Amazon Database Migration Service 中的安全性

云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 Amazon 合规性计划的一部分，第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon DMS 的合规性计划，请参阅合规性计划范围内的 Amazon 服务。

云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您组织的要求以及适用的法律法规。

使用 Amazon Identity and Access Management (IAM) 策略分配决定谁可以管理 Amazon DMS 资源的权限。如果您以 IAM 用户身份登录，Amazon DMS 要求您具有适当权限。例如，您可以使用 IAM 确定哪些人可以创建、描述、修改和删除数据库实例和集群，为资源添加标签或修改安全组。有关 IAM 以及将其与 Amazon DMS 配合使用的更多信息，请参阅的身份和访问管理 Amazon Database Migration Service。

Amazon DMS 使用带传输层安全性 (TLS) 的安全套接字层 (SSL) 进行终端节点连接。有关将 SSL/TLS 与 Amazon DMS 一起使用的更多信息，请参阅将 SSL 与 Amazon Database Migration Service 配合使用。

Amazon DMS 使用 Amazon Key Management Service (Amazon KMS) 加密密钥对复制实例及其端点连接信息所使用的存储进行加密。Amazon DMS 还使用 Amazon KMS 加密密钥来保护 Amazon S3 和 Amazon Redshift 目标端点的静态目标数据。有关更多信息，请参阅设置加密密钥和指定 Amazon KMS 权限。

Amazon DMS 始终在基于 Amazon VPC 服务的虚拟私有云 (VPC) 中创建复制实例以尽可能获得最大的网络访问控制。对于数据库实例和实例集群，请使用与复制实例相同的 VPC，或使用其他 VPC 来匹配此级别的访问控制。使用的每个 Amazon VPC 必须与安全组关联，该安全组应具有规则，允许所有端口上的所有流量离开（传出）VPC。使用此方法，只要这些终端节点上启用了正确的传入，就允许从复制实例与您的源和目标数据库终端节点通信。

有关 Amazon DMS 的可用网络配置的更多信息，请参阅 为复制实例设置网络。有关在 VPC 中创建数据库实例或实例集群的更多信息，请参阅 Amazon 文档中的 Amazon 数据库安全和集群管理文档。有关 Amazon DMS 支持的网络配置的更多信息，请参阅 为复制实例设置网络。

要查看数据库迁移日志，您使用的 IAM 角色需要适当的 Amazon CloudWatch Logs 权限。有关 Amazon DMS 日志记录的更多信息，请参阅 使用 Amazon CloudWatch 监控复制任务。

以 Amazon KMS 自定义密钥的密钥管理员或密钥用户的身份添加用于迁移的 IAM 用户账户。这样做可确保将必需的 Amazon KMS 权限授予 IAM 用户账户。除了向 IAM 用户账户授予使用 Amazon DMS 的 IAM 权限之外，还需执行此操作。有关向密钥用户授予权限的更多信息，请参阅《Amazon Key Management Service 开发人员指南》中的允许密钥用户使用 KMS 密钥。

如果您不希望添加 IAM 用户账户作为自定义 KMS 密钥的密钥管理员或密钥用户，则除了必须向 IAM 用户账户授予使用 Amazon DMS 的 IAM 权限以外，还需授予以下附加权限。

{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*"
        },
            

Amazon Redshift – 有关更多信息，请参阅 创建 Amazon KMS 密钥并使用该密钥对 Amazon Redshift 目标数据进行加密。

Amazon S3 – 有关更多信息，请参阅 创建 Amazon KMS 密钥以加密 Amazon S3 目标对象。

复制实例必须具有对源和目标终端节点的访问权限。复制实例的安全组必须具有网络 ACL 或规则来允许从实例数据库端口上传出到数据库终端节点。

数据库终端节点必须包括网络 ACL 和安全组规则，允许来自复制实例的传入访问。根据配置，您可以使用复制实例的安全组、私有 IP 地址、公有 IP 地址或 NAT 网关的公有地址来实现这一点。

如果您的网络使用 VPN 隧道，则充当 NAT 网关的 Amazon EC2 实例必须使用具有规则的安全组，该规则允许复制实例通过它发送流量。

一个 VPC 中具有所有数据库迁移组件的配置 – 端点使用的安全组必须允许从复制实例向数据库端口上的传入。确保由复制实例使用的安全组已传入到终端节点，或者您可以在由终端节点使用的安全组中创建规则，允许访问复制实例的私有 IP 地址。

多 VPC 配置 – 复制实例使用的安全组规则必须具有针对数据库上的 VPC 范围和数据库端口的规则。

使用 Amazon Direct Connect 或 VPN 配置到 VPC 的网络 – VPN 隧道，允许流量从 VPC 通过隧道流向本地 VPN。在此配置中，VPC 包含路由规则，会将以特定 IP 地址或范围为目标的流量发送到主机，该主机可以桥接从 VPC 到本地 VPN 的流量。如果是这种情况，NAT 主机包括自己的安全组设置，必须允许从复制实例私有 IP 地址或安全组到 NAT 实例的流量。

使用 Internet 连接 VPC 的网络配置 – VPC 安全组必须包括路由规则，将并非以 VPC 为目标的流量发送到互联网网关。在此配置中，与终端节点的连接显示为来自复制实例上的公有 IP 地址。

使用不在 VPC 中的 RDS 数据库实例与 VPC 中的数据库实例进行配置 ClassicLink – 当源或目标 Amazon RDS 数据库实例不在 VPC 中，并且不与复制实例所在的 VPC 共享安全组时，您可以设置代理服务器并使用 ClassicLink 连接源数据库和目标数据库。

源端点位于复制实例所使用的 VPC 的外部并使用 NAT 网关 – 您可以使用绑定到单个弹性网络接口的单个弹性 IP 地址来配置网络地址转换 (NAT) 网关。之后，该弹性网络接口会收到一个 NAT 标识符 (nat-#####)。如果 VPC 包含到 NAT 网关而不是 Internet 网关的默认路由，复制实例将改为显示使用 Internet 网关的公有 IP 地址连接数据库终端节点。在这种情况下，对 VPC 外部的数据库终端节点的传入需要允许从 NAT 地址的传入，而不是复制实例的公有 IP 地址。

适用于非 RDBMS 引擎的 VPC 端点 – Amazon DMS 不支持适用于非 RDBMS 引擎的 VPC 端点。