'un réseau vers un VPC à l'aide AWS Direct Connect d'un VPN— un VPN tunnel permettant au trafic de VPC pénétrer dans un localVPN. Dans cette configuration, il VPC inclut une règle de routage qui envoie le trafic destiné à une adresse ou à une plage IP spécifique à un hôte capable de relier le trafic depuis le site VPC vers le réseau localVPN. Dans ce cas, l'NAThôte inclut ses propres paramètres de groupe de sécurité qui doivent autoriser le trafic provenant de l'adresse IP privée ou du groupe de sécurité de l'instance de réplication vers l'NATinstance.

• Configuration d'un réseau à un VPC avec Internet— Le groupe VPC de sécurité doit inclure des règles de routage qui envoient le trafic non destiné VPC à la passerelle Internet. Dans cette configuration, la connexion au point de terminaison semble provenir de l'adresse IP publique sur l'instance de réplication.

• Configuration avec une instance de base de données RDS ne figurant pas dans un VPC vers une instance de base de données dans un VPC en utilisant ClassicLink— Lorsque l'RDSinstance de base de données Amazon source ou cible ne se trouve pas dans un groupe de sécurité VPC et ne partage pas de groupe de sécurité avec celui VPC où se trouve l'instance de réplication, vous pouvez configurer un serveur proxy et l'utiliser ClassicLink pour connecter les bases de données source et cible.

• Le point de terminaison source est extérieur à celui VPC utilisé par l'instance de réplication et utilise une NAT passerelle. Vous pouvez configurer une passerelle de traduction d'adresses réseau (NAT) à l'aide d'une seule adresse IP élastique liée à une seule interface réseau élastique. Cette interface réseau Elastic reçoit ensuite un NAT identifiant (nat-#####). S'il VPC inclut une route par défaut vers cette NAT passerelle au lieu de la passerelle Internet, l'instance de réplication semble plutôt contacter le point de terminaison de la base de données en utilisant l'adresse IP publique de la passerelle Internet. Dans ce cas, l'entrée vers le point de terminaison de base de données en dehors de VPC celui-ci doit autoriser l'entrée depuis l'NATadresse plutôt que depuis l'adresse IP publique de l'instance de réplication.

• VPCpoints de terminaison pour les RDBMS non-moteurs : AWS DMS ne prend pas en charge les VPC points de terminaison pour les RDBMS non-moteurs.

Modification du mot de passe de base de données

Dans la plupart des cas, la modification du mot de passe de base de données pour votre point de terminaison source ou cible est un processus simple. Si vous devez modifier le mot de passe de base de données d'un point de terminaison que vous utilisez actuellement dans le cadre d'une tâche de migration ou de réplication, le processus nécessite quelques étapes supplémentaires. La procédure suivante montre comment procéder.

Pour modifier le mot de passe de base de données pour un point de terminaison dans une tâche de réplication ou de migration

1. Connectez-vous à la AWS DMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/dms/v2/.

   Si vous êtes connecté en tant qu'IAMutilisateur, assurez-vous de disposer des autorisations d'accès appropriées AWS DMS. Pour plus d'informations sur les autorisations requises, consultez IAMautorisations nécessaires pour utiliser AWS DMS.

2. Dans le volet de navigation, choisissez, Tâches de migration de base de données.

3. Choisissez la tâche qui utilise le point de terminaison pour lequel vous voulez modifier le mot de passe de base de données, puis choisissez Arrêter.

4. Pendant que la tâche est en cours d'arrêt, vous pouvez modifier le mot de passe de la base de données pour le point de terminaison à l'aide des outils natifs que vous utilisez pour gérer la base de données.

5. Retournez dans la console DMS de gestion et choisissez Endpoints dans le volet de navigation.

6. Choisissez le point de terminaison pour la base de données dont vous avez modifié le mot de passe, puis sélectionnez Modifier.

7. Tapez le nouveau mot de passe dans la zone Mot de passe, puis choisissez Modifier.

8. Dans le volet de navigation, choisissez, Tâches de migration de base de données.

9. Choisissez la tâche que vous avez arrêtée précédemment, puis sélectionnez Arrêter/Reprendre.

10. Choisissez Démarrer ou Reprendre selon la façon dont vous voulez continuer la tâche, puis choisissez Démarrer tâche.