NATIVE_NETWORK_ENCRYPTION オプション設定
NATIVE_NETWORK_ENCRYPTION
オプションを有効にすると、その設定を変更できます。現在、NATIVE_NETWORK_ENCRYPTION
オプション設定は、AWS CLI または RDS API でのみ変更できます。 コンソールは使用できません。次の例では、オプションで 2 つの設定を変更します。
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
CLI を使用したオプション設定の変更方法の詳細については、「AWS CLI」を参照してください。各設定の詳細については、「NATIVE_NETWORK_ENCRYPTION オプション設定」を参照してください。
CRYPTO_CHECKSUM_* 値の変更
NATIVE_NETWORK_ENCRYPTION オプション設定を変更する場合は、次のオプション設定に共通の暗号が少なくとも 1 つあることを確認してください。
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
次の例は、SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
を変更するシナリオを示しています。CRYPTO_CHECKSUM_TYPES_CLIENT
、CRYPTO_CHECKSUM_TYPES_SERVER
の両方が SHA256
を使用するため、設定は有効です。
オプション設定 | 変更前の値 | 変更後の値 |
---|---|---|
|
|
変更なし |
|
|
SHA1,MD5,SHA256 |
別の例では、SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
をデフォルト設定から SHA1,MD5
に変更するとします。この場合、SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
を 必ず SHA1
または MD5
に設定してください。これらのアルゴリズムは SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
のデフォルト値に含まれていません。
ALLOW_WEAK_CRYPTO* 設定の変更
SQLNET.ALLOW_WEAK_CRYPTO*
オプションをデフォルト値から FALSE
に設定する場合は、次の条件が満たされていることを確認してください。
-
SQLNET.ENCRYPTION_TYPES_SERVER
とSQLNET.ENCRYPTION_TYPES_CLIENT
には、一致するセキュアな暗号化方式が 1 つあります。方式がDES
、3DES
、またはRC4
(すべてのキーの長さ) ではない場合、セキュアと見なされます。 -
SQLNET.CHECKSUM_TYPES_SERVER
とSQLNET.CHECKSUM_TYPES_CLIENT
には、一致するセキュアなチェックサム方式が 1 つあります。方式がMD5
ではない場合、セキュアと見なされます。 -
クライアントで 2021 年 7 月 PSU パッチが適用されます。クライアントにパッチが適用されていない場合、クライアントでの接続が失われ、
ORA-12269
エラーを受け取ります。
次の例は サンプル NNE 設定を示しています。SQLNET.ENCRYPTION_TYPES_SERVER
と SQLNET.ENCRYPTION_TYPES_CLIENT
をFALSE に設定して、非セキュア接続をブロックすると仮定します。チェックサムオプションの設定は、どちらにも SHA256
が含まれているため、前提条件を満たしています。ただし、SQLNET.ENCRYPTION_TYPES_CLIENT
と SQLNET.ENCRYPTION_TYPES_SERVER
では、非セキュアな暗号化方式である DES
、3DES
、および RC4
が使用されます。したがって、SQLNET.ALLOW_WEAK_CRYPTO*
オプションを FALSE
に設定する場合は、まず SQLNET.ENCRYPTION_TYPES_SERVER
と SQLNET.ENCRYPTION_TYPES_CLIENT
をセキュアな暗号化方式 (AES256
など) に設定します。
オプション設定 | [値] |
---|---|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|