嘿，你完全没必要开放所有端口和流量——这确实是个不小的安全隐患，咱们遵循最小权限原则来配置就好，具体步骤和细节如下：

• 先确认DocumentDB的端口
  DocumentDB默认使用端口27017（如果启用了强制TLS加密，对应端口是27018）。你可以在AWS控制台的DocumentDB集群详情页里找到实际使用的端口，以这个为准。

• 限制流量类型为TCP
  DocumentDB基于MongoDB协议，只需要允许TCP流量即可，不需要开放UDP或其他所有流量类型。

• 精准授权DMS的访问源
  这是核心，别再用“任何位置”（0.0.0.0/0）了，根据你的VPC部署情况选择对应配置：

  • 同VPC场景：直接在DocumentDB的安全组入站规则中，添加一条规则：源选择DMS实例所在的安全组ID，端口填DocumentDB的目标端口，协议选TCP。这样只有属于这个安全组的DMS实例能访问你的DocumentDB集群，范围精准可控。
  • 跨VPC场景：先建立两个VPC的对等连接并配置好路由表，然后在DocumentDB的安全组入站规则里，源指定DMS所在VPC的CIDR地址范围，端口和协议同上。

• 额外的安全加固建议

  • 开启DocumentDB的TLS加密，强制所有连接使用加密传输，避免数据在网络中被明文读取。
  • 创建专门的DMS访问用户，只赋予迁移所需的最小权限（比如只读权限，如果只是数据迁移），不要直接用主账号。
  • 定期清理安全组规则，移除不再使用的授权条目，避免遗留风险。

举个直观的入站规则示例：

类型：自定义TCP规则
端口范围：27017
源：sg-1234abcd（替换为你的DMS实例安全组ID）
描述：Allow DMS to connect to DocumentDB

内容的提问来源于stack exchange，提问作者shantanuo