Amazon RDS에서 PostgreSQL DB 인스턴스에 대한 암호화된 연결 활성화하기 - 권장 가이드

요약 사전 조건 및 제한 사항 아키텍처 도구 모범 사례 에픽 문제 해결 관련 리소스

Amazon RDS에서 PostgreSQL DB 인스턴스에 대한 암호화된 연결 활성화하기

작성자: Rohit Kapoor (AWS)

요약

Amazon Relational Database Service(Amazon Relational Database Service)는 PostgreSQL DB 인스턴스에 대한 SSL 암호화를 지원합니다. SSL을 사용하여 애플리케이션과 Amazon RDS for PostgreSQL DB 인스턴스 사이의 PostgreSQL 연결을 암호화할 수 있습니다. 기본적으로 Amazon RDS for PostgreSQL는 SSL/TLS를 사용하며 모든 클라이언트가 SSL/TLS 암호화를 사용하여 연결하기를 기대합니다. Amazon RDS for PostgreSQL은 TLS 버전 1.1 및 1.2를 지원합니다.

이 패턴은 Amazon RDS for PostgreSQL DB instance 인스턴스의 암호화된 연결을 활성화하는 방법을 설명합니다. 동일한 프로세스를 사용하여 Amazon Aurora PostgreSQL-Compatible Edition에서 암호화된 연결을 활성화할 수 있습니다.

사전 조건 및 제한 사항

아키텍처

Amazon RDS에서 PostgreSQL DB 인스턴스에 대해 암호화된 연결 활성화하기

도구

pgAdmin은 PostgreSQL를 위한 오픈 소스 관리 및 개발 플랫폼입니다. Linux, Unix, macOS, Windows에서 pgAdmin을 사용하여 PostgreSQL 10 이상에서 데이터베이스 객체를 관리할 수 있습니다.
PostgreSQL 편집기는 쿼리를 생성, 개발 및 실행하고 요구 사항에 따라 코드를 편집하는 데 도움이 되는 보다 사용자 친화적인 인터페이스를 제공합니다.

모범 사례

비보안 데이터베이스 연결을 모니터링합니다.
데이터베이스 액세스 권한을 감사합니다.
백업 및 스냅샷이 저장 시 암호화되는지 확인하도록 하십시오.
데이터베이스 액세스를 모니터링합니다.
무제한 액세스 그룹은 피하도록 하십시오.
Amazon GuardDuty로 알림을 개선합니다.
정책 준수를 정기적으로 모니터링합니다.

에픽

작업	설명	필요한 기술
컴퓨터에 신뢰할 수 있는 인증서를 로드합니다.	컴퓨터의 신뢰할 수 있는 루트 인증 기관 스토어에 인증서를 추가하려면 다음 단계를 따르십시오. (이 지침에서는 Window Server를 예로 사용합니다.) Windows Server에서 시작, 실행을 선택한 다음 mmc를 입력합니다. 콘솔에서 파일, 스냅인 추가/제거를 선택합니다. 사용 가능한 스냅인에서 인증서를 선택한 다음 추가를 선택합니다. 이 스냅인이 항상 인증서를 관리에서 컴퓨터 계정, 다음을 선택합니다. 로컬 컴퓨터를 선택하고 마침을 선택합니다. 콘솔에 추가할 스냅인이 더 이상 없는 경우 확인을 선택합니다. 콘솔 트리에서 인증서를 두 번 클릭합니다. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 버튼으로 클릭합니다. 다운로드한 인증서를 가져오려면 모든 작업, 가져오기를 선택합니다. 인증서 가져오기 마법사의 단계를 따릅니다.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

신뢰할 수 있는 인증서를 다운로드하여 트러스트 스토어로 가져옵니다.

작업	설명	필요한 기술
컴퓨터에 신뢰할 수 있는 인증서를 로드합니다.	컴퓨터의 신뢰할 수 있는 루트 인증 기관 스토어에 인증서를 추가하려면 다음 단계를 따르십시오. (이 지침에서는 Window Server를 예로 사용합니다.) Windows Server에서 시작, 실행을 선택한 다음 mmc를 입력합니다. 콘솔에서 파일, 스냅인 추가/제거를 선택합니다. 사용 가능한 스냅인에서 인증서를 선택한 다음 추가를 선택합니다. 이 스냅인이 항상 인증서를 관리에서 컴퓨터 계정, 다음을 선택합니다. 로컬 컴퓨터를 선택하고 마침을 선택합니다. 콘솔에 추가할 스냅인이 더 이상 없는 경우 확인을 선택합니다. 콘솔 트리에서 인증서를 두 번 클릭합니다. 신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 버튼으로 클릭합니다. 다운로드한 인증서를 가져오려면 모든 작업, 가져오기를 선택합니다. 인증서 가져오기 마법사의 단계를 따릅니다.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업 설명 필요한 기술

작업	설명	필요한 기술
매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.	PostgreSQL DB 인스턴스에 사용자 지정 매개변수 그룹이 있는 경우 매개변수 그룹을 편집하고 `rds.force_ssl`을 1로 변경합니다. DB 인스턴스에서 `rds.force_ssl`이 활성화되지 않은 기본 매개변수 그룹을 사용하는 경우 새 매개변수 그룹을 생성합니다. Amazon RDS API를 사용하거나 다음 지침에 따라 수동으로 새 매개변수 그룹을 수정할 수 있습니다. 새 파라미터 그룹을 생성하려면 다음을 수행하세요. AWS 관리 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 AWS 리전의 Amazon RDS 콘솔을 엽니다. 탐색 창에서 파라미터 그룹을 선택합니다. 매개변수 그룹 생성을 선택하고 다음 값을 설정합니다. 파라미터 그룹 패밀리에서 postgres14를 선택합니다. 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다. 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다. 생성(Create)을 선택합니다. 생성한 파라미터 그룹을 선택합니다. 파라미터 그룹 작업에서 편집을 선택합니다. rds.force_ssl을 찾아 설정을 1로 변경합니다. 참고 이 파라미터를 변경하기 전에 클라이언트 측 테스트를 수행합니다. Save changes(변경 사항 저장)를 선택합니다. 파라미터 그룹을 PostgreSQL DB 인스턴스에 연결하려면 다음을 수행하세요. Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음, PostgreSQL DB 인스턴스를 선택합니다. 수정을 선택합니다. 추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다. 수정 사항 예약에서 즉시 적용을 선택합니다. Modify DB instance(DB 인스턴스 수정)를 선택합니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA
SSL 연결을 강제 설정합니다.	Amazon RDS for PostgreSQL DB 인스턴스에 연결합니다. SSL을 사용하지 않는 연결 시도는 오류 메시지와 함께 거부됩니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.

PostgreSQL DB 인스턴스에 사용자 지정 매개변수 그룹이 있는 경우 매개변수 그룹을 편집하고 rds.force_ssl을 1로 변경합니다.

DB 인스턴스에서 rds.force_ssl이 활성화되지 않은 기본 매개변수 그룹을 사용하는 경우 새 매개변수 그룹을 생성합니다. Amazon RDS API를 사용하거나 다음 지침에 따라 수동으로 새 매개변수 그룹을 수정할 수 있습니다.

새 파라미터 그룹을 생성하려면 다음을 수행하세요.

AWS 관리 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 AWS 리전의 Amazon RDS 콘솔을 엽니다.
탐색 창에서 파라미터 그룹을 선택합니다.
매개변수 그룹 생성을 선택하고 다음 값을 설정합니다.
- 파라미터 그룹 패밀리에서 postgres14를 선택합니다.
- 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다.
- 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다.
- 생성(Create)을 선택합니다.
생성한 파라미터 그룹을 선택합니다.
파라미터 그룹 작업에서 편집을 선택합니다.
rds.force_ssl을 찾아 설정을 1로 변경합니다.
참고
이 파라미터를 변경하기 전에 클라이언트 측 테스트를 수행합니다.
Save changes(변경 사항 저장)를 선택합니다.

파라미터 그룹을 PostgreSQL DB 인스턴스에 연결하려면 다음을 수행하세요.

Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음, PostgreSQL DB 인스턴스를 선택합니다.
수정을 선택합니다.
추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다.
수정 사항 예약에서 즉시 적용을 선택합니다.
Modify DB instance(DB 인스턴스 수정)를 선택합니다.

자세한 내용은 Amazon RDS 설명서를 참조하세요.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL 연결을 강제 설정합니다.

Amazon RDS for PostgreSQL DB 인스턴스에 연결합니다. SSL을 사용하지 않는 연결 시도는 오류 메시지와 함께 거부됩니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL 연결 강제 설정

작업 설명 필요한 기술

작업	설명	필요한 기술
매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.	PostgreSQL DB 인스턴스에 사용자 지정 매개변수 그룹이 있는 경우 매개변수 그룹을 편집하고 `rds.force_ssl`을 1로 변경합니다. DB 인스턴스에서 `rds.force_ssl`이 활성화되지 않은 기본 매개변수 그룹을 사용하는 경우 새 매개변수 그룹을 생성합니다. Amazon RDS API를 사용하거나 다음 지침에 따라 수동으로 새 매개변수 그룹을 수정할 수 있습니다. 새 파라미터 그룹을 생성하려면 다음을 수행하세요. AWS 관리 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 AWS 리전의 Amazon RDS 콘솔을 엽니다. 탐색 창에서 파라미터 그룹을 선택합니다. 매개변수 그룹 생성을 선택하고 다음 값을 설정합니다. 파라미터 그룹 패밀리에서 postgres14를 선택합니다. 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다. 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다. 생성(Create)을 선택합니다. 생성한 파라미터 그룹을 선택합니다. 파라미터 그룹 작업에서 편집을 선택합니다. rds.force_ssl을 찾아 설정을 1로 변경합니다. 참고 이 파라미터를 변경하기 전에 클라이언트 측 테스트를 수행합니다. Save changes(변경 사항 저장)를 선택합니다. 파라미터 그룹을 PostgreSQL DB 인스턴스에 연결하려면 다음을 수행하세요. Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음, PostgreSQL DB 인스턴스를 선택합니다. 수정을 선택합니다. 추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다. 수정 사항 예약에서 즉시 적용을 선택합니다. Modify DB instance(DB 인스턴스 수정)를 선택합니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA
SSL 연결을 강제 설정합니다.	Amazon RDS for PostgreSQL DB 인스턴스에 연결합니다. SSL을 사용하지 않는 연결 시도는 오류 메시지와 함께 거부됩니다. 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

매개변수 그룹을 생성하고 rds.force_ssl 매개변수를 설정합니다.

PostgreSQL DB 인스턴스에 사용자 지정 매개변수 그룹이 있는 경우 매개변수 그룹을 편집하고 rds.force_ssl을 1로 변경합니다.

새 파라미터 그룹을 생성하려면 다음을 수행하세요.

AWS 관리 콘솔에 로그인하고 DB 인스턴스를 호스팅하는 AWS 리전의 Amazon RDS 콘솔을 엽니다.
탐색 창에서 파라미터 그룹을 선택합니다.
매개변수 그룹 생성을 선택하고 다음 값을 설정합니다.
- 파라미터 그룹 패밀리에서 postgres14를 선택합니다.
- 그룹 이름에 pgsql-<database_instance>-ssl을 입력합니다.
- 설명에 추가하려는 매개변수 그룹에 대한 자유 형식 설명을 입력합니다.
- 생성(Create)을 선택합니다.
생성한 파라미터 그룹을 선택합니다.
파라미터 그룹 작업에서 편집을 선택합니다.
rds.force_ssl을 찾아 설정을 1로 변경합니다.
참고
이 파라미터를 변경하기 전에 클라이언트 측 테스트를 수행합니다.
Save changes(변경 사항 저장)를 선택합니다.

파라미터 그룹을 PostgreSQL DB 인스턴스에 연결하려면 다음을 수행하세요.

Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 다음, PostgreSQL DB 인스턴스를 선택합니다.
수정을 선택합니다.
추가 구성에서 새 매개변수 그룹을 선택한 다음 계속을 선택합니다.
수정 사항 예약에서 즉시 적용을 선택합니다.
Modify DB instance(DB 인스턴스 수정)를 선택합니다.

자세한 내용은 Amazon RDS 설명서를 참조하세요.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL 연결을 강제 설정합니다.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업	설명	필요한 기술
SSL 확장을 설치합니다.	psql 또는 pgAdmin 연결을 DBA로 시작합니다. ssl_is_used() 함수를 호출하여 SSL이 사용 중인지 확인합니다. `select ssl_is_used();` 이 함수는 연결이 SSL을 사용할 경우 `t`를 반환하고, 그렇지 않으면 `f`를 반환합니다. SSL 확장을 설치합니다. `create extension sslinfo; show ssl; select ssl_cipher();` 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL 확장 설치

작업	설명	필요한 기술
SSL 확장을 설치합니다.	psql 또는 pgAdmin 연결을 DBA로 시작합니다. ssl_is_used() 함수를 호출하여 SSL이 사용 중인지 확인합니다. `select ssl_is_used();` 이 함수는 연결이 SSL을 사용할 경우 `t`를 반환하고, 그렇지 않으면 `f`를 반환합니다. SSL 확장을 설치합니다. `create extension sslinfo; show ssl; select ssl_cipher();` 자세한 내용은 Amazon RDS 설명서를 참조하세요.	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

작업 설명 필요한 기술

작업	설명	필요한 기술
SSL을 사용하도록 클라이언트를 구성합니다.	SSL을 사용하면 TLS 프로토콜을 사용하는 암호화된 연결을 지원하는 PostgreSQL 서버를 시작할 수 있습니다. 서버는 동일한 TCP 포트에서 표준 연결과 SSL 연결을 모두 수신하고 연결 클라이언트와 SSL 사용 여부를 협상합니다. 기본적으로, 이는 클라이언트 옵션입니다. psql 클라이언트를 사용 중인 경우, Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인하십시오. 다음을 추가하여 SSL 클라이언트 연결을 시작합니다. `psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem select ssl_cipher();` 기타 PostgreSQL 클라이언트의 경우, 해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 GUI 도구의 연결 페이지에서 옵션, 연결 문자열의 일부 또는 속성으로 사용할 수 있습니다. 이러한 클라이언트에 대해 다음 페이지를 검토하십시오. pgAdmin 설명서 JDBC 설명서	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL을 사용하도록 클라이언트를 구성합니다.

SSL을 사용하면 TLS 프로토콜을 사용하는 암호화된 연결을 지원하는 PostgreSQL 서버를 시작할 수 있습니다. 서버는 동일한 TCP 포트에서 표준 연결과 SSL 연결을 모두 수신하고 연결 클라이언트와 SSL 사용 여부를 협상합니다. 기본적으로, 이는 클라이언트 옵션입니다.

psql 클라이언트를 사용 중인 경우,

Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인하십시오.

다음을 추가하여 SSL 클라이언트 연결을 시작합니다.


psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

기타 PostgreSQL 클라이언트의 경우,

해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 GUI 도구의 연결 페이지에서 옵션, 연결 문자열의 일부 또는 속성으로 사용할 수 있습니다.

이러한 클라이언트에 대해 다음 페이지를 검토하십시오.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL에 대한 PostgreSQL 클라이언트를 구성합니다.

작업 설명 필요한 기술

작업	설명	필요한 기술
SSL을 사용하도록 클라이언트를 구성합니다.	SSL을 사용하면 TLS 프로토콜을 사용하는 암호화된 연결을 지원하는 PostgreSQL 서버를 시작할 수 있습니다. 서버는 동일한 TCP 포트에서 표준 연결과 SSL 연결을 모두 수신하고 연결 클라이언트와 SSL 사용 여부를 협상합니다. 기본적으로, 이는 클라이언트 옵션입니다. psql 클라이언트를 사용 중인 경우, Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인하십시오. 다음을 추가하여 SSL 클라이언트 연결을 시작합니다. `psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem select ssl_cipher();` 기타 PostgreSQL 클라이언트의 경우, 해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 GUI 도구의 연결 페이지에서 옵션, 연결 문자열의 일부 또는 속성으로 사용할 수 있습니다. 이러한 클라이언트에 대해 다음 페이지를 검토하십시오. pgAdmin 설명서 JDBC 설명서	DevOps 엔지니어, 마이그레이션 엔지니어, DBA

SSL을 사용하도록 클라이언트를 구성합니다.

psql 클라이언트를 사용 중인 경우,

Amazon RDS 인증서가 로컬 컴퓨터에 로드되었는지 확인하십시오.

다음을 추가하여 SSL 클라이언트 연결을 시작합니다.


psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

기타 PostgreSQL 클라이언트의 경우,

해당 애플리케이션 공개 키 매개변수를 수정하십시오. 이는 GUI 도구의 연결 페이지에서 옵션, 연결 문자열의 일부 또는 속성으로 사용할 수 있습니다.

이러한 클라이언트에 대해 다음 페이지를 검토하십시오.

DevOps 엔지니어, 마이그레이션 엔지니어, DBA

문제 해결

문제	Solution
SSL 인증서를 다운로드할 수 없습니다.	웹사이트 연결을 확인하고, 로컬 컴퓨터에 인증서를 다시 다운로드해 보십시오.

쿠키 기본 설정 선택

쿠키 기본 설정 사용자 지정

필수

성능

기능

광고

쿠키 기본 설정을 저장할 수 없음

Amazon RDS에서 PostgreSQL DB 인스턴스에 대한 암호화된 연결 활성화하기

요약

사전 조건 및 제한 사항

아키텍처

도구

모범 사례

에픽

신뢰할 수 있는 인증서를 다운로드하여 트러스트 스토어로 가져옵니다.

참고

SSL 연결 강제 설정

참고

SSL 확장 설치

SSL에 대한 PostgreSQL 클라이언트를 구성합니다.

문제 해결

관련 리소스

페이지 내용이 도움이 되었습니까?

다음 주제:

이전 주제:

도움이 필요하십니까?

Amazon RDS에서 PostgreSQL DB 인스턴스에 대해 암호화된 연결 활성화하기