Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan SCRAM untuk enkripsi kata sandi PostgreSQL
The Salted Challenge Response Authentication Mechanism (SCRAM) adalah alternatif dari algoritma message digest (MD5) default PostgreSQL untuk mengenkripsi kata sandi. Mekanisme otentikasi SCRAM dianggap lebih aman daripada. MD5 Untuk mempelajari selengkapnya tentang dua pendekatan berbeda untuk mengamankan kata sandi ini, lihat Password Authentication
Kami menyarankan Anda menggunakan SCRAM daripada MD5 sebagai skema enkripsi kata sandi untuk cluster Aurora PostgreSQL DB Anda. SCRAM didukung di Aurora PostgreSQL versi 10 dan semua versi mayor dan minor yang lebih tinggi. Ini adalah mekanisme respons tantangan kriptografi yang menggunakan algoritma scram-sha-256 untuk autentikasi dan enkripsi kata sandi.
Anda mungkin perlu memperbarui pustaka untuk aplikasi klien Anda agar dapat mendukung SCRAM. Misalnya, versi JDBC sebelum 42.2.0 tidak mendukung SCRAM. Untuk informasi selengkapnya, lihat PostgreSQL JDBC Driver
catatan
Aurora PostgreSQL versi 14 dan yang lebih tinggi mendukung scram-sha-256 untuk enkripsi kata sandi untuk klaster DB baru secara default. Artinya, grup parameter klaster DB default (default.aurora-postgresql14
) memiliki nilai password_encryption
yang ditetapkan ke scram-sha-256.
Mengatur klaster DB Aurora PostgreSQL agar meminta SCRAM
Untuk Aurora PostgreSQL 14.3 dan versi yang lebih tinggi, Anda dapat meminta klaster DB Aurora PostgreSQL untuk hanya menerima kata sandi yang menggunakan algoritma scram-sha-256.
penting
Untuk Proksi RDS yang ada dengan basis data PostgreSQL, jika Anda mengubah autentikasi basis data untuk hanya menggunakan SCRAM
, proksi akan menjadi tidak tersedia selama maksimal 60 detik. Untuk menghindari masalah ini, lakukan salah satu tindakan berikut:
Pastikan basis data mengizinkan autentikasi
SCRAM
danMD5
.Untuk hanya menggunakan autentikasi
SCRAM
, buat proksi baru, migrasikan lalu lintas aplikasi Anda ke proksi baru, lalu hapus proksi yang sebelumnya terkait dengan basis data.
Sebelum melakukan perubahan pada sistem, pastikan Anda telah memahami proses lengkapnya, sebagai berikut:
Dapatkan informasi semua peran dan enkripsi kata sandi untuk semua pengguna basis data.
Periksa kembali pengaturan parameter klaster DB Aurora PostgreSQL untuk parameter yang mengontrol enkripsi kata sandi.
Jika klaster DB Aurora PostgreSQL menggunakan grup parameter default, maka Anda harus membuat grup parameter klaster DB , lalu menerapkannya ke klaster DB Aurora PostgreSQL agar Anda dapat memodifikasi parameter saat diperlukan. Jika klaster DB Aurora PostgreSQL menggunakan grup parameter kustom, Anda dapat memodifikasi parameter yang diperlukan nanti selama prosesnya sesuai kebutuhan.
-
Ubah parameter
password_encryption
kescram-sha-256
. -
Beri tahu semua pengguna basis data bahwa mereka perlu memperbarui kata sandi. Lakukan hal yang sama untuk akun
postgres
Anda. Kata sandi baru telah dienkripsi dan disimpan menggunakan algoritma scram-sha-256. Verifikasikan bahwa semua kata sandi telah dienkripsi menggunakan jenis enkripsi tersebut.
-
Jika semua kata sandi menggunakan scram-sha-256, Anda dapat mengubah parameter
rds.accepted_password_auth_method
darimd5+scram
kescram-sha-256
.
Awas
Setelah Anda mengubah rds.accepted_password_auth_method
ke scram-sha-256 saja, setiap pengguna (peran) dengan kata sandi terenkripsi md5
tidak dapat terhubung.
Penyiapan meminta SCRAM untuk klaster DB Aurora PostgreSQL
Sebelum membuat perubahan apa pun pada klaster DB Aurora PostgreSQL periksa semua akun pengguna basis data yang ada. Periksa juga jenis enkripsi yang digunakan untuk kata sandi. Anda dapat melakukan semua tugas ini menggunakan ekstensi rds_tools
. Untuk melihat versi PostgreSQL yang rds_tools
didukung, lihat Versi ekstensi untuk Amazon RDS for PostgreSQL.
Untuk mendapatkan daftar pengguna (peran) basis data dan metode enkripsi kata sandi
Gunakan
psql
untuk terhubung ke instans primer klaster DB Aurora PostgreSQL , sebagaimana yang ditunjukkan di bawah ini.psql --host=
cluster-name-instance-1.111122223333
.aws-region
.rds.amazonaws.com --port=5432 --username=postgres --passwordInstal ekstensi
rds_tools
.postgres=>
CREATE EXTENSION rds_tools;
CREATE EXTENSION
Dapatkan daftar peran dan enkripsi.
postgres=>
SELECT * FROM rds_tools.role_password_encryption_type();Anda akan melihat output yang mirip dengan berikut ini.
rolname | encryption_type ----------------------+----------------- pg_monitor | pg_read_all_settings | pg_read_all_stats | pg_stat_scan_tables | pg_signal_backend | lab_tester | md5 user_465 | md5 postgres | md5 (8 rows)
Membuat grup parameter klaster DB
catatan
Jika klaster DB Aurora PostgreSQL sudah menggunakan grup parameter kustom, Anda tidak perlu membuat grup parameter yang baru.
Untuk ringkasan grup parameter Aurora, lihat Membuat grup parameter cluster DB di Amazon Aurora.
Jenis enkripsi kata sandi yang digunakan untuk kata sandi yang diatur dalam satu parameter, password_encryption
. Enkripsi yang diizinkan oleh klaster DB Aurora PostgreSQL diatur dalam parameter lain, rds.accepted_password_auth_method
. Mengubah salah satu dari nilai default ini mengharuskan Anda membuat grup parameter klaster DB , lalu menerapkannya ke klaster.
Anda juga dapat menggunakan AWS Management Console atau RDS API untuk membuat grup parameter cluster DB kustom grup parameter . Untuk informasi lebih lanjut, lihat Membuat grup parameter cluster DB di Amazon Aurora.
Anda kini dapat mengaitkan grup parameter kustom dengan instans DB.
Untuk membuat grup parameter klaster DB
Gunakan perintah CLI
create-db-cluster-parameter-group
untuk membuat grup parameter kustom untuk klaster. Contoh berikut menggunakanaurora-postgresql13
sebagai sumber untuk grup parameter kustom ini.Untuk Linux, macOS, atau Unix:
aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name '
docs-lab-scram-passwords
' \ --db-parameter-group-family aurora-postgresql13 --description 'Custom DB cluster parameter group for SCRAM
'Untuk Windows:
aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name "
docs-lab-scram-passwords
" ^ --db-parameter-group-family aurora-postgresql13 --description "Custom DB cluster parameter group for SCRAM
"Anda kini dapat mengaitkan grup parameter kustom dengan klaster.
Gunakan perintah CLI
modify-db-cluster
untuk menerapkan grup parameter kustom ini ke klaster DB Aurora PostgreSQL Anda.Untuk Linux, macOS, atau Unix:
aws rds modify-db-cluster --db-cluster-identifier '
your-instance-name
' \ --db-cluster-parameter-group-name "docs-lab-scram-passwords
Untuk Windows:
aws rds modify-db-cluster --db-cluster-identifier "
your-instance-name
" ^ --db-cluster-parameter-group-name "docs-lab-scram-passwords
Untuk menyinkronkan ulang klaster DB Aurora PostgreSQL Anda dengan grup parameter klaster DB kustom, boot ulang instans primer dan semua instans lain klaster.
Mengonfigurasi enkripsi kata sandi agar menggunakan SCRAM
Mekanisme enkripsi kata sandi yang digunakan oleh klaster DB Aurora PostgreSQL diatur dalam grup parameter klaster DB dalam parameter password_encryption
. Nilai yang diizinkan tidak ditentukan, md5
, atau scram-sha-256
. Nilai default bergantung pada versi Aurora PostgreSQL , sebagai berikut:
Aurora PostgreSQL 14 – Default adalah
scram-sha-256
Aurora PostgreSQL 13 – Default adalah
md5
Dengan grup parameter klaster DB yang terhubung ke klaster DB Aurora PostgreSQL, Anda dapat memodifikasi nilai untuk parameter enkripsi kata sandi.

Untuk mengubah pengaturan enkripsi kata sandi menjadi scram-sha-256
Ubah nilai enkripsi kata sandi menjadi scram-sha-256, sebagaimana ditunjukkan berikut ini. Perubahan dapat langsung diterapkan karena parameternya dinamis, jadi mulai ulang tidak diperlukan agar perubahan diterapkan.
Untuk Linux, macOS, atau Unix:
aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name \ 'docs-lab-scram-passwords' --parameters 'ParameterName=password_encryption,ParameterValue=scram-sha-256,ApplyMethod=immediate'
Untuk Windows:
aws rds modify-db-parameter-group --db-parameter-group-name ^ "docs-lab-scram-passwords" --parameters "ParameterName=password_encryption,ParameterValue=scram-sha-256,ApplyMethod=immediate"
Memigrasikan kata sandi untuk peran pengguna ke SCRAM
Anda dapat memigrasikan kata sandi untuk peran pengguna ke SCRAM sebagaimana dijelaskan berikut.
Untuk memigrasikan kata sandi pengguna (peran) basis data dari MD5 ke SCRAM
Masuk sebagai pengguna administrator (nama pengguna default,
postgres
) sebagaimana ditunjukkan berikut.psql --host=
cluster-name-instance-1.111122223333
.aws-region
.rds.amazonaws.com --port=5432 --username=postgres --passwordPeriksa pengaturan parameter
password_encryption
pada instans DB RDS for PostgreSQL menggunakan perintah berikut.postgres=>
SHOW password_encryption;
password_encryption --------------------- md5 (1 row)
Ubah nilai parameter ini menjadi scram-sha-256. Ini adalah parameter dinamis, jadi Anda tidak perlu mem-boot ulang instans setelah melakukan perubahan ini. Periksa kembali nilainya untuk memastikan bahwa sekarang diatur ke
scram-sha-256
, sebagai berikut.postgres=>
SHOW password_encryption;
password_encryption --------------------- scram-sha-256 (1 row)
Beri tahu semua pengguna basis data untuk mengubah kata sandi mereka. Pastikan juga untuk mengubah kata sandi Anda sendiri untuk akun
postgres
(pengguna basis data dengan hak aksesrds_superuser
).labdb=>
ALTER ROLE postgres WITH LOGIN PASSWORD 'change_me';ALTER ROLE
Ulangi proses tersebut untuk semua basis data di klaster DB Aurora PostgreSQL Anda.
Mengubah parameter untuk mengharuskan SCRAM
Ini adalah langkah terakhir dalam proses. Setelah Anda membuat perubahan dalam prosedur berikut, setiap akun pengguna (peran) yang masih menggunakan enkripsi md5
untuk kata sandi tidak dapat masuk ke klaster DB PostgreSQL Aurora.
rds.accepted_password_auth_method
menentukan metode enkripsi yang klaster DB Aurora PostgreSQL DB menerima untuk kata sandi pengguna selama proses masuk. Nilai default-nya adalah md5+scram
, yang berarti bahwa salah satu metode diterima. Pada gambar berikut, Anda dapat menemukan pengaturan default untuk parameter ini.

Nilai yang diizinkan untuk parameter ini adalah md5+scram
atau scram
saja. Mengubah nilai parameter ini ke scram
akan menjadikannya sebagai persyaratan.
Untuk mengubah nilai parameter agar mengharuskan autentikasi SCRAM untuk kata sandi
Verifikasikan bahwa semua kata sandi pengguna basis data untuk semua basis data di klaster DB Aurora PostgreSQL menggunakan
scram-sha-256
untuk enkripsi kata sandi. Untuk melakukannya, buat kuerirds_tools
untuk peran (pengguna) dan jenis enkripsi, sebagai berikut.postgres=>
SELECT * FROM rds_tools.role_password_encryption_type();
rolname | encryption_type ----------------------+----------------- pg_monitor | pg_read_all_settings | pg_read_all_stats | pg_stat_scan_tables | pg_signal_backend | lab_tester | scram-sha-256 user_465 | scram-sha-256 postgres | scram-sha-256 ( rows)
Ulangi kueri di semua instans DB dalam klaster DB Aurora PostgreSQL Anda.
Jika semua kata sandi menggunakan scram-sha-256, Anda dapat melanjutkan.
Ubah nilai autentikasi kata sandi yang diterima menjadi scram-sha-256, sebagai berikut.
Untuk Linux, macOS, atau Unix:
aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name 'docs-lab-scram-passwords' \ --parameters 'ParameterName=rds.accepted_password_auth_method,ParameterValue=scram,ApplyMethod=immediate'
Untuk Windows:
aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name "docs-lab-scram-passwords" ^ --parameters "ParameterName=rds.accepted_password_auth_method,ParameterValue=scram,ApplyMethod=immediate"