Sicurezza dell'infrastruttura in AWS Database Migration Service

Come servizio gestito, AWS Database Migration Service è protetto dalla sicurezza di rete globale AWS. Per informazioni sui servizi di sicurezza AWS e su come AWS protegge l'infrastruttura, consulta la pagina Sicurezza del cloud AWS. Per progettare l'ambiente AWS utilizzando le best practice per la sicurezza dell'infrastruttura, consulta la pagina Protezione dell'infrastruttura nel Pilastro della sicurezza di AWS Well‐Architected Framework.

Utilizza le chiamate API pubblicate di AWS per accedere a AWS DMS tramite la rete. I clienti devono supportare quanto segue:

• Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

• Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.

Puoi chiamare queste operazioni API da qualsiasi posizione di rete. AWS DMS inoltre supporta le policy di accesso basate sulle risorse, che possono specificare limitazioni per azioni e risorse, ad esempio, in base all'indirizzo IP di origine. È inoltre possibile utilizzare le policy AWS DMS per controllare l'accesso da endpoint Amazon VPC o cloud privati virtuali (VPC) specifici. Di fatto, questo isola l'accesso di rete a una risorsa AWS DMS specificata solo dal VPC specifico all'interno della rete AWS. Per ulteriori informazioni sull'utilizzo delle policy di accesso basate su risorse AWS DMS, inclusi gli esempi, consulta Controllo granulare degli accessi tramite i nomi e i tag delle risorse.

Per limitare le comunicazioni con AWS DMS all'interno di un singolo VPC, puoi creare un endpoint di interfaccia VPC che ti consenta di connetterti ad AWS DMS tramite AWS PrivateLink. AWS PrivateLink aiuta a garantire che qualsiasi chiamata ad AWS DMS e i relativi risultati associati rimangano confinati nel VPC specifico per il quale è stato creato l'endpoint di interfaccia. È quindi possibile specificare l'URL per questo endpoint di interfaccia come opzione con ogni comando AWS DMS eseguito utilizzando la AWS CLI o un SDK. In questo modo è possibile garantire che tutte le comunicazioni con AWS DMS rimangano confinate nel VPC e siano altrimenti invisibili sulla rete Internet pubblica.

Per creare un endpoint di interfaccia per accedere a DMS in un singolo VPC

1. Accedere ad AWS Management Console e aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Endpoint. Viene visualizzata la pagina Crea endpoint in cui è possibile creare l'endpoint di interfaccia da un VPC ad AWS DMS.

3. Scegli Servizi AWS, quindi cerca e seleziona un valore per Nome del servizio, in questo caso AWS DMS nel seguente modulo.

   com.amazonaws.region.dms

   Qui, region specifica la regione AWS in cui viene eseguito AWS DMS, ad esempio com.amazonaws.us-west-2.dms.

4. Per VPC scegli il VPC da cui creare l'endpoint di interfaccia, ad esempio vpc-12abcd34.

5. Scegli un valore per Zona di disponibilità e ID sottorete. Questi valori devono indicare una posizione in cui l'endpoint AWS DMS scelto può essere eseguito, ad esempio us-west-2a (usw2-az1) e subnet-ab123cd4.

6. Scegli Abilita nome DNS per creare l'endpoint con un nome DNS. Questo nome DNS è composto dall'ID dell'endpoint (vpce-12abcd34efg567hij) seguito da un trattino e da una stringa casuale (ab12dc34). Questi elementi sono separati dal nome del servizio tramite un punto in ordine inverso separato da punti, con vpce aggiunto (dms.us-west-2.vpce.amazonaws.com).

   Un esempio è vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

7. Per Gruppo di sicurezza scegli un gruppo da usare per l'endpoint.

   Quando configuri il gruppo di sicurezza, assicurati di consentire le chiamate HTTPS in uscita. Per ulteriori informazioni, consulta Creazione dei gruppi di sicurezza nella Guida per l'utente di Amazon VPC.

8. Scegli Accesso completo o un valore personalizzato per Policy. Ad esempio, puoi scegliere una policy personalizzata simile alla seguente che limiti l'accesso dell'endpoint a determinate azioni e risorse.

   {
     "Statement": [
       {
         "Action": "dms:*",
         "Effect": "Allow",
         "Resource": "*",
         "Principal": "*"
       },
       {
         "Action": [
           "dms:ModifyReplicationInstance",
           "dms:DeleteReplicationInstance"
         ],
         "Effect": "Deny",
         "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
         "Principal": "*"
       }
     ]
   }

   Qui, la policy di esempio consente qualsiasi chiamata API AWS DMS, ad eccezione dell'eliminazione o della modifica di un'istanza di replica specifica.

A questo punto puoi specificare l'opzione di un URL formato utilizzando il nome DNS creato nella fase 6. La specifichi per ogni comando della CLI o operazione API AWS DMS per accedere all'istanza del servizio utilizzando l'endpoint di interfaccia creato. Ad esempio, potrebbe essere necessario eseguire il comando DescribeEndpoints della CLI DMS in questo VPC come mostrato di seguito.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Se abiliti l'opzione DNS privato, non occorre specificare l'URL dell'endpoint nella richiesta.

Per ulteriori informazioni sulla creazione e l'utilizzo di endpoint di interfaccia VPC (inclusa l'attivazione dell'opzione DNS privato), consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.