Datenverschlüsselung während der Übertragung - Amazon DocumentDB
Verwalten von Cluster-TLS-Einstellungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung während der Übertragung

Sie können Transport Layer Security (TLS) verwenden, um die Verbindung zwischen Ihrer Anwendung und einem Amazon DocumentDB-Cluster zu verschlüsseln. Standardmäßig ist die Verschlüsselung bei der Übertragung für neu erstellte Amazon DocumentDB-Cluster aktiviert. Sie kann bei der Erstellung des Clusters oder zu einem späteren Zeitpunkt optional deaktiviert werden. Wenn die Verschlüsselung während der Übertragung aktiviert ist, sind sichere Verbindungen mit TLS erforderlich, um eine Verbindung mit dem Cluster herzustellen. Weitere Informationen zum Herstellen einer Verbindung zu Amazon DocumentDB über TLS finden Sie unter Programmgesteuertes Herstellen einer Verbindung zu Amazon DocumentDB.

TLS-Einstellungen für Amazon DocumentDB-Cluster verwalten

Die Verschlüsselung während der Übertragung für einen Amazon DocumentDB-Cluster wird über den TLS-Parameter in einer Cluster-Parametergruppe verwaltet. Sie können Ihre Amazon DocumentDB-Cluster-TLS-Einstellungen mit dem AWS Management Console oder dem AWS Command Line Interface (AWS CLI) verwalten. In den folgenden Abschnitten finden Sie weitere Informationen zum Überprüfen und Ändern Ihrer aktuellen TLS-Einstellungen.

Using the AWS Management Console

Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe der Konsole durchzuführen, z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.

Anmerkung

Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der default-Cluster-Parametergruppe können nicht geändert werden (z. B. tls ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine default-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Zuerst müssen Sie möglicherweise eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter Amazon DocumentDB-Cluster-Parametergruppen erstellen.

  1. Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.

    1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

    2. Klicken Sie im Navigationsbereich auf Cluster.

      Tipp

      Wenn der Navigationsbereich auf der linken Seite des Bildschirms nicht angezeigt wird, wählen Sie links oben auf der Seite das Menüsymbol () aus.

    3. Beachten Sie, dass im Cluster-Navigationsfeld in der Spalte Cluster-Identifier sowohl Cluster als auch Instances angezeigt werden. Instances werden unter Clustern aufgeführt. Sehen Sie sich den Screenshot unten als Referenz an.

      Bild des Cluster-Navigationsfeldes mit einer Liste vorhandener Cluster-Links und der entsprechenden Instance-Links.

    4. Wählen Sie den Cluster aus, an dem Sie interessiert sind.

    5. Wählen Sie die Registerkarte Konfiguration und scrollen Sie bis zum Ende der Cluster-Details und suchen Sie die Cluster-Parametergruppe. Der Name der Cluster-Parametergruppe.

      Wenn der Name der Cluster-Parametergruppe default lautet (z. B. default.docdb3.6), müssen Sie eine benutzerdefinierte Cluster-Parametergruppe erstellen und diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie hier:

      1. Amazon DocumentDB-Cluster-Parametergruppen erstellen— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.

      2. Ändern eines Amazon DocumentDB-Clusters— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.

  2. Bestimmen Sie den aktuellen Wert des tls-Cluster-Parameters.

    1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

    2. Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.

    3. Wählen Sie aus der Liste der Cluster-Parametergruppen den Namen der von Ihnen gewünschten Cluster-Parametergruppe aus.

    4. Suchen Sie den Abschnitt Cluster-Parameter. Suchen Sie in der Liste der Cluster-Parameter die Zeile des tls-Cluster-Parameters. An dieser Stelle sind die folgenden vier Spalten wichtig:

      • Cluster-Parametername — Der Name der Cluster-Parameter. Für die Verwaltung von TLS benötigen Sie den tls-Cluster-Parameter.

      • Werte — Der aktuelle Wert jedes Cluster-Parameters.

      • Zulässige Werte — Eine Liste von Werten, die auf einen Cluster-Parameter angewendet werden können.

      • Typ anwenden — Entweder statisch oder dynamisch. Änderungen an statischen Cluster-Parametern können nur übernommen werden, wenn die Instances neu gestartet werden. Änderungen an dynamischen Cluster-Parametern können entweder sofort übernommen werden oder wenn die Instances neu gestartet werden.

  3. Ändern Sie den Wert des tls-Cluster-Parameters.

    Wenn der Wert für tls nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des tls-Cluster-Parameters zu ändern, fahren Sie nach dem vorherigen Abschnitt mit folgenden Schritten fort.

    1. Wählen Sie die Schaltfläche links neben dem Namen des Cluster-Parameters (tls).

    2. Wählen Sie Bearbeiten aus.

    3. Um den Wert von zu änderntls, wählen Sie im tls Dialogfeld Ändern in der Dropdownliste den gewünschten Wert für den Cluster-Parameter aus.

      Gültige Werte für sind:

      • deaktiviert — Deaktiviert TLS

      • aktiviert — Aktiviert TLS (Version 1.0, 1.1, 1.2 und 1.3)

      • fips-140-3 — Aktiviert TLS mit FIPS. Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      Bild eines clusterspezifischen Dialogfelds „TLS modifizieren“.

    4. Wählen Sie Modify Cluster Parameter (Cluster-Parameter ändern). Die Änderung wird beim Neustart auf jede Cluster-Instance angewendet.

  4. Starten Sie die Amazon DocumentDB DocumentDB-Instance neu.

    Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird.

    1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

    2. Wählen Sie im Navigationsbereich Instances aus.

    3. Um eine Instance anzugeben, die neu gestartet werden soll, suchen Sie die Instance in der Liste der Instances und wählen Sie die Schaltfläche links neben dem Namen aus.

    4. Wählen Sie Actions (Aktionen) und dann Reboot (Neustart) aus. Bestätigen Sie, dass Sie neu starten möchten, indem Sie auf Reboot (Neustart) klicken.

Using the AWS CLI

Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe von durchzuführen AWS CLI, z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.

Anmerkung

Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der default-Cluster-Parametergruppe können nicht geändert werden (z. B. tls ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine default-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Möglicherweise müssen Sie zuerst eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter Amazon DocumentDB-Cluster-Parametergruppen erstellen.

  1. Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.

    Verwenden Sie den describe-db-clusters-Befehl mit den folgenden Parametern:

    • --db-cluster-identifier – Erforderlich. Der Name des gewünschten Clusters.

    • --query— Fakultativ. Eine Abfrage, die die Ausgabe auf die gewünschten Felder begrenzt – in diesem Fall auf den Cluster-Namen und den Namen der Cluster-Parametergruppe.

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus (JSON-Format).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Wenn der Name der Cluster-Parametergruppe default lautet (z. B. default.docdb3.6), benötigen Sie eine benutzerdefinierte Cluster-Parametergruppe und müssen diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie unter den folgenden Themen:

    1. Amazon DocumentDB-Cluster-Parametergruppen erstellen— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.

    2. Ändern eines Amazon DocumentDB-Clusters— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.

  2. Bestimmen Sie den aktuellen Wert des tls-Cluster-Parameters.

    Wenn Sie weitere Informationen zu dieser Cluster-Parametergruppe wünschen, verwenden Sie die Operation describe-db-cluster-parameters mit den folgenden Parametern.

    • --db-cluster-parameter-group-name – Erforderlich. Verwenden Sie den Namen der Cluster-Parametergruppe aus der Ausgabe des vorherigen Befehls.

    • --query— Fakultativ. Eine Abfrage, mit der die Ausgabe auf die gewünschten Felder beschränkt wird – in diesem Fall ParameterName, ParameterValue, AllowedValues und ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus (JSON-Format).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Ändern Sie den Wert des tls-Cluster-Parameters.

    Wenn der Wert für tls nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des tls-Cluster-Parameters zu ändern, verwenden Sie die Operationmodify-db-cluster-parameter-group mit den folgenden Parametern.

    • --db-cluster-parameter-group-name – Erforderlich. Der Name der zu ändernden Cluster-Parametergruppe. Dabei darf es sich nicht um eine default.*-Cluster-Parametergruppe handeln.

    • --parameters – Erforderlich. Eine Liste der zu ändernden Parameter der Cluster- Parametergruppe.

      • ParameterName – Erforderlich. Der Name des zu ändernden Cluster-Parameters.

      • ParameterValue – Erforderlich. Der neue Wert für diesen Cluster-Parameter. Muss einer der AllowedValues des Cluster-Parameters sein.

        • enabled— Der Cluster akzeptiert nur sichere Verbindungen mit TLS Version 1.0, 1.1, 1.2 oder 1.3.

        • disabled— Der Cluster akzeptiert keine sicheren Verbindungen mit TLS.

        • fips-140-3— Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      • ApplyMethod— Wann diese Änderung angewendet werden soll. Für statische Cluster-Parameter wie tle muss dieser Wert pending-reboot lauten.

        • pending-reboot— Die Änderung wird erst auf eine Instanz angewendet, nachdem sie neu gestartet wurde. Sie müssen jede Cluster-Instance einzeln neu starten, damit die Änderung für alle Instances des Clusters übernommen wird.

    Der folgende Code deaktiviert tls und übernimmt die Änderung für jede DB-Instance, wenn diese neu gestartet wird.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    Der folgende Code aktiviert tls (Version 1.0, 1.1. 1.2 und 1.3) und wendet die Änderung auf jede DB-Instance an, wenn diese neu gestartet wird.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    Der folgende Code aktiviert TLS mit und wendet die Änderung auf jede DB-Instance anfips-140-3, wenn diese neu gestartet wird.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus (JSON-Format).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Starten Sie Ihre Amazon DocumentDB DocumentDB-Instance neu.

    Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird. Um eine Amazon DocumentDB DocumentDB-Instance neu zu starten, verwenden Sie den reboot-db-instance Vorgang mit dem folgenden Parameter:

    • --db-instance-identifier – Erforderlich. Die Kennung der neu zu startenden Instance.

    Der folgende Code startet die Instance sample-db-instance neu.

    Für Linux, macOS oder Unix:

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Für Windows:

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus (JSON-Format).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Es dauert einige Minuten, bis Ihre Instance neu gestartet wird. Sie können die Instance nur verwenden, wenn ihr Status available ist. Sie können mit der Konsole oder der AWS CLI den Status der Instance überwachen. Weitere Informationen finden Sie unter Überwachung des Status einer Amazon DocumentDB DocumentDB-Instance.