Uso de SSL/TLS para cifrar una conexión a una instancia

Puede utilizar Capa de sockets seguros (SSL) o Seguridad de la capa de transporte (TLS) desde una aplicación para cifrar una conexión a una instancia de base de datos que ejecuta MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL.

Las conexiones SSL y TLS proporcionan una capa de seguridad al cifrar los datos que circulan entre el cliente y el de instancia de base de datos. El uso de un certificado de servidor proporciona una capa adicional de seguridad al validar que la conexión se realice a un de instancia de base de datos de Amazon RDSAmazon Aurora. La validación se hace al verificar que el certificado de servidor se instale automáticamente en todos los de instancias de base de datos que usted aprovisiona.

Cada motor base de datos tiene su propio proceso para implementar SSL/TLS. Para obtener información sobre cómo implementar SSL/TLS para la instancia, utilice el enlace de la siguiente lista que corresponda al motor de base de datos:

• Uso de SSL/TLS con una instancia de base de datos MariaDB

• Uso de SSL con una instancia de base de datos de Microsoft SQL Server

• Uso de SSL/TLS con una instancia de base de datos MySQL

• Uso de SSL con una instancia de base de datos de RDS para Oracle

• Uso de SSL con una instancia de base de datos PostgreSQL

nota

Todos los certificados están disponibles solo para descarga con conexiones SSL/TLS.

Entidades de certificación

La entidad de certificación (CA, por sus siglas en inglés) es el certificado que identifica a la CA raíz en la parte superior de la cadena de certificados. La CA firma el certificado de instancia de base de datos, que es el certificado de servidor que se instala en cada instancia de base de datos. El certificado del servidor identifica la instancia de base de datos como un servidor de confianza.

Amazon RDS proporciona las siguientes CA para firmar el certificado de servidor de una instancia de base de datos.

Entidad de certificación (CA)	Descripción
rds-ca-2019	Utiliza una entidad de certificación con el algoritmo de clave privada RSA 2048 y el algoritmo de firma SHA256 para el certificado del servidor de instancias de base de datos. Esta CA vence en 2024 y no admite la rotación automática de certificados de servidor. Si utiliza esta CA y desea mantener el mismo estándar, le recomendamos que cambie a la CA rds-ca-rsa2048-g1.
rds-ca-rsa2048-g1	Utiliza una entidad de certificación con el algoritmo de clave privada RSA 2048 y el algoritmo de firma SHA256 para el certificado del servidor de instancias de base de datos en la mayoría de Regiones de AWS. En las AWS GovCloud (US) Regions, esta CA utiliza una entidad de certificación con el algoritmo de clave privada RSA 2048 y el algoritmo de firma SHA384 para el certificado del servidor de instancias de base de datos. Esta CA sigue siendo válida durante más tiempo que la CA rds-ca-2019. Esta CA admite la rotación automática de certificados de servidor.
rds-ca-rsa4096-g1	Utiliza una entidad de certificación con el algoritmo de clave privada RSA 4096 y el algoritmo de firma SHA384 para el certificado del servidor de instancias de base de datos. Esta CA admite la rotación automática de certificados de servidor.
rds-ca-ecc384-g1	Utiliza una entidad de certificación con el algoritmo de clave privada ECC 384 y el algoritmo de firma SHA384 para el certificado del servidor de instancias de base de datos. Esta CA admite la rotación automática de certificados de servidor.

nota

Si utiliza la AWS CLI, puede ver la validez de las entidades de certificación enumeradas anteriormente mediante describe-certificates.

Al utilizar la CA rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 o rds-ca-ecc384-g1 con una instancia de base de datos, RDS administra el certificado de servidor en la instancia de base de datos. RDS lo rota automáticamente antes de que caduque. Estos certificados de CA se incluyen en el paquete de certificados regionales y globales.

Puede definir la CA para una instancia de base de datos con las tareas siguientes:

• Crear una instancia de base de datos: puede definir la CA al crear una instancia de base de datos. Para obtener instrucciones, consulte Creación de una instancia de base de datos de Amazon RDS.

• Modificar una instancia de base de datos: puede configurar la CA de una instancia de base de datos modificándola. Para obtener instrucciones, consulte Modificación de una instancia de base de datos de Amazon RDS.

Puede configurar la CA predeterminada para su Cuenta de AWS mediante el comando modify-certificates.

Las CA disponibles dependen del motor de base de datos y de la versión del motor de base de datos. Al utilizar la AWS Management Console, puede elegir la CA mediante la configuración de la Entidad de certificación, tal como se muestra en la siguiente imagen.

La consola solo muestra las CA que están disponibles para le motor de base de datos y la versión del motor de base de datos. Si utiliza la AWS CLI, puede configurar la CA para una instancia de base de datos mediante los comandos create-db-instance o modify-db-instance.

Si utiliza la AWS CLI, puede ver las CA disponibles para su cuenta mediante el comando describe-certificates. Este comando también muestra la fecha de caducidad de cada CA en ValidTill en la salida. Puede buscar las CA que están disponibles para un motor de base de datos y una versión de motor de base de datos específicos mediante el comando describe-db-engine-versions.

El siguiente ejemplo muestra las CA disponibles para la versión predeterminada del motor de base de datos de RDS para PostgreSQL.

aws rds describe-db-engine-versions --default-only --engine postgres

Su resultado es similar al siguiente. Las CA disponibles se enumeran en SupportedCACertificateIdentifiers. El resultado también muestra si la versión del motor de base de datos admite la rotación del certificado sin reiniciarlo en SupportsCertificateRotationWithoutRestart.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Puede ver los detalles sobre la CA para una instancia de base de datos consultando la pestaña Connectivity & security (Conectividad y seguridad) de la consola, como se muestra en la siguiente imagen.

Si utiliza la AWS CLI, puede ver los detalles de la CA de una instancia de base de datos mediante el comando describe-db-instances.

Paquetes de certificados para todas las Regiones de AWS

Para obtener un paquete de certificados que contenga los certificados intermedio y raíz de todas las regiones de Regiones de AWS, descárguelo en https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem.

Si l aplicación está en Microsoft Windows y requiere un archivo PKCS7, puede descargar el paquete de certificados PKCS7. Este paquete contiene los certificados intermedio y raíz en https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

nota

El proxy de Amazon RDS usa certificados de AWS Certificate Manager (ACM). Si está utilizando RDS Proxy, no es necesario descargar certificados de Amazon RDS ni actualizar aplicaciones que usen conexiones RDS Proxy. Para obtener más información sobre el uso de TLS/SSL con RDS Proxy, consulte Uso de TLS/SSL con RDS Proxy.

Paquetes de certificados para Regiones de AWS específicas

Para obtener un paquete de certificados que contenga los certificados intermedio y raíz de una Región de AWS, descárguelo desde el enlace de dicha Región de AWS en la tabla siguiente.

Región de AWS	Paquete de certificados (PEM)	Paquete de certificados (PKCS7)
EE.UU. Este (Norte de Virginia)	us-east-1-bundle.pem	us-east-1-bundle.p7b
US East (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
EE.UU. Oeste (Norte de California)	us-west-1-bundle.pem	us-west-1-bundle.p7b
EE.UU. Oeste (Oregón)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Africa (Cape Town)	af-south-1-bundle.pem	af-south-1-bundle.p7b
Asia Pacific (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asia Pacific (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asia-Pacífico (Yakarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asia-Pacífico (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia-Pacífico (Bombay)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pacific (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pacífico (Tokio)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pacific (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pacífico (Singapur)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pacífico (Sídney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Canada (Central)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Europe (Frankfurt)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Europe (Ireland)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Europe (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Europe (Milan)	eu-south-1-bundle.pem	eu-south-1-bundle.p7b
Europe (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Europe (Spain)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Europa (Estocolmo)	eu-north-1-bundle.pem	eu-north-1-bundle.p7b
Europa (Zúrich)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Medio Oriente (Baréin)	me-south-1-bundle.pem	me-south-1-bundle.p7b
Medio Oriente (EAU)	me-central-1-bundle.pem	me-central-1-bundle.p7b
América del Sur (São Paulo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b

AWS GovCloud (US)Certificados de

Para obtener un paquete de certificados que contenga los certificados intermedio y raíz de una AWS GovCloud (US) Region, descárguelo en https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem.

Si l aplicación está en Microsoft Windows y requiere un archivo PKCS7, puede descargar el paquete de certificados PKCS7. Este paquete contiene los certificados intermedio y raíz en https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Para obtener un paquete de certificados que contenga los certificados intermedio y raíz de una AWS GovCloud (US) Region, descárguelo desde el enlace de dicha AWS GovCloud (US) Region en la tabla siguiente.

AWS GovCloud (US) Region	Paquete de certificados (PEM)	Paquete de certificados (PKCS7)
AWS GovCloud (EE. UU. Este)	us-gov-east-1-bundle.pem	us-gov-east-1-bundle.p7b
AWS GovCloud (EE. UU. Oeste)	us-gov-west-1-bundle.pem	us-gov-west-1-bundle.p7b