本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 SSL 搭配使用 AWS Database Migration Service
您可以使用 Secure Sockets Layer (SSL),為來源和目標端點的連線進行加密。若要這麼做,您可以使用 AWS DMS 管理主控台或 AWS DMS API 將憑證指派給端點。您也可以使用主 AWS DMS 控台來管理憑證。
並非所有資料庫都以相同的方式使用 SSL。Amazon Aurora 與 MySQL 相容版本使用伺服器名稱 (叢集中主要執行個體的端點) 作為 SSL 的端點。Amazon Redshift 端點已使用 SSL 連線,因此不需要 AWS DMS設定的 SSL 連線。Oracle 端點需要額外的步驟;如需詳細資訊,請參閱 Oracle 端點的 SSL 支援。
若要將憑證指派給端點,請提供根憑證或直到根憑證的中繼 CA 憑證鏈結 (做為憑證套件),用來簽署部署在您端點上的伺服器 SSL 憑證。只接受 PEM 格式的 X509 檔案做為憑證。當您匯入憑證時,您會收到 Amazon Resource Name (ARN),以供您用來為端點指定該憑證。若是使用 Amazon RDS,您可以下載由 Amazon RDS 託管之 rds-combined-ca-bundle.pem 檔案所提供的根 CA 和憑證套件。如需下載此檔案的相關資訊,請參閱《Amazon RDS 使用者指南》中的使用 SSL/TLS 加密與資料庫執行個體的連線。
您可以從數個 SSL 模式中,選擇要用於 SSL 憑證驗證的模式。
-
無 – 不加密連線。此選項並不安全,但所需成本較低。
-
需要 – 已使用 SSL (TLS) 加密連線,但不會進行 CA 驗證。此選項較安全,而且所需成本較高。
-
verify-ca – 已加密連線。此選項較安全,而且所需成本較高。此選項會驗證伺服器憑證。
-
verify-full – 已加密連線。此選項較安全,而且所需成本較高。此選項會驗證伺服器憑證,並驗證伺服器主機名稱是否符合憑證的主機名稱屬性。
並非所有 SSL 模式都適用於所有資料庫端點。下表顯示每個資料庫引擎支援的 SSL 模式。
|
資料庫引擎 |
無 |
require |
verify-ca |
verify-full |
|---|---|---|---|---|
|
MySQL/MariaDB/Amazon Aurora MySQL |
預設 | 不支援 | 支援 | 支援 |
|
Microsoft SQL Server |
預設 | 支援 | 不支援 | 支援 |
|
PostgreSQL |
預設 | 支援 | 支援 | 支援 |
|
Amazon Redshift |
預設 | 未啟用 SSL | 未啟用 SSL | 未啟用 SSL |
|
Oracle |
預設 | 不支援 | 支援 | 不支援 |
|
SAP ASE |
預設 | 未啟用 SSL | 未啟用 SSL | 支援 |
|
MongoDB |
預設 | 支援 | 不支援 | 支援 |
|
Db2 LUW |
預設 | 不支援 | 支援 | 不支援 |
|
適用於 z/OS 的 Db2 |
預設 | 不支援 | 支援 | 不支援 |
注意
DMS 主控台或 API 上的 SSL 模式選項不適用於某些資料串流和 NoSQL 服務,例如 Kinesis 和 DynamoDB。依預設,其是安全的,因此 DMS 會顯示 SSL 模式設定等於無 (SSL 模式=無)。您無需為端點提供任何其他組態即可使用 SSL。例如,使用 Kinesis 作為目標端點時,預設情況下其是安全的。對 Kinesis 的所有 API 呼叫都使用 SSL,因此 DMS 端點中不需要額外的 SSL 選項。您可以使用 HTTPS 通訊協定 (DMS 在連線到 Kinesis Data Stream 時預設使用的通訊協定),透過 SSL 端點安全地放置和擷取資料。
將 SSL 與 AWS DMS搭配使用的限制
以下是搭配使用 SSL 的限制 AWS DMS:
-
不支援與 Amazon Redshift 目標端點的 SSL 連線。 AWS DMS 使用 Amazon S3 儲存貯體將資料傳輸到 Amazon Redshift 資料庫。Amazon Redshift 預設會加密此傳輸。
-
使用啟用 SSL 的 Oracle 端點執行變更資料擷取 (CDC) 任務時,可能會發生 SQL 逾時。如果您發生 CDC 計數器未反映預期數值的問題,請從任務設定的
ChangeProcessingTuning區段,將MinimumTransactionSize參數設為較低的值。您可以從低至 100 的值開始。如需MinimumTransactionSize參數的詳細資訊,請參閱 變更處理調校設定。 -
您只能以 .pem 和 .sso (Oracle 錢包) 格式匯入憑證。
-
在某些情況下,您的伺服器 SSL 憑證可能由中繼憑證授權單位 (CA) 簽署。若是如此,請務必以單一 .PEM 檔案匯入從中繼 CA 到根 CA 的整個憑證鏈結。
-
如果您在伺服器上使用自簽憑證,請選擇 require 做為您的 SSL 模式。require SSL 模式會隱含信任伺服器的 SSL 憑證,而不會嘗試驗證憑證是否已經過 CA 簽署。
管理憑證
您可以使用 DMS 主控台來檢視和管理 SSL 憑證。您也可以使用 DMS 主控台來匯入憑證。
為 MySQL 相容、PostgreSQL 或 SQL Server 端點啟用 SSL
您可以新增新建立端點或現有端點的 SSL 連線。
使用 SSL 建立 AWS DMS 端點
-
請登入 AWS Management Console 並開啟 AWS DMS 主控台,網址為 https://console.aws.amazon.com/dms/v2/
。 如果您以 AWS Identity and Access Management (IAM) 使用者身分登入,請確定您擁有適當的存取權限 AWS DMS。如需資料庫移轉所需許可的詳細資訊,請參閱使用 AWS DMS所需的 IAM 許可。
-
在導覽窗格中,選擇 Certificates (憑證)。
-
選擇 Import Certificate (匯入憑證)。
-
上傳您要用於加密端點連線的憑證。
注意
您也可以在建立或修改端點時使用 AWS DMS 主控台上傳憑證,方法是選取 [建立資料庫端點] 頁面上傳新的 CA 憑證。
對於作為目標的 Aurora Serverless,請取得將 TLS/SSL 與 Aurora Serverless 搭配使用中提到的憑證。
-
建立端點,如步驟 2:指定來源與目標端點中所述
修改現有 AWS DMS 端點以使用 SSL
-
請登入 AWS Management Console 並開啟 AWS DMS 主控台,網址為 https://console.aws.amazon.com/dms/v2/
。 如果您以 IAM 使用者身分登入,請確認您具備適當的許可來存取 AWS DMS。如需資料庫移轉所需許可的詳細資訊,請參閱使用 AWS DMS所需的 IAM 許可。
-
在導覽窗格中,選擇 Certificates (憑證)。
-
選擇 Import Certificate (匯入憑證)。
-
上傳您要用於加密端點連線的憑證。
注意
您也可以在建立或修改端點時使用 AWS DMS 主控台上傳憑證,方法是選取 [建立資料庫端點] 頁面上傳新的 CA 憑證。
-
在導覽窗格中,選擇 Endpoints (端點),選取您要修改的端點,然後選擇 Modify (修改)。
-
為 SSL 模式選擇一個值。
如果您選擇 verify-ca 或 verify-full 模式,您必須指定要用於 CA certificate (CA 憑證) 憑證,如下所示。
-
選擇 Modify (修改)。
-
修改端點之後,請選取端點,然後選取 Test connection (測試連線) 以判斷 SSL 連線是否正常運作。
在您建立來源和目標端點之後,請建立使用這些端點的任務。如需建立任務的詳細資訊,請參閱 步驟 3:建立任務並遷移資料。
