本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon RDS 中為 PostgreSQL 資料庫執行個體啟用加密連線
創建者:羅希特·卡普爾 (AWS)
環境:PoC 或試點 | 技術:資料庫;網路;安全性、身分識別、合規性 | 工作負載:開源 |
AWS 服務:Amazon RDS; Amazon Aurora |
Summary
Amazon Relational Database Service 服務 (Amazon RDS) 支援 PostgreSQL 資料庫執行個體使用 SSL 加密。您可以使用 SSL 加密應用程式和 Amazon RDS 適用於 PostgreSQL 資料庫執行個體之間的 PostgreSQL 連線。根據預設,亞馬遜 RDS 版使用 SSL/TLS,並預期所有用戶端都能使用 SSL/TLS 加密進行連線。Amazon RDS for PostgreSQL TLS 版本 1.1 和 1.2 版。
此模式說明如何為 Amazon RDS for PostgreSQL 資料庫執行個體啟用加密連線。您可以使用相同的程序為 Amazon Aurora PostgreSQL 相容版本啟用加密連線。
先決條件和限制
有效的 AWS 帳戶
一個 SSL 服務包
架構
![在 Amazon RDS 中為 PostgreSQL 資料庫執行個體啟用加密連線](images/pattern-img/4f87c6a3-b4ff-4248-96d3-a4a498659735/images/ccc5c880-1191-4c12-a255-6908b96b96a5.png)
工具
pgAdmin
是一個開放原始碼的管理和開發平 PostgreSQL。您可以在 Linux、Unix、macOS 和視窗上使用 PgAdmin pgAdmin 來管理您在 PostgreSQL 10 及更新版本中的資料庫物件。 PostgreSQL 編輯器
提供更易於使用的介面,可協助您建立、開發和執行查詢,以及根據您的需求編輯程式碼。
最佳實務
監視不安全的資料庫連線。
稽核資料庫存取權限。
確保備份和快照在靜態時加密。
監控資料庫存取。
避免不受限制的存取群組。
使用 Amazon 增強您的通知 GuardDuty。
定期監控政策遵守情況。
史诗
任務 | 描述 | 所需技能 |
---|---|---|
將受信任的憑證載入您的電腦。 | 若要將憑證新增至您電腦的受信任的根憑證授權單位存放區,請依照下列步驟執行。(這些說明使用窗口服務器作為一個例子。)
| DevOps 工程師,移民工程師,DBA |
任務 | 描述 | 所需技能 |
---|---|---|
建立參數群組並設定 rds.force_ssl 參數。 | 如果 PostgreSQL 資料庫執行個體具有自訂參數群組,請編輯參數群組並變更 如果資料庫執行個體使用未 若要建立新參數群組:
若要將參數群組與 PostgreSQL 資料庫執行個體建立關聯,請執行
如需詳細資訊,請參閱 Amazon RDS 文件。 | DevOps 工程師,移民工程師,DBA |
強制 SSL 連線。 | Connect 至 Amazon RDS for PostgreSQL 的資料庫執行個體。不使用 SSL 的連線嘗試會遭到拒絕,並顯示錯誤訊息。如需詳細資訊,請參閱 Amazon RDS 文件。 | DevOps 工程師,移民工程師,DBA |
任務 | 描述 | 所需技能 |
---|---|---|
安裝 SSL 擴充功能。 |
如需詳細資訊,請參閱 Amazon RDS 文件。 | DevOps 工程師,移民工程師,DBA |
任務 | 描述 | 所需技能 |
---|---|---|
設定 SSL 的用戶端。 | 透過使用 SSL,您可以啟動 PostgreSQL 伺服器,並支援使用 TLS 通訊協定的加密連線。伺服器會監聽同一個 TCP 連接埠上的標準和 SSL 連線,並與任何連線用戶端進行協商,以了解是否使用 SSL。依預設,這是用戶端選項。 如果您使用的是 psql 客戶端:
對於其他用戶端:
檢閱這些用戶端的下列頁面: | DevOps 工程師,移民工程師,DBA |
故障診斷
問題 | 解決方案 |
---|---|
無法下載 SSL 憑證。 | 請檢查您與網站的連線,然後重試將憑證下載到您的本機電腦。 |
相關資源
將 SSL 與 PostgreSQL 資料庫執行個體搭配使用 (Amazon RDS 文件)
使用 SSL 安全的 TCP/IP 連
PostgreSQL 件集) 使用 SSL
(JDBC 文件)