Arbeiten mit DB-Sicherheitsgruppen (EC2-Classic-Plattform) - Amazon Relational Database Service

Arbeiten mit DB-Sicherheitsgruppen (EC2-Classic-Plattform)

Standardmäßig ist der Netzwerkzugriff auf eine DB-Instance deaktiviert. Sie können Regeln in einer Sicherheitsgruppe angeben, die den Zugriff aus einem IP-Adressbereich, Port oder einer Sicherheitsgruppe zulassen. Nach der Konfiguration von ingress-Regeln gelten diese für alle DB-Instances, die dieser Sicherheitsgruppe zugeordnet sind. Sie können bis zu 20 Regeln in einer Sicherheitsgruppe angeben.

Amazon RDS unterstützt zwei verschiedene Arten von Sicherheitsgruppen. Diese Einstellung ist von der verwendeten Amazon RDS-Plattform abhängig:

  • VPC-Sicherheitsgruppen: für die EC2-VPC-Plattform

  • DB-Sicherheitsgruppen: für die EC2-Classic-Plattform

Sie verwenden höchstwahrscheinlich die EC2-VPC-Plattform (und müssen die VPC-Sicherheitsgruppen verwenden), wenn eine der folgenden Bedingungen erfüllt wird:

  • Wenn Sie ein neuer Amazon RDS-Kunde sind.

  • Wenn Sie zum ersten Mal eine DB-Instance erstellen.

  • Wenn Sie eine DB-Instance in einer bislang nicht verwendeten AWS-Region erstellen.

Andernfalls müssen Sie DB-Sicherheitsgruppen verwenden, wenn Sie sich auf einer EC2-Classic-Plattform befinden, um den Zugriff auf Ihre Amazon RDS-DB-Instances zu verwalten. Weitere Informationen über die Unterschiede zwischen DB-Sicherheitsgruppen und VPC-Sicherheitsgruppen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen.

Anmerkung

Um festzustellen, auf welcher Plattform Sie sich befinden, siehe Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

Wenn Sie sich auf einer EC2-VPC-Plattform befinden, müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

Anlegen einer DB-Sicherheitsgruppe

Um eine DB-Sicherheitsgruppe anzulegen, müssen Sie einen Namen und eine Beschreibung angeben.

So erstellen Sie eine DB-Sicherheitsgruppe

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

  3. Wählen Sie Create DB Security Group aus.

  4. Geben Sie den Namen und die Beschreibung der neuen DB-Sicherheitsgruppe in den Textfeldern Name und Beschreibung ein. Der Sicherheitsgruppenname darf keine Leerzeichen enthalten und nicht mit einer Zahl beginnen.

  5. Wählen Sie Yes, Create (Ja, erstellen) aus.

    Die DB-Sicherheitsgruppe wurde erstellt.

    Eine neu angelegte DB-Sicherheitsgruppe bietet standardmäßig keinen Zugriff auf eine DB-Instance. Sie müssen einen Bereich von IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe angeben, die Zugriff auf die DB-Instance haben kann. Um IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe für eine DB-Sicherheitsgruppe anzugeben, siehe Autorisieren des Netzwerkzugriffs auf eine DB-Sicherheitsgruppe aus einem IP-Bereich.

Verwenden Sie den AWS CLI-Befehl create-db-security-group, um eine DB-Sicherheitsgruppe zu erstellen.

Für Linux, macOS oder Unix:

aws rds create-db-security-group \ --db-security-group-name mydbsecuritygroup \ --db-security-group-description "My new security group"

Für Windows:

aws rds create-db-security-group ^ --db-security-group-name mydbsecuritygroup ^ --db-security-group-description "My new security group"

Eine neu angelegte DB-Sicherheitsgruppe bietet standardmäßig keinen Zugriff auf eine DB-Instance. Sie müssen einen Bereich von IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe angeben, die Zugriff auf die DB-Instance haben kann. Um IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe für eine DB-Sicherheitsgruppe anzugeben, siehe Autorisieren des Netzwerkzugriffs auf eine DB-Sicherheitsgruppe aus einem IP-Bereich.

Um eine DB-Sicherheitsgruppe zu erstellen, rufen Sie die Amazon RDS-Funktion CreateDBSecurityGroup mit den folgenden Parametern auf:

  • DBSecurityGroupName = mydbsecuritygroup

  • Description = "My new security group"

Beispiel

https://rds.amazonaws.com/ ?Action=CreateDBSecurityGroup &DBSecurityGroupName=mydbsecuritygroup &Description=My%20new%20db%20security%20group &Version=2012-01-15 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2012-01-20T22%3A06%3A23.624Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Eine neu angelegte DB-Sicherheitsgruppe bietet standardmäßig keinen Zugriff auf eine DB-Instance. Sie müssen einen Bereich von IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe angeben, die Zugriff auf die DB-Instance haben kann. Um IP-Adressen oder eine EC2-Classic-Sicherheitsgruppe für eine DB-Sicherheitsgruppe anzugeben, siehe Autorisieren des Netzwerkzugriffs auf eine DB-Sicherheitsgruppe aus einem IP-Bereich.

Auflistung verfügbarer DB-Sicherheitsgruppen

Sie können die DB-Sicherheitsgruppen auflisten, die Sie für Ihr AWS-Konto erstellt haben.

Um alle verfügbaren DB-Sicherheitsgruppen für ein AWS-Konto aufzulisten

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Die verfügbaren DB-Sicherheitsgruppen erscheinen in der Liste DB-Sicherheitsgruppen.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

Um alle verfügbaren DB-Sicherheitsgruppen für ein AWS-Konto aufzulisten verwenden Sie den AWS CLI-Befehl describe-db-security-groups ohne Parameter.

aws rds describe-db-security-groups

Um alle verfügbaren DB-Sicherheitsgruppen für ein AWS-Konto aufzulisten, rufen Sie DescribeDBSecurityGroups ohne Parameter auf.

Beispiel

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &MaxRecords=100 &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Anzeigen einer DB-Sicherheitsgruppe

Sie können detaillierte Informationen über Ihre DB-Sicherheitsgruppe anzeigen, um zu sehen, welche IP-Bereiche autorisiert wurden.

So zeigen Sie die Eigenschaften einer bestimmten DB-Sicherheitsgruppe an

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

  3. Wählen Sie das Detailsymbol für die DB-Sicherheitsgruppe, die Sie anzeigen möchten. Die Detailinformationen zur DB-Sicherheitsgruppe werden angezeigt.

Um die Eigenschaften einer bestimmten DB-Sicherheitsgruppe anzuzeigen, verwenden Sie den -Befehl AWS CLI describe-db-security-groups. Geben Sie die DB-Sicherheitsgruppe an, die Sie anzeigen möchten.

Für Linux, macOS oder Unix:

aws rds describe-db-security-groups \ --db-security-group-name mydbsecuritygroup

Für Windows:

aws rds describe-db-security-groups ^ --db-security-group-name mydbsecuritygroup

Um die Eigenschaften einer bestimmten DB-Sicherheitsgruppe anzuzeigen, rufen Sie DescribeDBSecurityGroups mit den folgenden Parametern auf:

  • DBSecurityGroupName=mydbsecuritygroup

Beispiel

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-16T22%3A23%3A07.107Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Verknüpfen einer DB-Sicherheitsgruppe mit einer DB-Instance

Sie können eine DB-Sicherheitsgruppe mit einer DB-Instance anhand der RDS-Konsole über die Option Ändern, der ModifyDBInstance Amazon-RDS-API oder des AWS CLI-Befehls modify-db-instance verknüpfen.

Informationen zum Ändern einer DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Autorisieren des Netzwerkzugriffs auf eine DB-Sicherheitsgruppe aus einem IP-Bereich

Standardmäßig ist der Netzwerkzugriff auf eine DB-Instance deaktiviert. Wenn Sie auf eine DB-Instance zugreifen möchten, die sich nicht in einer VPC befindet, müssen Sie Zugriffsregeln für eine DB-Sicherheitsgruppe festlegen, um den Zugriff von bestimmten EC2-Classic-Sicherheitsgruppen oder CIDR-IP-Bereichen zu ermöglichen. Anschließend müssen Sie diese DB-Instance der DB-Sicherheitsgruppe zuordnen. Dieser Prozess heißt Eingang. Sobald ingress für eine DB-Sicherheitsgruppe konfiguriert ist, gelten dieselben ingress-Regeln für alle DB-Instances, die dieser DB-Sicherheitsgruppe zugeordnet sind.

Warnung

Sprechen Sie mit Ihrem Netzwerkadministrator, wenn Sie auf eine DB-Instance hinter einer Firewall zugreifen möchten, um die IP-Adressen zu ermitteln, die Sie verwenden sollten.

Im folgenden Beispiel konfigurieren Sie eine DB-Sicherheitsgruppe mit einer ingress-Regel für einen CIDR-IP-Bereich.

Um eine DB-Sicherheitsgruppe mit einer ingress-Regel für einen CIDR-IP-Bereich zu konfigurieren

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

  3. Wählen Sie das Detailsymbol für die DB-Sicherheitsgruppe, die Sie berechtigen möchten.

  4. Auf der Detailseite Ihrer Sicherheitsgruppe wählen Sie CIDR/IP aus der Dropdownliste Verbindungstyp aus, geben Sie den CIDR-Bereich für die Regel für eingehenden Datenverkehr, die Sie dieser DB-Sicherheitsgruppe hinzufügen möchten, in das Textfeld CIDR ein und klicken auf Autorisieren.

    Tipp

    Die AWS Management Console zeigt eine CIDR-IP basierend auf Ihrer Verbindung unterhalb des CIDR-Textfeldes an. Wenn Sie nicht hinter einer Firewall auf die DB-Instance zugreifen, können Sie diese CIDR-IP verwenden.

  5. Der Status der Regel für eingehenden Datenverkehr lautet authorizing (Wird autorisiert …), bis die neue Regel für eingehenden Datenverkehr auf alle DB-Instances angewendet wird, die der von Ihnen modifizierten DB-Sicherheitsgruppe zugeordnet sind. Nach erfolgreicher Anwendung der Regel für eingehenden Datenverkehr ändert sich der Status auf authorized (Autorisiert).

Um eine DB-Sicherheitsgruppe mit einer Regel für eingehenden Datenverkehr für einen CIDR-IP-Bereich zu konfigurieren, verwenden Sie den AWS CLI-Befehl authorize-db-security-group-ingress.

Für Linux, macOS oder Unix:

aws rds authorize-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.10/27

Für Windows:

aws rds authorize-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.10/27

Die Ausgabe dieses Befehls sollte ähnlich wie folgt aussehen.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.10/27 authorizing

Um eine DB-Sicherheitsgruppe mit einer Regel für eingehenden Datenverkehr für einen CIDR-IP-Bereich zu konfigurieren, rufen Sie Amazon RDS-API AuthorizeDBSecurityGroupIngress mit folgenden Parametern auf:

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Beispiel

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &CIDRIP=192.168.1.10%2F27 &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &Action=AuthorizeDBSecurityGroupIngress &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Autorisieren des Netzwerkzugriffs auf eine DB-Instance von einer Amazon EC2-Instance aus

Wenn Sie von einer Amazon EC2-Instance auf Ihre DB-Instance zugreifen möchten, müssen Sie zunächst feststellen, ob sich Ihre EC2-Instance und DB-Instance in einem VPC befinden. Wenn Sie eine Standard-VPC verwenden, können Sie die gleiche EC2- oder VPC-Sicherheitsgruppe zuweisen, die Sie für Ihre EC2-Instance verwendet haben, wenn Sie die DB-Instance, auf welche die EC2-Instance zugreift, erstellen oder ändern.

Wenn sich Ihre DB-Instance und EC2-Instance nicht in einem VPC befinden, müssen Sie die Sicherheitsgruppe der DB-Instance mit einer ingress-Regel konfigurieren, die den Verkehr von der Amazon EC2-Instance zulässt. Dazu fügen Sie die EC2-Classic-Sicherheitsgruppe für die EC2-Instance der DB-Sicherheitsgruppe für die DB-Instance hinzu. In diesem Beispiel fügen Sie einer DB-Sicherheitsgruppe für eine EC2-Classic-Sicherheitsgruppe eine ingress-Regel hinzu.

Wichtig
  • Das Hinzufügen einer ingress-Regel zu einer DB-Sicherheitsgruppe für eine EC2-Classic-Sicherheitsgruppe gewährt nur Zugriff auf Ihre DB-Instances von Amazon EC2-Instances, die dieser EC2-Classic-Sicherheitsgruppe zugeordnet sind.

  • Sie können keine EC2-Classic-Sicherheitsgruppe autorisieren, die sich in einer anderen AWS-Region als Ihre DB-Instance befindet. Sie können einen IP-Bereich autorisieren oder eine EC2-Classic-Sicherheitsgruppe in derselben AWS-Region angeben, die sich auf eine IP-Adresse in einer anderen AWS-Region bezieht. Wenn Sie einen IP-Bereich angeben, empfehlen wir Ihnen, die private IP-Adresse Ihrer Amazon EC2-Instance zu verwenden, die eine direktere Netzwerkroute von Ihrer Amazon EC2-Instance zu Ihrer Amazon RDS-DB-Instance ermöglicht und keine Netzwerkgebühren für Daten verursacht, die außerhalb des Amazon-Netzwerks gesendet werden.

So fügen Sie eine EC2-Classic-Sicherheitsgruppe zu einer DB-Sicherheitsgruppe hinzu

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

  3. Wählen Sie das Detailsymbol für die DB-Sicherheitsgruppe, der Sie den Zugriff gewähren möchten.

  4. Auf der Detailseite Ihrer Sicherheitsgruppe wählen Sie EC2-Sicherheitsgruppe für Verbindungstyp aus und wählen dann die EC2-Classic-Sicherheitsgruppe aus, die Sie verwenden möchten. Klicken Sie dann auf Autorisieren.

  5. Der Status der Regel für eingehenden Datenverkehr lautet authorizing (Wird autorisiert …), bis die neue Regel für eingehenden Datenverkehr auf alle DB-Instances angewendet wird, die der von Ihnen modifizierten DB-Sicherheitsgruppe zugeordnet sind. Nach erfolgreicher Anwendung der Regel für eingehenden Datenverkehr ändert sich der Status auf authorized (Autorisiert).

Verwenden Sie den AWS CLI-Befehl authorize-db-security-group-ingress, um Zugriff auf eine EC2-Classic-Sicherheitsgruppe zu gewähren.

Für Linux, macOS oder Unix:

aws rds authorize-db-security-group-ingress \ --db-security-group-name default \ --ec2-security-group-name myec2group \ --ec2-security-group-owner-id 987654321021

Für Windows:

aws rds authorize-db-security-group-ingress ^ --db-security-group-name default ^ --ec2-security-group-name myec2group ^ --ec2-security-group-owner-id 987654321021

Die Ausgabe dieses Befehls sollte ähnlich wie folgt aussehen:

SECGROUP Name Description SECGROUP default default EC2-SECGROUP myec2group 987654321021 authorizing

Um den Netzwerkzugriff auf eine EC2-Classic-Sicherheitsgruppe zu autorisieren, rufen Sie diese Amazon RDS-API-Funktion https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.htmlAuthorizeDBSecurityGroupIngress mit den folgenden Parametern auf:

  • EC2Security­GroupName = myec2group

  • EC2SecurityGroupOwnerId = 987654321021

Beispiel

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &EC2SecurityGroupOwnerId=987654321021 &EC2Security­GroupName=myec2group &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Widerrufen des Netzwerkzugriffs auf eine DB-Instance aus einem IP-Bereich

Sie widerrufen den Netzwerkzugriff von einem CIDR-IP-Bereich auf DB-Instances einer DB-Sicherheitsgruppe ganz einfach, indem Sie die zugehörige CIDR-IP-Regel für eingehenden Datenverkehr widerrufen.

In diesem Beispiel widerrufen Sie eine Regel für eingehenden Datenverkehr für einen CIDR-IP-Bereich auf einer DB-Sicherheitsgruppe.

So widerrufen Sie eine ingress-Regel für einen CIDR-IP-Bereich auf einer DB-Sicherheitsgruppe:

  1. Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    Anmerkung

    Wenn Sie sich auf der EC2-VPC-Plattform befinden, wird die Option Sicherheitsgruppen nicht im Navigationsbereich angezeigt. In diesem Fall müssen Sie VPC-Sicherheitsgruppen anstelle von DB-Sicherheitsgruppen verwenden. Weitere Informationen zur Verwendung einer VPC finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

  3. Wählen Sie das Detailsymbol für die DB-Sicherheitsgruppe mit der ingress-Regel die Sie widerrufen möchten.

  4. Klicken Sie auf der Detailseite Ihrer Sicherheitsgruppe neben der Regel für eingehenden Datenverkehr, die Sie widerrufen möchten, auf Entfernen.

  5. Der Status der Regel für eingehenden Datenverkehr lautet revoking (Wird widerrufen …), bis die Regel für eingehenden Datenverkehr von allen DB-Instances entfernt wurde, die der von Ihnen geänderten DB-Sicherheitsgruppe zugeordnet sind. Nachdem die ingress-Regel erfolgreich entfernt wurde, wird sie aus der DB-Sicherheitsgruppe entfernt.

Um eine Regel für eingehenden Datenverkehr für einen CIDR-IP-Bereich auf einer DB-Sicherheitsgruppe zu widerrufen, verwenden Sie den AWS CLI-Befehl revoke-db-security-group-ingress.

Für Linux, macOS oder Unix:

aws rds revoke-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.1/27

Für Windows:

aws rds revoke-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.1/27

Die Ausgabe dieses Befehls sollte ähnlich wie folgt aussehen.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.1/27 revoking

Um eine Regel für eingehenden Datenverkehr für einen CIDR-IP-Bereich auf einer DB-Sicherheitsgruppe zu widerrufen, rufen Sie die Amazon-RDS-API-Operation https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RevokeDBSecurityGroupIngress.htmlRevokeDBSecurityGroupIngress mit folgenden Parametern auf:

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Beispiel

https://rds.amazonaws.com/ ?Action=RevokeDBSecurityGroupIngress &DBSecurityGroupName=mydbsecuritygroup &CIDRIP=192.168.1.10%2F27 &Version=2009-10-16 &SignatureVersion=2&SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T22%3A32%3A12.515Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>