Membuat grup parameter yang terkait dengan keamanan Mengubah parameter yang terkait dengan keamanan Mengaitkan grup parameter terkait keamanan dengan instans DB Anda

Mengkonfigurasi protokol keamanan SQL Server dan cipher

Anda dapat mengaktifkan dan menonaktifkan protokol keamanan dan cipher tertentu menggunakan parameter DB. Parameter keamanan yang dapat Anda konfigurasi (kecuali untuk TLS versi 1.2) ditampilkan dalam tabel berikut.

Parameter DB	Nilai yang diizinkan (default dalam huruf tebal)	Deskripsi
rds.tls10	default, diaktifkan, dinonaktifkan	TLS 1.0.
rds.tls11	default, diaktifkan, dinonaktifkan	TLS 1.1.
rds.tls12	default	TLS 1.2. Anda tidak dapat mengubah nilai ini.
rds.fips	0, 1	Saat Anda menetapkan parameter ke 1, RDS memaksa penggunaan modul yang sesuai dengan Standar Pemrosesan Informasi Federal (FIPS) 140-2. Untuk informasi selengkapnya, lihat Use SQL Server 2016 in FIPS 140-2-compliant mode dalam dokumentasi Microsoft.
rds.rc4	default, diaktifkan, dinonaktifkan	RC4 stream cipher.
rds.diffie-hellman	default, diaktifkan, dinonaktifkan	Diffie-Hellman enkripsi pertukaran kunci.
rds.diffie-hellman-min-key-bit-length	standar, 1024, 2048, 3072, 4096	Panjang bit minimum untuk Diffie-Hellman kunci.
rds.curve25519	default, diaktifkan, dinonaktifkan	Enkripsi cipher kurva-elips Curve25519. Parameter ini tidak mendukung semua versi mesin.
rds.3des168	default, diaktifkan, dinonaktifkan	Cipher enkripsi Standar Enkripsi Data Tiga Kali Lipat (DES) memiliki panjang kunci 168-bit.

catatan

Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk parameter DB,,,, dan dinonaktifkan. rds.tls10 rds.tls11 rds.rc4 rds.curve25519 rds.3des168 Jika tidak, pengaturan default diaktifkan.

Untuk versi mesin minor setelah 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1, dan 12.00.6449.1, pengaturan default untuk adalah 3072. rds.diffie-hellman-min-key-bit-length Jika tidak, pengaturan default adalah 2048.

Gunakan proses berikut untuk mengonfigurasi protokol keamanan dan cipher:

Buat grup parameter DB kustom.
Ubah parameter di grup parameter.
Kaitkan grup parameter DB dengan instans DB Anda.

Untuk informasi selengkapnya tentang grup parameter DB, lihat Grup parameter untuk RDS.

Membuat grup parameter yang terkait dengan keamanan

Buat grup parameter untuk parameter terkait keamanan Anda yang sesuai dengan edisi SQL Server dan versi instans DB Anda.

Prosedur berikut akan membuat grup parameter untuk SQL Server Standard Edition 2016.

Untuk membuat grup parameter

Masuk ke Konsol Manajemen AWS dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
Di panel navigasi, pilih Grup parameter.
Pilih Buat grup parameter.
Di panel Buat grup parameter, lakukan hal berikut:
1. Untuk Rangkaian grup parameter, pilih sqlserver-se-13.0.
2. Untuk Nama grup, masukkan pengidentifikasi grup parameter, seperti sqlserver-ciphers-se-13.
3. Untuk Deskripsi, masukkan Parameter group for security protocols and ciphers.
Pilih Buat.

Prosedur berikut akan membuat grup parameter untuk SQL Server Standard Edition 2016.

Untuk membuat grup parameter

Gunakan salah satu perintah berikut ini.

contoh

Untuk Linux, macOS, atau Unix:


aws rds create-db-parameter-group \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --db-parameter-group-family "sqlserver-se-13.0" \
    --description "Parameter group for security protocols and ciphers"

Untuk Windows:


aws rds create-db-parameter-group ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --db-parameter-group-family "sqlserver-se-13.0" ^
    --description "Parameter group for security protocols and ciphers"

Mengubah parameter yang terkait dengan keamanan

Ubah parameter yang terkait dengan keamanan di grup parameter yang sesuai dengan edisi SQL Server dan versi instans DB Anda.

Prosedur berikut akan mengubah grup parameter yang telah Anda buat untuk Edisi Standar SQL Server 2016. Contoh ini menonaktifkan TLS versi 1.0.

Untuk mengubah grup parameter

Masuk ke Konsol Manajemen AWS dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
Di panel navigasi, pilih Grup Parameter .
Pilih grup parameter, seperti sqlserver-ciphers-se-13.
Di bagian Parameter, filter daftar parameter untuk rds.
Pilih Edit parameter.
Pilih rds.tls10.
Untuk Nilai, pilih dinonaktifkan.
Pilih Smpan Perubahan.

Prosedur berikut akan mengubah grup parameter yang telah Anda buat untuk Edisi Standar SQL Server 2016. Contoh ini menonaktifkan TLS versi 1.0.

Untuk mengubah grup parameter

Gunakan salah satu perintah berikut ini.

contoh

Untuk Linux, macOS, atau Unix:


aws rds modify-db-parameter-group \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Untuk Windows:


aws rds modify-db-parameter-group ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Mengaitkan grup parameter terkait keamanan dengan instans DB Anda

Untuk mengaitkan grup parameter dengan instans DB Anda, gunakan Konsol Manajemen AWS atau AWS CLI.

Anda dapat mengaitkan grup parameter dengan instans DB baru atau yang sudah ada:

Untuk instans DB baru, kaitkan saat Anda meluncurkan instans. Untuk informasi selengkapnya, lihat Membuat instans DB Amazon RDS.
Untuk instans DB yang sudah ada, kaitkan dengan mengubah instans. Untuk informasi selengkapnya, lihat Memodifikasi instans DB Amazon RDS.

Anda dapat mengaitkan grup parameter dengan instans DB baru atau yang sudah ada.

Untuk membuat instans DB dengan grup parameter

Tentukan jenis mesin DB dan versi utama yang sama seperti yang Anda gunakan saat membuat grup parameter.

contoh

Untuk Linux, macOS, atau Unix:


aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m5.2xlarge \
    --engine sqlserver-se \
    --engine-version 13.00.5426.0.v1 \
    --allocated-storage 100 \
    --master-user-password secret123 \
    --master-username admin \
    --storage-type gp2 \
    --license-model li \
    --db-parameter-group-name sqlserver-ciphers-se-13

Untuk Windows:


aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --db-instance-class db.m5.2xlarge ^
    --engine sqlserver-se ^
    --engine-version 13.00.5426.0.v1 ^
    --allocated-storage 100 ^
    --master-user-password secret123 ^
    --master-username admin ^
    --storage-type gp2 ^
    --license-model li ^
    --db-parameter-group-name sqlserver-ciphers-se-13

catatan

Tentukan kata sandi selain prompt yang ditampilkan di sini sebagai praktik terbaik keamanan.

Untuk mengubah instans DB serta mengaitkan grup parameter

Jalankan salah satu perintah berikut ini.

contoh

Untuk Linux, macOS, atau Unix:


aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --apply-immediately

Untuk Windows:


aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --apply-immediately

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan SSL dengan instans DB SQL Server

Memperbarui aplikasi untuk SSL/TLS sertifikat baru