Mengkonfigurasi protokol dan SQL cipher keamanan Server - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi protokol dan SQL cipher keamanan Server

Anda dapat mengaktifkan dan menonaktifkan protokol keamanan dan cipher tertentu menggunakan parameter DB. Parameter keamanan yang dapat Anda konfigurasi (kecuali untuk TLS versi 1.2) ditunjukkan pada tabel berikut.

Parameter DB Nilai yang diizinkan (default dalam huruf tebal) Deskripsi
rds.tls10 default, diaktifkan, dinonaktifkan TLS1.0.
rds.tls11 default, diaktifkan, dinonaktifkan TLS1.1.
rds.tls12 default TLS1.2. Anda tidak dapat mengubah nilai ini.
rds.fips 0, 1

Ketika Anda mengatur parameter ke 1, RDS memaksa penggunaan modul yang sesuai dengan Standar Pemrosesan Informasi Federal (FIPS) 140-2 standar.

Untuk informasi selengkapnya, lihat Menggunakan SQL Server 2016 dalam mode yang FIPS sesuai dengan 140-2 dalam dokumentasi Microsoft.

rds.rc4 default, diaktifkan, dinonaktifkan RC4stream cipher.
rds.diffie-hellman default, diaktifkan, dinonaktifkan Enkripsi pertukaran kunci Diffie-Hellman.
rds. diffie-hellman-min-key-bit-panjang standar, 1024, 2048, 3072, 4096 Panjang bit minimum untuk kunci Diffie-Hellman.
rds.curve25519 default, diaktifkan, dinonaktifkan Enkripsi cipher kurva-elips Curve25519. Parameter ini tidak mendukung semua versi mesin.
rds.3des168 default, diaktifkan, dinonaktifkan Triple Data Encryption Standard (DES) enkripsi cipher dengan panjang kunci 168-bit.
catatan

Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk parameter DB,,,, dan dinonaktifkan. rds.tls10 rds.tls11 rds.rc4 rds.curve25519 rds.3des168 Jika tidak, pengaturan default diaktifkan.

Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk adalah 3072. rds.diffie-hellman-min-key-bit-length Jika tidak, pengaturan default adalah 2048.

Gunakan proses berikut untuk mengonfigurasi protokol keamanan dan cipher:

  1. Buat grup parameter DB kustom.

  2. Ubah parameter di grup parameter.

  3. Kaitkan grup parameter DB dengan instans DB Anda.

Untuk informasi selengkapnya tentang grup parameter DB, lihat Grup parameter untuk RDS.

Membuat grup parameter yang terkait dengan keamanan

Buat grup parameter untuk parameter terkait keamanan yang sesuai dengan edisi SQL Server dan versi instans DB Anda.

Prosedur berikut membuat grup parameter untuk SQL Server Standard Edition 2016.

Untuk membuat grup parameter
  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Grup parameter.

  3. Pilih Buat grup parameter.

  4. Di panel Buat grup parameter, lakukan hal berikut:

    1. Untuk Rangkaian grup parameter, pilih sqlserver-se-13.0.

    2. Untuk Nama grup, masukkan pengidentifikasi grup parameter, seperti sqlserver-ciphers-se-13.

    3. Untuk Deskripsi, masukkan Parameter group for security protocols and ciphers.

  5. Pilih Buat.

Prosedur berikut membuat grup parameter untuk SQL Server Standard Edition 2016.

Untuk membuat grup parameter
  • Gunakan salah satu perintah berikut ini.

    Untuk Linux, macOS, atau Unix:

    aws rds create-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"

    Untuk Windows:

    aws rds create-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"

Mengubah parameter yang terkait dengan keamanan

Ubah parameter terkait keamanan dalam grup parameter yang sesuai dengan edisi SQL Server dan versi instans DB Anda.

Prosedur berikut memodifikasi grup parameter yang Anda buat untuk SQL Server Standard Edition 2016. Contoh ini mematikan TLS versi 1.0.

Untuk mengubah grup parameter
  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Grup parameter.

  3. Pilih grup parameter, seperti sqlserver-ciphers-se-13.

  4. Di bagian Parameter, filter daftar parameter untuk rds.

  5. Pilih Edit parameter.

  6. Pilih rds.tls10.

  7. Untuk Nilai, pilih dinonaktifkan.

  8. Pilih Simpan perubahan.

Prosedur berikut memodifikasi grup parameter yang Anda buat untuk SQL Server Standard Edition 2016. Contoh ini mematikan TLS versi 1.0.

Untuk mengubah grup parameter
  • Gunakan salah satu perintah berikut ini.

    Untuk Linux, macOS, atau Unix:

    aws rds modify-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    Untuk Windows:

    aws rds modify-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Mengaitkan grup parameter terkait keamanan dengan instans DB Anda

Untuk mengaitkan grup parameter dengan instans DB Anda, gunakan AWS Management Console atau AWS CLI.

Anda dapat mengaitkan grup parameter dengan instans DB baru atau yang sudah ada:

Anda dapat menghubungkan grup parameter dengan DB instance baru atau yang sudah ada.

Untuk membuat instans DB dengan grup parameter
  • Tentukan jenis DB engine dan versi besar yang sama dengan yang Anda gunakan saat membuat grup parameter.

    Untuk Linux, macOS, atau Unix:

    aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m5.2xlarge \ --engine sqlserver-se \ --engine-version 13.00.5426.0.v1 \ --allocated-storage 100 \ --master-user-password secret123 \ --master-username admin \ --storage-type gp2 \ --license-model li \ --db-parameter-group-name sqlserver-ciphers-se-13

    Untuk Windows:

    aws rds create-db-instance ^ --db-instance-identifier mydbinstance ^ --db-instance-class db.m5.2xlarge ^ --engine sqlserver-se ^ --engine-version 13.00.5426.0.v1 ^ --allocated-storage 100 ^ --master-user-password secret123 ^ --master-username admin ^ --storage-type gp2 ^ --license-model li ^ --db-parameter-group-name sqlserver-ciphers-se-13
    catatan

    Tetapkan kata sandi selain penggugah (prompt) yang ditampilkan di sini sebagai praktik terbaik keamanan.

Untuk mengubah instans DB serta mengaitkan grup parameter
  • Gunakan salah satu perintah berikut ini.

    Untuk Linux, macOS, atau Unix:

    aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --apply-immediately

    Untuk Windows:

    aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --apply-immediately