View a markdown version of this page

Keamanan dengan Amazon Aurora PostgreSQL - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan dengan Amazon Aurora PostgreSQL

Untuk gambaran umum tentang keamanan Aurora, lihat. Keamanan di Anda dapat mengelola keamanan untuk Amazon Aurora PostgreSQL pada beberapa level yang berbeda:

  • Untuk mengontrol siapa yang dapat melakukan tindakan pengelolaan Amazon RDS pada cluster DB PostgreSQL Aurora dan instans DB PostgreSQL, gunakan (IAM). AWS Identity and Access Management IAM menangani autentikasi identitas pengguna sebelum pengguna dapat mengakses layanan. IAM juga menangani otorisasi, yaitu, apakah pengguna diizinkan untuk melakukan apa yang mereka coba lakukan. Autentikasi basis data IAM adalah metode autentikasi tambahan yang dapat dipilih saat Anda membuat klaster DB Aurora PostgreSQL. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses untuk Amazon Aurora.

    Jika Anda menggunakan IAM dengan cluster Aurora PostgreSQL DB Anda, masuk Konsol Manajemen AWS ke dengan kredensyal IAM Anda terlebih dahulu, sebelum membuka konsol Amazon RDS di. https://console.aws.amazon.com/rds/

  • Pastikan untuk membuat klaster DB Aurora di cloud privat virtual (VPC) berdasarkan layanan Amazon VPC. Untuk mengendalikan perangkat dan instans Amazon EC2 mana yang dapat membuka koneksi ke titik akhir dan port instans DB untuk klaster Aurora DB di VPC, gunakan grup keamanan VPC. Anda dapat membuat titik akhir dan koneksi port ini menggunakan Lapisan Soket Aman (SSL). Selain itu, aturan firewall di perusahaan Anda dapat mengendalikan perangkat yang berjalan di perusahaan Anda untuk dapat membuka koneksi ke instans DB. Untuk informasi selengkapnya tentang VPC, lihat Amazon VPC dan Amazon Aurora.

    Penghunian VPC yang didukung tergantung pada kelas instans DB yang digunakan oleh klaster DB Aurora PostgreSQL Anda. Dengan penghunian VPC default, klaster DB berjalan di perangkat keras bersama. Dengan penghunian VPC dedicated, klaster DB berjalan di instans perangkat keras khusus. Kelas instans DB performa yang dapat melonjak hanya mendukung penghunian VPC default. Kelas instans DB performa yang dapat melonjak mencakup kelas instans DB db.t3 dan db.t4g. Semua kelas instans DB Aurora PostgreSQL lainnya mendukung penghunian VPC default dan khusus.

    Untuk informasi selengkapnya tentang kelas instans, lihat Amazon Aurora:Kelas instans DB. Untuk informasi selengkapnya tentang penghunian VPC default dan dedicated, lihat Instans khusus dalam Panduan Pengguna Amazon Elastic Compute Cloud.

  • Guna memberikan izin ke basis data PostgreSQL yang berjalan di klaster DB Amazon Aurora, Anda dapat menggunakan pendekatan umum yang sama seperti instans PostgreSQL yang berdiri sendiri. Perintah seperti CREATE ROLE, ALTER ROLE, GRANT, dan REVOKE bekerja sama seperti dalam basis data on-premise, seperti mengubah langsung basis data, skema, dan tabel.

    PostgreSQL mengelola hak istimewa dengan menggunakan peran. Peran rds_superuser adalah peran yang paling istimewa di klaster DB Aurora PostgreSQL. Peran ini dibuat secara otomatis, dan diberikan kepada pengguna yang membuat klaster DB (akun pengguna master, postgres secara default). Untuk mempelajari selengkapnya, lihat Memahami peran dan izin PostgreSQL.

Semua versi Aurora PostgreSQL yang tersedia, termasuk versi 10, 11, 12, 13, 14, dan rilis yang lebih tinggi mendukung Salted Challenge Response Authentication Mechanism (SCRAM) untuk kata sandi sebagai alternatif untuk pencernaan pesan (MD5). Kami menyarankan Anda menggunakan SCRAM karena lebih aman daripada MD5. Untuk informasi selengkapnya, termasuk cara memigrasi kata sandi pengguna basis data dari MD5 ke SCRAM, lihat Menggunakan SCRAM untuk enkripsi kata sandi PostgreSQL.

Mengamankan data PostgreSQL Aurora dengan SSL/TLS

Amazon RDS mendukung enkripsi Lapisan Soket Aman (SSL) dan Keamanan Lapisan Pengangkutan (TLS) untuk klaster DB Aurora PostgreSQL. Menggunakan SSL/TLS, Anda dapat mengenkripsi koneksi antara aplikasi Anda dan cluster Aurora PostgreSQL DB Anda. Anda juga dapat memaksa semua koneksi ke cluster Aurora PostgreSQL DB Anda untuk digunakan. SSL/TLS Amazon Aurora PostgreSQL mendukung Keamanan Lapisan Pengangkutan (TLS) versi 1.1 dan 1.2. Kami merekomendasikan menggunakan TLS 1.2 untuk koneksi terenkripsi. Kami telah menambahkan dukungan untuk TLSv1.3 dari versi Aurora PostgreSQL berikut:

  • Versi 15.3 dan semua yang lebih tinggi

  • Versi 14.8 dan versi 14 yang lebih tinggi

  • 13.11 dan versi 13 yang lebih tinggi

  • 12.15 dan versi 12 yang lebih tinggi

  • Versi 11.20 dan versi 11 yang lebih tinggi

Untuk informasi umum tentang SSL/TLS dukungan dan database PostgreSQL, lihat dukungan SSL di dokumentasi PostgreSQL. Untuk informasi tentang menggunakan SSL/TLS koneksi melalui JDBC, lihat Mengonfigurasi klien dalam dokumentasi PostgreSQL.

SSL/TLS dukungan tersedia di semua AWS Wilayah untuk Aurora PostgreSQL. Amazon RDS membuat SSL/TLS sertifikat untuk klaster DB PostgreSQL Aurora Anda saat cluster DB dibuat. Jika Anda mengaktifkan verifikasi SSL/TLS sertifikat, maka SSL/TLS sertifikat tersebut menyertakan titik akhir klaster DB sebagai Nama Umum (CN) agar SSL/TLS sertifikat terlindungi dari serangan spoofing.

Untuk terhubung ke cluster DB PostgreSQL Aurora SSL/TLS
  1. Unduh sertifikatnya.

    Untuk informasi tentang mengunduh sertifikat, lihat Menggunakan SSL/TLS untuk mengenkripsi koneksi ke DB klaster.

  2. Impor sertifikat ke dalam sistem operasi Anda.

  3. Connect ke cluster Aurora PostgreSQL DB Anda. SSL/TLS

    Ketika Anda terhubung menggunakan SSL/TLS, klien Anda dapat memilih untuk memverifikasi rantai sertifikat atau tidak. Jika parameter koneksi Anda menentukan sslmode=verify-ca atau sslmode=verify-full, maka klien Anda mengharuskan sertifikat RDS CA berada di penyimpanan kepercayaan atau direferensikan di URL koneksi. Persyaratan ini untuk memverifikasi rantai sertifikat yang menandatangani sertifikat basis data Anda.

    Ketika klien, seperti psql atau JDBC, dikonfigurasi dengan SSL/TLS dukungan, klien pertama mencoba untuk terhubung ke database dengan secara default. SSL/TLS Jika klien tidak dapat terhubung SSL/TLS, itu kembali ke koneksi tanpa SSL/TLS. Secara default, opsi sslmode untuk klien berbasis JDBC dan libpq diatur ke prefer.

    Gunakan parameter sslrootcert untuk mereferensikan sertifikat, misalnya sslrootcert=rds-ssl-ca-cert.pem.

Berikut ini adalah contoh penggunaan psql untuk terhubung ke klaster DB Aurora PostgreSQL.

$ psql -h testpg.cdhmuqifdpib.us-east-1.rds.amazonaws.com -p 5432 \ "dbname=testpg user=testuser sslrootcert=rds-ca-2015-root.pem sslmode=verify-full"

Membutuhkan SSL/TLS koneksi ke cluster Aurora PostgreSQL DB

Untuk memerlukan SSL/TLS koneksi ke cluster Aurora PostgreSQL DB Anda, gunakan parameter. rds.force_ssl

  • Untuk memerlukan SSL/TLS koneksi, atur nilai rds.force_ssl parameter ke 1 (on).

  • Untuk mematikan SSL/TLS koneksi yang diperlukan, atur nilai rds.force_ssl parameter ke 0 (off).

Nilai default parameter ini tergantung pada versi Aurora PostgreSQL:

  • Untuk Aurora PostgreSQL versi 17 dan yang lebih baru: Nilai default adalah 1 (on).

  • Untuk Aurora PostgreSQL versi 16 dan yang lebih lama: Nilai default adalah 0 (off).

catatan

Saat Anda melakukan upgrade versi mayor dari Aurora PostgreSQL versi 16 atau versi sebelumnya ke versi 17 atau yang lebih baru, nilai default parameter berubah dari 0 (off) menjadi 1 (on). Perubahan ini dapat menyebabkan kegagalan konektivitas untuk aplikasi yang tidak dikonfigurasi untuk SSL. Anda dapat kembali ke perilaku default sebelumnya dengan menyetel parameter ini ke 0 (off).

Untuk informasi selengkapnya tentang penanganan parameter, lihat.

Memperbarui rds.force_ssl parameter juga menetapkan parameter ssl PostgreSQL ke 1 (on) dan memodifikasi file cluster pg_hba.conf DB Anda untuk mendukung konfigurasi baru. SSL/TLS

Ketika rds.force_ssl parameter diatur ke 1 untuk cluster DB, Anda melihat output yang mirip dengan yang berikut saat Anda terhubung, menunjukkan bahwa sekarang SSL/TLS diperlukan:

$ psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser psql (9.3.12, server 9.4.4) WARNING: psql major version 9.3, server major version 9.4. Some psql features might not work. SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256) Type "help" for help. postgres=>

Menentukan status SSL/TLS koneksi

Status terenkripsi dari koneksi Anda ditunjukkan pada banner logon saat Anda terhubung ke klaster DB.

Password for user master: psql (9.3.12) SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256) Type "help" for help.   postgres=>

Anda juga dapat memuat sslinfo ekstensi dan kemudian memanggil ssl_is_used() fungsi untuk menentukan apakah SSL/TLS sedang digunakan. Fungsi kembali t jika koneksi menggunakan SSL/TLS, jika tidak maka kembalif.

postgres=> create extension sslinfo; CREATE EXTENSION postgres=> select ssl_is_used(); ssl_is_used --------- t (1 row)

Anda dapat menggunakan select ssl_cipher() perintah untuk menentukan SSL/TLS cipher:

postgres=> select ssl_cipher(); ssl_cipher -------------------- DHE-RSA-AES256-SHA (1 row)

Jika Anda mengaktifkan set rds.force_ssl dan memulai ulang klaster DB, koneksi non-SSL ditolak dengan pesan berikut ini:

$ export PGSSLMODE=disable $ psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser psql: FATAL: no pg_hba.conf entry for host "host.ip", user "someuser", database "postgres", SSL off $

Untuk informasi tentang opsi sslmode, lihat Database connection control functions dalam dokumentasi PostgreSQL.

Mengonfigurasi cipher suite untuk koneksi ke klaster DB Aurora PostgreSQL

Dengan menggunakan cipher suite yang dapat dikonfigurasi, Anda dapat memiliki kontrol lebih besar atas keamanan koneksi basis data. Anda dapat menentukan daftar cipher suite yang ingin Anda izinkan untuk mengamankan SSL/TLS koneksi klien ke database Anda. Dengan cipher suite yang dapat dikonfigurasi, Anda dapat mengontrol enkripsi koneksi yang diterima server basis data Anda. Melakukan hal ini membantu mencegah penggunaan cipher yang tidak aman atau usang.

Suite cipher yang dapat dikonfigurasi didukung di Aurora PostgreSQL versi 11.8 dan lebih tinggi.

Untuk menentukan daftar cipher yang diizinkan untuk mengenkripsi koneksi, modifikasi parameter klaster ssl_ciphers. Setel ssl_ciphers parameter ke string nilai cipher yang dipisahkan koma dalam grup parameter cluster menggunakan Konsol Manajemen AWS, AWS CLI, atau RDS API. Untuk mengatur parameter klaster, lihat Memodifikasi parameter dalam grup parameter cluster DB di Amazon Aurora.

Tabel berikut menunjukkan cipher yang diizinkan untuk setiap versi utama Aurora PostgreSQL.

Versi Utama APG Daftar Cipher yang Diizinkan

18

TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_DENGAN_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384

17

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

16

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

15

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

14

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

13

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

12

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

11

DHE-RSA-AES128-SHA,,,,,,,,,, DHE-RSA-AES128-SHA256, TLS_RSA_DENGAN_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA, TLS_RSA_DENGAN_AES_256_CBC_SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA, TLS_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-GCM-SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_S_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_ AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_SHA,, TLS_ECDHE_ECDSA_DENGAN_AES_256_GCM_SHA384, ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-GCM-SHA384

Anda juga dapat menggunakan perintah CLI describe-engine-default-cluster-parameters untuk menentukan cipher suite mana yang saat ini didukung untuk keluarga grup parameter tertentu. Contoh berikut menunjukkan cara mendapatkan nilai yang diizinkan untuk parameter klaster ssl_cipher untuk Aurora PostgreSQL 11.

aws rds describe-engine-default-cluster-parameters --db-parameter-group-family aurora-postgresql11 ...some output truncated... { "ParameterName": "ssl_ciphers", "Description": "Sets the list of allowed TLS ciphers to be used on secure connections.", "Source": "engine-default", "ApplyType": "dynamic", "DataType": "list", "AllowedValues": "DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA,DHE-RSA-AES256-SHA256,DHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-GCM-SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "IsModifiable": true, "MinimumEngineVersion": "11.8", "SupportedEngineModes": [ "provisioned" ] }, ...some output truncated...

ssl_ciphersParameter default ke semua suite cipher TLS 1.2 yang diizinkan. Untuk informasi selengkapnya tentang cipher, lihat variabel ssl_ciphers dalam dokumentasi PostgreSQL.

Dari Aurora PostgreSQL 18.3 dan seterusnya, dua parameter mengontrol cipher suite yang ditawarkan server selama jabat tangan TLS. Kedua parameter tersebut independen dan saling melengkapi — ssl_ciphers mengontrol cipher versi TLS 1.2, dan ssl_tls13_ciphers mengontrol cipher versi TLS 1.3.

Parameter Lingkup protokol TLS Dapat diubah Tersedia di Nilai yang Diizinkan Nilai default

ssl_ciphers

TLS 1.2

Ya

Semua versi Aurora PostgreSQL saat ini

TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_DENGAN_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_RSA_DENGAN_AES_256_GCM_SHA384, TLS_RSA_DENGAN_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_DENGAN_AES_128_GCM_SHA256, TLS_ECDHE_RSA_DENGAN_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

ssl_tls13_ciphers

TLS 1.3

Ya

Aurora PostgreSQL 18.3 dan yang lebih baru

TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384

TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384

Upgrade dari versi Aurora PostgreSQL sebelumnya

Dimulai dengan Aurora PostgreSQL 18.3, cipher TLS 1.3 tidak lagi dikendalikan oleh parameter. ssl_ciphers Jika Anda memutakhirkan dari versi sebelumnya dan grup parameter cluster DB kustom Anda disetel ssl_ciphers dengan maksud membatasi cipher TLS 1.3, entri tersebut tidak lagi berlaku terhadap koneksi TLS 1.3 setelah pemutakhiran. Untuk mengontrol daftar cipher TLS 1.3, atur ssl_tls13_ciphers di grup parameter cluster DB kustom Anda.