Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Verschlüsselte Verbindungen für PostgreSQL-DB-Instances in Amazon RDS aktivieren - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenFehlerbehebungZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselte Verbindungen für PostgreSQL-DB-Instances in Amazon RDS aktivieren

PDF

Erstellt von Rohit Kapoor (AWS)

Übersicht

Amazon Relational Database Service (Amazon RDS) unterstützt SSL-Verschlüsselung für PostgreSQL-DB-Instances. Mit SSL können Sie eine PostgreSQL-Verbindung zwischen Ihren Anwendungen und Ihren Amazon RDS for PostgreSQL PostgreSQL-DB-Instances verschlüsseln. Standardmäßig verwendet Amazon RDS for PostgreSQL VerschlüsselungSSL/TLS and expects all clients to connect by using SSL/TLS. Amazon RDS for PostgreSQL unterstützt die TLS-Versionen 1.1 und 1.2.

Dieses Muster beschreibt, wie Sie verschlüsselte Verbindungen für eine Amazon RDS for PostgreSQL PostgreSQL-DB-Instance aktivieren können. Sie können dasselbe Verfahren verwenden, um verschlüsselte Verbindungen für Amazon Aurora PostgreSQL-Compatible Edition zu aktivieren.

Voraussetzungen und Einschränkungen

Architektur

Aktivieren verschlüsselter Verbindungen für PostgreSQL-DB-Instances in Amazon RDS

Tools

  • pgAdmin ist eine Open-Source-Verwaltungs- und Entwicklungsplattform für PostgreSQL. Sie können pgAdmin unter Linux, Unix, macOS und Windows verwenden, um Ihre Datenbankobjekte in PostgreSQL 10 und höher zu verwalten.

  • PostgreSQL-Editoren bieten eine benutzerfreundlichere Oberfläche, mit der Sie Abfragen erstellen, entwickeln und ausführen und Code gemäß Ihren Anforderungen bearbeiten können.

Bewährte Methoden

  • Überwachen Sie unsichere Datenbankverbindungen.

  • Überprüfen Sie die Datenbankzugriffsrechte.

  • Stellen Sie sicher, dass Backups und Snapshots im Ruhezustand verschlüsselt sind.

  • Überwachen Sie den Datenbankzugriff.

  • Vermeiden Sie Gruppen mit uneingeschränktem Zugriff.

  • Verbessern Sie Ihre Benachrichtigungen mit Amazon GuardDuty.

  • Überwachen Sie regelmäßig die Einhaltung der Richtlinien.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Laden Sie ein vertrauenswürdiges Zertifikat auf Ihren Computer.

Gehen Sie wie folgt vor, um Zertifikate zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für Ihren Computer hinzuzufügen. (In diesen Anweisungen wird Windows Server als Beispiel verwendet.)

  1. Wählen Sie in Windows Server Start und Ausführen aus, und geben Sie dann mmc ein.

  2. Wählen Sie in der Konsole „Datei“, „Snap-In hinzufügen/entfernen“.

  3. Wählen Sie unter Verfügbare Snap-Ins die Option Zertifikate und dann Hinzufügen aus.

  4. Wählen Sie unter Dieses Snap-In verwaltet immer Zertifikate für die Option Computerkonto und Weiter aus.

  5. Wählen Sie Lokaler Computer, Fertig stellen aus.

  6. Wenn Sie der Konsole keine weiteren Snap-Ins hinzufügen möchten, wählen Sie OK.

  7. Doppelklicken Sie in der Konsolenstruktur auf Zertifikate.

  8. Klicken Sie mit der rechten Maustaste auf vertrauenswürdige Stammzertifizierungsstellen

  9. Wählen Sie Alle Aufgaben, Import, um die heruntergeladenen Zertifikate zu importieren.

  10. Folgen Sie den Schritten im Assistenten zum Import von Zertifikaten.

DevOps Ingenieur, Migrationsingenieur, DBA

Laden Sie ein vertrauenswürdiges Zertifikat herunter und importieren Sie es in Ihren Trust Store

AufgabeBeschreibungErforderliche Fähigkeiten

Laden Sie ein vertrauenswürdiges Zertifikat auf Ihren Computer.

Gehen Sie wie folgt vor, um Zertifikate zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für Ihren Computer hinzuzufügen. (In diesen Anweisungen wird Windows Server als Beispiel verwendet.)

  1. Wählen Sie in Windows Server Start und Ausführen aus, und geben Sie dann mmc ein.

  2. Wählen Sie in der Konsole „Datei“, „Snap-In hinzufügen/entfernen“.

  3. Wählen Sie unter Verfügbare Snap-Ins die Option Zertifikate und dann Hinzufügen aus.

  4. Wählen Sie unter Dieses Snap-In verwaltet immer Zertifikate für die Option Computerkonto und Weiter aus.

  5. Wählen Sie Lokaler Computer, Fertig stellen aus.

  6. Wenn Sie der Konsole keine weiteren Snap-Ins hinzufügen möchten, wählen Sie OK.

  7. Doppelklicken Sie in der Konsolenstruktur auf Zertifikate.

  8. Klicken Sie mit der rechten Maustaste auf vertrauenswürdige Stammzertifizierungsstellen

  9. Wählen Sie Alle Aufgaben, Import, um die heruntergeladenen Zertifikate zu importieren.

  10. Folgen Sie den Schritten im Assistenten zum Import von Zertifikaten.

DevOps Ingenieur, Migrationsingenieur, DBA
AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie eine Parametergruppe und legen Sie den rds.force_ssl-Parameter fest.

Wenn die PostgreSQL-DB-Instance über eine benutzerdefinierte Parametergruppe verfügt, bearbeiten Sie die Parametergruppe und ändern Sie rds.force_ssl sie auf 1.

Wenn die DB-Instance die Standardparametergruppe verwendet, für die keine rds.force_ssl Option aktiviert wurde, erstellen Sie eine neue Parametergruppe. Sie können die neue Parametergruppe mithilfe der Amazon RDS-API oder manuell wie in der folgenden Anleitung beschrieben ändern.

Um eine neue Parametergruppe zu erstellen:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon RDS-Konsole für die AWS-Region, in der die DB-Instance gehostet wird.

  2. Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.

  3. Wählen Sie Parametergruppe erstellen und legen Sie die folgenden Werte fest: 

    • Wählen Sie für Parametergruppenfamilie die Option postgres14 aus.

    • <database_instance>Geben Sie als Gruppenname pgsql - -ssl ein.

    • Geben Sie unter Beschreibung eine formlose Beschreibung für die Parametergruppe ein, die Sie hinzufügen.

    • Wählen Sie Create (Erstellen) aus.

  4. Wählen Sie die Parametergruppe aus, die Sie erstellt haben.

  5. Wählen Sie für Parameter group actions (Parametergruppenaktionen) die Option Bearbeiten.

  6. Suchen Sie rds.force_ssl und ändern Sie die Einstellung auf 1.

    Anmerkung

    Führen Sie clientseitige Tests durch, bevor Sie diesen Parameter ändern.

  7. Wählen Sie Änderungen speichern.

So verknüpfen Sie die Parametergruppe mit Ihrer PostgreSQL-DB-Instance:

  1. Wählen Sie in der Amazon RDS-Konsole im Navigationsbereich Datenbanken und dann die PostgreSQL-DB-Instance aus.

  2. Wählen Sie Ändern aus.

  3. Wählen Sie unter Zusätzliche Konfiguration die neue Parametergruppe aus und klicken Sie dann auf Weiter.

  4. Wählen Sie unter Änderungen planen die Option Sofort anwenden aus.

  5. Wählen Sie Modify DB Instance (DB-Instance ändern) aus.

Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA

SSL-Verbindungen erzwingen.

Connect zur Amazon RDS for PostgreSQL PostgreSQL-DB-Instance her. Verbindungsversuche, die kein SSL verwenden, werden mit einer Fehlermeldung zurückgewiesen. Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA

SSL-Verbindungen erzwingen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie eine Parametergruppe und legen Sie den rds.force_ssl-Parameter fest.

Wenn die PostgreSQL-DB-Instance über eine benutzerdefinierte Parametergruppe verfügt, bearbeiten Sie die Parametergruppe und ändern Sie rds.force_ssl sie auf 1.

Wenn die DB-Instance die Standardparametergruppe verwendet, für die keine rds.force_ssl Option aktiviert wurde, erstellen Sie eine neue Parametergruppe. Sie können die neue Parametergruppe mithilfe der Amazon RDS-API oder manuell wie in der folgenden Anleitung beschrieben ändern.

Um eine neue Parametergruppe zu erstellen:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon RDS-Konsole für die AWS-Region, in der die DB-Instance gehostet wird.

  2. Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.

  3. Wählen Sie Parametergruppe erstellen und legen Sie die folgenden Werte fest: 

    • Wählen Sie für Parametergruppenfamilie die Option postgres14 aus.

    • <database_instance>Geben Sie als Gruppenname pgsql - -ssl ein.

    • Geben Sie unter Beschreibung eine formlose Beschreibung für die Parametergruppe ein, die Sie hinzufügen.

    • Wählen Sie Create (Erstellen) aus.

  4. Wählen Sie die Parametergruppe aus, die Sie erstellt haben.

  5. Wählen Sie für Parameter group actions (Parametergruppenaktionen) die Option Bearbeiten.

  6. Suchen Sie rds.force_ssl und ändern Sie die Einstellung auf 1.

    Anmerkung

    Führen Sie clientseitige Tests durch, bevor Sie diesen Parameter ändern.

  7. Wählen Sie Änderungen speichern.

So verknüpfen Sie die Parametergruppe mit Ihrer PostgreSQL-DB-Instance:

  1. Wählen Sie in der Amazon RDS-Konsole im Navigationsbereich Datenbanken und dann die PostgreSQL-DB-Instance aus.

  2. Wählen Sie Ändern aus.

  3. Wählen Sie unter Zusätzliche Konfiguration die neue Parametergruppe aus und klicken Sie dann auf Weiter.

  4. Wählen Sie unter Änderungen planen die Option Sofort anwenden aus.

  5. Wählen Sie Modify DB Instance (DB-Instance ändern) aus.

Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA

SSL-Verbindungen erzwingen.

Connect zur Amazon RDS for PostgreSQL PostgreSQL-DB-Instance her. Verbindungsversuche, die kein SSL verwenden, werden mit einer Fehlermeldung zurückgewiesen. Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA
AufgabeBeschreibungErforderliche Fähigkeiten

Installieren Sie die SSL-Erweiterung.

  1. Starten Sie eine psql- oder pgAdmin-Verbindung als DBA.

  2. Rufen Sie die Funktion ssl_is_used () auf, um festzustellen, ob SSL verwendet wird.

    select ssl_is_used();

    Die Funktion gibt zurück, t ob die Verbindung SSL verwendet; andernfalls kehrt sie zurück. f

  3. Installieren Sie die SSL-Erweiterung.

    create extension sslinfo;
show ssl;
select ssl_cipher();

Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA

Installieren Sie die SSL-Erweiterung

AufgabeBeschreibungErforderliche Fähigkeiten

Installieren Sie die SSL-Erweiterung.

  1. Starten Sie eine psql- oder pgAdmin-Verbindung als DBA.

  2. Rufen Sie die Funktion ssl_is_used () auf, um festzustellen, ob SSL verwendet wird.

    select ssl_is_used();

    Die Funktion gibt zurück, t ob die Verbindung SSL verwendet; andernfalls kehrt sie zurück. f

  3. Installieren Sie die SSL-Erweiterung.

    create extension sslinfo;
show ssl;
select ssl_cipher();

Weitere Informationen finden Sie in der Dokumentation zu Amazon RDS.

DevOps Ingenieur, Migrationsingenieur, DBA
AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie einen Client für SSL.

Mithilfe von SSL können Sie den PostgreSQL-Server mit Unterstützung für verschlüsselte Verbindungen starten, die TLS-Protokolle verwenden. Der Server überwacht sowohl Standard- als auch SSL-Verbindungen auf demselben TCP-Port und verhandelt mit jedem Client, der eine Verbindung herstellt, darüber, ob SSL verwendet werden soll. Standardmäßig ist dies eine Client-Option.

Wenn Sie den PSQL-Client verwenden:

  1. Stellen Sie sicher, dass das Amazon RDS-Zertifikat auf Ihren lokalen Computer geladen wurde.

  2. Starten Sie eine SSL-Client-Verbindung, indem Sie Folgendes hinzufügen:

    psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

Für andere PostgreSQL-Clients:

  • Ändern Sie den jeweiligen öffentlichen Schlüsselparameter der Anwendung. Dies ist möglicherweise als Option, als Teil Ihrer Verbindungszeichenfolge oder als Eigenschaft auf der Verbindungsseite in GUI-Tools verfügbar. 

Sehen Sie sich die folgenden Seiten für diese Clients an:

DevOps Ingenieur, Migrationsingenieur, DBA

Konfigurieren Sie Ihren PostgreSQL-Client für SSL

AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie einen Client für SSL.

Mithilfe von SSL können Sie den PostgreSQL-Server mit Unterstützung für verschlüsselte Verbindungen starten, die TLS-Protokolle verwenden. Der Server überwacht sowohl Standard- als auch SSL-Verbindungen auf demselben TCP-Port und verhandelt mit jedem Client, der eine Verbindung herstellt, darüber, ob SSL verwendet werden soll. Standardmäßig ist dies eine Client-Option.

Wenn Sie den PSQL-Client verwenden:

  1. Stellen Sie sicher, dass das Amazon RDS-Zertifikat auf Ihren lokalen Computer geladen wurde.

  2. Starten Sie eine SSL-Client-Verbindung, indem Sie Folgendes hinzufügen:

    psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

Für andere PostgreSQL-Clients:

  • Ändern Sie den jeweiligen öffentlichen Schlüsselparameter der Anwendung. Dies ist möglicherweise als Option, als Teil Ihrer Verbindungszeichenfolge oder als Eigenschaft auf der Verbindungsseite in GUI-Tools verfügbar. 

Sehen Sie sich die folgenden Seiten für diese Clients an:

DevOps Ingenieur, Migrationsingenieur, DBA

Fehlerbehebung

ProblemLösung

Das SSL-Zertifikat kann nicht heruntergeladen werden.

Überprüfen Sie Ihre Verbindung zur Website und versuchen Sie erneut, das Zertifikat auf Ihren lokalen Computer herunterzuladen.

Zugehörige Ressourcen

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.