以降のセクションでは、移行元ネットワーク接続の SSL/TLS 暗号化を構成するために必要な手順について説明します。
自己ホスト型の Oracle データベースへの接続を暗号化する
以降のセクションでは、セルフホスト型 Oracle ソースへの接続に SSL/TLS 暗号化を構成する際に役立つ詳細について説明します。
TLS バリアントを使用する
セルフホスト ソースへの接続に TLS 暗号化を使用するには、次の操作を行います。
信頼できる認証局(CA)によって署名された SSL/TLS 証明書を取得します。組織のポリシーを参照して、証明書を取得するための適切なチャネルを使用していることを確認します。サーバー証明書に署名する x509 PEM エンコードのルート CA 証明書を保存してください。Database Migration Service の移行元接続プロファイルに指定する必要があります。
この目的で自己署名証明書(
opensslコマンドライン ツールで生成されたものなど)を使用することもできますが、本番環境での使用はおすすめしません。セキュリティ システムで、自己署名証明書が脆弱性として報告されることがあります。- 移行元 Oracle データベースで TLS 認証を構成します。詳細については、Oracle ドキュメントの クライアント ウォレットなしで Transport Layer Security 接続を構成するをご覧ください。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- 暗号化タイプに [TLS] を選択します。
- [ソース CA 証明書] セクションで、[参照] をクリックし、サーバー証明書に署名する x509 PEM エンコードのルート CA 証明書をアップロードします。
Amazon RDS for Oracle への接続を暗号化する
以降のセクションでは、Amazon RDS for Oracle ソースへの接続に SSL/TLS 暗号化を構成する際に役立つ詳細について説明します。
TLS バリアントを使用する
Amazon RDS for Oracle への接続に TLS 暗号化を使用するには、次の操作を行います。
- Amazon RDS Oracle ソース データベースで Oracle SSL 暗号化オプションを有効にします。詳細については、Amazon RDS ドキュメントの RDS for Oracle DB インスタンスでの SSL の使用をご覧ください。
- サーバー証明書に署名する x509 PEM でエンコードされたルート CA 証明書をダウンロードします。この証明書は、AWS が提供する証明書バンドルに含まれています。詳細については、Amazon RDS ドキュメントの 証明書バンドルをダウンロードするをご覧ください。
- 後で、
ソース接続プロファイルを作成するときに、次の操作を行います。
- 暗号化タイプに [TLS] を選択します。
- [ソース CA 証明書] セクションで、[参照] をクリックし、証明書バンドルでダウンロードした x509 PEM エンコードのルート CA 証明書をアップロードします。