在 Amazon RDS 中啟用 PostgreSQL 資料庫執行個體的加密連線 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史詩故障診斷相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon RDS 中啟用 PostgreSQL 資料庫執行個體的加密連線

Rohit Kapoor,Amazon Web Services

Summary

Amazon Relational Database Service (Amazon RDS) 支援 PostgreSQL 資料庫執行個體的 SSL 加密。使用 SSL,您可以加密應用程式與 Amazon RDS for PostgreSQL 資料庫執行個體之間的 PostgreSQL 連線。根據預設,Amazon RDS for PostgreSQL 會使用 SSL/TLS,並預期所有用戶端都會使用 SSL/TLS 加密進行連線。Amazon RDS for PostgreSQL 支援 TLS 1.1 和 1.2 版。

此模式說明如何啟用 Amazon RDS for PostgreSQL 資料庫執行個體的加密連線。您可以使用相同的程序來啟用 Amazon Aurora PostgreSQL 相容版本的加密連線。

先決條件和限制

架構

在 Amazon RDS 中啟用 PostgreSQL 資料庫執行個體的加密連線

工具

  • pgAdmin 是 PostgreSQL 的開放原始碼管理和開發平台。您可以在 Linux、Unix、macOS 和 Windows 上使用 pgAdmin 來管理 PostgreSQL 10 和更新版本中的資料庫物件。

  • PostgreSQL 編輯器提供更易於使用的界面,協助您建立、開發和執行查詢,以及根據您的需求編輯程式碼。

最佳實務

  • 監控不安全的資料庫連線。

  • 稽核資料庫存取權。

  • 確定備份和快照已在靜態加密。

  • 監控資料庫存取。

  • 避免不受限制的存取群組。

  • 使用 Amazon GuardDuty 增強您的通知。

  • 定期監控政策遵循。

史詩

任務描述所需的技能

將信任的憑證載入您的電腦。

若要將憑證新增至您電腦的信任根憑證授權機構存放區,請遵循下列步驟。(這些指示使用 Window Server 做為範例。)

  1. 在 Windows Server 中,選擇開始執行,然後輸入mmc

  2. 在 主控台中,選擇檔案新增/移除 Snap-in

  3. 可用不足嵌入,選擇憑證,然後選擇新增

  4. 在此Snap-in 下,一律會管理憑證,選擇電腦帳戶下一步

  5. ChooseLocal 電腦完成

  6. 如果沒有更多快照可新增至主控台,請選擇確定

  7. 在主控台樹狀目錄中,按兩下憑證

  8. 用滑鼠右鍵按一下信任的根憑證授權機構

  9. 選擇所有任務匯入以匯入下載的憑證。

  10. 請遵循憑證匯入精靈中的步驟。

DevOps 工程師、遷移工程師、DBA
任務描述所需的技能

建立參數群組並設定 rds.force_ssl 參數。

如果 PostgreSQL 資料庫執行個體具有自訂參數群組,請編輯參數群組並rds.force_ssl變更為 1。

如果資料庫執行個體使用未rds.force_ssl啟用的預設參數群組,請建立新的參數群組。您可以使用 Amazon RDS API 或手動修改新的參數群組,如下列說明所示。

若要建立新的參數群組:

  1. 登入 AWS 管理主控台,並為託管資料庫執行個體的 AWS 區域開啟 Amazon RDS 主控台

  2. 在導覽窗格中,選擇 Parameter groups (參數群組)。

  3. 選擇建立參數群組,然後設定下列值: 

    • 針對參數群組系列,選擇 postgres14

    • 針對群組名稱,輸入 pgsql-<database_instance>-ssl

    • 針對描述,輸入您要新增之參數群組的自由格式描述。

    • 選擇建立

  4. 選擇您建立的參數群組。

  5. Parameter group actions (參數群組動作),選擇 Edit (編輯)

  6. 尋找 rds.force_ssl 並將其設定變更為 1

    注意

    變更此參數之前,請先執行用戶端測試。

  7. 選擇儲存變更

若要將參數群組與 PostgreSQL 資料庫執行個體建立關聯:

  1. 在 Amazon RDS 主控台的導覽窗格中,選擇資料庫,然後選擇 PostgreSQL 資料庫執行個體。

  2. 選擇 Modify (修改)。

  3. 在其他組態下,選擇新的參數群組,然後選擇繼續

  4. 排程修改下,選擇立即套用

  5. 選擇 Modify DB instance (修改資料庫執行個體)

如需詳細資訊,請參閱 Amazon RDS 文件

DevOps 工程師、遷移工程師、DBA

強制 SSL 連線。

連線至 Amazon RDS for PostgreSQL 資料庫執行個體。不使用 SSL 的連線嘗試會遭到拒絕,並顯示錯誤訊息。如需詳細資訊,請參閱 Amazon RDS 文件

DevOps 工程師、遷移工程師、DBA
任務描述所需的技能

安裝 SSL 延伸模組。

  1. 啟動 psql 或 pgAdmin 連線做為 DBA。

  2. 呼叫 ssl_is_used() 函數來判斷是否使用 SSL。

    select ssl_is_used();

    t 如果連線使用 SSL,則函數會傳回 ;否則會傳回 f

  3. 安裝 SSL 延伸模組。

    create extension sslinfo;
show ssl;
select ssl_cipher();

如需詳細資訊,請參閱 Amazon RDS 文件

DevOps 工程師、遷移工程師、DBA
任務描述所需的技能

設定 SSL 的用戶端。

透過使用 SSL,您可以啟動 PostgreSQL 伺服器,並支援使用 TLS 通訊協定的加密連線。伺服器會接聽相同 TCP 連接埠上的標準和 SSL 連線,並與任何連線用戶端協商是否使用 SSL。根據預設,這是用戶端選項。

如果您使用的是 psql 用戶端:

  1. 確定 Amazon RDS 憑證已載入您的本機電腦。

  2. 新增下列項目以啟動 SSL 用戶端連線:

    psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

對於其他 PostgreSQL 用戶端:

  • 修改個別應用程式公有金鑰參數。這可以做為選項、做為連線字串的一部分,或做為 GUI 工具中連線頁面上的屬性。 

檢閱這些用戶端的下列頁面:

DevOps 工程師、遷移工程師、DBA

故障診斷

問題解決方案

無法下載 SSL 憑證。

請檢查您的網站連線,然後重試下載憑證到您的本機電腦。

相關資源