Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsseln von Daten während der Übertragung
Sie können Transport Layer Security (TLS) verwenden, um die Verbindung zwischen Ihrer Anwendung und einem Amazon DocumentDB-Cluster zu verschlüsseln. Standardmäßig ist die Verschlüsselung bei der Übertragung für neu erstellte Amazon DocumentDB-Cluster aktiviert. Sie kann bei der Erstellung des Clusters oder zu einem späteren Zeitpunkt optional deaktiviert werden. Wenn die Verschlüsselung während der Übertragung aktiviert ist, sind sichere Verbindungen mit TLS erforderlich, um eine Verbindung mit dem Cluster herzustellen. Weitere Informationen zum Herstellen einer Verbindung zu Amazon DocumentDB über TLS finden Sie unter [Programmgesteuertes Herstellen einer Verbindung zu Amazon DocumentDB](connect_programmatically.md).
## TLS-Einstellungen für Amazon DocumentDB-Cluster verwalten
Die Verschlüsselung während der Übertragung für einen Amazon DocumentDB-Cluster wird über den TLS-Parameter in einer [Cluster-Parametergruppe](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html) verwaltet. Sie können Ihre Amazon DocumentDB-Cluster-TLS-Einstellungen mit dem AWS-Managementkonsole oder dem AWS Command Line Interface (AWS CLI) verwalten. In den folgenden Abschnitten finden Sie weitere Informationen zum Überprüfen und Ändern Ihrer aktuellen TLS-Einstellungen.
------
#### [ Using the AWS-Managementkonsole ]
Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe der Konsole durchzuführen, z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.
**Anmerkung**
Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der `default`-Cluster-Parametergruppe können nicht geändert werden (z. B. `tls` ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine `default`-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Zuerst müssen Sie möglicherweise eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md).
1. **Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.**
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Klicken Sie im Navigationsbereich auf **Cluster**.
**Tipp**
Wenn der Navigationsbereich auf der linken Seite des Bildschirms nicht angezeigt wird, wählen Sie links oben auf der Seite das Menüsymbol (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/docdb-menu-icon.png)) aus.
1. Beachten Sie, dass im **Cluster-Navigationsfeld** in der Spalte **Cluster-Identifier sowohl Cluster** als auch Instances angezeigt werden. Instances werden unter Clustern aufgeführt. Sehen Sie sich den Screenshot unten als Referenz an.
![\[Bild des Cluster-Navigationsfeldes mit einer Liste vorhandener Cluster-Links und der entsprechenden Instance-Links.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/clusters.png)
1. Wählen Sie den Cluster aus, an dem Sie interessiert sind.
1. Wählen Sie die Registerkarte **Konfiguration** und scrollen Sie bis zum Ende der **Cluster-Details** und suchen Sie die **Cluster-Parametergruppe**. Der Name der Cluster-Parametergruppe.
Wenn der Name der Cluster-Parametergruppe `default` lautet (z. B. `default.docdb3.6`), müssen Sie eine benutzerdefinierte Cluster-Parametergruppe erstellen und diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie hier:
1. [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md)— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.
1. [Ändern eines Amazon DocumentDB-Clusters](db-cluster-modify.md)— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.
1. **Bestimmen Sie den aktuellen Wert des `tls`-Cluster-Parameters**.
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Wählen Sie im Navigationsbereich **Parameter groups (Parametergruppen)** aus.
1. Wählen Sie aus der Liste der Cluster-Parametergruppen den Namen der von Ihnen gewünschten Cluster-Parametergruppe aus.
1. Suchen Sie den Abschnitt **Cluster-Parameter**. Suchen Sie in der Liste der Cluster-Parameter die Zeile des `tls`-Cluster-Parameters. An dieser Stelle sind die folgenden vier Spalten wichtig:
+ **Cluster-Parametername** — Der Name der Cluster-Parameter. Für die Verwaltung von TLS benötigen Sie den `tls`-Cluster-Parameter.
+ **Werte** — Der aktuelle Wert jedes Cluster-Parameters.
+ **Zulässige Werte** — Eine Liste von Werten, die auf einen Cluster-Parameter angewendet werden können.
+ **Typ anwenden** — Entweder **statisch** oder **dynamisch**. Änderungen an statischen Cluster-Parametern können nur übernommen werden, wenn die Instances neu gestartet werden. Änderungen an dynamischen Cluster-Parametern können entweder sofort übernommen werden oder wenn die Instances neu gestartet werden.
1. **Ändern Sie den Wert des `tls`-Cluster-Parameters.**
Wenn der Wert für `tls` nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des `tls`-Cluster-Parameters zu ändern, fahren Sie nach dem vorherigen Abschnitt mit folgenden Schritten fort.
1. Wählen Sie die Schaltfläche links neben dem Namen des Cluster-Parameters (`tls`).
1. Wählen Sie **Bearbeiten** aus.
1. Um den Wert von zu ändern`tls`, wählen Sie im `tls` Dialogfeld **Ändern** in der Dropdownliste den gewünschten Wert für den Cluster-Parameter aus.
Gültige Werte für sind:
+ **deaktiviert — Deaktiviert** TLS
+ **aktiviert — Aktiviert** die TLS-Versionen 1.0 bis 1.3.
+ **fips-140-3** — Aktiviert TLS mit FIPS. Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ **tls1.2\$1 — Aktiviert TLS Version 1.2 und höher.** Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB (Engine-Version 3.0.11051) unterstützt.
+ **tls1.3\$1** — Aktiviert TLS Version 1.3 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB (Engine-Version 3.0.11051) unterstützt.
![\[Bild eines clusterspezifischen Dialogfelds „TLS modifizieren“.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/modify-tls.png)
1. Wählen Sie **Modify Cluster Parameter (Cluster-Parameter ändern)**. Die Änderung wird beim Neustart auf jede Cluster-Instance angewendet.
1. **Starten Sie die Amazon DocumentDB DocumentDB-Instance neu.**
Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird.
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Um eine Instance anzugeben, die neu gestartet werden soll, suchen Sie die Instance in der Liste der Instances und wählen Sie die Schaltfläche links neben dem Namen aus.
1. Wählen Sie **Actions (Aktionen)** und dann **Reboot (Neustart) aus**. Bestätigen Sie, dass Sie neu starten möchten, indem Sie auf **Reboot (Neustart)** klicken.
------
#### [ Using the AWS CLI ]
Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe von durchzuführen, AWS CLI z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.
**Anmerkung**
Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der `default`-Cluster-Parametergruppe können nicht geändert werden (z. B. `tls` ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine `default`-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Möglicherweise müssen Sie zuerst eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md).
1. **Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.**
Führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-identifier`
+ `--query`
Ersetzen Sie im folgenden Beispiel jede *user input placeholder* durch die Informationen Ihres Clusters.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Wenn der Name der Cluster-Parametergruppe `default` lautet (z. B. `default.docdb3.6`), benötigen Sie eine benutzerdefinierte Cluster-Parametergruppe und müssen diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie unter den folgenden Themen:
1. [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md)— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.
1. [Ändern eines Amazon DocumentDB-Clusters](db-cluster-modify.md)— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.
1. **Bestimmen Sie den aktuellen Wert des `tls`-Cluster-Parameters**.
Um weitere Informationen zu dieser Cluster-Parametergruppe zu erhalten, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-parameter-group-name`
+ `--query`
Beschränkt die Ausgabe nur auf die Interessenfelder: `ParameterName``ParameterValue`,`AllowedValues`, und`ApplyType`.
Ersetzen Sie im folgenden Beispiel jedes *user input placeholder* durch die Informationen Ihres Clusters.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Ändern Sie den Wert des `tls`-Cluster-Parameters.**
Wenn der Wert für `tls` nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des `tls` Cluster-Parameters zu ändern, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-parameter-group-name` – Erforderlich. Der Name der zu ändernden Cluster-Parametergruppe. Dabei darf es sich nicht um eine `default.*`-Cluster-Parametergruppe handeln.
+ `--parameters` – Erforderlich. Eine Liste der zu ändernden Parameter der Cluster- Parametergruppe.
+ `ParameterName` – Erforderlich. Der Name des zu ändernden Cluster-Parameters.
+ `ParameterValue` – Erforderlich. Der neue Wert für diesen Cluster-Parameter. Muss einer der `AllowedValues` des Cluster-Parameters sein.
+ `enabled`— Der Cluster akzeptiert sichere Verbindungen mit TLS der Versionen 1.0 bis 1.3.
+ `disabled`— Der Cluster akzeptiert keine sicheren Verbindungen mit TLS.
+ `fips-140-3`— Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ `tls1.2+`— Der Cluster akzeptiert sichere Verbindungen mit TLS Version 1.2 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB 5.0 (Engine-Version 3.0.11051) unterstützt.
+ `tls1.3+`— Der Cluster akzeptiert sichere Verbindungen mit TLS Version 1.3 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB 5.0 (Engine-Version 3.0.11051) unterstützt.
+ `ApplyMethod`— Wann diese Änderung angewendet werden soll. Für statische Cluster-Parameter wie `tle` muss dieser Wert `pending-reboot` lauten.
+ `pending-reboot`— Die Änderung wird erst auf eine Instanz angewendet, nachdem sie neu gestartet wurde. Sie müssen jede Cluster-Instance einzeln neu starten, damit die Änderung für alle Instances des Clusters übernommen wird.
Ersetzen Sie in den folgenden Beispielen jedes Beispiel durch die *user input placeholder* Informationen Ihres Clusters.
Der folgende Code *deaktiviert* `tls` und wendet die Änderung auf jede Instanz an, wenn sie neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Der folgende Code *ermöglicht es* `tls` (Version 1.0 bis 1.3), die Änderung auf jede Instanz anzuwenden, wenn diese neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Der folgende Code *aktiviert* TLS mit `fips-140-3` und wendet die Änderung auf jede Instanz an, wenn sie neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Starten Sie Ihre Amazon DocumentDB DocumentDB-Instance neu.**
Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird. Um eine Amazon DocumentDB DocumentDB-Instance neu zu starten, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)Befehl mit der folgenden Option aus:
+ `--db-instance-identifier`
Der folgende Code startet die Instance `mydocdbinstance` neu.
Ersetzen Sie in den folgenden Beispielen jedes Beispiel *user input placeholder* durch die Informationen Ihres Clusters.
**Example**
Für Linux, macOS oder Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Für Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Es dauert einige Minuten, bis Ihre Instance neu gestartet wird. Sie können die Instance nur verwenden, wenn ihr Status *available* ist. Sie können mit der Konsole oder der AWS CLI den Status der Instance überwachen. Weitere Informationen finden Sie unter [Den Status einer Amazon DocumentDB DocumentDB-Instance überwachen](monitoring_docdb-instance_status.md).
------