Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation TLS deSSL/pour chiffrer une connexion à une de clusters
Vous pouvez utiliser Secure Socket Layer (SSL) ou Transport Layer Security (TLS) depuis votre application pour chiffrer une connexion à un cluster de bases de données exécutant Aurora My SQL ou Aurora SQL Postgre.
SSLTLSLes connexions/fournissent une couche de sécurité en chiffrant les données qui circulent entre votre client et l' de clusters. Facultativement, votre TLS connexionSSL/peut effectuer une vérification de l'identité du serveur en validant le certificat de serveur installé sur votre base de données. Pour exiger la vérification de l'identité du serveur, suivez ce processus général :
-
Choisissez l'autorité de certification (CA) qui signe le certificat de serveur de base de données pour votre base de données. Pour plus d'informations sur les autorités de certification, consultez Autorités de certification.
-
Téléchargez une offre groupée de certificats à utiliser lorsque vous vous connectez à la base de données. Pour télécharger un ensemble de certificats, consultez Forfaits de certificats par Région AWS.
Note
Tous les certificats ne peuvent être téléchargés qu'à l'aide deSSL//TLSconnections.
-
Connectez-vous à la base de données en utilisant le processus de votre moteur de base de données pour implémenter TLS les connexionsSSL/. Chaque moteur de base de données possède son propre processus pour implémenterSSL/TLS. Pour savoir comment implémenterSSL/TLSpour votre base de données, suivez le lien correspondant à votre moteur de base de données :
Autorités de certification
L'autorité de certification (CA) est le certificat qui identifie l'autorité de certification racine en haut de la chaîne de certificats. L'autorité de certification signe le certificat de serveur de base de données, qui est installé sur chaque instance de base de données. Le certificat de serveur de base de données identifie l'instance de base de données en tant que serveur approuvé.
Amazon RDS fournit les éléments suivants CAs pour signer le certificat du serveur de base de données d'une base de données.
| Autorité de certification (CA) | Description | Nom commun |
|---|---|---|
|
rds-ca-rsa2048-g1 |
Utilise une autorité de certification avec un algorithme de clé privée RSA 2048 et un algorithme de SHA256 signature dans la plupart des Régions AWS cas. Dans le AWS GovCloud (US) Regions, cette autorité de certification utilise une autorité de certification avec un algorithme de clé privée RSA 2048 et un algorithme de SHA384 signature. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur. |
Amazon RDS region-identifier RSA2048 G1 |
|
rds-ca-rsa4096-g1 |
Utilise une autorité de certification avec un algorithme de clé privée RSA 4096 et un algorithme de SHA384 signature. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur. |
Amazon RDS region-identifier RSA4096 G1 |
|
rds-ca-ecc384-g1 |
Utilise une autorité de certification avec un algorithme de clé privée ECC 384 et un algorithme de SHA384 signature. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur. |
Amazon RDS region-identifier ECC384G1 |
Ces certificats de CA sont inclus dans la solution groupée de certificats régionaux et mondiaux. Lorsque vous utilisez l'autorité de certification rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 ou rds-ca-ecc 384-g1 avec une base de données, gère le certificat du serveur de base de données sur la base de données. RDS RDSfait automatiquement pivoter le certificat du serveur de base de données avant son expiration.
Configuration de l'autorité de certification pour votre base de données
Vous pouvez définir l'autorité de certification pour une base de données lorsque vous effectuez les tâches suivantes :
-
Créer un cluster de base de données Aurora — Vous pouvez définir l'autorité de certification pour une instance de base de données dans un cluster Aurora lorsque vous créez la première instance de base de données dans le cluster de base de données à l'aide du AWS CLI ou RDSAPI. Actuellement, vous ne pouvez pas définir l'autorité de certification pour les instances de base de données dans un cluster de base de données lorsque vous créez le cluster de base de données à l'aide de la RDS console. Pour obtenir des instructions, consultez Création d'un cluster de base de données Amazon Aurora.
-
Modification d'une instance de base de données : vous pouvez définir l'autorité de certification d'une instance de base de données dans un cluster de bases de données en la modifiant. Pour obtenir des instructions, consultez Modification d'une instance de base de données dans un cluster de bases de données.
Note
L'autorité de certification par défaut est définie sur rds-ca-rsa 2048-g1. Vous pouvez remplacer l'autorité de certification par défaut pour votre compte Compte AWS en utilisant la commande modify-certificates.
La disponibilité CAs dépend du moteur de base de données et de la version du moteur de base de données. Lorsque vous utilisez le AWS Management Console, vous pouvez choisir l'autorité de certification à l'aide du paramètre Autorité de certification, comme indiqué dans l'image suivante.
La console affiche uniquement ceux CAs qui sont disponibles pour le moteur de base de données et la version du moteur de base de données. Si vous utilisez le AWS CLI, vous pouvez définir l'autorité de certification pour une instance de base de données à l'aide de la modify-db-instancecommande create-db-instanceor.
Si vous utilisez le AWS CLI, vous pouvez voir ce qui est disponible CAs pour votre compte en utilisant la commande describe-certificates. Cette commande indique également la date d'expiration de chaque autorité de certification dans ValidTill, dans la sortie. Vous pouvez trouver ceux CAs qui sont disponibles pour un moteur de base de données et une version de moteur de base de données spécifiques à l'aide de la describe-db-engine-versionscommande.
L'exemple suivant montre la version CAs disponible par défaut RDS pour le moteur de base de SQL données Postgre.
aws rds describe-db-engine-versions --default-only --engine postgres
Votre sortie est similaire à ce qui suit. Les options disponibles CAs sont répertoriées dansSupportedCACertificateIdentifiers. La sortie indique également si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage dans SupportsCertificateRotationWithoutRestart.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}Validité des certificats de serveur de base de données
La validité du certificat de serveur de base de données dépend du moteur de base de données et de la version du moteur de base de données. Si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage, la validité du certificat de serveur de base de données est de 1 an. Dans le cas contraire, la validité est de 3 ans.
Pour plus d'informations sur la rotation des certificats de serveur de base de données, consultez Rotation automatique du certificat de serveur.
Afficher l'autorité de certification de votre instance de base de données
Vous pouvez consulter les détails relatifs à l'autorité de certification d'une base de données en consultant l'onglet Connectivité et sécurité de la console, comme dans l'image suivante.
Si vous utilisez le AWS CLI, vous pouvez afficher les détails de l'autorité de certification pour une instance de base de données à l'aide de la describe-db-instancescommande.
Téléchargez des ensembles de certificats pour
Lorsque vous vous connectez à votre base de données avec SSL ouTLS, l'instance de base de données nécessite un certificat de confiance d'AmazonRDS. Sélectionnez le lien approprié dans le tableau suivant pour télécharger le bundle correspondant à l' Région AWS endroit où vous hébergez votre base de données.
Forfaits de certificats par Région AWS
Les ensembles de certificats pour toutes les régions Régions AWS et GovCloud (États-Unis) contiennent les certificats CA racine suivants :
-
rds-ca-rsa2048-g1 -
rds-ca-rsa4096-g1 -
rds-ca-ecc384-g1
Le magasin de confiance de votre application doit uniquement enregistrer le certificat CA racine.
Note
Amazon RDS Proxy et Aurora Serverless v1 use les certificats du AWS Certificate Manager (ACM). Si vous utilisez un RDS proxy, vous n'avez pas besoin de télécharger les RDS certificats Amazon ni de mettre à jour les applications qui utilisent des connexions RDS proxy. Pour de plus amples informations, veuillez consulter UtiliserTLS/SSLavec un RDS proxy.
Si vous utilisez Aurora Serverless v1, le téléchargement de RDS certificats Amazon n'est pas obligatoire. Pour de plus amples informations, veuillez consulter TLSSSLUtiliser/avec Aurora Serverless v1.
Pour télécharger un bundle de certificats pour un Région AWS, sélectionnez le lien correspondant à celui Région AWS qui héberge votre base de données dans le tableau suivant.
Afficher le contenu de votre certificat CA
Pour vérifier le contenu de votre offre groupée de certificats d'autorité de certification, utilisez la commande suivante :
keytool -printcert -v -file global-bundle.pem
