Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengenkripsi data dalam perjalanan
Anda dapat menggunakan Keamanan Lapisan Pengangkutan (TLS) untuk mengenkripsi koneksi antara aplikasi Anda dan klaster Amazon DocumentDB. Secara default, enkripsi dalam transit diaktifkan untuk klaster Amazon DocumentDB yang baru dibuat. Itu dapat secara opsional dinonaktifkan ketika klaster dibuat, atau di lain waktu. Ketika enkripsi dalam transit diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke klaster. Untuk informasi selengkapnya menghubungkan ke Amazon DocumentDB menggunakan TLS, lihat [Menghubungkan secara terprogram ke Amazon DocumentDB](connect_programmatically.md).
## Mengelola pengaturan TLS cluster Amazon DocumentDB
Enkripsi dalam transit untuk klaster Amazon DocumentDB dikelola melalui parameter TLS dalam [grup parameter klaster](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html). Anda dapat mengelola pengaturan TLS cluster Amazon DocumentDB menggunakan atau () Konsol Manajemen AWS . AWS Command Line Interface AWS CLI Lihat bagian berikut untuk mempelajari cara memverifikasi dan memodifikasi pengaturan TLS Anda saat ini.
------
#### [ Using the Konsol Manajemen AWS ]
Ikuti langkah-langkah berikut untuk melakukan tugas manajemen untuk enkripsi TLS menggunakan konsol—seperti mengidentifikasi grup parameter, memverifikasi nilai TLS, dan membuat modifikasi yang diperlukan.
**catatan**
Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster Anda dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster `default` tidak dapat diubah (misalnya, `tls` diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster `default`, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama, Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Tentukan grup parameter cluster yang digunakan cluster Anda.**
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Klaster**.
**Tip**
Jika Anda tidak melihat panel navigasi pada sisi kiri layar Anda, pilih ikon menu (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/docdb-menu-icon.png)) di sudut kiri atas halaman.
1. Perhatikan bahwa di kotak navigasi **Clusters**, kolom **Cluster Identifier menunjukkan cluster** dan instance. Instans terdaftar di bawah klaster. Lihat tangkapan layar di bawah untuk referensi.
![\[Gambar kotak navigasi Cluster yang menunjukkan daftar tautan cluster yang ada dan tautan instans yang sesuai.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/clusters.png)
1. Pilih klaster yang Anda minati.
1. Pilih tab **Konfigurasi** dan gulir ke bawah ke bagian bawah **detail Cluster** dan temukan **grup parameter Cluster**. Perhatikan nama grup parameter klaster.
Jika nama grup parameter klaster adalah `default` (misalnya, `default.docdb3.6`), Anda harus membuat grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat berikut ini:
1. [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md) — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.
1. [Memodifikasi cluster Amazon DocumentDB](db-cluster-modify.md) — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.
1. **Tentukan nilai parameter `tls` cluster saat ini.**
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Grup parameter**.
1. Dalam daftar grup parameter klaster, pilih nama grup parameter klaster yang Anda minati.
1. Temukan bagian **Parameter klaster**. Dalam daftar parameter klaster, temukan baris parameter klaster `tls`. Pada titik ini, empat kolom berikut ini penting:
+ **Nama parameter klaster** — Nama dari parameter klaster. Untuk mengelola TLS, Anda tertarik dengan parameter klaster `tls`.
+ **Nilai** — Nilai saat ini dari setiap parameter klaster.
+ **Nilai yang diizinkan** — Daftar nilai yang dapat diterapkan pada parameter klaster.
+ **Tipe penerapan** — Baik **statis** atau **dinamis**. Perubahan pada parameter klaster statis hanya dapat diterapkan saat instans di-boot ulang. Perubahan pada parameter klaster dinamis hanya dapat diterapkan baik segera atau saat instans di-boot ulang.
1. **Ubah nilai parameter `tls` cluster.**
Jika nilai `tls` tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter klaster `tls`, lanjutkan dari bagian sebelumnya dengan mengikuti langkah-langkah berikut.
1. Pilih tombol di sebelah kiri nama parameter klaster (`tls`).
1. Pilih **Edit**.
1. Untuk mengubah nilai `tls`, di kotak dialog **Modifikasi `tls`**, pilih nilai yang Anda inginkan untuk parameter klaster dalam daftar tarik-turun.
Nilai yang valid adalah:
+ **dinonaktifkan** - Menonaktifkan TLS
+ **diaktifkan** - Mengaktifkan versi TLS 1.0 hingga 1.3.
+ **fips-140-3** - Mengaktifkan TLS dengan FIPS. Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west
+ **tls1.2\$1** - Mengaktifkan TLS versi 1.2 dan di atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB (engine versi 3.0.11051).
+ **tls1.3\$1** - Mengaktifkan TLS versi 1.3 dan di atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB (engine versi 3.0.11051).
![\[Gambar kotak dialog Modify TLS khusus cluster.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/modify-tls.png)
1. Pilih **Modifikasi parameter klaster**. Perubahan diterapkan untuk setiap instans klaster saat di-boot ulang.
1. **Nyalakan ulang instans Amazon DocumentDB.**
Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster.
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Instans**.
1. Untuk menentukan instans yang akan di-boot ulang, temukan instans dalam daftar instans, dan pilih tombol di sebelah kiri namanya.
1. Pilih **Tindakan**, dan kemudian **Boot ulang**. Konfirmasikan bahwa Anda ingin melakukan boot ulang dengan memilih **Boot ulang**.
------
#### [ Using the AWS CLI ]
Ikuti langkah-langkah berikut untuk melakukan tugas manajemen untuk enkripsi TLS menggunakan AWS CLI—seperti mengidentifikasi grup parameter, memverifikasi nilai TLS, dan membuat modifikasi yang diperlukan.
**catatan**
Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster `default` tidak dapat diubah (misalnya, `tls` diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster `default`, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Tentukan grup parameter cluster yang digunakan cluster Anda.**
Jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)perintah dengan opsi berikut:
+ `--db-cluster-identifier`
+ `--query`
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Jika nama grup parameter klaster adalah `default` (misalnya, `default.docdb3.6`), Anda harus memiliki grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat topik berikut:
1. [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md) — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.
1. [Memodifikasi cluster Amazon DocumentDB](db-cluster-modify.md) — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.
1. **Tentukan nilai parameter `tls` cluster saat ini.**
Untuk mendapatkan informasi lebih lanjut tentang grup parameter cluster ini, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)perintah dengan opsi berikut:
+ `--db-cluster-parameter-group-name`
+ `--query`
Membatasi output hanya pada bidang yang diminati:`ParameterName`,`ParameterValue`,`AllowedValues`, dan`ApplyType`.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Ubah nilai parameter `tls` cluster.**
Jika nilai `tls` tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter `tls` cluster, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)perintah dengan opsi berikut:
+ `--db-cluster-parameter-group-name` — Diperlukan. Nama grup parameter klaster yang akan dimodifikasi. Ini tidak dapat menjadi grup parameter klaster `default.*`.
+ `--parameters` — Diperlukan. Daftar parameter grup parameter klaster yang akan dimodifikasi.
+ `ParameterName` — Diperlukan. Nama parameter klaster yang akan dimodifikasi.
+ `ParameterValue` — Diperlukan. Nilai baru untuk parameter klaster ini. Harus salah satu dari `AllowedValues` parameter klaster.
+ `enabled`- Cluster menerima koneksi aman menggunakan TLS versi 1.0 hingga 1.3.
+ `disabled` — Klaster tidak menerima koneksi aman menggunakan TLS.
+ `fips-140-3`Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west
+ `tls1.2+`- Cluster menerima koneksi aman menggunakan TLS versi 1.2 dan di atasnya. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB 5.0 (versi mesin 3.0.11051).
+ `tls1.3+`- Cluster menerima koneksi aman menggunakan TLS versi 1.3 ke atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB 5.0 (versi mesin 3.0.11051).
+ `ApplyMethod` — Kapan modifikasi ini diterapkan. Untuk parameter klaster statis seperti `tle`, nilai ini harus berupa `pending-reboot`.
+ `pending-reboot` — Perubahan diterapkan ke sebuah instans hanya setelah di-boot ulang. Anda harus mem-boot ulang setiap instans klaster satu per satu agar perubahan ini terjadi di semua instans klaster.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
Kode berikut *dinonaktifkan*`tls`, menerapkan perubahan ke setiap instance saat di-boot ulang.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Kode berikut *memungkinkan* `tls` (versi 1.0 hingga 1.3) menerapkan perubahan ke setiap instance saat di-boot ulang.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Kode berikut *memungkinkan* TLS dengan`fips-140-3`, menerapkan perubahan untuk setiap instance ketika reboot.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Nyalakan ulang instans Amazon DocumentDB Anda.**
Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster. Untuk me-reboot instance Amazon DocumentDB, jalankan perintah dengan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)opsi berikut:
+ `--db-instance-identifier`
Kode berikut mem-boot ulang instans `mydocdbinstance`.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Untuk Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Diperlukan waktu beberapa menit agar instans di-boot ulang. Anda dapat menggunakan instans hanya ketika statusnya *tersedia*. Anda dapat memantau status instans menggunakan konsol atau AWS CLI. Lihat informasi yang lebih lengkap di [Memantau status instans Amazon DocumentDB](monitoring_docdb-instance_status.md).
------