翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのデータ保護 AWS Database Migration Service
## データ暗号化
サポートされている AWS DMS ターゲットエンドポイントのデータリソースの暗号化を有効にできます。 は、 AWS DMS AWS DMS とそのすべてのソースエンドポイントとターゲットエンドポイントとの間の接続 AWS DMS も暗号化します。さらに、この暗号化を有効にするために AWS DMS とそのサポートされているターゲットエンドポイントが使用するキーを管理できます。
**Topics**
+ [保管中の暗号化](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [転送中の暗号化](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [キー管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)
### 保管中の暗号化
AWS DMS は、サポートされている AWS DMS ターゲットエンドポイントにコピーされる前にレプリケートされたデータを Amazon S3 にプッシュするために使用するサーバー側の暗号化モードを指定できるようにすることで、保管時の暗号化をサポートします。この暗号化モードは、エンドポイントの追加の接続属性 `encryptionMode` を設定することで指定できます。`encryptionMode` この設定で KMS キー暗号化モードが指定されている場合は、次のターゲットエンドポイントの AWS DMS ターゲットデータを暗号化するためにカスタム AWS KMS キーを作成することもできます。
+ Amazon Redshift - `encryptionMode` の設定詳細については、「[のターゲットとして Amazon Redshift を使用する場合のエンドポイント設定 AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)」をご参照ください。カスタム AWS KMS 暗号化キーの作成の詳細については、「」を参照してください[AWS KMS キーを作成して Amazon Redshift ターゲットデータを暗号化する](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 - `encryptionMode` の設定詳細については、「[のターゲットとして Amazon S3 を使用する場合のエンドポイント設定 AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)」をご参照ください。カスタム AWS KMS 暗号化キーの作成の詳細については、「」を参照してください[Amazon S3 ターゲットオブジェクトを暗号化するための AWS KMS キーの作成](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。
### 転送中の暗号化
AWS DMS は、レプリケートするデータがソースエンドポイントからターゲットエンドポイントに安全に移動するようにすることで、転送中の暗号化をサポートします。この措置には、レプリケーションパイプラインを経由してデータが移動するときに、レプリケーションタスクが中間ストレージ用に使用するレプリケーション インスタンスの S3 バケットの暗号化も含まれます。ソースエンドポイントとターゲットエンドポイントへのタスク接続を暗号化するには、Secure Socket Layer (SSL) または Transport Layer Security (TLS) AWS DMS を使用します。は、両方のエンドポイントへの接続を暗号化することで、ソースエンドポイントからレプリケーションタスク、およびタスクからターゲットエンドポイントの両方に移動する際に、データの安全性 AWS DMS を確保します。での SSL/TLS の使用の詳細については AWS DMS、「」を参照してください。 [での SSL の使用 AWS Database Migration Service](CHAP_Security.SSL.md)
AWS DMS は、中間レプリケーションストレージと接続情報の両方を暗号化するためのデフォルトキーとカスタムキーの両方をサポートします。これらのキーは、 AWS KMSを使用して管理します。詳細については、「[暗号化キーの設定と AWS KMS アクセス許可の指定](CHAP_Security.md#CHAP_Security.EncryptionKey)」を参照してください。
### キー管理
AWS DMS は、特定のターゲットエンドポイントのレプリケーションストレージ、接続情報、ターゲットデータストレージを暗号化するためのデフォルトキーまたはカスタムキーをサポートします。これらのキーは、 を使用して管理します AWS KMS。詳細については、「[暗号化キーの設定と AWS KMS アクセス許可の指定](CHAP_Security.md#CHAP_Security.EncryptionKey)」を参照してください。
## ネットワーク間のトラフィックのプライバシー
接続には、オンプレミスで実行されているか、クラウド内の AWS サービスの一部として実行されているかにかかわらず、同じ AWS リージョン内の AWS DMS とソースエンドポイントとターゲットエンドポイント間の保護が提供されます。(少なくとも 1 つのエンドポイント、ソースまたはターゲットは、クラウド内の AWS サービスの一部として実行する必要があります)。この保護は、VPC がすべて同じ AWS リージョンにある場合、これらのコンポーネントが同じ仮想プライベートクラウド (VPC) を共有しているか VPCs 、別々の VPCs に存在するかにかかわらず適用されます。でサポートされているネットワーク設定の詳細については AWS DMS、「」を参照してください[レプリケーション インスタンスのためのネットワークのセットアップ](CHAP_ReplicationInstance.VPC.md)。これらのネットワーク設定を使用する場合のセキュリティに関する考慮事項については、「[のネットワークセキュリティ AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network)」をご参照ください。
## DMS Fleet Advisor でのデータ保護
DMS Fleet Advisor は、データベースのメタデータを収集して分析し、移行ターゲットの適切なサイズを決定します。DMS Fleet Advisor はテーブル内のデータにアクセスしたり、データを転送したりすることはありません。また、DMS Fleet Advisor はデータベース機能の使用状況は追跡せず、使用統計にもアクセスしません。
DMS Fleet Advisor がデータベースを利用するために使用するデータベースユーザーを作成する際に、データベースへのアクセスを制御します。このようなユーザーに必要なアクセス許可を付与します。DMS Fleet Advisor を使用するには、データベースユーザーに読み取り権限を付与します。DMS Fleet Advisor はデータベースを変更しないため、書き込み権限は必要ありません。詳細については、「[AWS DMS Fleet Advisor のデータベースユーザーの作成](fa-database-users.md)」を参照してください。
データベースでデータ暗号化を使用できます。 は、DMS Fleet Advisor 内およびそのデータコレクター内の接続 AWS DMS も暗号化します。
DMS データコレクターは、データ保護アプリケーションプログラミングインターフェイス (DPAPI) を使用して、お客様の環境とデータベースの認証情報を暗号化、保護、保存します。DMS Fleet Advisor は、このような暗号化されたデータを、DMS データコレクターが動作するサーバー上のファイルに保存します。DMS Fleet Advisor は、このようなサーバーからデータを転送することはありません。DPAPI の詳細については、「[方法: データ保護の使用](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)」を参照してください。
DMS データコレクターをインストールすると、このアプリケーションがメトリクスを収集するために実行するすべてのクエリを確認できます。DMS データコレクターをオフラインモードで実行して、収集したデータをサーバー上で確認できます。収集したデータを Amazon S3 バケットで確認することもできます。詳細については、「[DMS データコレクターの仕組み](fa-collecting.md#fa-data-collectors-how-it-works)」を参照してください。