Configuration des protocoles de sécurité et des chiffrements - Amazon Relational Database Service

Configuration des protocoles de sécurité et des chiffrements

Vous pouvez activer et désactiver certains protocoles de sécurité et chiffrements à l'aide des paramètres de base de données. Les paramètres de sécurité que vous pouvez configurer (à l'exception de TLS version 1.2) sont présentés dans le tableau suivant.

Pour les paramètres autres que rds.fips, la valeur de default signifie que la valeur par défaut du système d'exploitation est utilisée, qu'elle soit enabled ou disabled.

Note

Vous ne pouvez pas désactiver TLS 1.2, car Amazon RDS l'utilise en interne.

Paramètre de base de données Valeurs autorisées (valeur par défaut en gras) Description
rds.tls10 par défaut, activé, désactivé TLS 1.0.
rds.tls11 par défaut, activé, désactivé TLS 1.1.
rds.tls12 default TLS 1.2. Vous ne pouvez pas modifier cette valeur.
rds.fips 0, 1

Lorsque vous définissez le paramètre sur 1, RDS force l'utilisation de modules conformes à la norme FIPS 140-2 (Federal Information Processing Standard).

Pour plus d'informations, consultez Utiliser SQL Server 2016 en mode conforme FIPS 140-2 dans la documentation Microsoft.

Note

Vous devez redémarrer l'instance de base de données après la modification qu'elle soit appliquée.

rds.rc4 par défaut, activé, désactivé Chiffrement du flux RC4.
rds.diffie-hellman par défaut, activé, désactivé Chiffrement d'échange de clés Diffie-Hellman.
rds.diffie-hellman-min-key-bit-length par défaut, 1024, 2048, 4096 Longueur minimale de bits pour les clés Diffie-Hellman.
rds.curve25519 par défaut, activé, désactivé Chiffrement Curve25519 elliptic-curve. Ce paramètre n'est pas pris en charge pour toutes les versions du moteur.
rds.3des168 par défaut, activé, désactivé Chiffrement des données Triple Data Encryption Standard (DES) avec une longueur de clé de 168 bits.
Note

Pour plus d'informations sur les valeurs par défaut des protocoles de sécurité et les chiffrements SQL Server, consultez Protocols in TLS/SSL (Schannel SSP) (Protocoles dans TLS/SSL (Schannel SSP) et Cipher Suites in TLS/SSL (Schannel SSP) (Suites de chiffrement dans TLS/SSL (Schannel SSP) dans la documentation Microsoft.

Pour plus d'informations sur l'affichage et la définition de ces valeurs dans le Registre Windows, consultez la rubrique Bonnes pratiques du protocole TLS (Transport Layer Security) avec .NET Framework dans la documentation Microsoft.

Utilisez la procédure suivante pour configurer les protocoles de sécurité et les chiffrements :

  1. Créez un groupe de paramètres DB personnalisé.

  2. Modifiez les paramètres du groupe de paramètres.

  3. Associez le groupe de paramètres DB à l'instance de base de données.

Pour plus d'informations sur les groupes de paramètres de base de données, consultez Utilisation des groupes de paramètres.

Création du groupe de paramètres liés à la sécurité

Créez un groupe de paramètres pour vos paramètres liés à la sécurité qui correspond à l'édition et à la version de SQL Server de votre instance de base de données.

La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.

Pour créer le groupe de paramètres

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Groupes de paramètres.

  3. Choisissez Créer un groupe de paramètres.

  4. Dans le volet Créer un groupe de paramètres, faites ce qui suit :

    1. Pour Famille de groupes de paramètres, choisissez sqlserver-se-13.0.

    2. Pour Nom du groupe, saisissez un identifiant pour le groupe de paramètres, tel que sqlserver-ciphers-se-13.

    3. Pour Description, saisissez Parameter group for security protocols and ciphers.

  5. Sélectionnez Créer un .

La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.

Pour créer le groupe de paramètres

  • Exécutez une des commandes suivantes :

    Pour Linux, macOS ou Unix :

    aws rds create-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"

    Pour Windows :

    aws rds create-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"

Modification des paramètres liés à la sécurité

Modifiez les paramètres liés à la sécurité dans le groupe de paramètres qui correspond à l'édition et à la version SQL Server de votre instance de base de données.

La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.

Pour modifier le groupe de paramètres

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le volet de navigation, choisissez Groupes de paramètres.

  3. Choisissez le groupe de paramètres, tel que sqlserver-ciphers-se-13.

  4. Sous Paramètres, filtrez la liste des paramètres pour rds.

  5. Choisissez Modifier les paramètres.

  6. Choisissez rds.tls10.

  7. Pour Valeurs, choisissez désactivé.

  8. Sélectionnez Save Changes.

La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.

Pour modifier le groupe de paramètres

  • Exécutez une des commandes suivantes :

    Pour Linux, macOS ou Unix :

    aws rds modify-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    Pour Windows :

    aws rds modify-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Association du groupe de paramètres liés à la sécurité à votre instance de base de données

Pour associer le groupe de paramètres à votre instance de base de données, utilisez le AWS Management Console ou le AWS CLI.

Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante :

Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante.

Pour créer une instance de base de données avec le groupe de paramètres

  • Spécifiez le type de moteur de base de données et la version majeure utilisés lors de la création du groupe de paramètres.

    Pour Linux, macOS ou Unix :

    aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m5.2xlarge \ --engine sqlserver-se \ --engine-version 13.00.5426.0.v1 \ --allocated-storage 100 \ --master-user-password secret123 \ --master-username admin \ --storage-type gp2 \ --license-model li \ --db-parameter-group-name sqlserver-ciphers-se-13

    Pour Windows :

    aws rds create-db-instance ^ --db-instance-identifier mydbinstance ^ --db-instance-class db.m5.2xlarge ^ --engine sqlserver-se ^ --engine-version 13.00.5426.0.v1 ^ --allocated-storage 100 ^ --master-user-password secret123 ^ --master-username admin ^ --storage-type gp2 ^ --license-model li ^ --db-parameter-group-name sqlserver-ciphers-se-13

Pour modifier une instance de base de données et associer le groupe de paramètres

  • Exécutez une des commandes suivantes :

    Pour Linux, macOS ou Unix :

    aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --apply-immediately

    Pour Windows :

    aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --apply-immediately