As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de Dados em Trânsito
Você pode usar o Transport Layer Security (TLS) para criptografar a conexão entre seu aplicativo e um cluster do Amazon DocumentDB. Por padrão, a criptografia em trânsito é ativada para clusters recém-criados do Amazon DocumentDB. Você pode desabilitá-la ao criar o cluster ou depois da criação ser concluída. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Para obter mais informações sobre como se conectar ao Amazon DocumentDB usando TLS, consulte Conectar-se programaticamente ao Amazon DocumentDB.
Gerenciando as Configurações do Amazon DocumentDB Cluster do Amazon DocumentDB
A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS em um grupo de parâmetros de cluster. Você pode gerenciar as configurações de TLS do seu cluster do Amazon DocumentDB usando o AWS Management Console ou a AWS Command Line Interface (AWS CLI). Consulte as seções a seguir para saber como verificar e modificar suas configurações de TLS atuais.
- Using the AWS Management Console
-
Para gerenciar a criptografia usando TLS e o , como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.
nota
A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster
default
não podem ser modificados (por exemplo,tls
habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de clusterdefault
, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Primeiro, será necessário criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte Criando grupos de parâmetros de cluster do Amazon DocumentDB.-
Determine o grupo de parâmetros de cluster usado pelo cluster.
-
Abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb
. -
No painel de navegação, escolha Clusters.
dica
Se você não visualizar o painel de navegação à esquerda da tela, selecione o ícone do menu () no canto superior esquerdo da página.
-
Observe que na caixa de navegação Clusters, a coluna Identificador do cluster mostra clusters e instâncias. As instâncias estão listadas abaixo dos clusters. Veja o snapshot abaixo para referência.
-
Escolha o cluster que você deseja usar.
-
Escolha a guia Configuração e role para baixo até a parte inferior dos Detalhes do cluster e localize o Grupo de parâmetros do cluster.. Anote o nome do grupo de parâmetros de cluster.
Se o nome do grupo de parâmetros do cluster para
default
(por exemplodefault.docdb3.6
), será necessário criar um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte as informações a seguir.-
Criando grupos de parâmetros de cluster do Amazon DocumentDB — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.
-
Modificação de um cluster do Amazon DocumentDB — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.
-
-
-
Determine o valor atual do parâmetro
tls
do cluster.-
Abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb
. -
No painel de navegação, escolha Grupos de parâmetros.
-
Na lista de grupos de parâmetros, selecione o nome do grupo de parâmetros de cluster desejado.
-
Localize a seção Parâmetros do cluster. Na lista de parâmetros de cluster, localize a linha do parâmetro de cluster
tls
. Nesse momento, as quatro colunas a seguir são importantes:-
Nome do parâmetro de cluster — O nome dos parâmetros do cluster. Para gerenciar TLS, você está interessado no parâmetro de cluster
tls
. -
Valores — O valor atual de cada parâmetro do cluster.
-
Valores permitidos — Uma lista de valores que podem ser aplicados a um parâmetro de cluster.
-
Aplicar tipo — estático ou dinâmico. As alterações em parâmetros de cluster estáticos poderão ser aplicadas somente quando as instâncias forem reiniciadas. As alterações feitas em parâmetros de cluster dinâmicos podem ser aplicadas imediatamente ou quando as instâncias são reiniciadas.
-
-
Modifique o valor do parâmetro
tls
do cluster.Se o valor de
tls
não for o que é necessário, modifique o valor para esse grupo de parâmetros de cluster. Para alterar o valor do parâmetro de clustertls
, continue na seção anterior seguindo estas etapas.-
Escolha o botão à esquerda do nome do parâmetro de cluster (
tls
). -
Escolha Editar.
-
Para alterar o valor de
tls
, na caixa de diálogo Modificartls
, escolha o valor desejado para o parâmetro do cluster na lista suspensa.Os valores válidos são:
desabilitado — Desativa o TLS
habilitado — Ativa o TLS
fips-140-3 — Ativa o TLS com FIPS. O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só é suportado a partir dos clusters do Amazon DocumentDB 5.0 (versão do motor 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1.
-
Escolha Modificar parâmetro de cluster. A alteração será aplicada a cada instância do cluster quando ela for reinicializada.
-
Reinicie a instância do Amazon DocumentDB.
Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster.
-
Abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb
. -
No painel de navegação, escolha Instâncias.
-
Para especificar a reinicialização de uma instância, localize a instância na lista de instâncias e escolha o botão à esquerda de seu nome.
-
Escolha Ações e Reiniciar. Confirme se deseja reinicializar, selecionando Reiniciar.
-
-
- Using the AWS CLI
-
Para gerenciar a criptografia usando TLS e o AWS CLI, como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.
nota
A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster
default
não podem ser modificados (por exemplo,tls
habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de clusterdefault
, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Pode ser necessário primeiro criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte Criando grupos de parâmetros de cluster do Amazon DocumentDB.Determine o grupo de parâmetros de cluster usado pelo cluster.
Use o comando
describe-db-clusters
com os seguintes parâmetros:--db-cluster-identifier
— Obrigatório. O nome do cluster de interesse.--query
— Optional. Uma consulta que limita a saída apenas aos campos de interesse, neste caso, o nome do cluster e o nome do grupo de parâmetros de cluster.
aws docdb describe-db-clusters \ --db-cluster-identifier docdb-2019-05-07-13-57-08 \ --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
A saída dessa operação é semelhante ao seguinte (formato JSON).
[ [ "docdb-2019-05-07-13-57-08", "
custom3-6-param-grp
" ] ]Se o nome do grupo de parâmetros do cluster for
default
(por exemplo,default.docdb3.6
), será necessário ter um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte os tópicos a seguir:-
Criando grupos de parâmetros de cluster do Amazon DocumentDB — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.
-
Modificação de um cluster do Amazon DocumentDB — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.
Determine o valor atual do parâmetro
tls
de cluster.Para obter mais informações sobre esse grupo de parâmetros de cluster, use a operação
describe-db-cluster-parameters
com os seguintes parâmetros:--db-cluster-parameter-group-name
— Obrigatório. Use o nome do grupo de parâmetros de cluster de saída do comando anterior.--query
— Opcional. Uma consulta que limita a saída apenas aos campos de interesse, nesse caso,ParameterName
,ParameterValue
,AllowedValues
eApplyType
.
aws docdb describe-db-cluster-parameters \ --db-cluster-parameter-group-name
custom3-6-param-grp
\ --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'A saída dessa operação é semelhante ao seguinte (formato JSON).
[ [ "audit_logs", "disabled", "enabled,disabled", "dynamic" ], [
"tls", "disabled", "disabled,enabled,fips-140-3", "static"
], [ "ttl_monitor", "enabled", "disabled,enabled", "dynamic" ] ]-
Modifique o valor do parâmetro
tls
do cluster.Se o valor de
tls
for o que ele precisa ser, modifique seu valor para este grupo de parâmetros de cluster. Para alterar o valor do parâmetro de clustertls
, use a operaçãomodify-db-cluster-parameter-group
com os seguintes parâmetros.--db-cluster-parameter-group-name
— Obrigatório. O nome do grupo de parâmetros de cluster a ser modificado. Não pode ser um grupo de parâmetros de clusterdefault.*
.--parameters
— Obrigatório. Uma lista de parâmetros do grupo de parâmetros de cluster para modificar.-
ParameterName
— Obrigatório. O nome do parâmetro do cluster a ser modificado. -
ParameterValue
— Obrigatório. O novo valor desse parâmetro de cluster. Deve ser um dosAllowedValues
do parâmetro de cluster.-
enabled
— O cluster só aceita conexões seguras usando o TLS. -
disabled
— O cluster não aceita conexões seguras usando o TLS. fips-140-3
— O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só é suportado a partir dos clusters do Amazon DocumentDB 5.0 (versão do motor 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1.
-
-
ApplyMethod
— Quando essa modificação deve ser aplicada. Para parâmetros de cluster estáticos, comotle
, esse valor deve serpending-reboot
.-
pending-reboot
— A alteração é aplicada a uma instância somente depois de ser reinicializada. Você deve reinicializar cada instância de cluster individualmente para que essa mudança ocorra em todas as instâncias do cluster.
-
-
O código a seguir desativa o
tls
, aplicando a alteração a cada instância de banco de dados quando ela é reinicializada.aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
O código a seguir ativa o
tls
, aplicando a alteração a cada instância de banco de dados quando ela é reinicializada.aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
O código a seguir ativa o
fips-140-3
, aplicando a alteração a cada instância de banco de dados quando ela é reinicializada.aws docdb modify-db-cluster-parameter-group \ ‐‐db-cluster-parameter-group-name custom5-0-param-grp \ ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
A saída dessa operação é semelhante ao seguinte (formato JSON).
{ "DBClusterParameterGroupName": "custom3-6-param-grp" }
-
Reinicie sua instância do Amazon DocumentDB.
Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster. Para reinicializar uma instância do Amazon DocumentDB, use a operação
reboot-db-instance
com o seguinte parâmetro:--db-instance-identifier
— Obrigatório. O identificador da instância a ser reinicializada.
O código a seguir reinicializa a instância
sample-db-instance
.Para Linux, macOS ou Unix:
aws docdb reboot-db-instance \ --db-instance-identifier
sample-db-instance
Para Windows:
aws docdb reboot-db-instance ^ --db-instance-identifier
sample-db-instance
A saída dessa operação é semelhante ao seguinte (formato JSON).
{ "DBInstance": { "AutoMinorVersionUpgrade": true, "PubliclyAccessible": false, "PreferredMaintenanceWindow": "fri:09:32-fri:10:02", "PendingModifiedValues": {}, "DBInstanceStatus": "rebooting", "DBSubnetGroup": { "Subnets": [ { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1a" }, "SubnetIdentifier": "subnet-4e26d263" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1c" }, "SubnetIdentifier": "subnet-afc329f4" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1e" }, "SubnetIdentifier": "subnet-b3806e8f" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1d" }, "SubnetIdentifier": "subnet-53ab3636" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1b" }, "SubnetIdentifier": "subnet-991cb8d0" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1f" }, "SubnetIdentifier": "subnet-29ab1025" } ], "SubnetGroupStatus": "Complete", "DBSubnetGroupDescription": "default", "VpcId": "vpc-91280df6", "DBSubnetGroupName": "default" }, "PromotionTier": 2, "DBInstanceClass": "db.r5.4xlarge", "InstanceCreateTime": "2018-11-05T23:10:49.905Z", "PreferredBackupWindow": "00:00-00:30", "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b", "StorageEncrypted": true, "VpcSecurityGroups": [ { "Status": "active", "VpcSecurityGroupId": "sg-77186e0d" } ], "EngineVersion": "3.6.0", "DbiResourceId": "db-SAMPLERESOURCEID", "DBInstanceIdentifier": "sample-cluster-instance-00", "Engine": "docdb", "AvailabilityZone": "us-east-1a", "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00", "BackupRetentionPeriod": 1, "Endpoint": { "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com", "Port": 27017, "HostedZoneId": "Z2R2ITUGPM61AM" }, "DBClusterIdentifier": "sample-cluster" } }
Demora alguns minutos para sua instância reinicializar. Você pode usar a instância somente quando seu status for disponível. Você pode monitorar o status da instância usando o console ou a AWS CLI. Para obter mais informações, consulte Monitoramento do status de uma instância do Amazon DocumentDB.