Utilisation SCRAM pour le chiffrement des mots de SQL passe Postgre - Amazon Aurora
Configuration de votre de base de données pour exiger SCRAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation SCRAM pour le chiffrement des mots de SQL passe Postgre

Le mécanisme d'authentification Salted Challenge Response (SCRAM) est une alternative à l'algorithme message digest (MD5) par défaut SQL de Postgre pour chiffrer les mots de passe. Le mécanisme SCRAM d'authentification est considéré comme plus sûr queMD5. Pour en savoir plus sur ces deux approches différentes de sécurisation des mots de passe, consultez la section Authentification par mot de passe dans la SQL documentation Postgre.

Nous vous recommandons de l'utiliser SCRAM plutôt que MD5 comme schéma de chiffrement de mot de passe pour votre cluster de SQL base de données Aurora Postgre. À partir de la version SQL 14 d'Aurora Postgre, SCRAM il est pris en charge dans toutes les SQL versions d'Aurora Postgre disponibles, y compris les versions 10, 11, 12, 13 et 14. Il s'agit d'un mécanisme stimulation/réponse cryptographique qui utilise l'algorithme scram-sha-256 pour l'authentification par mot de passe et le chiffrement de mot de passe.

Il se peut que vous deviez mettre à jour les bibliothèques que vos applications clientes doivent prendre en chargeSCRAM. Par exemple, les JDBC versions antérieures à la version 42.2.0 ne sont pas prises en chargeSCRAM. Pour plus d'informations, consultez Postgre SQL JDBC Driver dans la documentation du SQL JDBC pilote Postgre. Pour une liste des autres SQL pilotes Postgre et du SCRAM support, consultez la section Liste des pilotes dans la documentation PostgreSQL.

Note

Les SQL versions 14 et supérieures d'Aurora Postgre prennent en charge scram-sha-256 pour le chiffrement des mots de passe par défaut pour les nouveaux clusters de bases de données. Autrement dit, pour le groupe de paramètres du cluster de bases de données par défaut (default.aurora-postgresql14), la valeur password_encryption est définie sur scram-sha-256.

Configuration du cluster de SQL base de données Aurora Postgre RDS SCRAM

Pour les versions d'Aurora Postgre SQL 14.3 et supérieures, vous pouvez exiger que le cluster de SQL base de données Aurora Postgre RDS n'accepte que les mots de passe utilisant l'algorithme scram-sha-256.

Important

Pour les RDS proxys existants dotés de SQL bases de données Postgre, si vous modifiez l'authentification de la base de données pour l'utiliser SCRAM uniquement, le proxy devient indisponible pendant 60 secondes au maximum. Pour éviter ce problème, effectuez l'une des actions suivantes :

  • Veillez à ce que la base de données permette à la fois l'authentification SCRAM et MD5.

  • Pour utiliser uniquement l'authentification SCRAM, créez un nouveau proxy, migrez le trafic de votre application vers ce nouveau proxy, puis supprimez le proxy précédemment associé à la base de données.

Avant d'apporter des modifications à votre système, assurez-vous de bien comprendre le processus complet, comme suit :

  • Obtenez des informations sur tous les rôles et sur le chiffrement des mots de passe pour tous les utilisateurs de base de données.

  • Vérifiez les paramètres de votre cluster de SQL base de données Aurora Postgre pour l' les paramètres qui contrôlent le chiffrement des mots de passe.

  • Si votre utilise un groupe de paramètres par défaut, vous devez créer un groupe de paramètres de base de en cas de besoin. Si votre cluster de SQL base de données Aurora Postgre RDS de base de données Postgre utilise un groupe de paramètres personnalisé, vous pouvez modifier les paramètres nécessaires ultérieurement dans le processus, selon vos besoins.

  • Remplacez le paramètre password_encryption par scram-sha-256.

  • Informez tous les utilisateurs de la base de données qu'ils doivent mettre à jour leurs mots de passe. Faites de même pour votre compte postgres. Les nouveaux mots de passe sont chiffrés et stockés à l'aide de l'algorithme scram-sha-256.

  • Vérifiez que tous les mots de passe utilisent le même type de chiffrement.

  • Si tous les mots de passe utilisent scram-sha-256, vous pouvez modifier le paramètre rds.accepted_password_auth_method de md5+scram à scram-sha-256.

Avertissement

Après avoir changé rds.accepted_password_auth_method pour scram-sha-256 uniquement, tous les utilisateurs (rôles) avec des mots de passe chiffrés par md5 ne peuvent pas se connecter.

Préparation à exiger SCRAM votre cluster de base de données Aurora Postgre RDS pour une SQL instance

Avant d'apporter des modifications à votre cluster de SQL base de données Aurora Postgre, RDS vérifiez tous les comptes utilisateur de base de données existants. Vérifiez également le type de chiffrement utilisé pour les mots de passe. Pour ce faire, utilisez l'extension rds_tools. Cette extension est prise en charge sur Aurora Postgre SQL 13.1 RDS et versions supérieures.

Pour obtenir la liste des utilisateurs de base de données (rôles) et des méthodes de chiffrement des mots de passe

  1. psqlÀ utiliser pour vous connecter à l'instance principale de votre cluster de SQL base de données Aurora Postgre, , comme indiqué ci-dessous.

    psql --host=cluster-name-instance-1.111122223333.aws-region.rds.amazonaws.com --port=5432 --username=postgres --password

  2. Installez l'extension rds_tools.

    postgres=> CREATE EXTENSION rds_tools;
CREATE EXTENSION

  3. Obtenez la liste des rôles et des méthodes de chiffrement.

    postgres=> SELECT * FROM 
      rds_tools.role_password_encryption_type();

    Vous voyez des résultats similaires à ce qui suit.

           rolname        | encryption_type
----------------------+-----------------
 pg_monitor           |
 pg_read_all_settings |
 pg_read_all_stats    |
 pg_stat_scan_tables  |
 pg_signal_backend    |
 lab_tester           | md5
 user_465             | md5
 postgres             | md5
(8 rows)

Création d'un groupe de paramètres de cluster de bases de données personnalisé

Note

Si votre cluster de SQL base de données Aurora Postgre RDS de base de données Postgre utilise déjà un groupe de paramètres personnalisé, vous n'avez pas besoin d'en créer un nouveau.

Pour obtenir un aperçu des groupes de paramètres pour Aurora, consultez Création d'un groupe de paramètres de cluster de base de données dans Amazon Aurora.

Le type de chiffrement utilisé pour les mots de passe est défini dans un paramètre, password_encryption. Le chiffrement autorisé par le cluster de SQL base de données Aurora Postgre RDS est défini dans un autre paramètre,. rds.accepted_password_auth_method Le remplacement de l'un de ces paramètres par une valeur autre que celle par défaut requiert de créer un groupe de paramètres de cluster de bases de données personnalisé et de l'appliquer à votre cluster.

Vous pouvez également utiliser AWS Management Console ou RDS API pour créer un groupe de paramètres de cluster de de données personnalisé. Pour de plus amples informations, Création d'un groupe de paramètres de cluster de base de données dans Amazon Auroraconsultez .

Vous pouvez maintenant employer le groupe de paramètres personnalisés avec votre instance de base de données.

Pour créer un groupe de paramètres de cluster de bases de données personnalisé

  1. Utilisez la create-db-cluster-parameter-group CLI commande pour créer le groupe de paramètres personnalisé pour le cluster. L'exemple suivant utilise aurora-postgresql13 comme source pour ce groupe de paramètres personnalisé.

    Dans Linux, macOS, ou Unix:

    aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name 'docs-lab-scram-passwords' \
  --db-parameter-group-family aurora-postgresql13  --description 'Custom DB cluster parameter group for SCRAM'

    Dans Windows:

    aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name "docs-lab-scram-passwords" ^
  --db-parameter-group-family aurora-postgresql13  --description "Custom DB cluster parameter group for SCRAM"

    Ensuite, vous pouvez associer le groupe de paramètres personnalisé à votre cluster.

  2. Utilisez la modify-db-cluster CLI commande pour appliquer ce groupe de paramètres personnalisé à votre cluster de SQL base de données Aurora Postgre.

    Dans Linux, macOS, ou Unix:

    aws rds modify-db-cluster --db-cluster-identifier 'your-instance-name' \
        --db-cluster-parameter-group-name "docs-lab-scram-passwords

    Dans Windows:

    aws rds modify-db-cluster --db-cluster-identifier "your-instance-name" ^
        --db-cluster-parameter-group-name "docs-lab-scram-passwords

    Pour resynchroniser votre cluster de SQLbase de données Aurora Postgre avec votre groupe de paramètres de cluster de base de données personnalisé, redémarrez l'instance principale et toutes les autres instances du cluster.

Configuration du chiffrement des mots de passe à utiliser SCRAM

Le mécanisme de chiffrement du mot de passe utilisé par un cluster de SQL base de données Aurora Postgre RDS de base de données Postgre est défini dans le groupe de paramètres du de base de données. password_encryption Les valeurs autorisées incluent une valeur non définie, md5 ou scram-sha-256. La valeur par défaut dépend de la SQL version d'Aurora Postgre SQL RDS , comme suit :

  • Aurora Postgre SQL 14 — La valeur par défaut est scram-sha-256

  • Aurora Postgre SQL 13 — La valeur par défaut est md5

Avec un groupe de paramètres de cluster de de chiffrement du mot de passe.

Ensuite, la RDS console affiche les valeurs par défaut pour les password_encryption paramètres d'Aurora PostgreSQL.
Pour remplacer le paramètre de chiffrement des mots de passe par scram-sha-256

  • Remplacez la valeur du chiffrement des mots de passe par scram-sha-256, comme indiqué ci-après. Cette modification peut être appliquée immédiatement, car le paramètre est dynamique. Aucun redémarrage n'est donc nécessaire pour que la modification soit appliquée.

    Dans Linux, macOS, ou Unix:

    aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name \
  'docs-lab-scram-passwords' --parameters 'ParameterName=password_encryption,ParameterValue=scram-sha-256,ApplyMethod=immediate'

    Dans Windows:

    aws rds modify-db-parameter-group --db-parameter-group-name ^
  "docs-lab-scram-passwords" --parameters "ParameterName=password_encryption,ParameterValue=scram-sha-256,ApplyMethod=immediate"

Migration des mots de passe pour les rôles d'utilisateur vers SCRAM

Vous pouvez migrer les mots de passe pour les rôles d'utilisateur vers la méthode SCRAM décrite ci-dessous.

Pour migrer les mots de passe des utilisateurs (rôles) de base de données MD5 de SCRAM

  1. Connectez-vous en tant qu'utilisateur administrateur (nom d'utilisateur par défaut, postgres) comme suit.

    psql --host=cluster-name-instance-1.111122223333.aws-region.rds.amazonaws.com --port=5432 --username=postgres --password

  2. Vérifiez le réglage du password_encryption paramètre sur votre SQL instance de base de données RDS pour Postgre à l'aide de la commande suivante.

    postgres=> SHOW password_encryption;
 password_encryption
---------------------
 md5
 (1 row)

  3. Remplacez la valeur de ce paramètre par scram-sha-256. Il s'agit d'un paramètre dynamique. Vous n'avez donc pas besoin de redémarrer l'instance après cette modification. Vérifiez à nouveau la valeur pour vous assurer qu'elle est maintenant réglée sur scram-sha-256, comme suit. 

    postgres=> SHOW password_encryption;
 password_encryption
---------------------
 scram-sha-256
 (1 row)

  4. Demandez à tous les utilisateurs de base de données de modifier leurs mots de passe. Veillez également à modifier votre propre mot de passe pour le compte postgres (utilisateur de base de données avec privilèges rds_superuser). 

    labdb=> ALTER ROLE postgres WITH LOGIN PASSWORD 'change_me';
ALTER ROLE

  5. Répétez le processus pour toutes les bases de données de votre cluster de SQL base de données Aurora Postgre.

Modification du paramètre à requérir SCRAM

Il s'agit de la dernière étape du processus. Après avoir effectué la modification dans la procédure suivante, les comptes utilisateur (rôles) qui utilisent toujours le md5 chiffrement des mots de passe ne peuvent pas se connecter au cluster de SQL base de données Aurora Postgre.

rds.accepted_password_auth_methodSpécifie la méthode de chiffrement que le cluster de SQL base de données Aurora Postgre RDS accepte comme mot de passe utilisateur lors du processus de connexion. La valeur par défaut est md5+scram, ce qui signifie que l'une des méthodes est acceptée. L'image suivante indique la valeur par défaut de ce paramètre.

La RDS console affiche les valeurs par défaut et autorisées pour les rds.accepted_password_auth_method paramètres.

Les valeurs autorisées pour ce paramètre sont md5+scram ou scram. Si la valeur de ce paramètre est remplacée par scram, le paramètre devient obligatoire.

Pour modifier la valeur du paramètre afin d'exiger SCRAM l'authentification des mots de passe

  1. Vérifiez que tous les mots de passe utilisateur de base de données pour toutes les bases de données de votre cluster de base de données Aurora Postgre RDS pour l'SQLinstance de SQL base sont utilisés scram-sha-256 pour le chiffrement des mots de passe. Pour ce faire, interrogez rds_tools pour obtenir le rôle (utilisateur) et le type de chiffrement, comme suit. 

    postgres=> SELECT * FROM rds_tools.role_password_encryption_type();
  rolname        | encryption_type
  ----------------------+-----------------
  pg_monitor           |
  pg_read_all_settings |
  pg_read_all_stats    |
  pg_stat_scan_tables  |
  pg_signal_backend    |
  lab_tester           | scram-sha-256
  user_465             | scram-sha-256
  postgres             | scram-sha-256
  ( rows)

  2. Répétez la requête sur toutes les instances de base de données de votre cluster de SQL base de données Aurora Postgre.

    Si tous les mots de passe utilisent scram-sha-256, vous pouvez continuer.

  3. Remplacez la valeur de l'authentification par mot de passe acceptée par scram-sha-256, comme suit.

    Dans Linux, macOS, ou Unix:

    aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name 'docs-lab-scram-passwords' \
  --parameters 'ParameterName=rds.accepted_password_auth_method,ParameterValue=scram,ApplyMethod=immediate'

    Dans Windows:

    aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name "docs-lab-scram-passwords" ^
  --parameters "ParameterName=rds.accepted_password_auth_method,ParameterValue=scram,ApplyMethod=immediate"