Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des protocoles de sécurité et des chiffrements
Vous pouvez activer et désactiver certains protocoles de sécurité et chiffrements à l'aide des paramètres de base de données. Les paramètres de sécurité que vous pouvez configurer (sauf pour TLS la version 1.2) sont présentés dans le tableau suivant.
| Paramètre de base de données | Valeurs autorisées (valeur par défaut en gras) | Description |
|---|---|---|
| rds.tls10 | par défaut, activé, désactivé | TLS1,0. |
| rds.tls11 | par défaut, activé, désactivé | TLS1,1. |
| rds.tls12 | default | TLS1,2. Vous ne pouvez pas modifier cette valeur. |
| rds.fips | 0, 1 |
Lorsque vous définissez le paramètre sur 1, RDS force l'utilisation de modules conformes à la norme Federal Information Processing Standard (FIPS) 140-2. Pour plus d'informations, consultez la section Utiliser SQL Server 2016 en mode FIPS compatible 140-2 |
| rds.rc4 | par défaut, activé, désactivé | RC4chiffrement de flux. |
| rds.diffie-hellman | par défaut, activé, désactivé | Chiffrement d'échange de clés Diffie-Hellman. |
| rds. diffie-hellman-min-key-longueur en bits | par défaut, 1024, 2048, 3072, 4096 | Longueur minimale de bits pour les clés Diffie-Hellman. |
| rds.curve25519 | par défaut, activé, désactivé | Chiffrement Curve25519 elliptic-curve. Ce paramètre n'est pas pris en charge pour toutes les versions du moteur. |
| rds.3des168 | par défaut, activé, désactivé | Chiffre de chiffrement Triple Data Encryption Standard (DES) avec une longueur de clé de 168 bits. |
Note
Pour les versions mineures du moteur postérieures aux versions 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour les paramètres de base de données,,, et est désactivé. rds.tls10 rds.tls11 rds.rc4 rds.curve25519 rds.3des168 Dans le cas contraire, le paramètre par défaut est activé.
Pour les versions mineures du moteur postérieures à 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour est 3072. rds.diffie-hellman-min-key-bit-length Dans le cas contraire, le paramètre par défaut est 2048.
Utilisez la procédure suivante pour configurer les protocoles de sécurité et les chiffrements :
-
Créez un groupe de paramètres DB personnalisé.
-
Modifiez les paramètres du groupe de paramètres.
-
Associez le groupe de paramètres DB à l'instance de base de données.
Pour plus d'informations sur les groupes de paramètres de base de données, consultez Groupes de paramètres pour Amazon RDS.
Création du groupe de paramètres liés à la sécurité
Créez un groupe de paramètres pour vos paramètres liés à la sécurité qui correspond à l'édition SQL du serveur et à la version de votre instance de base de données.
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
Connectez-vous au AWS Management Console et ouvrez la RDS console Amazon à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez Créer un groupe de paramètres.
-
Dans le volet Créer un groupe de paramètres, faites ce qui suit :
-
Pour Famille de groupes de paramètres, choisissez sqlserver-se-13.0.
-
Pour Nom du groupe, saisissez un identifiant pour le groupe de paramètres, tel que
sqlserver-ciphers-se-13. -
Pour Description, saisissez
Parameter group for security protocols and ciphers.
-
-
Sélectionnez Create (Créer).
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Dans Linux, macOS, ou Unix:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Dans Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Modification des paramètres liés à la sécurité
Modifiez les paramètres liés à la sécurité dans le groupe de paramètres correspondant à l'édition et à la version SQL du serveur de votre instance de base de données.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple désactive TLS la version 1.0.
Pour modifier le groupe de paramètres
Connectez-vous au AWS Management Console et ouvrez la RDS console Amazon à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez le groupe de paramètres, par exemple sqlserver-ciphers-se-13.
-
Sous Paramètres, filtrez la liste des paramètres pour
rds. -
Choisissez Modifier les paramètres.
-
Choisissez rds.tls10.
-
Pour Valeurs, choisissez désactivé.
-
Sélectionnez Enregistrer les modifications.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple désactive TLS la version 1.0.
Pour modifier le groupe de paramètres
-
Exécutez une des commandes suivantes :
Dans Linux, macOS, ou Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Dans Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Association du groupe de paramètres liés à la sécurité à votre instance de base de données
Pour associer le groupe de paramètres à votre instance de base de données, utilisez AWS Management Console ou le AWS CLI.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante :
-
Pour une nouvelle instance de base de données, associez-la lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS.
-
Pour une instance de base de données existante, associez-la en modifiant l'instance. Pour plus d'informations, consultez Modification d'une instance de base de données Amazon RDS.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante.
Pour créer une instance de base de données avec le groupe de paramètres
-
Spécifiez le type de moteur de base de données et la version majeure utilisés lors de la création du groupe de paramètres.
Dans Linux, macOS, ou Unix:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Dans Windows:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13Note
Spécifiez un mot de passe autre que celui indiqué ici, en tant que bonne pratique de sécurité.
Pour modifier une instance de base de données et associer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Dans Linux, macOS, ou Unix:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyDans Windows:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
