Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilite conexiones cifradas para instancias de base de datos de PostgreSQL en Amazon RDS
Creado por Rohit Kapoor (AWS)
Entorno: PoC o piloto | Tecnologías: bases de datos; redes; seguridad, identidad, cumplimiento | Carga de trabajo: código abierto |
Servicios de AWS: Amazon RDS; Amazon Aurora |
Resumen
Amazon Relational Database Service (Amazon RDS) admite el cifrado SSL en instancias de base de datos PostgreSQL. Con SSL, puede cifrar una conexión de PostgreSQL entre sus aplicaciones y sus instancias de base de datos de Amazon RDS para PostgreSQL. De forma predeterminada, Amazon RDS para PostgreSQL emplea SSL/TLS y espera que todos los clientes se conecten mediante cifrado SSL/TLS. Amazon RDS para PostgreSQL admite las versiones 1.1 y 1.2 de TLS.
En este patrón se describe cómo puede habilitar conexiones cifradas para una instancia de base de datos de Amazon RDS para PostgreSQL. Puede usar el mismo proceso para habilitar conexiones cifradas en Amazon Aurora compatible con PostgreSQL.
Requisitos previos y limitaciones
Una cuenta de AWS activa
Una instancia de base de datos de Amazon RDS para PostgreSQL
Un paquete SSL
Arquitectura
Herramientas
pgAdmin
es una plataforma de administración y desarrollo de código abierto para PostgreSQL. Puede usar pgAdmin en Linux, Unix, macOS y Windows para administrar los objetos de su base de datos en PostgreSQL 10 y versiones posteriores. Los editores de PostgreSQL
proporcionan una interfaz más fácil de usar que le ayuda a crear, desarrollar y ejecutar consultas, así como a editar el código según sus necesidades.
Prácticas recomendadas
Supervise las conexiones de bases de datos no seguras.
Audite los derechos de acceso a la base de datos.
Asegúrese de que las copias de seguridad y las instantáneas estén cifradas en reposo.
Supervise el acceso a bases de datos.
Evite los grupos de acceso sin restricciones.
Mejora tus notificaciones con Amazon GuardDuty.
Supervise el cumplimiento de las políticas con regularidad.
Epics
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cargue un certificado de confianza en su ordenador. | Para agregar certificados al almacén de entidades emisoras de certificados raíz de confianza de su equipo, siga estos pasos. (Estas instrucciones usan Windows Server como ejemplo).
| DevOps ingeniero, ingeniero de migración, DBA |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cree un grupo de parámetros y establezca el parámetro rds.force_ssl. | Si la instancia de base de datos PostgreSQL tiene un grupo de parámetros personalizado, edite dicho grupo y cambie Si la instancia de base de datos usa el grupo de parámetros predeterminado sin Para crear un nuevo grupo de parámetros:
Para asociar el grupo de parámetros a su instancia de base de datos PostgreSQL:
Para obtener más información, consulte la documentación de Amazon RDS. | DevOps ingeniero, ingeniero de migración, DBA |
Fuerza las conexiones SSL. | Conéctese a la instancia de base de datos de Amazon RDS para PostgreSQL. Los intentos de conexión que no usan SSL se rechazan con un mensaje de error. Para obtener más información, consulte la documentación de Amazon RDS. | DevOps ingeniero, ingeniero de migración, DBA |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Instale la extensión SSL. |
Para obtener más información, consulte la documentación de Amazon RDS. | DevOps ingeniero, ingeniero de migración, DBA |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Configure un cliente para SSL. | Al usar SSL, puede iniciar el servidor PostgreSQL con soporte para conexiones cifradas que empleen protocolos TLS. El servidor escucha tanto las conexiones estándar como las SSL en el mismo puerto TCP, y negocia con cualquier cliente que se conecte si debe utilizar SSL. Por defecto, esto es una una opción de cliente. Si usa el cliente psql:
Para otros clientes de PostgreSQL:
Consulte las siguientes páginas para estos clientes: | DevOps ingeniero, ingeniero de migración, DBA |
Solución de problemas
Problema | Solución |
---|---|
No se puede descargar el certificado SSL. | Compruebe la conexión al sitio web y vuelva a intentar descargar el certificado en su ordenador local. |
Recursos relacionados
Uso de SSL con una instancia de base de datos PostgreSQL (documentación de Amazon RDS)
Conexiones TCP/IP seguras con SSL
(documentación de PostgreSQL) Uso de SSL
(documentación de JDBC)