Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz durch Verschlüsselung
Amazon Aurora verschlüsselt Datenbankressourcen auf der Speicherebene. Sie können auch Verbindungen zu DB-Clustern verschlüsseln.
**Topics**
+ [Verschlüsseln von Amazon Aurora-Ressourcen](Overview.Encryption.md)
+ [AWS KMS key Verwaltung](Overview.Encryption.Keys.md)
+ [Wird verwendet SSL/TLS , um eine Verbindung zu einer zu verschlüsseln](UsingWithRDS.SSL.md)
+ [Ihr SSL/TLS Zertifikat rotieren](UsingWithRDS.SSL-certificate-rotation.md)
# Verschlüsseln von Amazon Aurora-Ressourcen
Amazon Aurora schützt Ihre Daten sowohl im Ruhezustand als auch während der Übertragung — unabhängig davon, ob sie zwischen lokalen Clients und Amazon Aurora oder zwischen Amazon Aurora und anderen Ressourcen übertragen werden. AWS Amazon Aurora verschlüsselt alle Benutzerdaten in Ihren Amazon Aurora Aurora-DB-Clustern, einschließlich Protokollen, automatisierten Backups und Snapshots.
Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon Aurora die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.
**Anmerkung**
Bei verschlüsselten und unverschlüsselten werden Daten, die zwischen der Quelle und den gelesenen Repliken übertragen werden, verschlüsselt, auch wenn sie regionsübergreifend repliziert werden. AWS
**Topics**
+ [Überblick über die Verschlüsselung in Amazon Aurora Aurora-Ressourcen](#Overview.Encryption.Overview)
+ [Verschlüsseln eines Amazon-Aurora-DB-Clusters](#Overview.Encryption.Enabling)
+ [Bestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert ist](#Overview.Encryption.Determining)
+ [Verfügbarkeit der Amazon Aurora-Verschlüsselung](#Overview.Encryption.Availability)
+ [Verschlüsselung während der Übertragung](#Overview.Encryption.InTransit)
+ [Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern](#Overview.Encryption.Limitations)
## Überblick über die Verschlüsselung in Amazon Aurora Aurora-Ressourcen
Amazon Aurora-verschlüsselte DB-Cluster bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Alle neuen Datenbank-Cluster, die am oder nach dem 18. Februar 2026, dem in Amazon Aurora erstellt wurden, werden im Ruhezustand mit der branchenüblichen AES-256-Verschlüsselung verschlüsselt. Diese Verschlüsselung erfolgt automatisch im Hintergrund und schützt Ihre Daten, ohne dass Sie etwas unternehmen müssen. Sie trägt auch dazu bei, den betrieblichen Aufwand und die Komplexität beim Schutz sensibler Daten zu reduzieren. Mit Encryption at Rest können Sie Compliance- und sicherheitskritische Anwendungen sowohl vor versehentlichen als auch vor böswilligen Bedrohungen schützen und gleichzeitig die gesetzlichen Anforderungen erfüllen.
Amazon Aurora verwendet einen AWS Key Management Service Schlüssel, um diese Ressourcen zu verschlüsseln. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Beim Erstellen eines neuen Datenbank-Clusters verwendet Amazon Aurora standardmäßig serverseitige Verschlüsselung (SSE) mit einem [AWS eigenen Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-key). Sie können jedoch je nach Ihren Sicherheits- und Compliance-Anforderungen aus drei Verschlüsselungstypen wählen:
+ **AWS eigener Schlüssel (SSE-RDS)** — Ein vollständig AWS kontrollierter Verschlüsselungsschlüssel, den Sie nicht einsehen oder verwalten können und der von Aurora automatisch für die Standardverschlüsselung verwendet wird.
+ **AWS verwalteter Schlüssel (AMK)** — Dieser Schlüssel wird von Ihrem Konto erstellt und verwaltet AWS und ist dort sichtbar, aber nicht anpassbar. Es gibt keine monatliche Gebühr, aber es fallen AWS KMS API-Gebühren an.
+ **Vom Kunden verwalteter Schlüssel (CMK)** — Der Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den KMS-Schlüssel (es AWS KMS fallen Gebühren an).
AWS Bei verwalteten Schlüsseln handelt es sich um eine ältere Verschlüsselungsoption, die aus Gründen der Abwärtskompatibilität weiterhin verfügbar ist. Amazon Aurora verwendet AWS standardmäßig eigene Schlüssel zur Verschlüsselung Ihrer Daten und bietet so einen starken Sicherheitsschutz ohne zusätzliche Kosten oder Verwaltungsaufwand. Für die meisten Anwendungsfälle empfehlen wir, entweder den standardmäßigen AWS eigenen Schlüssel aus Gründen der Einfachheit und Kosteneffizienz oder einen vom Kunden verwalteten Schlüssel (CMK) zu verwenden, wenn Sie die volle Kontrolle über Ihre Verschlüsselungsschlüssel benötigen. Weitere Informationen zu Schlüsseltypen finden Sie unter Vom [Kunden verwaltete Schlüssel und AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
**Anmerkung**
**Wichtig:** Für Quelldatenbank-Instances oder Cluster, die vor dem 18. Februar 2026 — dem 2026 erstellt wurden und bei denen Sie sich nicht für die Verschlüsselung entschieden haben, bleiben Snapshots, Klone und Amazon Aurora Aurora-Replicas (Leseinstanz), die aus diesen Quellen erstellt wurden, unverschlüsselt. Wiederherstellungsvorgänge und logische Replikation außerhalb des Amazon Aurora Aurora-Clusters erzeugen jedoch verschlüsselte Instances.
Bei einem mit Amazon Aurora verschlüsselten DB-Cluster werden alle DB-Instances, Protokolle, Backups und Snapshots verschlüsselt. Weitere Informationen zur Verfügbarkeit und zu den Einschränkungen der Verschlüsselung finden Sie unter [Verfügbarkeit der Amazon Aurora-Verschlüsselung](#Overview.Encryption.Availability) und [Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern](#Overview.Encryption.Limitations).
Wenn Sie einen verschlüsselten DB-Cluster erstellen, können Sie einen vom Kunden verwalteten Schlüssel oder den Von AWS verwalteter Schlüssel Schlüssel wählen, mit dem Amazon Aurora Ihren DB-Cluster verschlüsselt. Wenn Sie die Schlüssel-ID für einen vom Kunden verwalteten Schlüssel nicht angeben, verwendet Amazon Aurora den Von AWS verwalteter Schlüssel für Ihren neuen DB-Cluster. Amazon Aurora erstellt eine Von AWS verwalteter Schlüssel für Amazon Aurora für Ihr AWS Konto. Ihr AWS Konto hat Von AWS verwalteter Schlüssel für Amazon Aurora für jede AWS Region ein anderes.
Zur Verwaltung der kundenseitig verwalteten Schlüssel, die zum Ver- und Entschlüsseln Ihrer Amazon-Aurora-Ressourcen dienen, verwenden Sie die [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/).
Mithilfe von AWS KMS können Sie vom Kunden verwaltete Schlüssel erstellen und die Richtlinien definieren, um die Verwendung dieser vom Kunden verwalteten Schlüssel zu kontrollieren. AWS KMS unterstützt CloudTrail, sodass Sie die Verwendung von KMS-Schlüsseln überprüfen können, um sicherzustellen, dass vom Kunden verwaltete Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre vom Kunden verwalteten Schlüssel mit Amazon Aurora und unterstützten AWS Diensten wie Amazon S3, Amazon EBS und Amazon Redshift verwenden. Eine Liste der Dienste, die integriert sind, finden Sie unter AWS KMS[AWS Serviceintegration](https://aws.amazon.com/kms/features/#AWS_Service_Integration). Einige Überlegungen zur Verwendung von KMS-Schlüsseln:
+ Sobald Sie eine verschlüsselte DB-Instance erstellt haben, können Sie den von dieser Instance verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie sicher, dass Sie Ihre KMS-Schlüsselanforderungen ermitteln, bevor Sie Ihre verschlüsselte DB-Instance erstellen. Gehen Sie folgendermaßen vor, wenn Sie den Verschlüsselungsschlüssel für Ihren DB-Cluster ändern müssen:
+ Erstellen Sie einen manuellen Snapshot Ihres Clusters.
+ Stellen Sie den Snapshot wieder her und aktivieren Sie während des Wiederherstellungsvorgangs die Verschlüsselung mit dem gewünschten KMS-Schlüssel.
+ Wenn Sie einen unverschlüsselten Snapshot wiederherstellen und keine Verschlüsselung wählen, wird der erstellte Datenbankcluster mit der Standardverschlüsselung im Ruhezustand (AWS eigener Schlüssel) verschlüsselt.
+ Sie können keinen Snapshot teilen, der mit dem AWS Konto verschlüsselt wurde, das Von AWS verwalteter Schlüssel den Snapshot geteilt hat.
+ Jede DB-Instance im DB-Cluster nutzt denselben Speicher, der mit demselben KMS-Schlüssel verschlüsselt ist.
**Wichtig**
Amazon Aurora kann den Zugriff auf den KMS-Schlüssel für einen DB-Cluster verlieren, wenn Sie den KMS-Schlüssel deaktivieren. In diesen Fällen geht der verschlüsselte DB-Cluster in den `inaccessible-encryption-credentials-recoverable`-Zustand. Der DB-Cluster behält diesen Status sieben Tage lang bei, währenddessen die Instance angehalten wird. API-Aufrufe, die während dieser Zeit an den DB-Cluster getätigt wurden, sind möglicherweise nicht erfolgreich. Um den DB-Cluster wiederherzustellen, aktivieren Sie den KMS-Schlüssel und starten Sie diesen DB-Cluster neu. Sie können den KMS-Schlüssel über die AWS-Managementkonsole AWS CLI, oder RDS-API aktivieren. Starten Sie den DB-Cluster mit dem AWS CLI Befehl [start-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/start-db-cluster.html)oder neu AWS-Managementkonsole.
Der Status `inaccessible-encryption-credentials-recoverable` gilt nur für DB-Cluster, die angehalten werden können. Dieser wiederherstellbare Status gilt nicht für Instances, die nicht angehalten werden können, wie Cluster mit regionsübergreifenden Lesereplikaten. Weitere Informationen finden Sie unter [Einschränkungen für das Stoppen und Starten eines Aurora-DB-Clusters](aurora-cluster-stop-start.md#aurora-cluster-stop-limitations).
Wenn der DB-Cluster nicht innerhalb von sieben Tagen wiederhergestellt wird, wechselt er in den Terminalstatus `inaccessible-encryption-credentials`. In diesem Status ist der DB-Cluster nicht mehr nutzbar und kann nur über eine Sicherung wiederhergestellt werden. Wir empfehlen dringend, dass Sie immer Backups aktivieren, um den Verlust von Daten in Ihren Datenbanken zu verhindern.
Bei der Erstellung eines DB-Clusters überprüft Aurora, ob der aufrufende Prinzipal Zugriff auf den KMS-Schlüssel hat, und generiert aus dem KMS-Schlüssel eine Berechtigung, die für die gesamte Lebensdauer des DB-Clusters verwendet wird. Das Widerrufen des Zugriffs des aufrufenden Prinzipals auf den KMS-Schlüssel hat keine Auswirkungen auf eine laufende Datenbank. Wenn KMS-Schlüssel in kontoübergreifenden Szenarien verwendet werden, z. B. beim Kopieren eines Snapshots in ein anderes Konto, muss der KMS-Schlüssel für das andere Konto freigegeben werden. Wenn Sie aus dem Snapshot einen DB-Cluster erstellen, ohne einen anderen KMS-Schlüssel anzugeben, verwendet der neue Cluster den KMS-Schlüssel aus dem Quellkonto. Das Widerrufen des Zugriffs auf den Schlüssel nach dem Erstellen des DB-Clusters hat keine Auswirkungen auf den Cluster. Die Deaktivierung des Schlüssels wirkt sich jedoch auf alle DB-Cluster aus, die mit diesem Schlüssel verschlüsselt wurden. Um dies zu verhindern, geben Sie während des Snapshot-Kopiervorgangs einen anderen Schlüssel an.
Weitere Informationen über KMS-Schlüssel finden Sie unter [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) im *Entwicklerhandbuch zu AWS Key Management Service * und in [AWS KMS key Verwaltung](Overview.Encryption.Keys.md).
## Verschlüsseln eines Amazon-Aurora-DB-Clusters
Alle neuen DB-Cluster, die am oder nach dem 18. Februar 2026 erstellt wurden, werden standardmäßig mit einem AWS eigenen Schlüssel verschlüsselt.
Um einen neuen DB-Cluster mithilfe Von AWS verwalteter Schlüssel eines vom Kunden verwalteten Schlüssels zu verschlüsseln, wählen Sie die Option auf der Konsole aus. Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter [Erstellen eines Amazon Aurora-DB Clusters](Aurora.CreateInstance.md).
Wenn Sie den [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html) AWS CLI Befehl verwenden, um einen verschlüsselten DB-Cluster zu erstellen, legen Sie den `--storage-encrypted` Parameter fest. Wenn Sie den Vorgang [Create DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) API verwenden, setzen Sie den `StorageEncrypted` Parameter auf true.
Sobald Sie einen verschlüsselten DB-Cluster erstellt haben, können Sie den von diesem DB-Cluster verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS-Schlüsselanforderungen bestimmen, bevor Sie Ihren verschlüsselten DB-Cluster erstellen.
Wenn Sie den AWS CLI `create-db-cluster` Befehl verwenden, um einen verschlüsselten DB-Cluster mit einem vom Kunden verwalteten Schlüssel zu erstellen, legen Sie den `--kms-key-id` Parameter auf eine beliebige Schlüssel-ID für den KMS-Schlüssel fest. Wenn Sie den Vorgang Amazon RDS API `CreateDBInstance` verwenden, setzen Sie den Parameter `KmsKeyId` auf einen beliebigen Schlüsselbezeichner für den KMS-Schlüssel. Um einen vom Kunden verwalteten Schlüssel in einem anderen AWS Konto zu verwenden, geben Sie den Schlüssel-ARN oder den Alias-ARN an.
## Bestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert ist
Sie können die AWS-Managementkonsole, oder RDS-API verwenden AWS CLI, um festzustellen, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist.
### Konsole
**So ermitteln Sie, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie den Namen des DB-Clusters aus, den Sie überprüfen möchten, um dessen Details anzuzeigen.
1. Wählen Sie die Registerkarte **Konfiguration** aus und überprüfen Sie den Wert für die **Verschlüsselung**.
![\[Überprüfen der ruhenden Verschlüsselung für einen DB-Cluster\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/encryption-aurora-instance.png)
### AWS CLI
Rufen Sie den [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html)Befehl mit der folgenden Option auf, um zu ermitteln AWS CLI, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist:
+ `--db-cluster-identifier` – der Name des DB-Clusters.
Im folgenden Beispiel wird eine Abfrage verwendet, um entweder `TRUE` oder `FALSE` bezüglich der Verschlüsselung im Ruhezustand für den `mydb` DB-Cluster zurückzugeben.
**Example**
```
1. aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text
```
### RDS-API
Um mithilfe der Amazon RDS-API zu ermitteln, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist, rufen Sie den DBClusters Vorgang [Describe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBClusters.html) mit dem folgenden Parameter auf:
+ `DBClusterIdentifier` – der Name des DB-Clusters.
## Verfügbarkeit der Amazon Aurora-Verschlüsselung
Die Amazon Aurora-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.
**Anmerkung**
Die Amazon Aurora-Verschlüsselung ist für die DB-Instance-Klasse db.t2.micro nicht verfügbar.
## Verschlüsselung während der Übertragung
**Verschlüsselung auf der physischen Ebene**
Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Datenverkehr zwischen beiden AZs ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten möglicherweise zusätzlichen Schutz.
**Verschlüsselung durch Amazon VPC-Peering und regionsübergreifendes Transit Gateway Gateway-Peering**
Der gesamte regionsübergreifende Datenverkehr, der Amazon-VPC- und Transit-Gateway-Peering verwendet, wird automatisch massenverschlüsselt, wenn er eine Region verlässt. Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er gesicherte Einrichtungen verlässt. AWS
**Verschlüsselung zwischen Instanzen**
AWS bietet sichere und private Konnektivität zwischen DB-Instances aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet AEAD-Algorithmen (Authenticated Encryption with Associated Data) mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:
+ Die Instances verwenden die folgenden Instance-Typen:
+ **Allgemeiner Zweck**: M6i, M6id, M6in, M6idn, M7g
+ **Speicheroptimiert**: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn
+ Die Instances befinden sich in derselben AWS-Region.
+ Die Instances befinden sich in derselben VPC oder per Peering VPCs, und der Datenverkehr wird nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst wie einen Load Balancer oder ein Transit-Gateway geleitet.
## Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern
Folgende Einschränkungen bestehen für Amazon Aurora-verschlüsselte DB-Cluster:
+ Sie können die Verschlüsselung für einen verschlüsselten DB-Cluster nicht deaktivieren.
+ Wenn Sie bereits über einen unverschlüsselten Cluster verfügen, werden alle von diesem Cluster erstellten Snapshots ebenfalls unverschlüsselt. Um einen verschlüsselten Snapshot aus einem unverschlüsselten Cluster zu erstellen, müssen Sie den Snapshot kopieren und während des Kopiervorgangs einen vom Kunden verwalteten Schlüssel angeben. Sie können keinen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot erstellen, ohne einen vom Kunden verwalteten Schlüssel anzugeben.
+
+ Ein Snapshot eines verschlüsselten DB-clusters muss mit demselben KMS-Schlüssel verschlüsselt werden wie der DB-cluster.
+ Unverschlüsselte DB-Cluster können nicht in verschlüsselte umgewandelt werden. Sie können jedoch einen unverschlüsselten Snapshot in einen verschlüsselten Aurora-DB-Cluster wiederherstellen. Geben Sie dazu bei der Wiederherstellung aus dem unverschlüsselten Snapshot einen KMS-Schlüssel an.
+ Wenn Sie bereits über einen unverschlüsselten Cluster verfügen, wird jedes Amazon Aurora Aurora-Replikat (Leseinstanz), das aus diesem Cluster erstellt wurde, ebenfalls unverschlüsselt. Um einen verschlüsselten Cluster aus einem unverschlüsselten Cluster zu erstellen, müssen Sie den Datenbank-Cluster wiederherstellen. Der wiederhergestellte Cluster wird nach dem Wiederherstellungsvorgang standardmäßig verschlüsselt.
+ Um einen verschlüsselten Snapshot von einer AWS Region in eine andere zu kopieren, müssen Sie den KMS-Schlüssel in der AWS Zielregion angeben. Dies liegt daran, dass KMS-Schlüssel für die AWS Region spezifisch sind, in der sie erstellt wurden.
Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon Aurora verwendet Envelope-Verschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Sie können eine(n) verschlüsselte(n) DB-Cluster nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Cluster exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Cluster importieren.
# AWS KMS key Verwaltung
Amazon Aurora wird automatisch zur Schlüsselverwaltung in [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/) integriert. Amazon Aurora verwendet eine Umschlagverschlüsselung. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service -Entwicklerhandbuch*.
Sie können zwei Arten von AWS KMS Schlüsseln verwenden, um Ihre zu verschlüsseln.
+ Wenn Sie die volle Kontrolle über einen KMS-Schlüssel haben möchten, müssen Sie einen *kundenseitig verwalteten Schlüssel* erstellen. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter [Kundenverwaltete ](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)Schlüssel im *AWS Key Management Service Developer Guide*.
+ *Von AWS verwaltete Schlüssel*sind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden. AWS KMS Standardmäßig wird der RDS- Von AWS verwalteter Schlüssel (`aws/rds`) für die Verschlüsselung verwendet. Sie können den RDS nicht verwalten, rotieren oder löschen Von AWS verwalteter Schlüssel. Weitere Informationen zu Von AWS verwaltete Schlüssel finden Sie [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)im *AWS Key Management Service Entwicklerhandbuch*.
Um KMS-Schlüssel zu verwalten, die für Amazon Aurora Aurora-verschlüsselte verwendet werden, verwenden Sie [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/) in der [AWS KMS Konsole](https://console.aws.amazon.com/kms) AWS CLI, die oder die AWS KMS API. Verwenden Sie zur Anzeige von Audit-Protokollen für jede Aktion, die mit einem AWS -verwalteten oder kundenverwalteten Schlüssel durchgeführt wurde [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/). Weitere Informationen zum Rotieren der Schlüssel finden Sie unter [Rotieren von AWS KMS -Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
## Autorisieren der Verwendung eines kundenverwalteten Schlüssels
Wenn Aurora einen kundenseitig verwalteten Schlüssel für kryptografische Vorgänge verwendet, handelt es im Namen des Benutzers, der die Aurora-Ressource erstellt oder ändert.
Wenn Sie eine Aurora-Ressource mit einem kundenseitig verwalteten Schlüssel erstellen möchten, müssen Sie über die Berechtigung verfügen, die folgenden Vorgänge für den kundenseitig verwalteten Schlüssel aufzurufen:
+ `kms:CreateGrant`
+ `kms:DescribeKey`
Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.
**Wichtig**
Wenn Sie explizite Deny-Statements für alle Ressourcen (\$1) in AWS KMS wichtigen Richtlinien mit verwalteten Services wie Amazon RDS verwenden, müssen Sie eine Bedingung angeben, um das Konto, das die Ressource besitzt, zuzulassen. Ohne diese Bedingung können Vorgänge fehlschlagen, auch wenn die Zugriffsverweigerungsregel Ausnahmen für Ihren IAM-Benutzer enthält.
**Tipp**
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den [ViaService Bedingungsschlüssel kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service), damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.
Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Wenn Sie beispielsweise zulassen möchten, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in Aurora haben, verwenden Sie den [ kms:ViaService Bedingungsschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) mit dem `rds..amazonaws.com` Wert. Sie können auch die Schlüssel oder Werte im [Amazon-RDS-Verschlüsselungskontext](#Overview.Encryption.Keys.encryptioncontext) als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.
Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) im *AWS Key Management Service -Entwicklerhandbuch* und unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies).
## Amazon-RDS-Verschlüsselungskontext
Wenn Aurora Ihren KMS-Schlüssel verwendet oder Amazon EBS den KMS-Schlüssel im Namen von Aurora verwendet, gibt der Service einen [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) an. Der Verschlüsselungskontext besteht aus [zusätzlichen authentifizierten Daten](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD), die zur Sicherstellung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird zudem in Ihre [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)-Protokolle geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines KMS-Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.
Aurora gibt als Verschlüsselungskontext immer mindestens die ID der des CB-Clusters an, wie im folgenden Beispiel im JSON-Format gezeigt:
```
{ "aws:rds:dbc-id": "cluster-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
```
Anhand dieses Verschlüsselungskontexts können Sie herausfinden, für welchen DB-Cluster der KMS-Schlüssel verwendet wurde.
Wird Ihr KMS-Schlüssel für einen bestimmten DB-Cluster und ein bestimmtes Amazon-EBS-Volume verwendet, werden die ID des DB-Clusters und die ID des EBS-Volumes als Verschlüsselungskontext angegeben, wie im folgenden Beispiel im JSON-Format gezeigt:
```
{
"aws:rds:dbc-id": "cluster-BRG7VYS3SVIFQW7234EJQOM5RQ",
"aws:ebs:id": "vol-ad8c6542"
}
```
# Wird verwendet SSL/TLS , um eine Verbindung zu einer zu verschlüsseln
Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einem DB-Cluster zu verschlüsseln, der mit Aurora MySQL oder Aurora PostgreSQL läuft.
SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem Daten verschlüsselt werden, die zwischen Ihrem Client und einer DB- Cluster verschoben werden. Optional kann Ihre SSL/TLS Verbindung die Serveridentität überprüfen, indem das in Ihrer Datenbank installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:
1. Wählen Sie die **Zertifizierungsstelle (Certificate Authority, CA)** aus, die das **DB-Serverzertifikat** für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter[Zertifizierungsstellen](#UsingWithRDS.SSL.RegionCertificateAuthorities).
1. Laden Sie ein Zertifikatpaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Weitere Informationen zum Herunterladen eines Zertifikatpakets finden Sie unter [Zertifikatspakete von AWS-Region](#UsingWithRDS.SSL.CertificatesAllRegions) .
**Anmerkung**
Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.
1. Connect Sie mithilfe des Prozesses Ihrer DB-Engine zur Implementierung von SSL/TLS Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat ihren eigenen Prozess zur Implementierung SSL/TLS. To learn how to implement SSL/TLS für Ihre Datenbank. Folgen Sie dem Link, der Ihrer DB-Engine entspricht:
+ [Sicherheit in Amazon Aurora MySQL](AuroraMySQL.Security.md)
+ [Sicherheit in Amazon Aurora PostgreSQL](AuroraPostgreSQL.Security.md)
## Zertifizierungsstellen
Die **Zertifizierungsstelle (CA)** ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das **DB-Serverzertifikat**. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.
![\[Übersicht über Zertifizierungsstellen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/certificate-authority-overview.png)
Amazon RDS bietet Folgendes CAs , um das DB-Serverzertifikat für eine Datenbank zu signieren.
****
| Zertifizierungsstelle (Certificate authority, CA) | Description | Allgemeiner Name (CN) |
| --- | --- | --- |
| rds-ca-rsa2048-g1 | Verwendet in den meisten Fällen eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und SHA256 einem Signaturalgorithmus. AWS-Regionen In der AWS GovCloud (US) Regions verwendet diese Zertifizierungsstelle eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und einem Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA RSA2048 G1 |
| rds-ca-rsa4096-g1 | Verwendet eine Zertifizierungsstelle mit RSA 4096-Algorithmus und Signaturalgorithmus für private Schlüssel. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA RSA4096 G1 |
| rds-ca-ecc384-g1 | Verwendet eine Zertifizierungsstelle mit ECC 384-Algorithmus für private Schlüssel und Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA ECC384 G1 |
**Anmerkung**
[Wenn Sie das verwenden AWS CLI, können Sie die Gültigkeiten der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-certificates.html)
Diese CA-Zertifikate sind im regionalen und globalen Zertifikatpakets enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.
### Einstellung der CA für Ihre Datenbank
Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:
+ Einen Aurora-DB-Cluster erstellen — Sie können die CA für eine DB-Instance in einem Aurora-Cluster festlegen, wenn Sie die erste DB-Instance im DB-Cluster mithilfe der AWS CLI oder RDS-API erstellen. Derzeit können Sie die CA für die DB-Instances in einem DB-Cluster nicht einstellen, wenn Sie den DB-Cluster über die RDS-Konsole erstellen. Entsprechende Anleitungen finden Sie unter [Erstellen eines Amazon Aurora-DB Clusters](Aurora.CreateInstance.md) .
+ Eine DB-Instance ändern – Sie können die CA für eine DB-Instance in einem DB-Cluster festlegen, indem Sie sie ändern. Entsprechende Anleitungen finden Sie unter [Ändern einer DB-Instance in einem DB-Cluster](Aurora.Modifying.md#Aurora.Modifying.Instance) .
**Anmerkung**
Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. [Sie können die Standard-CA für Sie überschreiben, AWS-Konto indem Sie den Befehl modify-certificates verwenden.](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-certificates.html)
Die verfügbaren Optionen CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die verwenden AWS-Managementkonsole, können Sie die Zertifizierungsstelle mithilfe der Einstellung **Zertifizierungsstelle** auswählen, wie in der folgenden Abbildung dargestellt.
![\[Option „Certificate authority“ (Zertifizierungsstelle)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/certificate-authority.png)
In der Konsole werden nur die angezeigt CAs , die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)Befehl [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)or festlegen.
Wenn Sie den verwenden AWS CLI, können Sie mit dem Befehl [describe-certificates](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-certificates.html) die CAs für Ihr Konto verfügbaren Werte anzeigen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in `ValidTill` an. Mithilfe des Befehls können Sie herausfinden CAs , welche für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. [describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)
Das folgende Beispiel zeigt die für die Standardversion der RDS for PostgreSQL DB-Engine CAs verfügbare Version.
```
aws rds describe-db-engine-versions --default-only --engine postgres
```
Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter aufgeführt. `SupportedCACertificateIdentifiers` Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in `SupportsCertificateRotationWithoutRestart` unterstützt.
```
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
```
### Gültigkeiten von DB-Serverzertifikaten
Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.
Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter [Automatische Rotation von Serverzertifikaten](UsingWithRDS.SSL-certificate-rotation.md#UsingWithRDS.SSL-certificate-rotation-server-cert-rotation).
### Anzeigen der CA für Ihre DB-Instance
Sie können die Details zur CA für eine Datenbank anzeigen, indem Sie die Registerkarte **Konnektivität und Sicherheit** in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.
![\[Details zur Zertifizierungsstelle\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/certificate-authority-details.png)
Wenn Sie die verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mithilfe des [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)Befehls anzeigen.
## Zertifikatspakete für herunterladen
Wenn Sie mit SSL oder TLS eine Verbindung zu Ihrer Datenbank herstellen, benötigt die Datenbank-Instance ein Vertrauenszertifikat von Amazon RDS. Wählen Sie den entsprechenden Link in der folgenden Tabelle aus, um das Paket herunterzuladen, das der AWS-Region entspricht, in der Sie Ihre Datenbank hosten.
### Zertifikatspakete von AWS-Region
Die Zertifikatspakete für alle Regionen AWS-Regionen und GovCloud (USA) enthalten die folgenden Root-CA-Zertifikate:
+ `rds-ca-rsa2048-g1`
+ `rds-ca-rsa4096-g1`
+ `rds-ca-ecc384-g1`
Die Zertifikate `rds-ca-rsa4096-g1` und `rds-ca-ecc384-g1` sind in den folgenden Regionen nicht verfügbar:
+ Asien-Pazifik (Mumbai)
+ Asien-Pazifik (Melbourne)
+ Kanada West (Calgary)
+ Europa (Zürich)
+ Europa (Spain)
+ Israel (Tel Aviv)
Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren. Registrieren Sie die CA-Zwischenzertifikate nicht in Ihrem Trust Store, da dies zu Verbindungsproblemen führen kann, wenn RDS Ihr DB-Serverzertifikat automatisch rotiert.
**Anmerkung**
Amazon RDS Proxy and Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS-Proxy verwenden, müssen Sie keine Amazon-RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter [Verwendung TLS/SSL mit RDS Proxy](rds-proxy.howitworks.md#rds-proxy-security.tls).
Wenn Sie Aurora Serverless v1 verwenden, ist das Herunterladen von Amazon-RDS-Zertifikaten nicht erforderlich. Weitere Informationen finden Sie unter [Verwenden mit TLS/SSL Aurora Serverless v1](aurora-serverless.md#aurora-serverless.tls).
Um ein Zertifikatspaket für einen herunterzuladen AWS-Region, wählen Sie in der folgenden Tabelle den Link für den Server aus AWS-Region , der Ihre Datenbank hostet.
| **AWS Region** | **Zertifikat-Paket (PEM)** | **Zertifikatspaket (PKCS7)** |
| --- | --- | --- |
| Irgendein kommerzieller AWS-Region | [global-bundle.pem](https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem) | [global-bundle.p7b](https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b) |
| USA Ost (Nord-Virginia) | [us-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-east-1/us-east-1-bundle.pem) | [us-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-east-1/us-east-1-bundle.p7b) |
| US East (Ohio) | [us-east-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-east-2/us-east-2-bundle.pem) | [us-east-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-east-2/us-east-2-bundle.p7b) |
| USA West (Nordkalifornien) | [us-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-west-1/us-west-1-bundle.pem) | [us-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-west-1/us-west-1-bundle.p7b) |
| USA West (Oregon) | [us-west-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-west-2/us-west-2-bundle.pem) | [us-west-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-west-2/us-west-2-bundle.p7b) |
| Africa (Cape Town) | [af-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/af-south-1/af-south-1-bundle.pem) | [af-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/af-south-1/af-south-1-bundle.p7b) |
| Asia Pacific (Hong Kong) | [ap-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-east-1/ap-east-1-bundle.pem) | [ap-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-east-1/ap-east-1-bundle.p7b) |
| Asien-Pazifik (Hyderabad) | [ap-south-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-south-2/ap-south-2-bundle.pem) | [ap-south-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-south-2/ap-south-2-bundle.p7b) |
| Asien-Pazifik (Jakarta) | [ap-southeast-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-3/ap-southeast-3-bundle.pem) | [ap-southeast-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-3/ap-southeast-3-bundle.p7b) |
| Asien-Pazifik (Malaysia) | [ap-southeast-5-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-5/ap-southeast-5-bundle.pem) | [ap-southeast-5-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-5/ap-southeast-5-bundle.p7b) |
| Asien-Pazifik (Melbourne) | [ap-southeast-4-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-4/ap-southeast-4-bundle.pem) | [ap-southeast-4-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-4/ap-southeast-4-bundle.p7b) |
| Asien-Pazifik (Mumbai) | [ap-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-south-1/ap-south-1-bundle.pem) | [ap-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-south-1/ap-south-1-bundle.p7b) |
| Asia Pacific (Osaka) | [ap-northeast-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-3/ap-northeast-3-bundle.pem) | [ap-northeast-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-3/ap-northeast-3-bundle.p7b) |
| Asien-Pazifik (Thailand) | [ap-southeast-7-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-7/ap-southeast-7-bundle.pem) | [ap-southeast-7-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-7/ap-southeast-7-bundle.p7b) |
| Asien-Pazifik (Tokio) | [ap-northeast-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-1/ap-northeast-1-bundle.pem) | [ap-northeast-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-1/ap-northeast-1-bundle.p7b) |
| Asia Pacific (Seoul) | [ap-northeast-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-2/ap-northeast-2-bundle.pem) | [ap-northeast-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-2/ap-northeast-2-bundle.p7b) |
| Asien-Pazifik (Singapur) | [ap-southeast-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-1/ap-southeast-1-bundle.pem) | [ap-southeast-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-1/ap-southeast-1-bundle.p7b) |
| Asien-Pazifik (Sydney) | [ap-southeast-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-2/ap-southeast-2-bundle.pem) | [ap-southeast-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-2/ap-southeast-2-bundle.p7b) |
| Canada (Central) | [ca-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ca-central-1/ca-central-1-bundle.pem) | [ca-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ca-central-1/ca-central-1-bundle.p7b) |
| Kanada West (Calgary) | [ca-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ca-west-1/ca-west-1-bundle.pem) | [ca-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ca-west-1/ca-west-1-bundle.p7b) |
| Europa (Frankfurt) | [eu-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-central-1/eu-central-1-bundle.pem) | [eu-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-central-1/eu-central-1-bundle.p7b) |
| Europa (Irland) | [eu-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-1/eu-west-1-bundle.pem) | [eu-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-1/eu-west-1-bundle.p7b) |
| Europe (London) | [eu-west-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-2/eu-west-2-bundle.pem) | [eu-west-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-2/eu-west-2-bundle.p7b) |
| Europe (Milan) | [eu-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-south-1/eu-south-1-bundle.pem) | [eu-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-south-1/eu-south-1-bundle.p7b) |
| Europe (Paris) | [eu-west-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-3/eu-west-3-bundle.pem) | [eu-west-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-3/eu-west-3-bundle.p7b) |
| Europa (Spain) | [eu-south-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-south-2/eu-south-2-bundle.pem) | [eu-south-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-south-2/eu-south-2-bundle.p7b) |
| Europa (Stockholm) | [eu-north-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-north-1/eu-north-1-bundle.pem) | [eu-north-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-north-1/eu-north-1-bundle.p7b) |
| Europa (Zürich) | [eu-central-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-central-2/eu-central-2-bundle.pem) | [eu-central-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-central-2/eu-central-2-bundle.p7b) |
| Israel (Tel Aviv) | [il-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/il-central-1/il-central-1-bundle.pem) | [il-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/il-central-1/il-central-1-bundle.p7b) |
| Mexiko (Zentral) | [mx-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/mx-central-1/mx-central-1-bundle.pem) | [mx-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/mx-central-1/mx-central-1-bundle.p7b) |
| Middle East (Bahrain) | [me-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/me-south-1/me-south-1-bundle.pem) | [me-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/me-south-1/me-south-1-bundle.p7b) |
| Naher Osten (VAE) | [me-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/me-central-1/me-central-1-bundle.pem) | [me-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/me-central-1/me-central-1-bundle.p7b) |
| Südamerika (São Paulo) | [sa-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/sa-east-1/sa-east-1-bundle.pem) | [sa-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/sa-east-1/sa-east-1-bundle.p7b) |
| Irgendein s AWS GovCloud (US) Region | [global-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem) | [global-bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b) |
| AWS GovCloud (US-Ost) | [us-gov-east-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem) | [us-gov-east-1-Bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.p7b) |
| AWS GovCloud (US-West) | [us-gov-west-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem) | [us-gov-west-1-Bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.p7b) |
### Anzeigen des Inhalts Ihres CA-Zertifikats
Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatpakets zu überprüfen:
```
keytool -printcert -v -file global-bundle.pem
```
# Ihr SSL/TLS Zertifikat rotieren
Die Zertifikate der Amazon-RDS-Zertifizierungsstelle rds-ca-2019 sind im August 2024 abgelaufen. Wenn Sie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) mit Zertifikatsüberprüfung verwenden oder dies planen, um eine Verbindung zu Ihren RDS-DB-Instances herzustellen, sollten Sie die Verwendung eines der neuen CA-Zertifikate rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder 384-g1 in Betracht ziehen. rds-ca-ecc Wenn Sie derzeit keine Zertifikatsverifizierung verwenden SSL/TLS , haben Sie möglicherweise immer noch ein abgelaufenes CA-Zertifikat und müssen es auf ein neues CA-Zertifikat aktualisieren, wenn Sie es SSL/TLS mit der Zertifikatsverifizierung verwenden möchten, um eine Verbindung zu Ihren RDS-Datenbanken herzustellen.
Amazon RDS bietet neue CA-Zertifikate als bewährte AWS Sicherheitsmethode. Informationen zu den neuen Zertifikaten und den unterstützten AWS Regionen finden Sie unter[Wird verwendet SSL/TLS , um eine Verbindung zu einer zu verschlüsseln](UsingWithRDS.SSL.md).
Verwenden Sie die folgenden Methoden, um das CA-Zertifikat für Ihre Datenbank zu aktualisieren:
+ [Aktualisieren des CA-Zertifikats durch Ändern der DB-Instance](#UsingWithRDS.SSL-certificate-rotation-updating)
+ [Aktualisieren des CA-Zertifikats durch Anwenden der Wartung](#UsingWithRDS.SSL-certificate-rotation-maintenance-update)
Bevor Sie Ihre DB-Instances zur Verwendung des neuen CA-Zertifikats aktualisieren, stellen sie sicher, dass Sie Ihre Clients oder Anwendungen aktualisieren, die eine Verbindung mit Ihren RDS-Datenbanken herstellen.
## Überlegungen zur Rotation von Zertifikaten
Beachten Sie die folgenden Situationen, bevor Sie Ihr Zertifikat rotieren:
+ Amazon RDS Proxy and Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie beim Rotieren Ihres SSL/TLS Zertifikats keine Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter [Verwendung TLS/SSL mit RDS Proxy](rds-proxy.howitworks.md#rds-proxy-security.tls).
+ Wenn Sie Aurora Serverless v1 verwenden, ist das Herunterladen von Amazon-RDS-Zertifikaten nicht erforderlich. Weitere Informationen finden Sie unter [Verwenden mit TLS/SSL Aurora Serverless v1](aurora-serverless.md#aurora-serverless.tls).
+ Wenn Sie eine Go-Anwendung der Version 1.15 mit einer DB-Instance verwenden, die vor dem 28. Juli 2020 erstellt oder auf das Zertifikat rds-ca-2019 aktualisiert wurde, müssen Sie das Zertifikat erneut aktualisieren.
Verwenden Sie den Befehl `modify-db-instance` unter Verwendung der neuen CA-Zertifikat-ID. Sie können die, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind CAs , mit dem Befehl finden. `describe-db-engine-versions`
Wenn Sie Ihre Datenbank nach dem 28. Juli 2020 erstellt oder das entsprechende Zertifikat aktualisiert haben, ist keine Aktion erforderlich. Weitere Informationen finden Sie in [ GitHub Go-Ausgabe \$139568](https://github.com/golang/go/issues/39568).
## Aktualisieren des CA-Zertifikats durch Ändern der DB-Instance
*Im folgenden Beispiel wird Ihr CA-Zertifikat von *rds-ca-2019* auf 2048-g1 aktualisiert. rds-ca-rsa* Sie können ein anderes Zertifikat wählen. Weitere Informationen finden Sie unter[Zertifizierungsstellen](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities).
Aktualisieren Sie Ihren Anwendungs-Trust-Store, um Ausfallzeiten im Zusammenhang mit der Aktualisierung Ihres CA-Zertifikats zu reduzieren. Weitere Informationen zu Neustarts in Zusammenhang mit der CA-Zertifikatrotation finden Sie unter [Automatische Rotation von Serverzertifikaten](#UsingWithRDS.SSL-certificate-rotation-server-cert-rotation).
**So aktualisieren Sie das CA-Zertifikat durch Ändern der DB-Instance**
1. Laden Sie das neue SSL/TLS Zertifikat herunter, wie unter beschrieben[Wird verwendet SSL/TLS , um eine Verbindung zu einer zu verschlüsseln](UsingWithRDS.SSL.md).
1. Aktualisieren Sie Ihre Anwendungen zur Verwendung der neuen SSL/TLS-Zertifikate.
Die Methoden zur Aktualisierung von Anträgen auf neue SSL/TLS Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL/TLS Zertifikate für Ihre Anwendungen zu aktualisieren.
Informationen zum Prüfen von SSL/TLS Verbindungen und zum Aktualisieren von Anwendungen für die einzelnen DB-Engines finden Sie in den folgenden Themen:
+ [Aktualisieren von Anwendungen, um Verbindungen mit DB-Clustern von Aurora MySQL mithilfe neuer TLS-Zertifikate herzustellen](ssl-certificate-rotation-aurora-mysql.md)
+ [Aktualisieren von Anwendungen für die Verbindung zu Aurora-PostgreSQL-DB-Clustern mit neuen SSL/TLS-Zertifikaten](ssl-certificate-rotation-aurora-postgresql.md)
Ein Beispielskript, das einen Trust Store für ein Linux-Betriebssystem aktualisiert, finden Sie unter[Beispielskript für den Import von Zertifikaten in Ihren Trust Store](#UsingWithRDS.SSL-certificate-rotation-sample-script).
**Anmerkung**
Das Zertifikatpaket enthält Zertifikate für die neue und die alte CA, damit Sie Ihre Anwendung sicher aktualisieren und die Verbindung während der Übergangsphase aufrecht erhalten können. Wenn Sie das verwenden, um eine Datenbank AWS Database Migration Service zu einer zu migrieren, empfehlen wir die Verwendung des Zertifikatspakets, um die Konnektivität während der Migration sicherzustellen.
1. **Ändern Sie die DB-Instance , um die CA von **rds-ca-2019** auf 2048-g1 zu ändern. rds-ca-rsa** Um zu überprüfen, ob Ihre Datenbank zum Aktualisieren der CA-Zertifikate neu gestartet werden muss, verwenden Sie den Befehl und überprüfen Sie das Flag. [describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)`SupportsCertificateRotationWithoutRestart`
**Anmerkung**
Starten Sie Ihren Babelfish-Cluster neu, nachdem Sie Änderungen vorgenommen haben, um das CA-Zertifikat zu aktualisieren.
**Wichtig**
Wenn nach dem Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option „Sofort anwenden“, indem Sie **Sofort anwenden** in der Konsole angeben oder die Option `--apply-immediately` mit der AWS CLI festlegen. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.
Um eine Überschreibung für Ihre Cluster-CA festzulegen, die sich von der standardmäßigen RDS-CA unterscheidet, verwenden Sie den CLI-Befehl [modify-certificates](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-certificates.html).
------
#### [ Console ]
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** und dann die DB-Instance für die Änderung aus.
1. Wählen Sie **Ändern** aus.
![\[Ändern einer DB-Instance\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-modify-aurora.png)
1. Wählen Sie im Bereich **Konnektivität** die Option **rds-ca-rsa2048-g1** aus.
![\[CA-Zertifikat auswählen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-ca-rsa2048-g1.png)
1. Klicken Sie auf **Weiter** und überprüfen Sie die Zusammenfassung aller Änderungen.
1. Wählen Sie **Sofort anwenden** aus, um die Änderungen sofort anzuwenden.
1. Überprüfen Sie auf der Bestätigungsseite Ihre Änderungen. Wenn sie korrekt sind, wählen Sie **DB-Instance ändern** oder **Cluster ändern** aus, um Ihre Änderungen zu speichern.
**Wichtig**
Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.
Oder klicken Sie auf **Zurück**, um Ihre Änderungen zu bearbeiten, oder auf **Abbrechen**, um Ihre Änderungen zu verwerfen.
------
#### [ AWS CLI ]
AWS CLI Um die CA für eine DB-Instance auf. [modify-db-instance[modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) Geben Sie die DB-Instance-Kennung und die Option `--ca-certificate-identifier` an.
Verwenden Sie den Parameter `--apply-immediately`, um das Update sofort anzuwenden. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.
**Wichtig**
Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.
**Example**
Das folgende Beispiel ändert `mydbinstance`, indem das CA-Zertifikat auf `rds-ca-rsa2048-g1` festgelegt wird.
Für Linux, macOS oder Unix:
```
aws rds modify-db-instance \
--db-instance-identifier mydbinstance \
--ca-certificate-identifier rds-ca-rsa2048-g1
```
Für Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier mydbinstance ^
--ca-certificate-identifier rds-ca-rsa2048-g1
```
Wenn Ihre Instance neu gestartet werden muss, können Sie den [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI-Befehl verwenden und die `--no-certificate-rotation-restart` Option angeben.
------
## Aktualisieren des CA-Zertifikats durch Anwenden der Wartung
Führen Sie die folgenden Schritte aus, um Ihr CA-Zertifikat durch Anwendung der Wartung zu aktualisieren.
------
#### [ Console ]
**So aktualisieren Sie Ihr CA-Zertifikat durch Anwendung der Wartung**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich die Option **Zertifikataktualisierung**.
![\[Option zur Zertifikatrotation im Navigationsbereich\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-certupdate.png)
Die Seite **Datenbanken, die eine Zertifikataktualisierung erfordern** wird angezeigt.
![\[Aktualisieren des CA-Zertifikats für die Datenbank\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-update-multiple.png)
**Anmerkung**
Auf dieser Seite werden nur die aktuellen DB-Instances angezeigt AWS-Region. Wenn Sie Datenbanken in mehr als einer haben AWS-Region, überprüfen Sie diese Seite auf jeder Seite, AWS-Region um alle DB-Instances mit alten SSL/TLS Zertifikaten zu sehen.
1. Wählen Sie die DB-Instance für die Aktualisierung aus.
Sie können die Zertifikatrotation für das nächste Wartungsfenster planen, indem Sie **Zeitplan** wählen. Wenden Sie die Rotation sofort an, indem Sie **Jetzt anwenden** wählen.
**Wichtig**
Wenn nach Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option **Jetzt anwenden**.
1.
1. Wenn Sie **Zeitplan** wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen. In dieser Aufforderung wird auch das geplante Fenster für das Update angegeben.
![\[Confirm certificate rotation (Zertifikatrotation bestätigen)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-confirm-schedule.png)
1. Wenn Sie **Jetzt anwenden** wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen.
![\[Confirm certificate rotation (Zertifikatrotation bestätigen)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/ssl-rotate-cert-confirm-now.png)
**Wichtig**
Bevor Sie die Rotation der CA-Zertifikate für Ihre Datenbank planen, aktualisieren Sie alle Client-Anwendungen, die das Serverzertifikat für die Verbindung verwenden SSL/TLS . Diese Updates sind spezifisch für Ihre DB-Engine. Nachdem Sie diese Clientanwendungen aktualisiert haben, können Sie die Rotation des CA-Zertifikats bestätigen.
Aktivieren Sie das Kontrollkästchen und klicken Sie dann auf **Confirm (Bestätigen)**, um fortzufahren.
1. Wiederholen Sie Schritt 3 und 4 für alle DB-Instances, die aktualisiert werden sollen.
------
## Automatische Rotation von Serverzertifikaten
Wenn Ihre Root-CA die automatische Rotation von Serverzertifikaten unterstützt, übernimmt RDS automatisch die Rotation des DB-Serverzertifikats. RDS verwendet dieselbe Stamm-CA für diese automatische Rotation, sodass Sie kein neues CA-Paket herunterladen müssen. Siehe [Zertifizierungsstellen](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities).
Die Rotation und Gültigkeit Ihres DB-Serverzertifikats hängen von Ihrer DB-Engine ab:
+ Wenn Ihre DB-Engine die Rotation ohne Neustart unterstützt, rotiert RDS das DB-Serverzertifikat automatisch, ohne dass Sie etwas unternehmen müssen. RDS versucht, Ihr DB-Serverzertifikat in Ihrem bevorzugten Wartungsfenster nach der Halbwertszeit des DB-Serverzertifikats zu rotieren. Das neue DB-Serverzertifikat ist 12 Monate lang gültig.
+ Wenn Ihre DB-Engine die Rotation ohne Neustart nicht unterstützt, macht Amazon RDS während der Halbwertszeit des Zertifikats oder mindestens 3 Monate vor Ablauf eine `server-certificate-rotation` ausstehende Wartungsaktion per Describe-pending-maintenance-actions API sichtbar. Sie können die Rotation mithilfe der apply-pending-maintenance-action API anwenden. Das neue DB-Serverzertifikat ist 36 Monate lang gültig.
Verwenden Sie den [ describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)Befehl und überprüfen Sie das `SupportsCertificateRotationWithoutRestart` Flag, um festzustellen, ob die DB-Engine-Version das Rotieren des Zertifikats ohne Neustart unterstützt. Weitere Informationen finden Sie unter [Einstellung der CA für Ihre Datenbank](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities.Selection).
## Beispielskript für den Import von Zertifikaten in Ihren Trust Store
Nachfolgend sind Beispiel-Shell-Skripte aufgeführt, die das Zertifikatspaket in einen Vertrauensspeicher importieren.
Jedes Beispiel-Shell-Skript verwendet keytool, das Teil des Java Development Kits (JDK) ist. Weitere Informationen über die Installation von JDK finden Sie im [JDK-Installationshandbuch](https://docs.oracle.com/en/java/javase/17/install/overview-jdk-installation.html).
------
#### [ Linux ]
Nachfolgend finden Sie ein Beispiel-Shell-Skript, das das Zertifikatpaket in einen Trust Store auf einem Linux-Betriebssystem importiert.
```
mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi truststore=${mydir}/rds-truststore.jks storepassword=changeit
curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem"> ${mydir}/global-bundle.pem
awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem
for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
echo "Importing $alias"
keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
rm $CERT
done
rm ${mydir}/global-bundle.pem
echo "Trust store content is: "
keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias
do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
echo " Certificate ${alias} expires in '$expiry'"
done
```
------
#### [ macOS ]
Es folgt ein Beispiel für ein Shell-Skript, das das Zertifikatspaket in einen Vertrauensspeicher unter macOS importiert.
```
mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi truststore=${mydir}/rds-truststore.jks storepassword=changeit
curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem"> ${mydir}/global-bundle.pem
split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca-
for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
echo "Importing $alias"
keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
rm $CERT
done
rm ${mydir}/global-bundle.pem
echo "Trust store content is: "
keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias
do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
echo " Certificate ${alias} expires in '$expiry'"
done
```
------
Weitere bewährte Methoden zur Verwendung von SSL mit Amazon RDS finden Sie unter [Best practices for successful SSL connections to Amazon RDS für Oracle](https://aws.amazon.com/blogs/database/best-practices-for-successful-ssl-connections-to-amazon-rds-for-oracle/).