Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
MenggunakanSSL/TLSuntuk mengenkripsi koneksi ke
Anda dapat menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) dari aplikasi Anda untuk mengenkripsi koneksi ke cluster DB yang menjalankan Aurora My SQL atau Aurora Postgre. SQL
SSL/TLSkoneksi menyediakan lapisan keamanan dengan mengenkripsi data yang bergerak antara klien Anda dan . Secara opsional, TLS koneksiSSL/Anda dapat melakukan verifikasi identitas server dengan memvalidasi sertifikat server yang diinstal pada database Anda. Untuk meminta verifikasi identitas server, ikuti proses umum ini:
-
Pilih Otoritas Sertifikat (CA) yang menandatangani sertifikat server DB, untuk basis data Anda. Untuk informasi selengkapnya tentang otoritas sertifikat, lihat Otoritas sertifikat.
-
Unduh paket sertifikat yang akan digunakan saat Anda terhubung ke basis data. Untuk mengunduh bundel sertifikat, lihat Bundel sertifikat oleh Wilayah AWS.
catatan
Semua sertifikat hanya tersedia untuk diunduh menggunakanSSL/TLSkoneksi.
-
Connect ke database menggunakan proses DB engine Anda untuk SSL TLS mengimplementasikan/koneksi. Setiap mesin DB memiliki proses sendiri untuk mengimplementasikanSSL/TLS. Untuk mempelajari cara SSL mengimplementasikan/ TLS untuk database Anda, ikuti tautan yang sesuai dengan mesin DB Anda:
Otoritas sertifikat
Otoritas Sertifikat (CA) adalah sertifikat yang mengidentifikasi CA root di bagian atas rantai sertifikat. CA menandatangani sertifikat server DB, yang diinstal pada setiap instans DB. Sertifikat server DB mengidentifikasi instans DB sebagai server tepercaya.
Amazon RDS menyediakan berikut ini CAs untuk menandatangani sertifikat server DB untuk database.
Otoritas sertifikat (CA) | Deskripsi | Nama umum (CN) |
---|---|---|
rds-ca-2019 |
Menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA256 penandatanganan. CA ini kedaluwarsa pada tahun 2024 dan tidak mendukung rotasi sertifikat server otomatis. Jika Anda menggunakan CA ini dan ingin mempertahankan standar yang sama, kami sarankan Anda beralih ke CA rds-ca-rsa 2048-g1. |
Amazon RDS region-identifier CA 2019 |
rds-ca-rsa2048-g1 |
Menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA256 penandatanganan di sebagian besar Wilayah AWS. Dalam AWS GovCloud (US) Regions, CA ini menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA384 penandatanganan. CA ini tetap berlaku lebih lama dari CA rds-ca-2019. CA ini mendukung rotasi sertifikat server otomatis. |
Amazon RDS region-identifier RSA2048 G1 |
rds-ca-rsa4096-g1 |
Menggunakan otoritas sertifikat dengan RSA 4096 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis. |
Amazon RDS region-identifier RSA4096 G1 |
rds-ca-ecc384-g1 |
Menggunakan otoritas sertifikat dengan ECC 384 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis. |
Amazon RDS region-identifier ECC384G1 |
catatan
Jika Anda menggunakan AWS CLI, Anda dapat melihat validitas otoritas sertifikat yang tercantum di atas dengan menggunakan deskripsi-sertifikat.
Sertifikat CA ini termasuk dalam paket sertifikat regional dan global. Bila Anda menggunakan CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1, atau rds-ca-ecc 384-g1 dengan database, mengelola sertifikat server DB pada database. RDS RDSmemutar sertifikat server DB secara otomatis sebelum kedaluwarsa.
Mengatur CA untuk basis data Anda
Anda dapat mengatur CA untuk basis data saat Anda melakukan tugas berikut:
-
Buat cluster Aurora DB — Anda dapat mengatur CA untuk instans DB di cluster Aurora saat Anda membuat instans DB pertama di cluster DB menggunakan AWS CLI atau RDSAPI. Saat ini, Anda tidak dapat menyetel CA untuk instans DB di cluster DB saat membuat cluster DB menggunakan RDS konsol. Untuk petunjuk, silakan lihat Membuat klaster DB Amazon Aurora.
-
Memodifikasi instans DB – Anda dapat mengatur CA untuk instans DB di klaster DB dengan memodifikasinya. Untuk petunjuk, silakan lihat Memodifikasi instans DB dalam klaster DB.
catatan
CA default diatur ke rds-ca-rsa 2048-g1. Anda dapat mengganti CA default untuk Akun AWS dengan menggunakan perintah modify-certificate.
Yang tersedia CAs tergantung pada mesin DB dan versi mesin DB. Saat Anda menggunakan AWS Management Console, Anda dapat memilih CA menggunakan pengaturan otoritas Sertifikat, seperti yang ditunjukkan pada gambar berikut.
Konsol hanya menampilkan CAs yang tersedia untuk mesin DB dan versi mesin DB. Jika Anda menggunakan AWS CLI, Anda dapat mengatur CA untuk instance DB menggunakan modify-db-instanceperintah create-db-instanceor.
Jika Anda menggunakan AWS CLI, Anda dapat melihat yang tersedia CAs untuk akun Anda dengan menggunakan perintah deskripsi-sertifikat. Perintah ini juga menunjukkan tanggal kedaluwarsa untuk setiap CA di ValidTill
dalam output. Anda dapat menemukan CAs yang tersedia untuk mesin DB tertentu dan versi mesin DB menggunakan describe-db-engine-versionsperintah.
Contoh berikut menunjukkan CAs tersedia untuk default RDS untuk versi mesin Postgre SQL DB.
aws rds describe-db-engine-versions --default-only --engine postgres
Output Anda akan seperti yang berikut ini. Yang CAs tersedia tercantum dalamSupportedCACertificateIdentifiers
. Output ini juga menunjukkan apakah versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang di SupportsCertificateRotationWithoutRestart
.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
Validitas sertifikat server DB
Validitas sertifikat server DB bergantung pada mesin DB dan versi mesin DB. Jika versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang, validitas sertifikat server DB adalah 1 tahun. Jika tidak, validitasnya adalah 3 tahun.
Untuk informasi selengkapnya tentang rotasi sertifikat server DB, lihat Rotasi sertifikat server otomatis.
Melihat CA untuk instans DB Anda
Anda dapat melihat detail tentang CA untuk database dengan melihat tab Konektivitas & keamanan di konsol, seperti pada gambar berikut.
Jika Anda menggunakan AWS CLI, Anda dapat melihat detail tentang CA untuk instance DB dengan menggunakan describe-db-instancesperintah.
Unduh bundel sertifikat untuk Aurora
Saat Anda terhubung ke database dengan SSL atauTLS, instance database memerlukan sertifikat kepercayaan dari AmazonRDS. Pilih tautan yang sesuai di tabel berikut untuk mengunduh bundel yang sesuai dengan Wilayah AWS di mana Anda meng-host database Anda.
Bundel sertifikat oleh Wilayah AWS
Bundel sertifikat untuk semua Wilayah AWS dan GovCloud (AS) Wilayah berisi sertifikat berikut:
-
rds-ca-2019
sertifikat menengah dan root. -
rds-ca-rsa2048-g1
,rds-ca-rsa4096-g1
, dan sertifikat CArds-ca-ecc384-g1
root. Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.
catatan
Amazon RDS Proxy dan Aurora Serverless v1 menggunakan sertifikat dari AWS Certificate Manager (ACM). Jika Anda menggunakan RDS Proxy, Anda tidak perlu mengunduh RDS sertifikat Amazon atau memperbarui aplikasi yang menggunakan koneksi RDS Proxy. Untuk informasi selengkapnya, lihat MenggunakanTLS/SSLdengan RDS Proxy.
Jika Anda menggunakan Aurora Serverless v1, mengunduh RDS sertifikat Amazon tidak diperlukan. Untuk informasi selengkapnya, lihat MenggunakanTLS/SSLdengan Aurora Serverless v1.
Untuk mengunduh bundel sertifikat untuk Wilayah AWS, pilih tautan untuk Wilayah AWS yang meng-host database Anda di tabel berikut.
Melihat isi sertifikat CA Anda
Untuk memeriksa konten paket sertifikat CA Anda, gunakan perintah berikut:
keytool -printcert -v -file global-bundle.pem