資料保護 AWS Database Migration Service - AWS Database Migration Service
資料加密網際網路流量隱私權DMS Fleet Advisor 中的資料保護

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資料保護 AWS Database Migration Service

資料加密

您可以為支援的 AWS DMS 目標端點的資料資源啟用加密。 AWS DMS 還會加密 AWS DMS 與其所有來源端點 AWS DMS 和目標端點之間的連線。此外,您還可以管理用來啟用此加密的金鑰 AWS DMS 及其受支援的目標端點。

靜態加密

AWS DMS 支援靜態加密,方法是讓您指定要用來將複寫資料推送到 Amazon S3 的伺服器端加密模式,然後再將複寫的資料複製到受支援的 AWS DMS 目標端點。您可以設定端點的 encryptionMode 額外連線屬性,以指定此加密模式。如果此encryptionMode設定指定 KMS 金 AWS KMS 鑰加密模式,您也可以建立專門用來加密下列 AWS DMS 目標端點的目標資料的自訂金鑰:

傳輸中加密

AWS DMS 通過確保其複製的數據從源端點安全地移動到目標端點,從而支持傳輸中的加密。這包括加密複寫執行個體上的 S3 儲存貯體,當資料透過複寫管線移動時,複寫任務會用於中繼儲存體。若要加密與來源和目標端點的工作連線,請 AWS DMS 使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS)。透過將兩個端點的連線加密, AWS DMS 確保資料從來源端點移至複寫任務,以及從工作移至目標端點時,資料是安全的。如需搭 AWS DMS配使用 SSL/TLS 的詳細資訊,請參閱 使用 SSL 搭配使用 AWS Database Migration Service

AWS DMS 同時支援預設和自訂金鑰來加密中繼複寫儲存和連線資訊。您可以使用 AWS KMS來管理這些金鑰。如需詳細資訊,請參閱 設定加密金鑰並指定 AWS KMS 權限

金鑰管理

AWS DMS 支援預設或自訂金鑰,以加密特定目標端點的複寫儲存、連線資訊和目標資料儲存體。您可以使用來管理這些金鑰 AWS KMS。如需詳細資訊,請參閱 設定加密金鑰並指定 AWS KMS 權限

網際網路流量隱私權

在相同 AWS 區域中的來源端點 AWS DMS 和目標端點之間提供連線保護,無論是在內部部署執行還是作為雲端中的 AWS 服務的一部分執行。(至少必須有一個端點、來源或目標在雲端中做為 AWS 服務的一部分執行)。無論這些元件共用相同的虛擬私有雲 (VPC),還是存在於不同的 VPC 中,如果 VPC 都位於同一區域,則此保護都適用。 AWS 如需有關的支援網路組態的詳細資訊 AWS DMS,請參閱設定複寫執行個體的網路。如需使用這些網路組態時安全性考量的詳細資訊,請參閱 網路安全 AWS Database Migration Service

DMS Fleet Advisor 中的資料保護

DMS Fleet Advisor 會收集並分析資料庫中繼資料,以判斷遷移目標的正確大小。DMS Fleet Advisor 不會存取資料表中的資料,也不會傳輸該資料。此外,DMS Fleet Advisor 不會追蹤資料庫功能的使用情況,也不會存取使用情況的統計資料。

當您建立 DMS Fleet Advisor 用來處理資料庫的資料庫使用者時,您可以控制對資料庫的存取。您可以將必要的權限授予這些使用者。若要使用 DMS Fleet Advisor,您可以授予資料庫使用者讀取許可。DMS Fleet Advisor 不會修改資料庫,也不需要寫入許可。如需詳細資訊,請參閱 建立AWS DMS Fleet Advisor 的資料庫使用者

您可以在資料庫中使用資料加密。 AWS DMS 也會加密 DMS 車隊顧問內部及其資料收集器內的連線。

DMS 資料收集器使用資料保護應用程式設計介面 (DPAPI),來加密、保護和儲存客戶環境和資料庫憑證的相關資訊。DMS Fleet Advisor 將此加密資料儲存在 DMS 資料收集器運作所在的伺服器檔案中。DMS Fleet Advisor 不會從此伺服器傳輸此資料。如需 DPAPI 的相關資訊,請參閱如何:使用資料保護

安裝 DMS 資料收集器之後,您就可以檢視此應用程式執行以收集指標的所有查詢。您可以在離線模式中執行 DMS 資料收集器,然後在伺服器上檢閱收集的資料。此外,您可以檢閱 Amazon S3 儲存貯體中收集的資料。如需詳細資訊,請參閱 DMS 資料收集器的運作方式為何?