Sécurité dans AWS Database Migration Service

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le modèle de responsabilité partagée décrit cette notion par les termes sécurité du cloud et sécurité dans le cloud :

• Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des programmes de conformitéAWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS DMS, consultez la section AWS Services concernés par programme de conformité.

• Sécurité dans le cloud — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS DMS. Les rubriques suivantes expliquent comment procéder à la configuration AWS DMS pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS DMS ressources.

Vous pouvez gérer l'accès à vos AWS DMS ressources et à vos bases de données (DB). La méthode que vous utilisez pour gérer l'accès dépend de la tâche de réplication que vous devez effectuer avec AWS DMS :

• Utilisez des politiques AWS Identity and Access Management (IAM) pour attribuer des autorisations qui déterminent qui est autorisé à gérer les AWS DMS ressources. AWS DMS nécessite que vous disposiez des autorisations appropriées si vous vous connectez en tant qu'utilisateur IAM. Par exemple, vous pouvez utiliser IAM pour déterminer qui est autorisé à créer, décrire, modifier et supprimer des instances de base de données et des clusters de bases de données, attribuer des balises à des ressources ou modifier des groupes de sécurité. Pour plus d'informations sur IAM et son utilisation avec AWS DMS, consultezGestion des identités et des accès pour AWS Database Migration Service.

• AWS DMS utilise le protocole SSL (Secure Sockets Layer) pour les connexions de vos terminaux avec Transport Layer Security (TLS). Pour plus d'informations sur l'utilisation de SSL/TLS avec AWS DMS, consultez. Utilisation du protocole SSL avec AWS Database Migration Service

• AWS DMS utilise des clés de chiffrement AWS Key Management Service (AWS KMS) pour chiffrer le stockage utilisé par votre instance de réplication et ses informations de connexion au point de terminaison. AWS DMS utilise également des clés de AWS KMS chiffrement pour sécuriser vos données cibles au repos pour les points de terminaison cibles Amazon S3 et Amazon Redshift. Pour plus d’informations, consultez Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations.

• AWS DMS crée toujours votre instance de réplication dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC pour un contrôle d'accès réseau optimal. Pour les instances de base de données et les clusters d'instances, utilisez le même VPC que votre instance de réplication ou des VPC supplémentaires pour atteindre ce niveau de contrôle d'accès. Chaque réseau Amazon VPC que vous utilisez doit être associé à un groupe de sécurité dont les règles permettent à tout le trafic sur tous les ports de quitter (trafic sortant) le VPC. Cette approche permet la communication de l'instance de réplication avec vos points de terminaison de base de données source et cible, tant que les bonnes règles de trafic entrant sont activées sur ces points de terminaison.

  Pour plus d'informations sur les configurations réseau disponibles pour AWS DMS, consultezConfiguration d'un réseau pour une instance de réplication. Pour plus d’informations sur la création d’une instance de base de données ou d’un cluster d’instances dans un VPC, consultez la documentation sur la sécurité et la gestion des clusters de vos bases de données Amazon dans la documentation AWS. Pour plus d'informations sur les configurations réseau prises en charge par AWS DMS , consultez Configuration d'un réseau pour une instance de réplication.

• Pour consulter les journaux de migration de base de données, vous devez disposer CloudWatch des autorisations Amazon Logs appropriées au rôle IAM que vous utilisez. Pour plus d'informations sur la journalisation pour AWS DMS, consultez Surveillance des tâches de réplication à l'aide d'Amazon CloudWatch.

Rubriques

• Protection des données dans AWS Database Migration Service
• Gestion des identités et des accès pour AWS Database Migration Service
• Validation de la conformité pour AWS Database Migration Service
• Résilience dans AWS Database Migration Service
• Sécurité de l’infrastructure dans AWS Database Migration Service
• Contrôle précis des accès à l'aide des noms de ressources et des balises
• Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations
• Sécurité du réseau pour AWS Database Migration Service
• Utilisation du protocole SSL avec AWS Database Migration Service
• Modification du mot de passe de base de données

Configuration d'une clé de chiffrement et spécification AWS KMS des autorisations

AWS DMS chiffre le stockage utilisé par une instance de réplication et les informations de connexion du point de terminaison. Pour chiffrer le stockage utilisé par une instance de réplication, AWS DMS utilisez une clé AWS Key Management Service (AWS KMS) propre à votre AWS compte. Vous pouvez consulter et gérer cette clé avec AWS KMS. Vous pouvez utiliser la clé KMS par défaut de votre compte (aws/dms) ou créer une clé KMS personnalisée. Si vous disposez d'une clé KMS existante, vous pouvez également utiliser cette clé pour le chiffrement.

Note

Toute AWS KMS clé personnalisée ou existante que vous utilisez comme clé de chiffrement doit être une clé symétrique. AWS DMS ne prend pas en charge l'utilisation de clés de chiffrement asymétriques. Pour plus d’informations sur les clés de chiffrement symétriques et asymétriques, consultez https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html dans le Guide du développeur AWS Key Management Service .

La clé KMS par défaut (aws/dms) est créée lorsque vous lancez pour la première fois une instance de réplication, si vous n’avez pas sélectionné une clé KMS personnalisée dans la section Avancé de la page Créer une instance de réplication. Si vous utilisez la clé KMS par défaut, les seules autorisations que vous devez accorder au compte utilisateur IAM que vous utilisez pour la migration sont kms:ListAliases et kms:DescribeKey. Pour en savoir plus sur l'utilisation de la clé KMS par défaut, consultez IAMautorisations nécessaires pour utiliser AWS DMS.

Pour utiliser une clé KMS personnalisée, vous devez attribuer des autorisations pour la clé KMS personnalisée en appliquant l'une des options suivantes :

• Ajoutez le compte utilisateur IAM utilisé pour la migration en tant qu'administrateur clé ou utilisateur clé pour la clé AWS KMS personnalisée. Cela permettra de garantir l'attribution des autorisations AWS KMS requises au compte utilisateur IAM. Cette action est effectuée en plus des autorisations IAM que vous devez attribuer au compte utilisateur IAM pour utiliser AWS DMS. Pour plus d’informations sur l’octroi d’autorisations à un utilisateur de clé, consultez Autoriser les utilisateurs de clé à utiliser la clé KMS dans le Guide du développeur AWS Key Management Service .

• Si vous ne souhaitez pas ajouter le compte utilisateur IAM en tant qu'administrateur ou utilisateur de la clé pour la clé KMS personnalisée, ajoutez les autorisations suivantes aux autorisations IAM qui doivent être accordées au compte utilisateur IAM pour utiliser AWS DMS.

  
  {
              "Effect": "Allow",
              "Action": [
                  "kms:ListAliases",
                  "kms:DescribeKey",
                  "kms:CreateGrant",
                  "kms:Encrypt",
                  "kms:ReEncrypt*"
              ],
              "Resource": "*"
          },
              

AWS DMS fonctionne également avec les alias de clé KMS. Pour plus d’informations sur la création de vos propres clés AWS KMS et sur la configuration de l’accès des utilisateurs à une clé KMS, consultez le Guide du développeur AWS KMS.

Si vous ne spécifiez pas d'identifiant de clé KMS, AWS DMS utilise votre clé de chiffrement par défaut. AWS KMS crée la clé de chiffrement par défaut AWS DMS pour votre AWS compte. Votre AWS compte possède une clé de chiffrement par défaut différente pour chaque AWS région.

Pour gérer les AWS KMS clés utilisées pour chiffrer vos AWS DMS ressources, utilisez le AWS Key Management Service. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. À l'aide de AWS KMS, vous pouvez créer des clés de chiffrement et définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées.

Vous pouvez trouver AWS KMS dans le AWS Management Console

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

3. Choisissez l'une des options suivantes pour utiliser les AWS KMS touches :

   • Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez les clés AWS gérées.

   • Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

AWS KMS prend en charge AWS CloudTrail, afin que vous puissiez auditer l'utilisation des clés pour vérifier que les clés sont utilisées de manière appropriée. Vos AWS KMS clés peuvent être utilisées en combinaison avec AWS DMS des AWS services pris en charge tels qu'Amazon RDS, Amazon S3, Amazon Redshift et Amazon EBS.

Vous pouvez également créer des AWS KMS clés personnalisées spécifiquement pour chiffrer les données cibles pour les points de AWS DMS terminaison suivants :

• Amazon Redshift : pour plus d’informations, consultez Création et utilisation de clés AWS KMS pour chiffrer les données cibles Amazon Redshift.

• Amazon S3 : pour plus d’informations, consultez Création de AWS KMS clés pour chiffrer les objets cibles d'Amazon S3.

Une fois que vous avez créé vos AWS DMS ressources avec une clé KMS, vous ne pouvez pas modifier la clé de chiffrement de ces ressources. Assurez-vous de déterminer vos exigences en matière de clé de chiffrement avant de créer vos AWS DMS ressources.

Sécurité du réseau pour AWS Database Migration Service

Les exigences de sécurité pour le réseau que vous créez lors de l'utilisation AWS Database Migration Service dépendent de la façon dont vous configurez le réseau. Les règles générales relatives à la sécurité du réseau AWS DMS sont les suivantes :

• L'instance de réplication doit avoir accès aux points de terminaison source et cible. Le groupe de sécurité pour l'instance de réplication doit disposer d'ACL réseau ou de règles qui autorisent le trafic sortant à partir de l'instance sur le port de base de données vers les points de terminaison de base de données.

• Les points de terminaison de base de données doivent inclure des ACL réseau et des règles de groupe de sécurité qui autorisent l'accès entrant à partir de l'instance de réplication. Vous pouvez atteindre cet objectif à l'aide du groupe de sécurité de l'instance de réplication, l'adresse IP privée, l'adresse IP publique ou l'adresse publique de la passerelle NAT, selon votre configuration.

• Si votre réseau utilise un tunnel VPN, l’instance Amazon EC2 qui agit comme la passerelle NAT doit utiliser un groupe de sécurité possédant des règles qui permettent à l’instance de réplication d’envoyer le trafic par son intermédiaire.

Par défaut, le groupe de sécurité VPC utilisé par l'instance de AWS DMS réplication possède des règles qui autorisent la sortie vers 0.0.0.0/0 sur tous les ports. Si vous modifiez ce groupe de sécurité ou que vous utilisez votre propre groupe de sécurité, le trafic sortant doit, au minimum, être autorisé sur les points de terminaison sources et cibles des ports de base de données respectifs.

Les configurations de réseau que vous pouvez utiliser pour la migration de base de données chaque requièrent toutes des normes de sécurité spécifiques :

• Configuration regroupant tous les composants de migration de base de données en un VPC : le groupe de sécurité utilisé par les points de terminaison doit autoriser le trafic entrant sur le port de base de données à partir de l’instance de réplication. Veillez que le groupe de sécurité utilisé par l'instance de réplication dispose du trafic entrant vers les points de terminaison, ou créez une règle dans le groupe de sécurité utilisé par les points de terminaison qui autorise l'adresse IP privée de l'accès à la réplication d'instance.

• Configuration avec plusieurs VPCs : le groupe de sécurité utilisé par l’instance de réplication doit avoir une règle pour la plage VPC et le port de base de données sur la base de données.

• Configuration d'un réseau pour un VPC utilisateur AWS Direct Connect ou un VPN : tunnel VPN autorisant le trafic à accéder du VPC à un VPN sur site. Dans cette configuration, le VPC comporte une règle de routage qui envoie le trafic destiné à une adresse IP spécifique ou une plage vers un hôte qui peut acheminer le trafic du VPC vers le VPN sur site. Dans ce cas, l'hôte NAT inclut ses propres paramètres de groupe de sécurité qui doivent autoriser le trafic provenant de l'adresse IP privée ou du groupe de sécurité de l'instance de réplication vers l'instance NAT.

• Configuration d'un réseau VPC utilisant Internet : le groupe de sécurité du VPC doit inclure des règles de routage qui envoient le trafic non destiné au VPC à la passerelle Internet. Dans cette configuration, la connexion au point de terminaison semble provenir de l'adresse IP publique sur l'instance de réplication.

• Configuration avec une RDS instance de base de données ne figurant pas dans une instance de base VPC de données dans une instance de base de données en cours d'VPCutilisation ClassicLink— Lorsque l'instance de base de données Amazon RDS source ou cible ne se trouve pas dans un VPC et ne partage pas de groupe de sécurité avec le VPC où se trouve l'instance de réplication, vous pouvez configurer un serveur proxy et l' ClassicLink utiliser pour connecter les bases de données source et cible.

• Le point de terminaison source est en dehors du VPC utilisé par l’instance de réplication et utilise une passerelle NAT : vous pouvez configurer une passerelle de traduction d’adresses réseau (NAT) en utilisant une seule adresse IP Elastic liée à une seule interface réseau Elastic. Celle-ci reçoit alors un identificateur NAT (nat-#####). Si le VPC comporte une route par défaut pour cette passerelle NAT au lieu de la passerelle Internet, l'instance de réplication apparaît pour contacter le point de terminaison de base de données à l'aide de l'adresse IP publique de la passerelle Internet. Dans ce cas, le trafic entrant vers le point de terminaison de base de données en dehors du VPC doit autoriser le trafic entrant à partir de l'adresse NAT au lieu de l'adresse IP publique de l'instance de réplication.

• Points de terminaison de VPC pour les moteurs non-SGBDR : AWS DMS ne prend pas en charge les points de terminaison de VPC pour les moteurs non-SGBDR.

Modification du mot de passe de base de données

Dans la plupart des cas, la modification du mot de passe de base de données pour votre point de terminaison source ou cible est un processus simple. Si vous devez modifier le mot de passe de base de données d'un point de terminaison que vous utilisez actuellement dans le cadre d'une tâche de migration ou de réplication, le processus nécessite quelques étapes supplémentaires. La procédure suivante montre comment procéder.

Pour modifier le mot de passe de base de données pour un point de terminaison dans une tâche de réplication ou de migration

1. Connectez-vous à la AWS DMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/dms/v2/.

   Si vous êtes connecté en tant qu’utilisateur IAM, vous devez détenir les autorisations appropriées pour accéder à AWS DMS. Pour plus d'informations sur les autorisations requises, consultez IAMautorisations nécessaires pour utiliser AWS DMS.

2. Dans le volet de navigation, choisissez, Tâches de migration de base de données.

3. Choisissez la tâche qui utilise le point de terminaison pour lequel vous voulez modifier le mot de passe de base de données, puis choisissez Arrêter.

4. Pendant que la tâche est en cours d'arrêt, vous pouvez modifier le mot de passe de la base de données pour le point de terminaison à l'aide des outils natifs que vous utilisez pour gérer la base de données.

5. Revenez à la console de gestion DMS et choisissez Points de terminaison dans le volet de navigation.

6. Choisissez le point de terminaison pour la base de données dont vous avez modifié le mot de passe, puis sélectionnez Modifier.

7. Tapez le nouveau mot de passe dans la zone Mot de passe, puis choisissez Modifier.

8. Dans le volet de navigation, choisissez, Tâches de migration de base de données.

9. Choisissez la tâche que vous avez arrêtée précédemment, puis sélectionnez Arrêter/Reprendre.

10. Choisissez Démarrer ou Reprendre selon la façon dont vous voulez continuer la tâche, puis choisissez Démarrer tâche.