Mengenkripsi data dalam perjalanan - Amazon DocumentDB
Mengelola TLS pengaturan cluster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data dalam perjalanan

Anda dapat menggunakan Transport Layer Security (TLS) untuk mengenkripsi koneksi antara aplikasi Anda dan klaster Amazon DocumentDB. Secara default, enkripsi dalam transit diaktifkan untuk klaster Amazon DocumentDB yang baru dibuat. Itu dapat secara opsional dinonaktifkan ketika klaster dibuat, atau di lain waktu. Ketika enkripsi dalam perjalanan diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke cluster. Untuk informasi selengkapnya yang menghubungkan ke Amazon DocumentDB TLS menggunakan, lihat. Menghubungkan secara terprogram ke Amazon DocumentDB

Mengelola pengaturan cluster Amazon TLS DocumentDB

Enkripsi dalam perjalanan untuk klaster Amazon DocumentDB dikelola melalui parameter dalam TLS grup parameter cluster. Anda dapat mengelola pengaturan TLS klaster Amazon DocumentDB menggunakan AWS Management Console atau AWS Command Line Interface ().AWS CLI Lihat bagian berikut untuk mempelajari cara memverifikasi dan mengubah TLS setelan Anda saat ini.

Using the AWS Management Console

Ikuti langkah-langkah ini untuk melakukan tugas manajemen untuk TLS enkripsi menggunakan konsol—seperti mengidentifikasi grup parameter, memverifikasi TLS nilai, dan membuat modifikasi yang diperlukan.

catatan

Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster Anda dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster default tidak dapat diubah (misalnya, tls diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster default, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama, Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat Membuat grup parameter cluster Amazon DocumentDB.

  1. Tentukan grup parameter cluster yang digunakan cluster Anda.

    1. Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com

    2. Di panel navigasi, pilih Klaster.

      Tip

      Jika Anda tidak melihat panel navigasi pada sisi kiri layar Anda, pilih ikon menu (Hamburger menu icon with three horizontal lines.) di sudut kiri atas halaman.

    3. Perhatikan bahwa di kotak navigasi Clusters, kolom Cluster Identifier menunjukkan cluster dan instance. Instans terdaftar di bawah klaster. Lihat tangkapan layar di bawah untuk referensi.

      Gambar kotak navigasi Cluster yang menunjukkan daftar tautan cluster yang ada dan tautan instans yang sesuai.

    4. Pilih klaster yang Anda minati.

    5. Pilih tab Konfigurasi dan gulir ke bawah ke bagian bawah detail Cluster dan temukan grup parameter Cluster. Perhatikan nama grup parameter klaster.

      Jika nama grup parameter klaster adalah default (misalnya, default.docdb3.6), Anda harus membuat grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat berikut ini:

      1. Membuat grup parameter cluster Amazon DocumentDB — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.

      2. Memodifikasi cluster Amazon DocumentDB — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.

  2. Tentukan nilai parameter tls cluster saat ini.

    1. Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com

    2. Di panel navigasi, pilih Grup parameter.

    3. Dalam daftar grup parameter klaster, pilih nama grup parameter klaster yang Anda minati.

    4. Temukan bagian Parameter klaster. Dalam daftar parameter klaster, temukan baris parameter klaster tls. Pada titik ini, empat kolom berikut ini penting:

      • Nama parameter klaster — Nama dari parameter klaster. Untuk mengelolaTLS, Anda tertarik dengan parameter tls cluster.

      • Nilai — Nilai saat ini dari setiap parameter klaster.

      • Nilai yang diizinkan — Daftar nilai yang dapat diterapkan pada parameter klaster.

      • Tipe penerapan — Baik statis atau dinamis. Perubahan pada parameter klaster statis hanya dapat diterapkan saat instans di-boot ulang. Perubahan pada parameter klaster dinamis hanya dapat diterapkan baik segera atau saat instans di-boot ulang.

  3. Ubah nilai parameter tls cluster.

    Jika nilai tls tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter klaster tls, lanjutkan dari bagian sebelumnya dengan mengikuti langkah-langkah berikut.

    1. Pilih tombol di sebelah kiri nama parameter klaster (tls).

    2. Pilih Edit.

    3. Untuk mengubah nilai tls, di kotak dialog Modifikasi tls, pilih nilai yang Anda inginkan untuk parameter klaster dalam daftar tarik-turun.

      Nilai yang valid adalah:

      • dinonaktifkan - Menonaktifkan TLS

      • diaktifkan - Mengaktifkan TLS versi 1.0 hingga 1.3.

      • fips-140-3 - Memungkinkan dengan. TLS FIPS Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west

      Gambar kotak dialog Modify TLS khusus cluster.

    4. Pilih Modifikasi parameter klaster. Perubahan diterapkan untuk setiap instans klaster saat di-boot ulang.

  4. Nyalakan ulang instans Amazon DocumentDB.

    Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster.

    1. Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com

    2. Di panel navigasi, pilih Instans.

    3. Untuk menentukan instans yang akan di-boot ulang, temukan instans dalam daftar instans, dan pilih tombol di sebelah kiri namanya.

    4. Pilih Tindakan, dan kemudian Boot ulang. Konfirmasikan bahwa Anda ingin melakukan boot ulang dengan memilih Boot ulang.

Using the AWS CLI

Ikuti langkah-langkah ini untuk melakukan tugas manajemen untuk TLS enkripsi menggunakan AWS CLI—seperti mengidentifikasi grup parameter, memverifikasi TLS nilai, dan membuat modifikasi yang diperlukan.

catatan

Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster default tidak dapat diubah (misalnya, tls diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster default, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat Membuat grup parameter cluster Amazon DocumentDB.

  1. Tentukan grup parameter cluster yang digunakan cluster Anda.

    Gunakan perintah describe-db-clusters dengan parameter berikut:

    • --db-cluster-identifier — Diperlukan. Nama klaster yang diinginkan.

    • --query — Opsional. Sebuah kueri yang membatasi output hanya pada bidang yang diminati, dalam hal ini, nama klaster dan nama grup parameter klasternya.

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    Output dari operasi ini terlihat seperti berikut (JSONformat).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Jika nama grup parameter klaster adalah default (misalnya, default.docdb3.6), Anda harus memiliki grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat topik berikut.

    1. Membuat grup parameter cluster Amazon DocumentDB — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.

    2. Memodifikasi cluster Amazon DocumentDB — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.

  2. Tentukan nilai parameter tls cluster saat ini.

    Untuk mendapatkan informasi selengkapnya tentang grup parameter klaster ini, gunakan operasi describe-db-cluster-parameters dengan parameter berikut:

    • --db-cluster-parameter-group-name — Diperlukan. Gunakan nama grup parameter klaster dari output perintah sebelumnya.

    • --query — Opsional. Sebuah kueri yang membatasi output hanya pada bidang yang diminati, dalam hal ini, ParameterName, ParameterValue, AllowedValues, dan ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    Output dari operasi ini terlihat seperti berikut (JSONformat).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Ubah nilai parameter tls cluster.

    Jika nilai tls tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter klaster tls, gunakan operasi modify-db-cluster-parameter-group dengan parameter berikut.

    • --db-cluster-parameter-group-name — Diperlukan. Nama grup parameter klaster yang akan dimodifikasi. Ini tidak dapat menjadi grup parameter klaster default.*.

    • --parameters — Diperlukan. Daftar parameter grup parameter klaster yang akan dimodifikasi.

      • ParameterName — Diperlukan. Nama parameter klaster yang akan dimodifikasi.

      • ParameterValue — Diperlukan. Nilai baru untuk parameter klaster ini. Harus salah satu dari AllowedValues parameter klaster.

        • enabled- Cluster menerima koneksi aman menggunakan TLS versi 1.0 hingga 1.3.

        • disabled- Cluster tidak menerima koneksi aman menggunakanTLS.

        • fips-140-3— Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west

      • ApplyMethod — Kapan modifikasi ini diterapkan. Untuk parameter klaster statis seperti tle, nilai ini harus berupa pending-reboot.

        • pending-reboot — Perubahan diterapkan ke sebuah instans hanya setelah di-boot ulang. Anda harus mem-boot ulang setiap instans klaster satu per satu agar perubahan ini terjadi di semua instans klaster.

    Kode berikut menonaktifkan tls, menerapkan perubahan ke setiap instans DB ketika di-boot ulang.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    Kode berikut memungkinkan tls (versi 1.0 hingga 1.3) menerapkan perubahan ke setiap instance saat di-boot ulang.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    Kode berikut memungkinkan TLS denganfips-140-3, menerapkan perubahan ke setiap instance DB saat di-boot ulang.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    Output dari operasi ini terlihat seperti berikut (JSONformat).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Nyalakan ulang instans Amazon DocumentDB Anda.

    Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster. Untuk mem-boot ulang instans Amazon DocumentDB, gunakan operasi reboot-db-instance dengan parameter berikut:

    • --db-instance-identifier — Diperlukan. Pengidentifikasi untuk instans yang akan di-boot ulang.

    Kode berikut mem-boot ulang instans sample-db-instance.

    Untuk Linux, macOS, atau Unix:

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Untuk Windows:

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    Output dari operasi ini terlihat seperti berikut (JSONformat).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Diperlukan waktu beberapa menit agar instans di-boot ulang. Anda dapat menggunakan instans hanya ketika statusnya tersedia. Anda dapat memantau status instans menggunakan konsol atau AWS CLI. Untuk informasi selengkapnya, lihat Memantau status instans Amazon DocumentDB.