Crittografia dei dati in transito - Amazon DocumentDB
Gestione delle impostazioni TLS del cluster

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati in transito

Puoi utilizzare Transport Layer Security (TLS) per crittografare la connessione tra l'applicazione e un cluster Amazon DocumentDB. Per impostazione predefinita, la crittografia in transito è abilitata per i cluster Amazon DocumentDB appena creati. Può facoltativamente essere disabilitata al momento della creazione del cluster o in un secondo momento. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Per ulteriori informazioni sulla connessione ad Amazon DocumentDB utilizzando TLS, consulta Connessione programmatica ad Amazon DocumentDB.

Gestione delle impostazioni TLS del cluster Amazon DocumentDB

La crittografia in transito per un cluster Amazon DocumentDB viene gestita tramite il parametro TLS in un gruppo di parametri del cluster. Puoi gestire le impostazioni TLS del cluster Amazon DocumentDB utilizzando AWS Management Console o il AWS Command Line Interface ().AWS CLI Consulta le seguenti sezioni per ulteriori informazioni su come verificare e modificare le impostazioni TLS correnti.

Using the AWS Management Console

Segui questi passaggi per eseguire attività di gestione della crittografia TLS utilizzando la console, come identificare gruppi di parametri, verificare il valore TLS e apportare le modifiche necessarie.

Nota

A meno che non si specifichi diversamente quando si crea un cluster, il cluster viene creato con il gruppo di parametri cluster predefinito. I parametri del gruppo di parametri del cluster default non possono essere modificati (ad esempio, tls abilitato/disabilitato). Pertanto, se il cluster utilizza un gruppo di parametri del cluster default, è necessario modificare il cluster per utilizzare un gruppo di parametri cluster non predefinito. Innanzitutto, potrebbe essere necessario creare un gruppo di parametri cluster personalizzato. Per ulteriori informazioni, consulta Creazione di gruppi di parametri del cluster Amazon DocumentDB.

  1. Determinare il gruppo di parametri cluster utilizzato dal cluster.

    1. Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.

    2. Nel pannello di navigazione scegliere Clusters (Cluster).

      Suggerimento

      Se il riquadro di navigazione non viene visualizzato sul lato sinistro della schermata, scegliere l'icona del menu (Hamburger menu icon with three horizontal lines.) nell'angolo in alto a sinistra della pagina.

    3. Tieni presente che nella casella di navigazione Cluster, la colonna Cluster Identifier mostra sia i cluster che le istanze. Le istanze sono elencate sotto i cluster. Guarda lo screenshot qui sotto come riferimento.

      Immagine della casella di navigazione Clusters che mostra un elenco di collegamenti cluster esistenti e i collegamenti di istanza corrispondenti.

    4. Scegli il cluster che ti interessa.

    5. Scegli la scheda Configurazione e scorri fino alla fine della pagina Dettagli del cluster e individua il gruppo di parametri del cluster. Annotare il nome del gruppo di parametri del cluster.

      Se il nome del gruppo di parametri del cluster è default, ad esempio default.docdb3.6, è necessario disporre di un gruppo di parametri del cluster personalizzato e renderlo il gruppo di parametri del cluster prima di continuare. Per ulteriori informazioni, consulta gli argomenti seguenti:

      1. Creazione di gruppi di parametri del cluster Amazon DocumentDB— Se non disponi di un gruppo di parametri del cluster personalizzato da utilizzare, creane uno.

      2. Modifica di un cluster Amazon DocumentDB— Modifica il cluster per utilizzare il gruppo di parametri del cluster personalizzato.

  2. Determinare l'attuale valore del parametro cluster tls.

    1. Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.

    2. Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).

    3. Dall'elenco dei gruppi di parametri del cluster, scegliere il nome del gruppo che ti interessa.

    4. Individuare la sezione Cluster parameters (Parametri cluster). Nell'elenco dei parametri del cluster individuare la riga dei parametri del cluster tls. A questo punto, sono importanti le seguenti quattro colonne:

      • Nome dei parametri del cluster: il nome dei parametri del cluster. Per gestire TLS, ti interessa il parametro tls del cluster.

      • Valori: il valore corrente di ogni parametro del cluster.

      • Valori consentiti: un elenco di valori che possono essere applicati a un parametro del cluster.

      • Tipo di applicazione: statico o dinamico. Le modifiche apportate ai parametri del cluster statico possono essere applicate solo quando le istanze vengono riavviate. Le modifiche apportate ai parametri del cluster dinamico possono essere applicate immediatamente oppure quando le istanze vengono riavviate.

  3. Modificare il valore del parametro del cluster tls.

    Se il valore di tls non corrisponde a quello richiesto, modificare il suo valore per questo gruppo di parametri del cluster. Per modificare il valore del parametro del cluster tls, continuare dalla sezione precedente seguendo questi passaggi.

    1. Scegliere il pulsante a sinistra del nome del parametro cluster (tls).

    2. Scegli Modifica.

    3. Per modificare il valore ditls, nella finestra di tls dialogo Modifica, scegliete il valore che desiderate per il parametro del cluster nell'elenco a discesa.

      I valori validi sono:

      • disabilitato: disabilita TLS

      • abilitato: abilita le versioni TLS da 1.0 a 1.3.

      • fips-140-3 — Abilita TLS con FIPS. Il cluster accetta solo connessioni sicure in base ai requisiti della pubblicazione 140-3 degli standard federali di elaborazione delle informazioni (FIPS). È supportato solo a partire dai cluster Amazon DocumentDB 5.0 (versione del motore 3.0.3727) in queste regioni: ca-central-1, us-west-2, us-east-1, us-east-2, -1. us-gov-east us-gov-west

      • tls1.2+ — Abilita la versione TLS 1.2 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB (versione del motore 3.0.11051).

      • tls1.3+ — Abilita TLS versione 1.3 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB (versione del motore 3.0.11051).

      Immagine di una finestra di dialogo Modifica TLS specifica del cluster.

    4. Scegliere Modify cluster parameter (Modifica parametro cluster). La modifica verrà applicata a ciascuna istanza di cluster quando viene riavviata.

  4. Riavvia l'istanza Amazon DocumentDB.

    Riavviare ogni istanza del cluster in modo che la modifica venga applicata a tutte le istanze nel cluster.

    1. Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.

    2. Nel pannello di navigazione, seleziona Instances (Istanze).

    3. Per specificare un'istanza da riavviare, trova l'istanza nell'elenco e scegli il pulsante a sinistra del nome.

    4. Scegliere Actions (Azioni), quindi Reboot (Riavvia). Confermare che si desidera riavviare scegliendo Reboot (Riavvia).

Using the AWS CLI

Segui questi passaggi per eseguire attività di gestione della crittografia TLS utilizzando AWS CLI—come identificare gruppi di parametri, verificare il valore TLS e apportare le modifiche necessarie.

Nota

A meno che non si specifichi diversamente quando si crea un cluster, il cluster viene creato con il gruppo di parametri cluster predefinito. I parametri del gruppo di parametri del cluster default non possono essere modificati (ad esempio, tls abilitato/disabilitato). Pertanto, se il cluster utilizza un gruppo di parametri del cluster default, è necessario modificare il cluster per utilizzare un gruppo di parametri cluster non predefinito. Potrebbe essere necessario creare prima un gruppo di parametri del cluster personalizzato. Per ulteriori informazioni, consulta Creazione di gruppi di parametri del cluster Amazon DocumentDB.

  1. Determinare il gruppo di parametri cluster utilizzato dal cluster.

    Usa il comando describe-db-clusters con i parametri seguenti.

    • --db-cluster-identifier: obbligatorio. Nome del cluster di interesse.

    • --query— Facoltativo. Query che limita l'output ai soli campi di interesse, in questo caso il nome del cluster e del relativo gruppo di parametri.

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    L'aspetto dell'output di questa operazione è simile al seguente (formato JSON).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Se il nome del gruppo di parametri del cluster è default, ad esempio default.docdb3.6, è necessario disporre di un gruppo di parametri del cluster personalizzato e renderlo il gruppo di parametri del cluster prima di continuare. Per ulteriori informazioni, consulta i seguenti argomenti:

    1. Creazione di gruppi di parametri del cluster Amazon DocumentDB— Se non disponi di un gruppo di parametri del cluster personalizzato da utilizzare, creane uno.

    2. Modifica di un cluster Amazon DocumentDB— Modifica il cluster per utilizzare il gruppo di parametri del cluster personalizzato.

  2. Determinare l'attuale valore del parametro cluster tls.

    Per ulteriori informazioni su questo gruppo di parametri del cluster, utilizzare l'operazione describe-db-cluster-parameters con i parametri elencati di seguito.

    • --db-cluster-parameter-group-name: obbligatorio. Utilizzare il nome del gruppo di parametri del cluster dall'output del comando precedente.

    • --query— Facoltativo. Una query che limita l'output solo ai campi di interesse, in questo caso, il ParameterName, ParameterValue, AllowedValues e ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    L'aspetto dell'output di questa operazione è simile al seguente (formato JSON).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Modificare il valore del parametro del cluster tls.

    Se il valore di tls non corrisponde a quello richiesto, modificarlo per questo gruppo di parametri del cluster. Per modificare il valore del parametro del cluster tls, utilizza l'operazione modify-db-cluster-parameter-group con i parametri elencati di seguito.

    • --db-cluster-parameter-group-name: obbligatorio. Il nome del gruppo di parametri del cluster da modificare. Questo non può essere un gruppo di parametri del default.*.

    • --parameters: obbligatorio. Un elenco di parametri del gruppo di parametri del cluster.

      • ParameterName: obbligatorio. Il nome del parametro del cluster da modificare.

      • ParameterValue: obbligatorio. Il nuovo valore per questo parametro del cluster. Deve essere uno dei valori AllowedValues del parametro del cluster.

        • enabled— Il cluster accetta connessioni sicure utilizzando TLS dalla versione 1.0 alla 1.3.

        • disabled— Il cluster non accetta connessioni sicure tramite TLS.

        • fips-140-3— Il cluster accetta solo connessioni sicure in base ai requisiti della pubblicazione 140-3 degli standard federali di elaborazione delle informazioni (FIPS). È supportato solo a partire dai cluster Amazon DocumentDB 5.0 (versione del motore 3.0.3727) in queste regioni: ca-central-1, us-west-2, us-east-1, us-east-2, -1. us-gov-east us-gov-west

        • tls1.2+— Il cluster accetta connessioni sicure utilizzando la versione TLS 1.2 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB 5.0 (versione del motore 3.0.11051).

        • tls1.3+— Il cluster accetta connessioni sicure utilizzando TLS versione 1.3 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB 5.0 (versione del motore 3.0.11051).

      • ApplyMethod— Quando deve essere applicata questa modifica. Per i parametri del cluster statici, ad esempio tle, questo valore deve essere pending-reboot.

        • pending-reboot— La modifica viene applicata a un'istanza solo dopo il riavvio. È necessario riavviare ogni istanza del cluster individualmente per consentire l'applicazione di questo cambiamento tra tutte le istanze del cluster.

    Il codice seguente disabilita tls, applicando la modifica a ogni istanza database al riavvio.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    Il codice seguente consente tls (dalla versione 1.0 alla 1.3) di applicare la modifica a ciascuna istanza al riavvio.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    Il codice seguente consente a TLS di applicare fips-140-3 la modifica a ciascuna istanza DB al riavvio.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    L'aspetto dell'output di questa operazione è simile al seguente (formato JSON).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Riavvia l'istanza Amazon DocumentDB.

    Riavviare ogni istanza del cluster in modo che la modifica venga applicata a tutte le istanze nel cluster. Per riavviare un'istanza Amazon DocumentDB, utilizza l'operazione con reboot-db-instance il seguente parametro:

    • --db-instance-identifier: obbligatorio. L'identificatore dell'istanza da riavviare.

    Il codice seguente riavvia l'istanza sample-db-instance.

    Per Linux, macOS o Unix:

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Per Windows:

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    L'aspetto dell'output di questa operazione è simile al seguente (formato JSON).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Per il riavvio dell'istanza sono necessari alcuni minuti. Puoi utilizzare l'istanza solo quando ha lo stato disponibile. Puoi monitorare lo stato dell'istanza con la console o l' AWS CLI. Per ulteriori informazioni, consulta Monitoraggio dello stato di un'istanza Amazon DocumentDB.