Autoridades certificadoras Pacotes de certificados para todas as Regiões da AWS Pacotes de certificados para Regiões da AWS específicas AWS GovCloud (US)Certificados de

Como Usar SSL/TLS para criptografar uma conexão com um cluster de banco de dados

É possível usar o Security Socket Layer (SSL) ou o Transport Layer Security (TLS) na aplicação para criptografar uma conexão com um cluster de banco de dados que executa o Aurora MySQL ou o Aurora PostgreSQL.

As conexões SSL/TLS fornecem uma camada de segurança criptografando dados que se movem entre o cliente e um cluster de banco de dados. O uso de um certificado de servidor fornece uma camada extra de segurança, validando se a conexão está sendo feita comum cluster de banco de dados do Amazon Aurora. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todos os clusters de banco de dados que você provisiona.

Cada mecanismo de banco de dados tem seu próprio processo de implementação do SSL/TLS. Para saber como implementar SSL/TLS para seu cluster de banco de dados, use o seguinte link que corresponde ao seu mecanismo de banco de dados:

nota

Todos os certificados somente estão disponíveis para download usando conexões SSL/TLS.

Autoridades certificadoras

A autoridade de certificação (CA) é o certificado que identifica a CA raiz no início da cadeia de certificados. A CA assina o certificado da instância de banco de dados, que é o certificado do servidor instalado em cada instância de banco de dados. O certificado do servidor identifica a instância de banco de dados como um servidor confiável.

O Amazon RDS fornece as CAs a seguir para assinar o certificado do servidor para uma instância de banco de dados.

Autoridade certificadora (CA)	Descrição
rds-ca-2019	Utiliza uma autoridade de certificação com algoritmo de chave privada RSA 2048 e algoritmo de assinatura SHA256 para seu certificado de servidor de instância de banco de dados. Essa CA expira em 2024 e não é compatível com a alternância automática de certificados do servidor. Se você estiver usando essa CA e quiser manter o mesmo padrão, recomendamos alternar para a CA rds-ca-rsa2048-g1.
rds-ca-rsa2048-g1	Utiliza uma autoridade de certificação com algoritmo de chave privada RSA 2048 e algoritmo de assinatura SHA256 para seu certificado de servidor de instância de banco de dados na maioria das Regiões da AWS. Nas AWS GovCloud (US) Regions, essa CA utiliza uma autoridade de certificação com algoritmo de chave privada RSA 2048 e algoritmo de assinatura SHA384 para seu certificado de servidor de instância de banco de dados. Essa CA permanece válida por mais tempo do que a CA rds-ca-2019. Essa CA é compatível com a alternância automática de certificados do servidor.
rds-ca-rsa4096-g1	Utiliza uma autoridade de certificação com algoritmo de chave privada RSA 4096 e algoritmo de assinatura SHA384 para seu certificado de servidor de instância de banco de dados. Essa CA é compatível com a alternância automática de certificados do servidor.
rds-ca-ecc384-g1	Utiliza uma autoridade de certificação com algoritmo de chave privada ECC 384 e algoritmo de assinatura SHA384 para seu certificado de servidor de instância de banco de dados. Essa CA é compatível com a alternância automática de certificados do servidor.

Quando você usa a CA rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 ou rds-ca-ecc384-g1 com uma instância de banco de dados, o RDS gerencia o certificado do servidor na instância de banco de dados. O RDS o alterna automaticamente antes de expirar. Esses certificados CA estão incluídos no pacote de certificados regionais e globais.

Você pode definir a CA para uma instância de banco de dados ao realizar as seguintes tarefas:

Crie um cluster de banco de dados do Aurora: você pode definir a CA para uma instância de banco de dados em um cluster do Aurora ao criar a primeira instância de banco de dados no cluster de banco de dados usando a AWS CLI ou a API do RDS. Atualmente, você não pode definir a CA para as instâncias de banco de dados em um cluster de banco de dados ao criar o cluster de banco de dados com o uso do console do RDS. Para obter instruções, consulte Criar um cluster de bancos de dados do Amazon Aurora.
Modificar uma instância de banco de dados: você pode definir a CA para uma instância de banco de dados em um cluster de banco de dados modificando-a. Para obter instruções, consulte Modificar uma instância de banco de dados em um cluster de banco de dados.

As CAs disponíveis dependem do mecanismo de banco de dados e da versão do mecanismo de banco de dados. Ao usar o AWS Management Console, você pode selecionar a CA usando a configuração Certificate authority (Autoridade de certificação), conforme mostrado na imagem a seguir.

O console mostra apenas as CAs que estão disponíveis para o mecanismo de banco de dados e a versão do mecanismo de banco de dados. Se você estiver usando a AWS CLI, poderá definir a CA para uma instância de banco de dados usando o comando create-db-instance ou modify-db-instance.

Se você estiver usando a AWS CLI, poderá ver as CAs disponíveis para sua conta usando o comando describe-certificates. Esse comando também mostra a data de expiração de cada CA em ValidTill na saída. Você pode encontrar as CAs que estão disponíveis para uma versão específica do mecanismo de banco de dados e do mecanismo de banco de dados usando o comando describe-db-engine-versions.

O exemplo a seguir mostra as CAs disponíveis para a versão padrão do mecanismo de banco de dados do RDS para PostgreSQL.


aws rds describe-db-engine-versions --default-only --engine postgres

A saída é semelhante à seguinte. As CAs disponíveis estão listadas em SupportedCACertificatesIdentifiers. A saída também mostra se a versão do mecanismo de banco de dados é compatível com a alternância do certificado sem reiniciar em SupportsCertificateRotationWithoutRestart.


{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificatesIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Você pode ver os detalhes sobre a CA para uma instância de banco de dados visualizando a guia Connectivity & security (Conectividade e segurança) no console, como na imagem a seguir.

Se você estiver usando a AWS CLI, será possível visualizar os detalhes da CA de uma instância de banco de dados usando o comando describe-db-instances.

Pacotes de certificados para todas as Regiões da AWS

Para obter um pacote de certificados que contenha os certificados intermediário e raiz para todas as Regiões da AWS, baixe-o em https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem.

Se sua aplicação estiver no Microsoft Windows e exigir um arquivo PKCS7, você poderá baixar o pacote de certificados PKCS7. Esse pacote contém os certificados intermediário e raiz em https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

nota

O proxy do Amazon RDS e o Aurora Serverless usam certificados do AWS Certificate Manager (ACM). Se você estiver usando o RDS Proxy, não será necessário baixar os certificados do Amazon RDS ou atualizar as aplicações que usam conexões RDS Proxy. Para obter mais informações sobre como usar o TLS/SSL com o RDS Proxy, consulte Usar TLS/SSL com o RDS Proxy.

Se você estiver usando um Aurora Serverless, não será necessário baixar certificados do Amazon RDS. Para obter mais informações sobre o uso do TLS/SSL com o Aurora Serverless, consulte Usar TLS/SSL com o Aurora Serverless v1.

Pacotes de certificados para Regiões da AWS específicas

Para obter um pacote de certificados que contenha os certificados intermediário e raiz de uma Região da AWS, baixe-o pelo link da Região da AWS na tabela a seguir.

Região da AWS	Pacote de certificados (PEM)	Pacote de certificados (PKCS7)
Leste dos EUA (N. da Virgínia)	us-east-1-bundle.pem	us-east-1-bundle.p7b
Leste dos EUA (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
Oeste dos EUA (N. da Califórnia)	us-west-1-bundle.pem	us-west-1-bundle.p7b
Oeste dos EUA (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
África (Cidade do Cabo)	af-south-1-bundle.pem	af-south-1-bundle.p7b
Ásia-Pacífico (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Ásia-Pacífico (Haiderabade)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Ásia-Pacífico (Jacarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Ásia-Pacífico (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Ásia-Pacífico (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pacific (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Ásia-Pacífico (Tóquio)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Ásia-Pacífico (Seul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Ásia-Pacífico (Singapura)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Ásia-Pacífico (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Canadá (Central)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Europa (Frankfurt)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Europa (Irlanda)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Europa (Londres)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Europa (Milão)	eu-south-1-bundle.pem	eu-south-1-bundle.p7b
Europa (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Europa (Espanha)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Europa (Estocolmo)	eu-north-1-bundle.pem	eu-north-1-bundle.p7b
Europa (Zurique)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Oriente Médio (Bahrein)	me-south-1-bundle.pem	me-south-1-bundle.p7b
Oriente Médio (Emirados Árabes Unidos)	me-central-1-bundle.pem	me-central-1-bundle.p7b
América do Sul (São Paulo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b

AWS GovCloud (US)Certificados de

Para obter um pacote de certificados que contenha os certificados intermediário e raiz para a região AWS GovCloud (US) Region, baixe em https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem.

Se o seu aplicativo estiver no Microsoft Windows e exigir um arquivo PKCS7, você poderá fazer download do pacote de certificados PKCS7. Este pacote contém os certificados intermediário e raiz em https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Para obter um pacote de certificados que contém os certificados intermediário e raiz de uma região AWS GovCloud (US) Region, baixe pelo link da AWS GovCloud (US) Region na tabela a seguir.

AWS GovCloud (US) Region	Pacote de certificados (PEM)	Pacote de certificados (PKCS7)
AWS GovCloud (Leste dos EUA)	us-gov-east-1-bundle.pem	us-gov-east-1-bundle.p7b
AWS GovCloud (Oeste dos EUA)	us-gov-west-1-bundle.pem	us-gov-west-1-bundle.p7b

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de AWS KMS key

Alternar o certificado SSL/TLS