보안 프로토콜 및 암호 구성
DB 파라미터를 사용하여 특정 보안 프로토콜 및 암호를 설정하거나 해제할 수 있습니다. 구성할 수 있는 보안 파라미터(TLS 버전 1.2 제외) 는 다음 표에 나와 있습니다.
rds.fips 이외의 파라미터에서 default 값은 운영 체제 기본값(enabled 또는 disabled)이 사용됨을 의미합니다.
참고
Amazon RDS는 TLS 1.2를 내부적으로 사용하기 때문에 TLS 1.2를 비활성화할 수 없습니다.
| DB 파라미터 | 허용된 값(기본값은 굵은 글꼴로 표시) | 설명 |
|---|---|---|
| rds.tls10 | 기본값, 활성화, 비활성화 | TLS 1.0. |
| rds.tls11 | 기본값, 활성화, 비활성화 | TLS 1.1. |
| rds.tls12 | 기본값 | TLS 1.2 이 값은 수정할 수 없습니다. |
| rds.fips | 0, 1 |
이 파라미터를 1로 설정하면 RDS가 Federal Information Processing Standard(FIPS) 140-2 표준을 준수하는 모듈의 사용을 강제합니다. 자세한 내용은 Microsoft 설명서에서 FIPS 140-2 호환 모드에서 SQL Server 2016 사용 참고수정 후 적용하려면 DB 인스턴스를 재부팅해야 합니다. |
| rds.rc4 | 기본값, 활성화, 비활성화 | RC4 스트림 암호. |
| rds.diffie-hellman | 기본값, 활성화, 비활성화 | Diffie-Hellman 키 교환 암호화. |
| rds.diffie-hellman-min-key-bit-length | 기본값, 1024, 2048, 4096 | Diffie-Hellman 키의 최소 비트 길이. |
| rds.curve25519 | 기본값, 활성화, 비활성화 | Curve25519 Elliptic-Curve 암호화 암호. 이 파라미터는 일부 엔진 버전에서 지원되지 않습니다. |
| rds.3des168 | 기본값, 활성화, 비활성화 | 168비트 키 길이의 Triple DES(Data Encryption Standard) 암호화 암호입니다. |
참고
SQL Server 보안 프로토콜 및 암호의 기본값에 대한 자세한 내용은 Microsoft 설명서에서 TLS/SSL 프로토콜(Schannel SSP)
다음 프로세스를 사용하여 보안 프로토콜 및 암호를 구성합니다.
-
사용자 지정 DB 파라미터 그룹을 생성합니다.
-
파라미터 그룹의 파라미터를 수정합니다.
-
DB 파라미터 그룹을 DB 인스턴스에 연결합니다.
DB 파라미터 그룹에 대한 자세한 내용은 파라미터 그룹 작업 단원을 참조하십시오.
보안 관련 파라미터 그룹 생성
DB 인스턴스의 SQL Server 에디션 및 버전에 해당하는 보안 관련 파라미터에 대한 파라미터 그룹을 생성합니다.
다음 절차에서는 SQL Server Standard Edition 2016에 대한 파라미터 그룹을 생성합니다.
파라미터 그룹을 생성하려면
AWS Management Console에 로그인한 후 https://console.aws.amazon.com/rds/
에서 Amazon RDS 콘솔을 엽니다. -
탐색 창에서 파라미터 그룹을 선택합니다.
-
[Create parameter group]을 선택합니다.
-
서브넷 그룹 생성 창에서 다음을 수행합니다.
-
파라미터 그룹 패밀리에서 sqlserver-se-13.0을 선택합니다.
-
그룹 이름에 파라미터 그룹의 식별자(예:
sqlserver-ciphers-se-13)를 입력합니다. -
설명에
Parameter group for security protocols and ciphers를 입력합니다.
-
-
생성을 선택합니다.
다음 절차에서는 SQL Server Standard Edition 2016에 대한 파라미터 그룹을 생성합니다.
파라미터 그룹을 생성하려면
-
다음 명령 중 하나를 실행합니다.
Linux, macOS 또는 Unix 대상:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Windows의 경우:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
보안 관련 파라미터 수정
DB 인스턴스의 SQL Server 에디션 및 버전에 해당하는 파라미터 그룹의 보안 관련 파라미터를 수정합니다.
다음 절차에서는 SQL Server Standard Edition 2016에 대해 생성한 파라미터 그룹을 수정합니다. 이 예제에서는 TLS 버전 1.0을 해제합니다.
파라미터 그룹을 수정하려면
AWS Management Console에 로그인한 후 https://console.aws.amazon.com/rds/
에서 Amazon RDS 콘솔을 엽니다. -
탐색 창에서 파라미터 그룹을 선택합니다.
-
파라미터 그룹(예: sqlserver-ciphers-se-13)을 선택합니다.
-
파라미터에서 파라미터 목록을
rds로 필터링합니다. -
파라미터 편집을 선택합니다.
-
rds.tls10을 선택합니다.
-
값에 대해 비활성화를 선택합니다.
-
변경 사항 저장을 선택합니다.
다음 절차에서는 SQL Server Standard Edition 2016에 대해 생성한 파라미터 그룹을 수정합니다. 이 예제에서는 TLS 버전 1.0을 해제합니다.
파라미터 그룹을 수정하려면
-
다음 명령 중 하나를 실행합니다.
Linux, macOS 또는 Unix 대상:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Windows의 경우:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
보안 관련 파라미터 그룹을 DB 인스턴스와 연결
파라미터 그룹을 DB 인스턴스와 연결하려면 AWS Management Console 또는 AWS CLI를 사용합니다.
파라미터 그룹을 새 DB 인스턴스 또는 기존 DB 인스턴스와 연결할 수 있습니다.
-
새 DB 인스턴스의 경우 인스턴스를 시작할 때 연결합니다. 자세한 내용은 Amazon RDS DB 인스턴스 생성 섹션을 참조하세요.
-
기존 DB 인스턴스의 경우 인스턴스를 수정하여 연결합니다. 자세한 내용은 Amazon RDS DB 인스턴스 수정 섹션을 참조하세요.
파라미터 그룹을 새 DB 인스턴스 또는 기존 DB 인스턴스와 연결할 수 있습니다.
파라미터 그룹을 사용하여 DB 인스턴스를 생성하려면
-
파라미터 그룹을 생성할 때 사용한 것과 동일한 DB 엔진 유형과 메이저 버전을 지정합니다.
Linux, macOS 또는 Unix 대상:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Windows의 경우:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13참고
보안 모범 사례로 여기에 표시된 프롬프트 이외의 암호를 지정하는 것이 좋습니다.
DB 인스턴스를 수정하고 파라미터 그룹을 연결하려면
-
다음 명령 중 하나를 실행합니다.
Linux, macOS 또는 Unix 대상:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyWindows의 경우:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
