本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的資料保護 AWS Database Migration Service
<a name="CHAP_Security.DataProtection"></a>

## 資料加密
<a name="CHAP_Security.DataProtection.DataEncryption"></a>

您可以為受支援 AWS DMS 目標端點的資料資源啟用加密。 AWS DMS 也會加密 AWS DMS 與 及其 AWS DMS 所有來源和目標端點之間的連線。此外，您可以管理 AWS DMS 及其支援的目標端點用來啟用此加密的金鑰。

**Topics**
+ [靜態加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [傳輸中加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [金鑰管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)

### 靜態加密
<a name="CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest"></a>

AWS DMS 支援靜態加密，可讓您指定要在複製到支援 AWS DMS 的目標端點之前，用來將複寫資料推送至 Amazon S3 的伺服器端加密模式。您可以設定端點的 `encryptionMode` 額外連線屬性，以指定此加密模式。如果此`encryptionMode`設定指定 KMS 金鑰加密模式，您也可以特別建立自訂 AWS KMS 金鑰，以加密下列目標端點 AWS DMS 的目標資料：
+ Amazon Redshift — 如需設定 `encryptionMode` 的相關資訊，請參閱[使用 Amazon Redshift 做為 目標時的端點設定 AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)。如需建立自訂 AWS KMS 加密金鑰的詳細資訊，請參閱 [建立和使用 AWS KMS 金鑰來加密 Amazon Redshift 目標資料](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 – 如需設定 `encryptionMode` 的詳細資訊，請參閱[使用 Amazon S3 做為 目標時的端點設定 AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)。如需建立自訂 AWS KMS 加密金鑰的詳細資訊，請參閱 [建立 AWS KMS 金鑰來加密 Amazon S3 目標物件](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。

### 傳輸中加密
<a name="CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit"></a>

AWS DMS 透過確保其複寫的資料從來源端點安全地移至目標端點，來支援傳輸中加密。這包括加密複寫執行個體上的 S3 儲存貯體，當資料透過複寫管線移動時，複寫任務會用於中繼儲存體。若要加密與來源和目標端點的任務連線， AWS DMS 請使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS)。透過加密兩個端點的連線， AWS DMS 可確保您的資料在從來源端點移動到複寫任務，以及從任務移動到目標端點時是安全的。如需搭配 使用 SSL/TLS 的詳細資訊 AWS DMS，請參閱 [搭配 使用 SSL AWS Database Migration Service](CHAP_Security.SSL.md)

AWS DMS 同時支援預設和自訂金鑰，以加密中繼複寫儲存體和連線資訊。您可以使用 AWS KMS來管理這些金鑰。如需詳細資訊，請參閱[設定加密金鑰並指定 AWS KMS 許可](CHAP_Security.md#CHAP_Security.EncryptionKey)。

### 金鑰管理
<a name="CHAP_Security.DataProtection.DataEncryption.KeyManagement"></a>

AWS DMS 支援預設或自訂金鑰，以加密特定目標端點的複寫儲存體、連線資訊和目標資料儲存體。您可以使用 來管理這些金鑰 AWS KMS。如需詳細資訊，請參閱[設定加密金鑰並指定 AWS KMS 許可](CHAP_Security.md#CHAP_Security.EncryptionKey)。

## 網際網路流量隱私權
<a name="CHAP_Security.DataProtection.InternetworkTraffic"></a>

無論是在內部部署執行，還是做為雲端 AWS 服務的一部分，連線都會在相同 AWS 區域中的 AWS DMS 和來源和目標端點之間提供保護。（至少一個端點、來源或目標，必須做為雲端 AWS 服務的一部分執行。) 如果 VPCs，則無論這些元件共用相同的虛擬私有雲端 (VPC) 或存在於不同的 VPCs中，都適用此保護。 AWS 如需 支援之網路組態的詳細資訊 AWS DMS，請參閱 [設定複寫執行個體的網路](CHAP_ReplicationInstance.VPC.md)。如需使用這些網路組態時安全性考量的詳細資訊，請參閱 [的網路安全 AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network)。

## DMS Fleet Advisor 中的資料保護
<a name="fa-security-data-protection"></a>

DMS Fleet Advisor 會收集並分析資料庫中繼資料，以判斷遷移目標的正確大小。DMS Fleet Advisor 不會存取資料表中的資料，也不會傳輸該資料。此外，DMS Fleet Advisor 不會追蹤資料庫功能的使用情況，也不會存取使用情況的統計資料。

當您建立 DMS Fleet Advisor 用來處理資料庫的資料庫使用者時，您可以控制對資料庫的存取。您可以將必要的權限授予這些使用者。若要使用 DMS Fleet Advisor，您可以授予資料庫使用者讀取許可。DMS Fleet Advisor 不會修改資料庫，也不需要寫入許可。如需詳細資訊，請參閱[建立 AWS DMS Fleet Advisor 的資料庫使用者](fa-database-users.md)。

您可以在資料庫中使用資料加密。 AWS DMS 也會加密 DMS Fleet Advisor 及其資料收集器內的連線。

DMS 資料收集器使用資料保護應用程式設計介面 (DPAPI)，來加密、保護和儲存客戶環境和資料庫憑證的相關資訊。DMS Fleet Advisor 將此加密資料儲存在 DMS 資料收集器運作所在的伺服器檔案中。DMS Fleet Advisor 不會從此伺服器傳輸此資料。如需 DPAPI 的相關資訊，請參閱[如何：使用資料保護](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)。

安裝 DMS 資料收集器之後，您就可以檢視此應用程式執行以收集指標的所有查詢。您可以在離線模式中執行 DMS 資料收集器，然後在伺服器上檢閱收集的資料。此外，您可以檢閱 Amazon S3 儲存貯體中收集的資料。如需詳細資訊，請參閱[DMS 資料收集器的運作方式為何？](fa-collecting.md#fa-data-collectors-how-it-works)。