요약 사전 조건 및 제한 사항 아키텍처 도구 모범 사례 에픽 문제 해결 관련 리소스

Amazon RDS에서 PostgreSQL DB 인스턴스에 대해 암호화된 연결 활성화

작성자: Rohit Kapoor(AWS)

환경: PoC 또는 파일럿	기술: 네트워킹; 보안, 자격 증명, 규정 준수	워크로드: 오픈 소스
AWS 서비스: Amazon RDS, Amazon Aurora

요약

Amazon Relational Database Service(Amazon RDS)는 PostgreSQL DB 인스턴스에 대한 SSL 암호화를 지원합니다. SSL를 사용하면 애플리케이션과 Amazon RDS for PostgreSQL DB 인스턴스 간의 PostgreSQL 연결을 암호화할 수 있습니다. 기본적으로 Amazon RDS for PostgreSQL는 SSL/TLS and expects all clients to connect by using SSL/TLS 암호화를 사용합니다. Amazon RDS for PostgreSQL는 TLS 버전 1.1 및 1.2를 지원합니다.

이 패턴은 Amazon RDS for PostgreSQL DB 인스턴스에 대해 암호화된 연결을 활성화하는 방법을 설명합니다. 동일한 프로세스를 사용하여 Amazon Aurora PostgreSQL 호환 버전에 대해 암호화된 연결을 활성화할 수 있습니다.

사전 조건 및 제한 사항

아키텍처

Amazon RDS에서 PostgreSQL DB 인스턴스에 대해 암호화된 연결 활성화

도구

pgAdmin는 PostgreSQL의 오픈 소스 관리 및 개발 플랫폼입니다. Linux, Unix, macOS 및 Windows에서 pgAdmin 를 사용하여 PostgreSQL 10 이상에서 데이터베이스 객체를 관리할 수 있습니다.
PostgreSQL 편집기는 쿼리를 생성, 개발 및 실행하고 요구 사항에 따라 코드를 편집하는 데 도움이 되는 보다 사용자 친화적인 인터페이스를 제공합니다.

모범 사례

비보안 데이터베이스 연결을 모니터링합니다.
데이터베이스 액세스 권한을 감사합니다.
백업 및 스냅샷이 저장 시 암호화되는지 확인하도록 하십시오.
데이터베이스 액세스를 모니터링합니다.
무제한 액세스 그룹은 피하도록 하십시오.
Amazon GuardDuty를 사용하여 알림을 개선합니다.
정책 준수를 정기적으로 모니터링합니다.

에픽

작업	설명	필요한 기술
컴퓨터에 신뢰할 수 있는 인증서를 로드합니다.	컴퓨터의 신뢰할 수 있는 루트 인증 기관 스토어에 인증서를 추가하려면 다음 단계를 따르십시오. (이 지침에서는 Window Server를 예로 사용합니다.) Windows Server에서 시작, 실행을 선택한 다음 mmc를 입력합니다. 콘솔에서 파일, 스냅인 추가/제거를 선택합니다. 사용 가능한 스냅인에서 인증서를 선택한 다음 추가를 선택합니다. 이 스냅인이 항상 인증서를 관리에서 컴퓨터 계정, 다음을 선택합니다. 로컬 컴퓨터를 선택하고 마침을 선택합니다. 콘솔에 추가할 스냅인이 더 이상 없는 경우 확인을 선택합니다. 콘솔 트리에서 인증서를 두 번 클릭합니다. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 버튼으로 클릭합니다. 다운로드한 인증서를 가져오려면 모든 작업, 가져오기를 선택합니다. 인증서 가져오기 마법사의 단계를 따릅니다.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업 설명 필요한 기술

작업	설명	필요한 기술
매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.	PostgreSQL DB 인스턴스에 사용자 지정 파라미터 그룹이 있는 경우 파라미터 그룹을 편집하고 1`rds.force_ssl`로 변경합니다. DB 인스턴스에서 `rds.force_ssl`이 활성화되지 않은 기본 매개변수 그룹을 사용하는 경우 새 매개변수 그룹을 생성합니다. Amazon API RDS를 사용하거나 다음 지침에 따라 수동으로 새 파라미터 그룹을 수정할 수 있습니다. 새 파라미터 그룹을 생성하려면 다음을 수행하세요. AWS Management 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 RDS 리전의 Amazon Word 콘솔을 엽니다. AWS 탐색 창에서 파라미터 그룹을 선택합니다. 매개변수 그룹 생성을 선택하고 다음 값을 설정합니다. 파라미터 그룹 패밀리에서 postgres14를 선택합니다. 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다. 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다. 생성(Create)을 선택합니다. 생성한 파라미터 그룹을 선택합니다. 파라미터 그룹 작업에서 편집을 선택합니다. rds.force_ssl을 찾아 설정을 1로 변경합니다. 참고: 이 매개변수를 변경하기 전에 클라이언트측 테스트를 수행하십시오. Save changes(변경 사항 저장)를 선택합니다. 파라미터 그룹을 PostgreSQL DB 인스턴스와 연결하려면: Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음 PostgreSQL DB 인스턴스를 선택합니다. 수정을 선택합니다. 추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다. 수정 사항 예약에서 즉시 적용을 선택합니다. Modify DB instance(DB 인스턴스 수정)를 선택합니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA
강제 SSL 연결.	Amazon RDS for PostgreSQL DB 인스턴스에 연결합니다. SSL를 사용하지 않는 연결 시도는 오류 메시지와 함께 거부됩니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.

PostgreSQL DB 인스턴스에 사용자 지정 파라미터 그룹이 있는 경우 파라미터 그룹을 편집하고 1rds.force_ssl로 변경합니다.

DB 인스턴스에서 rds.force_ssl이 활성화되지 않은 기본 매개변수 그룹을 사용하는 경우 새 매개변수 그룹을 생성합니다. Amazon API RDS를 사용하거나 다음 지침에 따라 수동으로 새 파라미터 그룹을 수정할 수 있습니다.

새 파라미터 그룹을 생성하려면 다음을 수행하세요.

AWS Management 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 RDS 리전의 Amazon Word 콘솔을 엽니다. AWS
탐색 창에서 파라미터 그룹을 선택합니다.
매개변수 그룹 생성을 선택하고 다음 값을 설정합니다.
- 파라미터 그룹 패밀리에서 postgres14를 선택합니다.
- 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다.
- 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다.
- 생성(Create)을 선택합니다.
생성한 파라미터 그룹을 선택합니다.
파라미터 그룹 작업에서 편집을 선택합니다.
rds.force_ssl을 찾아 설정을 1로 변경합니다.
참고: 이 매개변수를 변경하기 전에 클라이언트측 테스트를 수행하십시오.
Save changes(변경 사항 저장)를 선택합니다.

파라미터 그룹을 PostgreSQL DB 인스턴스와 연결하려면:

Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음 PostgreSQL DB 인스턴스를 선택합니다.
수정을 선택합니다.
추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다.
수정 사항 예약에서 즉시 적용을 선택합니다.
Modify DB instance(DB 인스턴스 수정)를 선택합니다.

자세한 내용은 Amazon RDS 설명서를 참조하세요.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

강제 SSL 연결.

Amazon RDS for PostgreSQL DB 인스턴스에 연결합니다. SSL를 사용하지 않는 연결 시도는 오류 메시지와 함께 거부됩니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업	설명	필요한 기술
SSL 확장을 설치합니다.	psql 또는 pgAdmin 연결을 DBA로 시작합니다. ssl_is_used() 함수를 호출하여 SSL가 사용되고 있는지 확인합니다. `select ssl_is_used();` 이 함수는 연결이 SSL를 사용하는 `t` 경우를 반환하고, 그렇지 않으면를 반환합니다`f`. SSL 확장을 설치합니다. `create extension sslinfo; show ssl; select ssl_cipher();` 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업 설명 필요한 기술

작업	설명	필요한 기술
SSL용 클라이언트를 구성합니다.	SSL를 사용하면 TLS 프로토콜을 사용하는 암호화된 연결을 지원하여 PostgreSQL 서버를 시작할 수 있습니다. 서버는 동일한 SSL 포트에서 표준 연결과 TCP 연결을 모두 수신 대기하고 SSL를 사용할지 여부에 대해 연결 클라이언트와 협상합니다. 기본적으로, 이는 클라이언트 옵션입니다. psql 클라이언트를 사용 중인 경우, Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인합니다. 다음을 추가하여 SSL 클라이언트 연결을 시작합니다. `psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem select ssl_cipher();` 다른 PostgreSQL 클라이언트의 경우: 해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 옵션으로, 연결 문자열의 일부로, 또는 GUI 도구의 연결 페이지에서 속성으로 사용할 수 있습니다. 이러한 클라이언트에 대해 다음 페이지를 검토하십시오. pgAdmin 설명서 JDBC 설명서	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL용 클라이언트를 구성합니다.

SSL를 사용하면 TLS 프로토콜을 사용하는 암호화된 연결을 지원하여 PostgreSQL 서버를 시작할 수 있습니다. 서버는 동일한 SSL 포트에서 표준 연결과 TCP 연결을 모두 수신 대기하고 SSL를 사용할지 여부에 대해 연결 클라이언트와 협상합니다. 기본적으로, 이는 클라이언트 옵션입니다.

psql 클라이언트를 사용 중인 경우,

Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인합니다.

다음을 추가하여 SSL 클라이언트 연결을 시작합니다.


psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

다른 PostgreSQL 클라이언트의 경우:

해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 옵션으로, 연결 문자열의 일부로, 또는 GUI 도구의 연결 페이지에서 속성으로 사용할 수 있습니다.

이러한 클라이언트에 대해 다음 페이지를 검토하십시오.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

문제 해결

문제	Solution
SSL 인증서를 다운로드할 수 없습니다.	웹사이트 연결을 확인하고, 로컬 컴퓨터에 인증서를 다시 다운로드해 보십시오.