Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi protokol dan SQL cipher keamanan Server
Anda dapat mengaktifkan dan menonaktifkan protokol keamanan dan cipher tertentu menggunakan parameter DB. Parameter keamanan yang dapat Anda konfigurasi (kecuali untuk TLS versi 1.2) ditunjukkan pada tabel berikut.
Parameter DB | Nilai yang diizinkan (default dalam huruf tebal) | Deskripsi |
---|---|---|
rds.tls10 | default, diaktifkan, dinonaktifkan | TLS1.0. |
rds.tls11 | default, diaktifkan, dinonaktifkan | TLS1.1. |
rds.tls12 | default | TLS1.2. Anda tidak dapat mengubah nilai ini. |
rds.fips | 0, 1 |
Ketika Anda mengatur parameter ke 1, RDS memaksa penggunaan modul yang sesuai dengan Standar Pemrosesan Informasi Federal (FIPS) 140-2 standar. Untuk informasi selengkapnya, lihat Menggunakan SQL Server 2016 dalam mode yang FIPS sesuai dengan 140-2 dalam dokumentasi Microsoft |
rds.rc4 | default, diaktifkan, dinonaktifkan | RC4stream cipher. |
rds.diffie-hellman | default, diaktifkan, dinonaktifkan | Enkripsi pertukaran kunci Diffie-Hellman. |
rds. diffie-hellman-min-key-bit-panjang | standar, 1024, 2048, 3072, 4096 | Panjang bit minimum untuk kunci Diffie-Hellman. |
rds.curve25519 | default, diaktifkan, dinonaktifkan | Enkripsi cipher kurva-elips Curve25519. Parameter ini tidak mendukung semua versi mesin. |
rds.3des168 | default, diaktifkan, dinonaktifkan | Triple Data Encryption Standard (DES) enkripsi cipher dengan panjang kunci 168-bit. |
catatan
Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk parameter DB,,,, dan dinonaktifkan. rds.tls10
rds.tls11
rds.rc4
rds.curve25519
rds.3des168
Jika tidak, pengaturan default diaktifkan.
Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk adalah 3072. rds.diffie-hellman-min-key-bit-length
Jika tidak, pengaturan default adalah 2048.
Gunakan proses berikut untuk mengonfigurasi protokol keamanan dan cipher:
-
Buat grup parameter DB kustom.
-
Ubah parameter di grup parameter.
-
Kaitkan grup parameter DB dengan instans DB Anda.
Untuk informasi selengkapnya tentang grup parameter DB, lihat Grup parameter untuk RDS.
Membuat grup parameter yang terkait dengan keamanan
Buat grup parameter untuk parameter terkait keamanan yang sesuai dengan edisi SQL Server dan versi instans DB Anda.
Prosedur berikut membuat grup parameter untuk SQL Server Standard Edition 2016.
Untuk membuat grup parameter
Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/
. -
Di panel navigasi, pilih Grup parameter.
-
Pilih Buat grup parameter.
-
Di panel Buat grup parameter, lakukan hal berikut:
-
Untuk Rangkaian grup parameter, pilih sqlserver-se-13.0.
-
Untuk Nama grup, masukkan pengidentifikasi grup parameter, seperti
sqlserver-ciphers-se-13
. -
Untuk Deskripsi, masukkan
Parameter group for security protocols and ciphers
.
-
-
Pilih Buat.
Prosedur berikut membuat grup parameter untuk SQL Server Standard Edition 2016.
Untuk membuat grup parameter
-
Gunakan salah satu perintah berikut ini.
Untuk Linux, macOS, atau Unix:
aws rds create-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --db-parameter-group-family "sqlserver-se-13.0
" \ --description "Parameter group for security protocols and ciphers
"Untuk Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --db-parameter-group-family "sqlserver-se-13.0
" ^ --description "Parameter group for security protocols and ciphers
"
Mengubah parameter yang terkait dengan keamanan
Ubah parameter terkait keamanan dalam grup parameter yang sesuai dengan edisi SQL Server dan versi instans DB Anda.
Prosedur berikut memodifikasi grup parameter yang Anda buat untuk SQL Server Standard Edition 2016. Contoh ini mematikan TLS versi 1.0.
Untuk mengubah grup parameter
Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/
. -
Di panel navigasi, pilih Grup parameter.
-
Pilih grup parameter, seperti sqlserver-ciphers-se-13.
-
Di bagian Parameter, filter daftar parameter untuk
rds
. -
Pilih Edit parameter.
-
Pilih rds.tls10.
-
Untuk Nilai, pilih dinonaktifkan.
-
Pilih Simpan perubahan.
Prosedur berikut memodifikasi grup parameter yang Anda buat untuk SQL Server Standard Edition 2016. Contoh ini mematikan TLS versi 1.0.
Untuk mengubah grup parameter
-
Gunakan salah satu perintah berikut ini.
Untuk Linux, macOS, atau Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"Untuk Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"
Mengaitkan grup parameter terkait keamanan dengan instans DB Anda
Untuk mengaitkan grup parameter dengan instans DB Anda, gunakan AWS Management Console atau AWS CLI.
Anda dapat mengaitkan grup parameter dengan instans DB baru atau yang sudah ada:
-
Untuk instans DB baru, kaitkan saat Anda meluncurkan instans. Untuk informasi selengkapnya, lihat Membuat instans Amazon RDS DB.
-
Untuk instans DB yang sudah ada, kaitkan dengan mengubah instans. Untuk informasi selengkapnya, lihat Memodifikasi instans Amazon RDS DB.
Anda dapat menghubungkan grup parameter dengan DB instance baru atau yang sudah ada.
Untuk membuat instans DB dengan grup parameter
-
Tentukan jenis DB engine dan versi besar yang sama dengan yang Anda gunakan saat membuat grup parameter.
Untuk Linux, macOS, atau Unix:
aws rds create-db-instance \ --db-instance-identifier
mydbinstance
\ --db-instance-classdb.m5.2xlarge
\ --enginesqlserver-se
\ --engine-version13.00.5426.0.v1
\ --allocated-storage100
\ --master-user-passwordsecret123
\ --master-usernameadmin
\ --storage-typegp2
\ --license-modelli
\ --db-parameter-group-namesqlserver-ciphers-se-13
Untuk Windows:
aws rds create-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-instance-classdb.m5.2xlarge
^ --enginesqlserver-se
^ --engine-version13.00.5426.0.v1
^ --allocated-storage100
^ --master-user-passwordsecret123
^ --master-usernameadmin
^ --storage-typegp2
^ --license-modelli
^ --db-parameter-group-namesqlserver-ciphers-se-13
catatan
Tetapkan kata sandi selain penggugah (prompt) yang ditampilkan di sini sebagai praktik terbaik keamanan.
Untuk mengubah instans DB serta mengaitkan grup parameter
-
Gunakan salah satu perintah berikut ini.
Untuk Linux, macOS, atau Unix:
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --db-parameter-group-namesqlserver-ciphers-se-13
\ --apply-immediatelyUntuk Windows:
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-parameter-group-namesqlserver-ciphers-se-13
^ --apply-immediately