Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des protocoles de sécurité et des chiffrements
Vous pouvez activer et désactiver certains protocoles de sécurité et chiffrements à l'aide des paramètres de base de données. Les paramètres de sécurité que vous pouvez configurer (à l'exception de TLS version 1.2) sont présentés dans le tableau suivant.
Pour les paramètres autres que rds.fips, la valeur de default signifie que la valeur par défaut du système d'exploitation est utilisée, qu'elle soit enabled ou disabled.
Note
Vous ne pouvez pas désactiver TLS 1.2, car Amazon RDS l'utilise en interne.
| Paramètre de base de données | Valeurs autorisées (valeur par défaut en gras) | Description |
|---|---|---|
| rds.tls10 | par défaut, activé, désactivé | TLS 1.0. |
| rds.tls11 | par défaut, activé, désactivé | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. Vous ne pouvez pas modifier cette valeur. |
| rds.fips | 0, 1 |
Lorsque vous définissez le paramètre sur 1, RDS force l'utilisation de modules conformes à la norme FIPS 140-2 (Federal Information Processing Standard). Pour plus d'informations, consultez Utiliser SQL Server 2016 en mode conforme FIPS 140-2 NoteVous devez redémarrer l'instance de base de données après la modification qu'elle soit appliquée. |
| rds.rc4 | par défaut, activé, désactivé | Chiffrement du flux RC4. |
| rds.diffie-hellman | par défaut, activé, désactivé | Chiffrement d'échange de clés Diffie-Hellman. |
| rds. diffie-hellman-min-key-longueur en bits | par défaut, 1024, 2048, 4096 | Longueur minimale de bits pour les clés Diffie-Hellman. |
| rds.curve25519 | par défaut, activé, désactivé | Chiffrement Curve25519 elliptic-curve. Ce paramètre n'est pas pris en charge pour toutes les versions du moteur. |
| rds.3des168 | par défaut, activé, désactivé | Chiffrement des données Triple Data Encryption Standard (DES) avec une longueur de clé de 168 bits. |
Note
Pour plus d'informations sur les valeurs par défaut des protocoles de sécurité et les chiffrements SQL Server, consultez Protocols in TLS/SSL (Schannel SSP) (Protocoles dans TLS/SSL (Schannel SSP)
Utilisez la procédure suivante pour configurer les protocoles de sécurité et les chiffrements :
-
Créez un groupe de paramètres DB personnalisé.
-
Modifiez les paramètres du groupe de paramètres.
-
Associez le groupe de paramètres DB à l'instance de base de données.
Pour plus d'informations sur les groupes de paramètres de base de données, consultez Utilisation des groupes de paramètres.
Création du groupe de paramètres liés à la sécurité
Créez un groupe de paramètres pour vos paramètres liés à la sécurité qui correspond à l'édition et à la version de SQL Server de votre instance de base de données.
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez Créer un groupe de paramètres.
-
Dans le volet Créer un groupe de paramètres, faites ce qui suit :
-
Pour Famille de groupes de paramètres, choisissez sqlserver-se-13.0.
-
Pour Nom du groupe, saisissez un identifiant pour le groupe de paramètres, tel que
sqlserver-ciphers-se-13. -
Pour Description, saisissez
Parameter group for security protocols and ciphers.
-
-
Sélectionnez Créer.
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour LinuxmacOS, ou Unix :
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Dans Windows :
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Modification des paramètres liés à la sécurité
Modifiez les paramètres liés à la sécurité dans le groupe de paramètres qui correspond à l'édition et à la version SQL Server de votre instance de base de données.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.
Pour modifier le groupe de paramètres
Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez le groupe de paramètres, par exemple sqlserver-ciphers-se-13.
-
Sous Paramètres, filtrez la liste des paramètres pour
rds. -
Choisissez Modifier les paramètres.
-
Choisissez rds.tls10.
-
Pour Valeurs, choisissez désactivé.
-
Sélectionnez Save Changes.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.
Pour modifier le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour LinuxmacOS, ou Unix :
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Dans Windows :
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Association du groupe de paramètres liés à la sécurité à votre instance de base de données
Pour associer le groupe de paramètres à votre instance de base de données, utilisez le AWS Management Console ou le AWS CLI.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante :
-
Pour une nouvelle instance de base de données, associez-la lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS.
-
Pour une instance de base de données existante, associez-la en modifiant l'instance. Pour plus d'informations, consultez Modification d'une instance de base de données Amazon RDS.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante.
Pour créer une instance de base de données avec le groupe de paramètres
-
Spécifiez le type de moteur de base de données et la version majeure utilisés lors de la création du groupe de paramètres.
Pour LinuxmacOS, ou Unix :
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Dans Windows :
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13Note
Spécifiez un mot de passe autre que celui indiqué ici, en tant que bonne pratique de sécurité.
Pour modifier une instance de base de données et associer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour LinuxmacOS, ou Unix :
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyDans Windows :
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
