Sécurité de l’infrastructure dans AWS Database Migration Service - AWS Service de Migration de Base de Données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l’infrastructure dans AWS Database Migration Service

En tant que service géré, AWS Database Migration Service il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez API les appels AWS publiés pour accéder AWS DMS via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Vous pouvez effectuer ces API opérations depuis n'importe quel emplacement du réseau. AWS DMS prend également en charge les politiques d'accès basées sur les ressources, qui peuvent spécifier des restrictions sur les actions et les ressources, par exemple en fonction de l'adresse IP source. En outre, vous pouvez utiliser des AWS DMS politiques pour contrôler l'accès depuis des VPC points de terminaison Amazon spécifiques ou des clouds privés virtuels spécifiques (VPCs). En fait, cela permet d'isoler l'accès réseau à une AWS DMS ressource donnée de la seule ressource spécifique au VPC sein du AWS réseau. Pour plus d'informations sur l'utilisation de politiques d'accès basées sur les ressources avec AWS DMS, notamment des exemples, voir. Contrôle précis des accès à l'aide des noms de ressources et des balises

Pour limiter vos communications AWS DMS au sein d'une seule interfaceVPC, vous pouvez créer un point de terminaison d'VPCinterface qui vous permet de vous connecter AWS DMS via AWS PrivateLink. AWS PrivateLink permet de garantir que tout appel AWS DMS et les résultats associés restent limités au point spécifique VPC pour lequel le point de terminaison de votre interface est créé. Vous pouvez ensuite spécifier le point de terminaison URL pour cette interface en tant qu'option pour chaque AWS DMS commande que vous exécutez à l'aide du AWS CLI ou unSDK. Cela permet de garantir que toutes vos communications AWS DMS restent confinées à l'Internet public VPC et soient autrement invisibles pour celui-ci.

Pour créer un point de terminaison d'interface auquel accéder DMS en un seul VPC

  1. Connectez-vous à la VPC console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison. Cela ouvre la page Créer des points de terminaison, où vous pouvez créer le point de terminaison d'interface de a VPC à AWS DMS.

  3. Choisissez AWS les services, puis recherchez et choisissez une valeur pour le nom du service, dans ce cas AWS DMS sous la forme suivante.

    com.amazonaws.region.dms

    Ici, region indique la AWS région dans laquelle AWS DMS s'exécute, par exemplecom.amazonaws.us-west-2.dms.

  4. Pour VPC, par exemple, choisissez le point VPC de terminaison de l'interface à partir duquel vous souhaitez créer le point de terminaisonvpc-12abcd34.

  5. Choisissez une valeur pour Zone de disponibilité et pour ID de sous-réseau. Ces valeurs doivent indiquer un emplacement où le point de terminaison AWS DMS que vous avez choisi peut s’exécuter, par exemple us-west-2a (usw2-az1) et subnet-ab123cd4.

  6. Choisissez Enable DNS name pour créer le point de terminaison avec un DNS nom. Ce DNS nom est composé de l'identifiant du point de terminaison (vpce-12abcd34efg567hij) avec un trait d'union avec une chaîne aléatoire ()ab12dc34. Ils sont séparés du nom du service par un point dans l’ordre inverse séparé par des points, avec l’ajout de vpce (dms.us-west-2.vpce.amazonaws.com).

    Par exemple : vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

  7. Pour Groupe de sécurité, choisissez un groupe à utiliser pour le point de terminaison.

    Lorsque vous configurez votre groupe de sécurité, assurez-vous d'autoriser les HTTPS appels sortants provenant de celui-ci. Pour plus d'informations, consultez la section Création de groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

  8. Choisissez Accès complet ou une valeur personnalisée pour Politique. Par exemple, vous pouvez choisir une politique personnalisée similaire à la suivante qui restreint l’accès du point de terminaison à certaines actions et ressources.

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    Ici, l'exemple de politique autorise n'importe quel AWS DMS API appel, à l'exception de la suppression ou de la modification d'une instance de réplication spécifique.

Vous pouvez désormais spécifier un URL formulaire en utilisant le DNS nom créé à l'étape 6 comme option. Vous le spécifiez pour chaque AWS DMS CLI commande ou API opération permettant d'accéder à l'instance de service à l'aide du point de terminaison d'interface créé. Par exemple, vous pouvez exécuter DescribeEndpoints la DMS CLI commande VPC comme indiqué ci-dessous.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Si vous activez l'DNSoption privée, il n'est pas nécessaire de spécifier le point de terminaison URL dans la demande.

Pour plus d'informations sur la création et l'utilisation des points de terminaison d'VPCinterface (y compris l'activation de l'DNSoption privée), consultez la section VPCPoints de terminaison d'interface (AWS PrivateLink) dans le guide de VPCl'utilisateur Amazon.