Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei protocolli e SQL dei cifrari di sicurezza del server
È possibile attivare e disattivare determinati protocolli di sicurezza e cifrari utilizzando i parametri DB. I parametri di sicurezza che è possibile configurare (ad eccezione della TLS versione 1.2) sono riportati nella tabella seguente.
Parametro DB | Valori consentiti (impostazione predefinita in grassetto) | Descrizione |
---|---|---|
rds.tls10 | Impostazione predefinita, abilitato, disabilitato | TLS1.0. |
rds.tls11 | Impostazione predefinita, abilitato, disabilitato | TLS1.1. |
rds.tls12 | default | TLS1.2. Non è possibile modificare questo valore. |
rds.fips | 0, 1 |
Quando si imposta il parametro su 1, RDS impone l'uso di moduli conformi allo standard Federal Information Processing Standard (FIPS) 140-2. Per ulteriori informazioni, consulta Utilizzare SQL Server 2016 in FIPS modalità conforme a 140-2 nella |
rds.rc4 | Impostazione predefinita, abilitato, disabilitato | RC4cifrario a flusso. |
rds.diffie-hellman | Impostazione predefinita, abilitato, disabilitato | Crittografia dello scambio chiavi Diffie-Hellman. |
rds. diffie-hellman-min-key-lunghezza del bit | impostazione predefinita, 1024, 2048, 3072, 4096 | Lunghezza minima del bit per le chiavi Diffie-Hellman. |
rds.curve25519 | Impostazione predefinita, abilitato, disabilitato | Crittografia Curve25519 a curva ellittica. Questo parametro non è supportato per tutte le versioni del motore. |
rds.3des168 | Impostazione predefinita, abilitato, disabilitato | Cifrario di crittografia Triple Data Encryption Standard (DES) con una lunghezza della chiave di 168 bit. |
Nota
Per le versioni minori del motore successive a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l'impostazione predefinita per i parametri del DB,, ed è disabilitata. rds.tls10
rds.tls11
rds.rc4
rds.curve25519
rds.3des168
Altrimenti l'impostazione predefinita è abilitata.
Per le versioni minori del motore successive a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l'impostazione predefinita per è 3072. rds.diffie-hellman-min-key-bit-length
Altrimenti l'impostazione predefinita è 2048.
Per configurare i protocolli e i cifrari di sicurezza, attenersi alla procedura descritta di seguito.
-
Creare un gruppo di parametri DB personalizzato.
-
Modificare i parametri nel gruppo di parametri.
-
Associare il gruppo di parametri DB all'istanza database.
Per ulteriori informazioni sui gruppi di parametri database, consulta Gruppi di parametri per RDS.
Creazione del gruppo di parametri relativi alla sicurezza
Crea un gruppo di parametri per i parametri relativi alla sicurezza che corrisponda all'edizione e alla versione SQL Server dell'istanza DB.
La procedura seguente crea un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel pannello di navigazione, scegliParameter groups (Gruppi di parametri).
-
Scegliere Create parameter group (Crea gruppo di parametri).
-
Nel riquadro Create parameter group (Crea gruppi di parametri), procedi nel modo seguente:
-
Per Famiglia del gruppo di parametri, scegliere sqlserver-se-13.0.
-
Per Group name (Nome gruppo), immettere un identificatore per il gruppo di parametri, ad esempio
sqlserver-ciphers-se-13
. -
Per Description (Descrizione), immettere
Parameter group for security protocols and ciphers
.
-
-
Scegli Create (Crea) .
La procedura seguente crea un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
In Linux, macOS, oppure Unix:
aws rds create-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --db-parameter-group-family "sqlserver-se-13.0
" \ --description "Parameter group for security protocols and ciphers
"In Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --db-parameter-group-family "sqlserver-se-13.0
" ^ --description "Parameter group for security protocols and ciphers
"
Modifica dei parametri relativi alla sicurezza
Modifica i parametri relativi alla sicurezza nel gruppo di parametri corrispondente all'edizione e alla versione SQL Server dell'istanza DB.
La procedura seguente modifica il gruppo di parametri creato per SQL Server Standard Edition 2016. Questo esempio disattiva la TLS versione 1.0.
Per modificare il gruppo di parametri
Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).
-
Scegli il gruppo di parametri, ad esempio sqlserver-ciphers-se-13.
-
In Parameters (Parametri), filtrare l'elenco dei parametri per
rds
. -
Scegliere Edit parameters (Modifica parametri).
-
Scegliere rds.tls10.
-
Per Values (Valori), scegliere Disabled (Disabilitato).
-
Scegli Save changes (Salva modifiche).
La procedura seguente modifica il gruppo di parametri creato per SQL Server Standard Edition 2016. Questo esempio disattiva la TLS versione 1.0.
Per modificare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
In Linux, macOS, oppure Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"In Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"
Associazione del gruppo di parametri relativi alla sicurezza all'istanza database
Per associare il gruppo di parametri alla tua istanza DB, usa AWS Management Console o il AWS CLI.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
-
Per una nuova istanza database, associarli all'avvio dell'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza Amazon RDS DB.
-
Per un'istanza database esistente, associarli modificando l'istanza. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
Per creare un'istanza database con il gruppo di parametri
-
Specificare lo stesso tipo di motore di database e la versione principale utilizzati durante la creazione del gruppo di parametri.
In Linux, macOS, oppure Unix:
aws rds create-db-instance \ --db-instance-identifier
mydbinstance
\ --db-instance-classdb.m5.2xlarge
\ --enginesqlserver-se
\ --engine-version13.00.5426.0.v1
\ --allocated-storage100
\ --master-user-passwordsecret123
\ --master-usernameadmin
\ --storage-typegp2
\ --license-modelli
\ --db-parameter-group-namesqlserver-ciphers-se-13
In Windows:
aws rds create-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-instance-classdb.m5.2xlarge
^ --enginesqlserver-se
^ --engine-version13.00.5426.0.v1
^ --allocated-storage100
^ --master-user-passwordsecret123
^ --master-usernameadmin
^ --storage-typegp2
^ --license-modelli
^ --db-parameter-group-namesqlserver-ciphers-se-13
Nota
Specifica una password diversa dal prompt mostrato qui come best practice per la sicurezza.
Per modificare un'istanza database e associare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
In Linux, macOS, oppure Unix:
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --db-parameter-group-namesqlserver-ciphers-se-13
\ --apply-immediatelyIn Windows:
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-parameter-group-namesqlserver-ciphers-se-13
^ --apply-immediately