Configuration des protocoles de sécurité et des chiffrements - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des protocoles de sécurité et des chiffrements

Vous pouvez activer et désactiver certains protocoles de sécurité et chiffrements à l'aide des paramètres de base de données. Les paramètres de sécurité que vous pouvez configurer (à l'exception de TLS version 1.2) sont présentés dans le tableau suivant.

Paramètre de base de données Valeurs autorisées (valeur par défaut en gras) Description
rds.tls10 par défaut, activé, désactivé TLS 1.0.
rds.tls11 par défaut, activé, désactivé TLS 1.1.
rds.tls12 default TLS 1.2. Vous ne pouvez pas modifier cette valeur.
rds.fips 0, 1

Lorsque vous définissez le paramètre sur 1, RDS force l'utilisation de modules conformes à la norme FIPS 140-2 (Federal Information Processing Standard).

Pour plus d'informations, consultez Utiliser SQL Server 2016 en mode conforme FIPS 140-2 dans la documentation Microsoft.

rds.rc4 par défaut, activé, désactivé Chiffrement du flux RC4.
rds.diffie-hellman par défaut, activé, désactivé Chiffrement d'échange de clés Diffie-Hellman.
rds. diffie-hellman-min-key-longueur en bits par défaut, 1024, 2048, 4096 Longueur minimale de bits pour les clés Diffie-Hellman.
rds.curve25519 par défaut, activé, désactivé Chiffrement Curve25519 elliptic-curve. Ce paramètre n'est pas pris en charge pour toutes les versions du moteur.
rds.3des168 par défaut, activé, désactivé Chiffrement des données Triple Data Encryption Standard (DES) avec une longueur de clé de 168 bits.
Note

Pour les versions mineures du moteur postérieures aux versions 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour les paramètres de base de données,,, et est désactivé. rds.tls10 rds.tls11 rds.rc4 rds.curve25519 rds.3des168 Dans le cas contraire, le paramètre par défaut est activé.

Pour les versions mineures du moteur postérieures à 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour est 3072. rds.diffie-hellman-min-key-bit-length Dans le cas contraire, le paramètre par défaut est 2048.

Utilisez la procédure suivante pour configurer les protocoles de sécurité et les chiffrements :

  1. Créez un groupe de paramètres DB personnalisé.

  2. Modifiez les paramètres du groupe de paramètres.

  3. Associez le groupe de paramètres DB à l'instance de base de données.

Pour plus d'informations sur les groupes de paramètres de base de données, consultez Utilisation des groupes de paramètres.

Création du groupe de paramètres liés à la sécurité

Créez un groupe de paramètres pour vos paramètres liés à la sécurité qui correspond à l'édition et à la version de SQL Server de votre instance de base de données.

La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.

Pour créer le groupe de paramètres
  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Groupes de paramètres.

  3. Choisissez Créer un groupe de paramètres.

  4. Dans le volet Créer un groupe de paramètres, faites ce qui suit :

    1. Pour Famille de groupes de paramètres, choisissez sqlserver-se-13.0.

    2. Pour Nom du groupe, saisissez un identifiant pour le groupe de paramètres, tel que sqlserver-ciphers-se-13.

    3. Pour Description, saisissez Parameter group for security protocols and ciphers.

  5. Sélectionnez Créer.

La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.

Pour créer le groupe de paramètres
  • Exécutez une des commandes suivantes :

    Pour LinuxmacOS, ou Unix :

    aws rds create-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"

    Dans Windows :

    aws rds create-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"

Modification des paramètres liés à la sécurité

Modifiez les paramètres liés à la sécurité dans le groupe de paramètres qui correspond à l'édition et à la version SQL Server de votre instance de base de données.

La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.

Pour modifier le groupe de paramètres
  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Groupes de paramètres.

  3. Choisissez le groupe de paramètres, par exemple sqlserver-ciphers-se-13.

  4. Sous Paramètres, filtrez la liste des paramètres pour rds.

  5. Choisissez Modifier les paramètres.

  6. Choisissez rds.tls10.

  7. Pour Valeurs, choisissez désactivé.

  8. Sélectionnez Save Changes.

La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.

Pour modifier le groupe de paramètres
  • Exécutez une des commandes suivantes :

    Pour LinuxmacOS, ou Unix :

    aws rds modify-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    Dans Windows :

    aws rds modify-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Association du groupe de paramètres liés à la sécurité à votre instance de base de données

Pour associer le groupe de paramètres à votre instance de base de données, utilisez le AWS Management Console ou le AWS CLI.

Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante :

Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante.

Pour créer une instance de base de données avec le groupe de paramètres
  • Spécifiez le type de moteur de base de données et la version majeure utilisés lors de la création du groupe de paramètres.

    Pour LinuxmacOS, ou Unix :

    aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m5.2xlarge \ --engine sqlserver-se \ --engine-version 13.00.5426.0.v1 \ --allocated-storage 100 \ --master-user-password secret123 \ --master-username admin \ --storage-type gp2 \ --license-model li \ --db-parameter-group-name sqlserver-ciphers-se-13

    Dans Windows :

    aws rds create-db-instance ^ --db-instance-identifier mydbinstance ^ --db-instance-class db.m5.2xlarge ^ --engine sqlserver-se ^ --engine-version 13.00.5426.0.v1 ^ --allocated-storage 100 ^ --master-user-password secret123 ^ --master-username admin ^ --storage-type gp2 ^ --license-model li ^ --db-parameter-group-name sqlserver-ciphers-se-13
    Note

    Spécifiez un mot de passe autre que celui indiqué ici, en tant que bonne pratique de sécurité.

Pour modifier une instance de base de données et associer le groupe de paramètres
  • Exécutez une des commandes suivantes :

    Pour LinuxmacOS, ou Unix :

    aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --apply-immediately

    Dans Windows :

    aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --apply-immediately