以降のセクションでは、移行元ネットワーク接続に SSL/TLS 暗号化を構成する手順について説明します。
自己ホスト型の Oracle データベースへの接続を暗号化する
以降のセクションでは、自己ホスト型の Oracle ソースへの接続に SSL/TLS 暗号化を構成する際に役立つ詳細について説明します。
TLS バリアントを使用する
自己ホスト型のソースへの接続に TLS 暗号化を使用するには、次の操作を行います。
信頼できる認証局 (CA)によって署名された SSL/TLS 証明書を取得します。組織のポリシーを確認して、適切な チャネルを使用して証明書を取得してください。サーバー証明書に署名する x509 PEM エンコードの ルート CA 証明書を保存します。Database Migration Service の移行元接続プロファイルに指定する必要があります。
この目的で自己署名証明書(
opensslコマンドライン ツールで生成されたものなど)を使用することもできますが、本番環境での使用はおすすめしません。セキュリティシステムが自己署名 証明書を脆弱性としてフラグ設定する可能性があります。- 移行元の Oracle データベースで TLS 認証を構成します。 詳細については、Oracle ドキュメントの トランスポート レイヤ セキュリティ接続を クライアント ウォレットなしで構成する をご覧ください。
-
後で移行元接続プロファイルを作成するときに、次の操作を行います。
- 暗号化タイプとして [TLS] を選択します。
- [**移行元 CA 証明書**] セクションで [**参照**] をクリックし、サーバー証明書に署名する x509 PEM エンコードのルート CA 証明書をアップロードします。
Amazon RDS for Oracle への接続を暗号化する
以降のセクションでは、Amazon RDS for Oracle ソースへの接続に SSL/TLS 暗号化を構成する際に役立つ詳細について説明します。
TLS バリアントを使用する
Amazon RDS for Oracle への接続に TLS 暗号化を使用するには、次の操作を行います。
- Amazon RDS Oracle 移行元データベースで Oracle SSL 暗号化オプションを有効にします。詳細については、 Amazon RDS ドキュメントの RDS for Oracle DB インスタンスで SSL を使用するをご覧ください。
- サーバー証明書に署名する x509 PEM エンコードのルート CA 証明書をダウンロードします。この証明書は、AWS が提供する証明書バンドル に含まれています。詳細については、Amazon RDS ドキュメントの 証明書バンドルをダウンロードするをご覧ください。
-
後で移行元接続プロファイルを作成するときに、次の操作を行います。
- 暗号化タイプとして [TLS] を選択します。
- [**移行元 CA 証明書**] セクションで [**参照**] をクリックし、 証明書バンドルでダウンロードした x509 PEM エンコードのルート CA 証明書をアップロードします。