View a markdown version of this page

Utilizzo di SSL con AWS Database Migration Service - AWS Database Migration Service
Limitazioni all'uso di SSL con AWS DMSGestione dei certificatiAbilitazione di SSL per un MySQL-compatible endpoint PostgreSQL o SQL Server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di SSL con AWS Database Migration Service

È possibile crittografare le connessioni per gli endpoint di origine e di destinazione utilizzando il protocollo Secure Sockets Layer (SSL). A tale scopo, puoi utilizzare la console di AWS DMS gestione o l' AWS DMS API per assegnare un certificato a un endpoint. Puoi anche utilizzare la AWS DMS console per gestire i tuoi certificati.

Non tutti i database utilizzano SSL allo stesso modo. Amazon Aurora MySQL-Compatible Edition utilizza il nome del server, l'endpoint dell'istanza principale nel cluster, come endpoint per SSL. Un endpoint Amazon Redshift utilizza già una connessione SSL e non richiede la configurazione di tale connessione da parte di AWS DMS. Un endpoint Oracle richiede altri passaggi; per ulteriori informazioni, consulta Supporto SSL per un endpoint Oracle.

Importante

Requisiti TLS per Aurora MySQL 8.4 e versioni successive

A partire dalla versione 8.4 di Aurora MySQL, il require_secure_transport parametro è impostato come impostazione ON predefinita e richiede che tutte le connessioni utilizzino TLS. Se la modalità SSL dell' AWS DMS endpoint è impostata su nessuna, le connessioni ad Aurora MySQL 8.4 verranno rifiutate. Se la modalità SSL dell'endpoint è impostata su Nessuno, riceverai il seguente errore:. MySQL Error 3159 (HY000): Connections using insecure transport are prohibited while --require_secure_transport=ON

Prima di aggiornare il cluster Aurora MySQL alla versione 8.4, aggiorna la modalità SSL dell'endpoint a una delle seguenti: AWS DMS

  • verify-ca

  • verify-full

In alternativa, puoi require_secure_transport impostarlo OFF nel gruppo di parametri del cluster Aurora per continuare a consentire connessioni non crittografate.

Nota

Aurora MySQL 8.4 supporta solo le suite di crittografia GCM per TLS 1.2. CBC-mode Tutti i codici sono stati rimossi. AWS DMS utilizza TLS 1.2 per gli endpoint MySQL e Aurora MySQL e negozierà automaticamente un codice GCM supportato. Se disponi di configurazioni di crittografia personalizzate, verifica che includano una delle seguenti cifre supportate:,, o. ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384

Nota

AWS DMS non supporta TLS 1.3 per endpoint MySQL. Ciò non influisce sulla connettività ad Aurora MySQL 8.4, poiché Aurora MySQL 8.4 continua a supportare TLS 1.2.

Per ulteriori informazioni sulle modifiche alla sicurezza di Aurora MySQL 8.4, consulta Security with Amazon Aurora MySQL nella Amazon Aurora User Guide.

Per stabilire una connessione sicura, fornisci il certificato principale o la catena di certificati CA intermedi che conduce alla radice (come pacchetto di certificati) utilizzata per firmare il certificato SSL del server sull'endpoint. I certificati vengono accettati solo come file X509 in formato PEM. Quando si importa un certificato, si riceve un Amazon Resource Name (ARN) da utilizzare per specificare quel certificato per un endpoint. Se si utilizza Amazon RDS, è possibile scaricare l'autorità di certificazione (CA) root e il bundle di certificati forniti nel file rds-combined-ca-bundle.pem ospitato da Amazon RDS. Per ulteriori informazioni sul download di questo file, consulta Using SSL/TLS to encrypt a connection to a DB nella Amazon RDS User Guide.

È possibile scegliere tra diverse modalità SSL per l'utilizzo della verifica del certificato SSL.

  • Nessuno: la connessione non è crittografata. Questa opzione non è sicura, ma richiede un overhead minore.

  • Richiedi: la connessione è crittografata tramite SSL (TLS) ma non viene effettuata alcuna verifica CA. Questa opzione è più sicura e richiede un overhead maggiore.

  • Verifica CA: la connessione è crittografata. Questa opzione è più sicura e richiede un overhead maggiore. Questa opzione verifica il certificato del server.

  • Verifica completa: la connessione è crittografata. Questa opzione è più sicura e richiede un overhead maggiore. Questa opzione verifica il certificato del server e verifica che il nome host del server corrisponda all'attributo del nome host del certificato.

Non tutte le modalità SSL sono adatte a tutti gli endpoint del database. La tabella seguente mostra quali modalità SSL sono supportate per ogni motore di database.

Motore database

nessuno

require

verify-ca

verify-full

MySQL/MariaDB/Amazon Aurora MySQL

 Predefinita Non supportata Supportato Supportata

Microsoft SQL Server

 Predefinita Supportata Non supportato Supportata

PostgreSQL

 Predefinita Supportata Supportato Supportata

Amazon Redshift

 Predefinita SSL non abilitato SSL non abilitato SSL non abilitato

Oracle

 Predefinita Non supportata Supportata Non supportato

SAP ASE

 Predefinita SSL non abilitato SSL non abilitato Supportata

MongoDB

 Predefinita Supportata Non supportato Supportata

Db2 LUW

 Predefinita Non supportato Supportata Non supportato

Db2 per z/OS

 Predefinita Non supportato Supportata Non supportato
Nota

L'opzione Modalità SSL della console DMS o dell'API non si applica ad alcuni servizi di flusso di dati e NoSQL, come Kinesis e DynamoDB. Tali servizi sono sicuri per impostazione predefinita, quindi DMS mostra che la modalità SSL non è impostata (Modalità SSL=Nessuno). Per utilizzare SSL non è necessario eseguire alcuna configurazione aggiuntiva per l'endpoint. Ad esempio, l'utilizzo di Kinesis come endpoint di destinazione è sicuro per impostazione predefinita. Tutte le chiamate API a Kinesis utilizzano SSL, quindi non è necessaria un'opzione SSL aggiuntiva nell'endpoint DMS. È possibile inserire dati e recuperarli in modo sicuro tramite gli endpoint SSL utilizzando il protocollo HTTPS, usato da DMS per impostazione predefinita per la connessione a un flusso di dati Kinesis.

Limitazioni all'uso di SSL con AWS DMS

Di seguito sono riportate le limitazioni relative all'uso di SSL con: AWS DMS

  • Le connessioni SSL agli endpoint di destinazione di Amazon Redshift non sono supportate. AWS DMS utilizza un bucket Amazon S3 per trasferire dati al database Amazon Redshift. Questa trasmissione è crittografata da Amazon Redshift per impostazione predefinita.

  • I timeout SQL possono verificarsi quando si eseguono attività di acquisizione dei dati di modifica (CDC) con endpoint Oracle. SSL-enabled Se riscontri questo problema, per cui i contatori CDC non riflettono i numeri attesi, imposta il parametro MinimumTransactionSize nella sezione ChangeProcessingTuning delle impostazioni delle attività su un valore più basso. Puoi iniziare con un valore minimo di 100. Per ulteriori informazioni sul parametro MinimumTransactionSize, vedi Impostazioni di ottimizzazione dell'elaborazione delle modifiche.

  • I certificati possono essere importati solo nei formati .pem e .sso (wallet Oracle).

  • In alcuni casi, il certificato SSL del server può essere firmato da un'autorità di certificazione intermedia (CA). In tal caso, verifica che l'intera catena di certificati che porta dalla CA intermedia fino alla CA root venga importata come un singolo file .pem.

  • Se utilizzi certificati autofirmati sul tuo server, scegli require come modalità SSL. La modalità SSL require ritiene implicitamente attendibile il certificato SSL del server e non tenta di convalidare che il certificato è stato firmato da una CA.

  • AWS DMS non supporta la versione TLS 1.3 per MySQL MariaDb ed endpoint.

Gestione dei certificati

Puoi utilizzare la console DMS per visualizzare e gestire i certificati SSL. La console DMS può essere utilizzata anche per importare i certificati.

AWS Database Migration Service Gestione dei certificati SSL

Abilitazione di SSL per un MySQL-compatible endpoint PostgreSQL o SQL Server

È possibile aggiungere una connessione SSL a un endpoint appena creato o a un endpoint esistente.

Per creare un AWS DMS endpoint con SSL

  1. Accedi a Console di gestione AWS e apri la AWS DMS console all'indirizzo. https://console.aws.amazon.com/dms/v2/

    Se hai effettuato l'accesso come utente AWS Identity and Access Management (IAM), assicurati di disporre delle autorizzazioni di accesso AWS DMS appropriate. Per ulteriori informazioni sulle autorizzazioni necessarie per la migrazione del database, consulta Autorizzazioni IAM necessarie per l'uso AWS DMS.

  2. Nel riquadro di navigazione, scegliere Certificates (Certificati).

  3. Scegliere Import Certificate (Importa certificato).

  4. Caricare il certificato da utilizzare per la crittografia della connessione a un endpoint.

    Nota

    Puoi anche caricare un certificato utilizzando la AWS DMS console quando crei o modifichi un endpoint selezionando Aggiungi nuovo certificato CA nella pagina Crea endpoint del database.

    Per Aurora Serverless come destinazione, ottieni il certificato indicato in Utilizzo con TLS/SSL Aurora Serverless.

  5. Creare un endpoint come descritto in Fase 2: specificazione degli endpoint di origine e di destinazione

Per modificare un esistente AWS DMS endpoint per utilizzare SSL

  1. Accedi a Console di gestione AWS e apri la AWS DMS console all'indirizzo. https://console.aws.amazon.com/dms/v2/

    Se hai eseguito l'accesso come utente IAM, verifica di disporre delle autorizzazioni appropriate per accedere a AWS DMS. Per ulteriori informazioni sulle autorizzazioni necessarie per la migrazione del database, consulta Autorizzazioni IAM necessarie per l'uso AWS DMS.

  2. Nel riquadro di navigazione, scegliere Certificates (Certificati).

  3. Scegliere Import Certificate (Importa certificato).

  4. Caricare il certificato da utilizzare per la crittografia della connessione a un endpoint.

    Nota

    Puoi anche caricare un certificato utilizzando la AWS DMS console quando crei o modifichi un endpoint selezionando Aggiungi nuovo certificato CA nella pagina Crea endpoint del database.

  5. Nel riquadro di navigazione, scegliere Endpoints (Endpoint), selezionare l'endpoint modificare, quindi scegliere Modify (Modifica).

  6. Scegliere un valore per SSL mode (Modalità SSL).

    Se si sceglie la modalità verify-ca o verify-full, specificare il certificato che si desidera utilizzare per certificato emesso da una CA, come illustrato di seguito.

    AWS Database Migration Service Gestione dei certificati SSL

  7. Scegli Modifica.

  8. Quando l'endpoint è stato modificato, scegliere l'endpoint e scegliere Test connection (Testa la connessione) per verificare che la connessione SSL funzioni.

Dopo aver creato gli endpoint di origine e di destinazione, creare un'attività che utilizza questi endpoint. Per ulteriori informazioni sulla creazione di un'attività, consulta Fase 3: creazione di un'attività e migrazione dei dati.