Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivieren verschlüsselter Verbindungen für PostgreSQL-DB-Instances in Amazon RDS
Erstellt von Rohit Kapoor (AWS)
Umgebung: PoC oder Pilotprojekt | Technologien: Datenbanken; Netzwerk; Sicherheit, Identität, Compliance | Workload: Open-Source |
AWS-Services: Amazon RDS; Amazon Aurora |
Übersicht
Amazon Relational Database Service (Amazon RDS) unterstützt SSL-Verschlüsselung für PostgreSQL-DB-Instances. Mit SSL können Sie eine PostgreSQL-Verbindung zwischen Ihren Anwendungen und Ihren Amazon RDS for PostgreSQL-DB-Instances verschlüsseln. Standardmäßig verwendet Amazon RDS for PostgreSQL SSL/TLS und erwartet, dass alle Clients eine Verbindung mithilfe der SSL/TLS-Verschlüsselung herstellen. Amazon RDS for PostgreSQL unterstützt die TLS-Versionen 1.1 und 1.2.
Dieses Muster beschreibt, wie Sie verschlüsselte Verbindungen für eine DB-Instance von Amazon RDS für PostgreSQL aktivieren können. Sie können denselben Prozess verwenden, um verschlüsselte Verbindungen für Amazon Aurora PostgreSQL – kompatible Edition zu aktivieren.
Voraussetzungen und Einschränkungen
Ein aktives AWS-Konto
Ein SSL-Paket
Architektur
Tools
pgAdmin
ist eine Open-Source-Verwaltungs- und Entwicklungsplattform für PostgreSQL . Sie können pgAdmin unter Linux, Unix, macOS und Windows verwenden, um Ihre Datenbankobjekte in PostgreSQL 10 und höher zu verwalten. PostgreSQL-Editoren
bieten eine benutzerfreundlichere Oberfläche, die Sie beim Erstellen, Entwickeln und Ausführen von Abfragen unterstützt und Code an Ihre Anforderungen anpasst.
Bewährte Methoden
Überwachen Sie unsichere Datenbankverbindungen.
Prüfen Sie die Zugriffsrechte für Datenbanken.
Stellen Sie sicher, dass Backups und Snapshots im Ruhezustand verschlüsselt sind.
Überwachen Sie den Datenbankzugriff.
Vermeiden Sie uneingeschränkte Zugriffsgruppen.
Verbessern Sie Ihre Benachrichtigungen mit Amazon GuardDuty.
Überwachen Sie die Einhaltung von Richtlinien regelmäßig.
Polen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Laden Sie ein vertrauenswürdiges Zertifikat auf Ihren Computer. | Gehen Sie folgendermaßen vor, um Zertifikate zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen für Ihren Computer hinzuzufügen. (Diese Anweisungen verwenden als Beispiel Window Server.)
| DevOps Ingenieur, Migrationsingenieur, DBA |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie eine Parametergruppe und legen Sie den Parameter rds.force_ssl fest. | Wenn die PostgreSQL-DB-Instance über eine benutzerdefinierte Parametergruppe verfügt, bearbeiten Sie die Parametergruppe und ändern Sie Wenn die DB-Instance die Standardparametergruppe verwendet, die nicht So erstellen Sie eine neue Parametergruppe:
So verknüpfen Sie die Parametergruppe mit Ihrer PostgreSQL-DB-Instance:
Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS. | DevOps Ingenieur, Migrationsingenieur, DBA |
SSL-Verbindungen erzwingen. | Stellen Sie eine Verbindung mit der DB-Instance von Amazon RDS für PostgreSQL her. Verbindungsversuche, die SSL nicht verwenden, werden mit einer Fehlermeldung abgelehnt. Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS. | DevOps Ingenieur, Migrationsingenieur, DBA |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Installieren Sie die SSL-Erweiterung. |
Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS. | DevOps Ingenieur, Migrationsingenieur, DBA |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Konfigurieren Sie einen Client für SSL. | Durch die Verwendung von SSL können Sie den PostgreSQL-Server mit Unterstützung für verschlüsselte Verbindungen starten, die TLS-Protokolle verwenden. Der Server lauscht sowohl auf Standard- als auch auf SSL-Verbindungen auf demselben TCP-Port und verhandelt mit jedem verbindenden Client, ob SSL verwendet werden soll. Standardmäßig ist dies eine Client-Option. Wenn Sie den psql-Client verwenden:
Für andere PostgreSQL-Clients:
Sehen Sie sich die folgenden Seiten für diese Clients an: | DevOps Ingenieur, Migrationsingenieur, DBA |
Fehlerbehebung
Problem | Lösung |
---|---|
Das SSL-Zertifikat kann nicht heruntergeladen werden. | Überprüfen Sie Ihre Verbindung zur Website und versuchen Sie erneut, das Zertifikat auf Ihren lokalen Computer herunterzuladen. |
Zugehörige Ressourcen
Verwenden von SSL mit einer PostgreSQL-DB-Instance (Amazon-RDS-Dokumentation)
Sichere TCP/IP-Verbindungen mit SSL
(PostgreSQL-Dokumentation) Verwenden von SSL
(JDBC-Dokumentation)