本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的数据保护 Amazon Database Migration Service
<a name="CHAP_Security.DataProtection"></a>

## 数据加密
<a name="CHAP_Security.DataProtection.DataEncryption"></a>

您可以为支持的 Amazon DMS 目标端点的数据资源启用加密。 Amazon DMS 还会对与其所有源端点 Amazon DMS 和目标端点之间的连接进行加密。 Amazon DMS 此外，您还可以管理用于启用此加密的密钥 Amazon DMS 及其支持的目标端点。

**Topics**
+ [静态加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [传输中加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [密钥管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)

### 静态加密
<a name="CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest"></a>

Amazon DMS 支持静态加密，允许您指定在复制的数据复制到支持的 Amazon DMS 目标终端节点之前将其推送到 Amazon S3 时要使用的服务器端加密模式。您可以通过设置终端节点的 `encryptionMode` 额外连接属性来指定此加密模式。如果此`encryptionMode`设置指定 KMS 密钥加密模式，则还可以创建专门用于加密以下目标终端节点的 Amazon DMS 目标数据的自定义 Amazon KMS 密钥：
+ Amazon Redshift – 有关设置 `encryptionMode` 更多信息，请参阅 [使用 Amazon Redshift 作为目标时的终端节点设置 Amazon DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)。有关创建自定义 Amazon KMS 加密密钥的更多信息，请参阅[创建和使用 Amazon KMS 密钥对亚马逊 Redshift 目标数据进行加密](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 – 有关设置 `encryptionMode` 更多信息，请参阅 [使用 Amazon S3 作为目标时的终端节点设置 Amazon DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)。有关创建自定义 Amazon KMS 加密密钥的更多信息，请参阅[创建用于加密 Amazon S3 目标对象的 Amazon KMS 密钥](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。

### 传输中加密
<a name="CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit"></a>

Amazon DMS 通过确保其复制的数据从源端点安全地移动到目标端点，支持传输中的加密。这包括对复制实例上的 S3 存储桶进行加密，在复制管道中传输数据时，复制任务将 S3 存储桶用作中间存储。要对源端点和目标端点的任务连接进行加密，请 Amazon DMS 使用安全套接字层 (SSL) 或传输层安全 (TLS)。通过对两个端点的连接进行加密， Amazon DMS 可以确保您的数据在从源终端节点移动到复制任务以及从任务移动到目标终端节点时是安全的。有关 SSL/TLS 与一起使用的更多信息 Amazon DMS，请参阅 [将 SSL 与 Amazon Database Migration Service](CHAP_Security.SSL.md)

Amazon DMS 支持默认密钥和自定义密钥，用于加密中间复制存储和连接信息。您可以使用 Amazon KMS来管理这些密钥。有关更多信息，请参阅 [设置加密密钥并指定 Amazon KMS 权限](CHAP_Security.md#CHAP_Security.EncryptionKey)。

### 密钥管理
<a name="CHAP_Security.DataProtection.DataEncryption.KeyManagement"></a>

Amazon DMS 支持默认密钥或自定义密钥来加密某些目标端点的复制存储、连接信息和目标数据存储。您可以通过使用来管理这些密钥 Amazon KMS。有关更多信息，请参阅 [设置加密密钥并指定 Amazon KMS 权限](CHAP_Security.md#CHAP_Security.EncryptionKey)。

## 互联网络流量隐私
<a name="CHAP_Security.DataProtection.InternetworkTraffic"></a>

无论是在本地运行还是作为云端 Amazon 服务的一部分运行，同一 Amazon 区域的源端点和目标端点之间的 Amazon DMS 连接都受到保护。（至少一个端点（源端点或目标端点）必须作为云端 Amazon 服务的一部分运行。） 无论这些组件共享同一个虚拟私有云 (VPC) 还是分开存在（如果它们都位于同一个 Amazon 区域） VPCs，则此保护 VPCs 都适用。有关支持的网络配置的更多信息 Amazon DMS，请参阅[为复制实例设置网络](CHAP_ReplicationInstance.VPC.md)。有关使用这些网络配置时的安全注意事项的更多信息，请参阅 [网络安全 Amazon Database Migration Service](CHAP_Security.md#CHAP_Security.Network)。

## DMS Fleet Advisor 中的数据保护
<a name="fa-security-data-protection"></a>

DMS Fleet Advisor 收集并分析您的数据库元数据，以确定迁移目标的正确大小。DMS Fleet Advisor 不会访问您的表中的数据，也不会传输这些数据。此外，DMS Fleet Advisor 不会跟踪数据库功能的使用情况，也不会访问您的使用情况统计信息。

在您创建数据库用户以便让 DMS Fleet Advisor 用来处理数据库时，您可以控制对数据库的访问权限。您可以向这些用户授予所需的权限。要使用 DMS Fleet Advisor，您需要向数据库用户授予读取权限。DMS Fleet Advisor 不会修改您的数据库，也不需要写入权限。有关更多信息，请参阅 [为 Amazon DMS Fleet Advisor 创建数据库用户](fa-database-users.md)。

您可以在数据库中使用数据加密。 Amazon DMS 还会加密 DMS Fleet Advisor 内部及其数据收集器内部的连接。

DMS 数据收集器使用数据保护应用程序编程接口（DPAPI）来加密、保护和存储有关客户环境和数据库凭证的信息。在 DMS 数据收集器工作的服务器上，DMS Fleet Advisor 将这些加密数据存储在一个文件中。DMS Fleet Advisor 不会从这台服务器传输这些数据。有关 DPAPI 的更多信息，请参阅[如何：使用数据保护](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)。

安装 DMS 数据收集器后，您可以查看此应用程序为收集指标而运行的所有查询。您可以在离线模式下运行 DMS 数据收集器，然后在您的服务器上查看收集的数据。此外，您还可以在您的 Amazon S3 存储桶中查看这些收集的数据。有关更多信息，请参阅 [DMS 数据收集器的工作方式](fa-collecting.md#fa-data-collectors-how-it-works)。