Anda dapat menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) dari aplikasi Anda untuk mengenkripsi koneksi ke database yang menjalankan Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle, atau PostgreSQL.

Secara opsional, koneksi SSL/TLS Anda dapat melakukan verifikasi identitas server dengan memvalidasi sertifikat server yang diinstal pada database Anda. Untuk meminta verifikasi identitas server, ikuti proses umum ini:

1. Pilih Otoritas Sertifikat (CA) yang menandatangani sertifikat server DB, untuk basis data Anda. Untuk informasi selengkapnya tentang otoritas sertifikat, lihat Otoritas sertifikat.

2. Unduh paket sertifikat yang akan digunakan saat Anda terhubung ke basis data. Untuk mengunduh paket sertifikat, lihat Bundel sertifikat untuk semua Wilayah AWS dan Bundel sertifikat untuk spesifik Wilayah AWS.

   catatan

   Semua sertifikat hanya tersedia untuk diunduh menggunakan koneksi SSL/TLS.

3. Hubungkan ke basis data menggunakan proses mesin DB Anda untuk menerapkan koneksi SSL/TLS. Setiap mesin DB memiliki prosesnya sendiri untuk menerapkan SSL/TLS. Untuk mempelajari cara menerapkan SSL/TLS untuk basis data Anda, ikuti tautan yang sesuai dengan mesin DB Anda:

   • Menggunakan SSL/TLS dengan Amazon RDS untuk instans Db2 DB

   • Menggunakan SSL/TLS dengan instans basis data MariaDB

   • Menggunakan SSL dengan instans DB Microsoft SQL Server

   • Menggunakan SSL/TLS dengan instans DB MySQL

   • Menggunakan SSL dengan instans DB RDS for Oracle

   • Menggunakan SSL dengan instans DB PostgreSQL

Otoritas sertifikat

Otoritas Sertifikat (CA) adalah sertifikat yang mengidentifikasi CA root di bagian atas rantai sertifikat. CA menandatangani sertifikat server DB, yang diinstal pada setiap instans DB. Sertifikat server DB mengidentifikasi instans DB sebagai server tepercaya.

Amazon RDS menyediakan CA berikut untuk menandatangani sertifikat server DB untuk database.

Otoritas sertifikat (CA)	Deskripsi
rds-ca-2019	Menggunakan otoritas sertifikat dengan algoritma kunci privat RSA 2048 dan algoritma penandatanganan SHA256. CA ini kedaluwarsa pada tahun 2024 dan tidak mendukung rotasi sertifikat server otomatis. Jika Anda menggunakan CA ini dan ingin mempertahankan standar yang sama, kami sarankan Anda beralih ke CA rds-ca-rsa 2048-g1.
rds-ca-rsa2048-g1	Menggunakan otoritas sertifikat dengan algoritma kunci privat RSA 2048 dan algoritma penandatanganan SHA256 di sebagian besar Wilayah AWS. Dalam AWS GovCloud (US) Regions, CA ini menggunakan otoritas sertifikat dengan algoritma kunci pribadi RSA 2048 dan algoritma penandatanganan SHA384. CA ini tetap berlaku lebih lama dari CA rds-ca-2019. CA ini mendukung rotasi sertifikat server otomatis.
rds-ca-rsa4096-g1	Menggunakan otoritas sertifikat dengan algoritma kunci privat RSA 4096 dan algoritma penandatanganan SHA384. CA ini mendukung rotasi sertifikat server otomatis.
rds-ca-ecc384-g1	Menggunakan otoritas sertifikat dengan algoritma kunci privat ECC 384 dan algoritma penandatanganan SHA384. CA ini mendukung rotasi sertifikat server otomatis.

catatan

Jika Anda menggunakan AWS CLI, Anda dapat melihat validitas otoritas sertifikat yang tercantum di atas dengan menggunakan deskripsi-sertifikat.

Sertifikat CA ini termasuk dalam paket sertifikat regional dan global. Bila Anda menggunakan rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1, atau rds-ca-ecc 384-g1 CA dengan database, RDS mengelola sertifikat server DB pada database. RDS merotasi sertifikat server DB secara otomatis sebelum sertifikat ini kedaluwarsa.

Mengatur CA untuk basis data Anda

Anda dapat mengatur CA untuk basis data saat Anda melakukan tugas berikut:

• Buat instans DB atau cluster DB multi-AZ — Anda dapat mengatur CA saat membuat instans atau cluster DB. Untuk petunjuk, lihat Membuat instans DB Amazon RDS atau Membuat klaster DB Multi-AZ.

• Memodifikasi instans DB atau cluster DB multi-AZ — Anda dapat mengatur CA untuk instans atau cluster DB dengan memodifikasinya. Untuk petunjuk, lihat Memodifikasi instans DB Amazon RDS atau Mengubah klaster basis data Multi-AZ.

catatan

CA default diatur ke rds-ca-rsa 2048-g1. Anda dapat mengganti CA default untuk Anda Akun AWS dengan menggunakan perintah modify-certificate.

CA yang tersedia bergantung pada mesin DB dan versi mesin DB. Jika menggunakan AWS Management Console, Anda dapat memilih CA menggunakan pengaturan Otoritas sertifikat, seperti yang ditampilkan pada gambar berikut.

Konsol hanya menampilkan CA yang tersedia untuk mesin DB dan versi mesin DB. Jika Anda menggunakan AWS CLI, Anda dapat mengatur CA untuk instans DB menggunakan modify-db-instanceperintah create-db-instanceor. Anda dapat mengatur CA untuk cluster DB multi-AZ menggunakan modify-db-clusterperintah create-db-clusteror.

Jika Anda menggunakan AWS CLI, Anda dapat melihat CA yang tersedia untuk akun Anda dengan menggunakan perintah deskripsi-sertifikat. Perintah ini juga menunjukkan tanggal kedaluwarsa untuk setiap CA di ValidTill dalam output. Anda dapat menemukan CA yang tersedia untuk mesin DB tertentu dan versi mesin DB menggunakan describe-db-engine-versionsperintah.

Contoh berikut menunjukkan CA yang tersedia untuk versi mesin DB RDS for PostgreSQL default.

aws rds describe-db-engine-versions --default-only --engine postgres

Output Anda akan seperti yang berikut ini. CA yang tersedia tercantum di SupportedCACertificateIdentifiers. Output ini juga menunjukkan apakah versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang di SupportsCertificateRotationWithoutRestart.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validitas sertifikat server DB

Validitas sertifikat server DB bergantung pada mesin DB dan versi mesin DB. Jika versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang, validitas sertifikat server DB adalah 1 tahun. Jika tidak, validitasnya adalah 3 tahun.

Untuk informasi selengkapnya tentang rotasi sertifikat server DB, lihat Rotasi sertifikat server otomatis.

Melihat CA untuk instans DB Anda

Anda dapat melihat detail tentang CA untuk database dengan melihat tab Konektivitas & keamanan di konsol, seperti pada gambar berikut.

Jika Anda menggunakan AWS CLI, Anda dapat melihat detail tentang CA untuk instans DB dengan menggunakan describe-db-instancesperintah. Anda dapat melihat detail tentang CA untuk cluster DB multi-AZ dengan menggunakan describe-db-clustersperintah.

Untuk memeriksa konten paket sertifikat CA Anda, gunakan perintah berikut:

keytool -printcert -v -file global-bundle.pem

Bundel sertifikat untuk semua Wilayah AWS

Untuk mendapatkan bundel sertifikat untuk semua Wilayah AWS, unduh dari https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem.

Bundel berisi sertifikat rds-ca-2019 perantara dan root. Bundel ini juga berisi sertifikat rds-ca-rsa2048-g1rds-ca-rsa4096-g1,, dan rds-ca-ecc384-g1 root CA. Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.

Jika aplikasi Anda menggunakan Microsoft Windows dan memerlukan file PKCS7, Anda dapat mengunduh bundel sertifikat PKCS7 dari https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

catatan

Amazon RDS Proxy menggunakan sertifikat dari AWS Certificate Manager (ACM). Jika Anda menggunakan RDS Proxy, Anda tidak perlu mengunduh sertifikat Amazon RDS atau memperbarui aplikasi yang menggunakan koneksi Proxy RDS. Untuk informasi selengkapnya, lihat Penggunaan TLS/SSL dengan Proksi RDS.

Bundel sertifikat untuk spesifik Wilayah AWS

Bundel berisi sertifikat rds-ca-2019 perantara dan root. Bundel ini juga berisi sertifikat rds-ca-rsa2048-g1rds-ca-rsa4096-g1,, dan rds-ca-ecc384-g1 root CA. Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.

Untuk mendapatkan bundel sertifikat untuk Wilayah AWS, unduh dari tautan untuk tabel berikut. Wilayah AWS

AWS Wilayah	Paket sertifikat (PEM)	Paket sertifikat (PKCS7)
AS Timur (Virginia Utara)	us-east-1-bundle.pem	us-east-1-bundle.p7b
AS Timur (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
AS Barat (California Utara)	us-west-1-bundle.pem	us-west-1-bundle.p7b
AS Barat (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Afrika (Cape Town)	af-south-1-bundle.pem	af-south-1-bundle.p7b
Asia Pasifik (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asia Pasifik (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asia Pasifik (Jakarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asia Pasifik (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia Pasifik (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pasifik (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pasifik (Tokyo)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pasifik (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pasifik (Singapura)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pasifik (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Kanada (Pusat)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Kanada Barat (Calgary)	ca-barat-1-bundle.pem	ca-barat-1-bundle.p7b
Eropa (Frankfurt)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Eropa (Irlandia)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Eropa (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Eropa (Milan)	eu-south-1-bundle.pem	eu-south-1-bundle.p7b
Eropa (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Eropa (Spanyol)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Eropa (Stockholm)	eu-north-1-bundle.pem	eu-north-1-bundle.p7b
Eropa (Zürich)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Israel (Tel Aviv)	il-central-1-bundle.pem	il-central-1-bundle.p7b
Timur Tengah (Bahrain)	me-south-1-bundle.pem	me-south-1-bundle.p7b
Timur Tengah (UEA)	me-central-1-bundle.pem	me-central-1-bundle.p7b
Amerika Selatan (Sao Paulo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b

Sertifikat AWS GovCloud (US)

Untuk mendapatkan bundel sertifikat yang berisi sertifikat perantara dan root untuk AWS GovCloud (US) Region s, unduh dari https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem.

Jika aplikasi Anda menggunakan Microsoft Windows dan memerlukan file PKCS7, Anda dapat mengunduh bundel sertifikat PKCS7 dari https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Bundel berisi sertifikat rds-ca-2019 perantara dan root. Bundel ini juga berisi sertifikat rds-ca-rsa2048-g1rds-ca-rsa4096-g1,, dan rds-ca-ecc384-g1 root CA. Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.

Untuk mendapatkan bundel sertifikat untuk AWS GovCloud (US) Region, unduh dari tautan untuk tabel berikut. AWS GovCloud (US) Region

AWS GovCloud (US) Region	Paket sertifikat (PEM)	Paket sertifikat (PKCS7)
AWS GovCloud (AS-Timur)	us-gov-east-1-bundel.pem	us-gov-east-1-bundel.p7b
AWS GovCloud (AS-Barat)	us-gov-west-1-bundel.pem	us-gov-west-1-bundel.p7b