Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration von SQL Serversicherheitsprotokollen und Chiffren
Sie können bestimmte Sicherheitsprotokolle und Verschlüsselungen mithilfe von DB-Parametern ein- und ausschalten. Die Sicherheitsparameter, die Sie konfigurieren können (mit Ausnahme von TLS Version 1.2), sind in der folgenden Tabelle aufgeführt.
DB-Parameter | Zulässige Werte (Standardwert in Fettdruck) | Beschreibung |
---|---|---|
rds.tls10 | Standard, aktiviert, deaktiviert | TLS1.0. |
rds.tls11 | Standard, aktiviert, deaktiviert | TLS1.1. |
rds.tls12 | default | TLS1.2. Dieser Wert kann nicht verändert werden. |
rds.fips | 0, 1 |
Wenn Sie den Parameter auf 1 setzen, wird die Verwendung von Modulen RDS erzwungen, die dem Standard 140-2 des Federal Information Processing Standard (FIPS) entsprechen. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Verwenden von SQL Server 2016 im FIPS 140-2-kompatiblen Modus |
rds.rc4 | Standard, aktiviert, deaktiviert | RC4Stream-Chiffre. |
rds.diffie-hellman | Standard, aktiviert, deaktiviert | Diffie-Hellman-Schlüsselaustausch-Verschlüsselung. |
rds. diffie-hellman-min-key-Bit-Länge | Standard, 1024, 2048, 3072, 4096 | Minimale Bitlänge für Diffie-Hellman-Schlüssel. |
rds.curve25519 | Standard, aktiviert, deaktiviert | Curve25519 Verschlüsselungsverfahren mit elliptischer Kurve. Dieser Parameter wird nicht für alle Engine-Versionen unterstützt. |
rds.3des168 | Standard, aktiviert, deaktiviert | Verschlüsselungschiffre nach dem Triple Data Encryption Standard (DES) mit einer Schlüssellänge von 168 Bit. |
Anmerkung
Für kleinere Engine-Versionen nach 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 und 12.00.6449.1 ist die Standardeinstellung für die DB-Parameter,,, und deaktiviert. rds.tls10
rds.tls11
rds.rc4
rds.curve25519
rds.3des168
Andernfalls ist die Standardeinstellung aktiviert.
Für kleinere Engine-Versionen nach 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 und 12.00.6449.1 ist die Standardeinstellung für 3072. rds.diffie-hellman-min-key-bit-length
Andernfalls ist die Standardeinstellung 2048.
Gehen Sie wie folgt vor, um die Sicherheitsprotokolle und Verschlüsselungen zu konfigurieren:
-
Erstellen Sie eine benutzerdefinierte DB-Parametergruppe.
-
Ändern Sie die Parameter in der Parametergruppe.
-
Ordnen Sie die neue DB-Parametergruppe der DB-Instance zu.
Weitere Informationen zu DB-Parametergruppen finden Sie unter Parametergruppen für Amazon RDS.
Erstellen der sicherheitsbezogenen Parametergruppe
Erstellen Sie eine Parametergruppe für Ihre sicherheitsrelevanten Parameter, die der SQL Serveredition und Version Ihrer DB-Instance entspricht.
Das folgende Verfahren erstellt eine Parametergruppe für SQL Server Standard Edition 2016.
So erstellen Sie die Parametergruppe
Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/
. -
Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.
-
Wählen Sie Create parameter group (Parametergruppe erstellen).
-
Führen Sie im Bereich Parametergruppe erstellen die folgenden Schritte aus:
-
Wählen Sie für Parametergruppenfamilie die Option sqlserver-se-13.0 aus.
-
Geben Sie unter Gruppenname einen Bezeichner für die Parametergruppe ein, z. B.
sqlserver-ciphers-se-13
. -
Geben Sie für Beschreibung den Text
Parameter group for security protocols and ciphers
ein.
-
-
Wählen Sie Create (Erstellen) aus.
Mit dem folgenden Verfahren wird eine Parametergruppe für SQL Server Standard Edition 2016 erstellt.
So erstellen Sie die Parametergruppe
-
Führen Sie einen der folgenden Befehle aus.
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds create-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --db-parameter-group-family "sqlserver-se-13.0
" \ --description "Parameter group for security protocols and ciphers
"Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --db-parameter-group-family "sqlserver-se-13.0
" ^ --description "Parameter group for security protocols and ciphers
"
Ändern von sicherheitsbezogenen Parametern
Ändern Sie die sicherheitsrelevanten Parameter in der Parametergruppe, die der SQL Serveredition und Version Ihrer DB-Instance entspricht.
Das folgende Verfahren ändert die Parametergruppe, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS Version 1.0 deaktiviert.
So ändern Sie die Parametergruppe
Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/
. -
Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.
-
Wählen Sie die Parametergruppe aus, z. B. sqlserver-ciphers-se-13.
-
Filtern Sie unter Parameter die Parameterliste nach
rds
. -
Wählen Sie Parameter bearbeiten aus.
-
Wählen Sie rds.tls10 aus.
-
Wählen Sie unter Werte die Option deaktiviert aus.
-
Wählen Sie Änderungen speichern.
Mit dem folgenden Verfahren wird die Parametergruppe geändert, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS Version 1.0 deaktiviert.
So ändern Sie die Parametergruppe
-
Führen Sie einen der folgenden Befehle aus.
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"
Zuordnen der sicherheitsbezogenen Parametergruppe zu Ihrer DB-Instance
Um die Parametergruppe mit Ihrer DB-Instance zu verknüpfen, verwenden Sie den AWS Management Console oder den AWS CLI.
Sie können die Parametergruppe einer neuen oder vorhandenen DB-Instance zuordnen:
-
Bei einer neuen DB-Instance ordnen Sie diese zu, wenn Sie die Instance starten. Weitere Informationen finden Sie unter Eine Amazon RDS DB-Instance erstellen.
-
Bei einer vorhandenen DB-Instance ordnen Sie diese zu, indem Sie die Instance ändern. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.
Sie können die Parametergruppe einer neuen oder einer vorhandenen DB-Instance zuordnen.
So erstellen Sie eine DB-Instance mit der Parametergruppe
-
Geben Sie denselben DB-Engine-Typ und dieselbe Hauptversion an, die Sie beim Erstellen der Parametergruppe verwendet haben.
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds create-db-instance \ --db-instance-identifier
mydbinstance
\ --db-instance-classdb.m5.2xlarge
\ --enginesqlserver-se
\ --engine-version13.00.5426.0.v1
\ --allocated-storage100
\ --master-user-passwordsecret123
\ --master-usernameadmin
\ --storage-typegp2
\ --license-modelli
\ --db-parameter-group-namesqlserver-ciphers-se-13
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds create-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-instance-classdb.m5.2xlarge
^ --enginesqlserver-se
^ --engine-version13.00.5426.0.v1
^ --allocated-storage100
^ --master-user-passwordsecret123
^ --master-usernameadmin
^ --storage-typegp2
^ --license-modelli
^ --db-parameter-group-namesqlserver-ciphers-se-13
Anmerkung
Geben Sie aus Sicherheitsgründen ein anderes Passwort als hier angegeben an.
So ändern Sie eine DB-Instance und ordnen die Parametergruppe zu
-
Führen Sie einen der folgenden Befehle aus.
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --db-parameter-group-namesqlserver-ciphers-se-13
\ --apply-immediatelyWählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-parameter-group-namesqlserver-ciphers-se-13
^ --apply-immediately