本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Database Migration Service 中的数据保护
数据加密
您可以为支持的 Amazon DMS 目标终端节点的数据资源启用加密。Amazon DMS 还会对与 Amazon DMS 的连接以及 Amazon DMS 与其所有源及目标终端节点之间的连接进行加密。此外,您还可以管理 Amazon DMS 及其支持的目标终端节点启用此加密所使用的密钥。
静态加密
Amazon DMS 通过允许您指定要使用的服务器端加密模式来支持静态加密,以便在将复制数据复制到支持的 Amazon DMS 目标端点之前将其推送到 Amazon S3。您可以通过设置终端节点的 encryptionMode 额外连接属性来指定此加密模式。如果此 encryptionMode 设置指定 KMS 密钥加密模式,您还可以创建自定义 Amazon KMS 密钥,专门对以下 Amazon DMS 目标端点的目标数据进行加密:
-
Amazon Redshift – 有关设置
encryptionMode更多信息,请参阅 使用 Amazon Redshift 作为 Amazon DMS 的目标时的端点设置。有关创建自定义 Amazon KMS 加密密钥的更多信息,请参阅 创建 Amazon KMS 密钥并使用该密钥对 Amazon Redshift 目标数据进行加密。 -
Amazon S3 – 有关设置
encryptionMode更多信息,请参阅 使用 Amazon S3 作为 Amazon DMS 的目标时的端点设置。有关创建自定义 Amazon KMS 加密密钥的更多信息,请参阅 创建 Amazon KMS 密钥以加密 Amazon S3 目标对象。
传输中加密
Amazon DMS 通过确保其复制的数据从源终端节点安全移至目标终端节点来支持传输过程中的加密。这包括对复制实例上的 S3 存储桶进行加密,在复制管道中传输数据时,复制任务将 S3 存储桶用作中间存储。要加密与源和目标端点的任务连接,Amazon DMS 使用安全套接字层 (SSL) 或传输层安全性协议 (TLS)。通过加密与两个终端节点的连接,Amazon DMS 可确保数据在从源终端节点移动到复制任务以及从任务移动到目标终端节点时都是安全的。有关将 SSL/TLS 与 Amazon DMS 一起使用的更多信息,请参阅 将 SSL 与 Amazon Database Migration Service 配合使用。
Amazon DMS 支持默认密钥和自定义密钥来加密中间复制存储和连接信息。您可以使用 Amazon KMS 来管理这些密钥。有关更多信息,请参阅设置加密密钥和指定 Amazon KMS 权限。
密钥管理
Amazon DMS 支持默认或自定义密钥来加密特定目标终端节点的复制存储、连接信息和目标数据存储。您可以使用 Amazon KMS 来管理这些密钥。有关更多信息,请参阅设置加密密钥和指定 Amazon KMS 权限。
互联网络流量隐私保护
无论是在本地运行还是作为云中 Amazon 服务的一部分运行,都会为 Amazon DMS 和同一 Amazon 区域中的源及目标终端节点之间的连接提供保护。(必须至少有一个源或目标终端节点作为云中 Amazon 服务的一部分运行。) 无论这些组件是共享同一 Virtual Private Cloud (VPC),还是存在于单独的 VPC 中(如果 VPC 全部位于同一 Amazon 区域),都会应用此保护。有关 Amazon DMS 支持的网络配置的更多信息,请参阅 为复制实例设置网络。有关使用这些网络配置时的安全注意事项的更多信息,请参阅 Amazon Database Migration Service 网络安全。
DMS Fleet Advisor 中的数据保护
DMS Fleet Advisor 收集并分析您的数据库元数据,以确定迁移目标的正确大小。DMS Fleet Advisor 不会访问您的表中的数据,也不会传输这些数据。此外,DMS Fleet Advisor 不会跟踪数据库功能的使用情况,也不会访问您的使用情况统计信息。
在您创建数据库用户以便让 DMS Fleet Advisor 用来处理数据库时,您可以控制对数据库的访问权限。您可以向这些用户授予所需的权限。要使用 DMS Fleet Advisor,您需要向数据库用户授予读取权限。DMS Fleet Advisor 不会修改您的数据库,也不需要写入权限。有关更多信息,请参阅为 Amazon DMS Fleet Advisor 创建数据库用户。
您可以在数据库中使用数据加密。Amazon DMS 还会加密 DMS Fleet Advisor 内部及其数据收集器内部的连接。
DMS 数据收集器使用数据保护应用程序编程接口 (DPAPI) 来加密、保护和存储有关客户环境和数据库凭证的信息。在 DMS 数据收集器工作的服务器上,DMS Fleet Advisor 将这些加密数据存储在一个文件中。DMS Fleet Advisor 不会从这台服务器传输这些数据。有关 DPAPI 的更多信息,请参阅如何:使用数据保护
安装 DMS 数据收集器后,您可以查看此应用程序为收集指标而运行的所有查询。您可以在离线模式下运行 DMS 数据收集器,然后在您的服务器上查看收集的数据。此外,您还可以在您的 Amazon S3 存储桶中查看这些收集的数据。有关更多信息,请参阅DMS 数据收集器的工作方式。