SQL Server のセキュリティプロトコルおよび暗号の設定
DB パラメータを使用して、特定のセキュリティプロトコルと暗号のオン/オフを切り替えることができます。設定できるセキュリティパラメータ (TLS バージョン 1.2 を除く) を次の表に示します。
| DB パラメータ | 許可される値 (デフォルトは太字) | 説明 |
|---|---|---|
| rds.tls10 | デフォルト、有効、無効 | TLS 1.0. |
| rds.tls11 | デフォルト、有効、無効 | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. この値は変更できません。 |
| rds.fips | 0、1 |
パラメータを 1 に設定すると、RDS は連邦情報処理規格 (FIPS) 140-2 標準に準拠したモジュールの使用を強制します。 詳細については、Microsoft のドキュメントの Use SQL Server 2016 in FIPS 140-2-compliant mode |
| rds.rc4 | デフォルト、有効、無効 | RC4 ストリーム暗号です。 |
| rds.diffie-hellman | デフォルト、有効、無効 | Diffie-Hellman キー交換暗号化。 |
| rds.diffie-hellman-min-key-bit-length | デフォルト、1024、2048、3072、4096 | Diffie-Hellman キーの最小ビット長。 |
| rds.curve25519 | デフォルト、有効、無効 | Curve25519 elliptic-curve 暗号化暗号。このパラメータは、すべてのエンジンバージョンでサポートされているわけではありません。 |
| rds.3des168 | デフォルト、有効、無効 | 168 ビットのキー長を持つトリプルデータ暗号化標準 (DES) 暗号化暗号。 |
注記
16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1、および 12.00.6449.1 以降のマイナーエンジンバージョンでは、DB パラメータ rds.tls10、rds.tls11、rds.rc4、rds.curve25519、rds.3des168 のデフォルト設定は無効になっています。それ以外の場合、デフォルト設定は有効です。
16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1、および 12.00.6449.1 以降のマイナーエンジンバージョンでは、rds.diffie-hellman-min-key-bit-length のデフォルト設定は 3072 です。それ以外の場合、デフォルト設定は 2048 です。
セキュリティプロトコルと暗号を設定するには、次のプロセスを使用します。
-
カスタム DB パラメータグループを作成します。
-
パラメータグループのパラメータを変更します。
-
DB パラメータグループを DB インスタンスに関連付けます。
DB パラメータグループの詳細については、「Amazon RDS のパラメータグループ」を参照してください。
セキュリティ関連のパラメータグループの作成
DB インスタンスの SQL Server のエディションとバージョンに対応するセキュリティ関連パラメータのパラメータグループを作成します。
以下の例では、SQL Server Standard Edition 2016 のパラメータグループを作成します。
パラメータグループを作成するには
AWS Management Console にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
ナビゲーションペインで、[パラメータグループ] を選択します。
-
[パラメータグループの作成] を選択します。
-
[パラメータグループの作成] ペインで、次の操作を行います。
-
[パラメータグループファミリー] で、[sqlserver-se-13.0] を選択します。
-
[グループ名] に、パラメータグループの識別子 (
sqlserver-ciphers-se-13など) を入力します。 -
[説明] に「
Parameter group for security protocols and ciphers」と入力します。
-
-
[Create] (作成) を選択します。
以下の例では、SQL Server Standard Edition 2016 のパラメータグループを作成します。
パラメータグループを作成するには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Windows の場合:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
セキュリティ関連のパラメータの変更
DB インスタンスの SQL Server のエディションとバージョンに対応するパラメータグループのセキュリティ関連のパラメータを変更します。
以下の手順では、SQL Server Standard Edition 2016 用に作成したパラメータグループを変更します。この例では、TLS バージョン 1.0 をオフにします。
パラメータグループを変更するには
AWS Management Console にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
ナビゲーションペインで、[パラメータグループ] を選択します。
-
[sqlserver-ciphers-se-13] などのパラメータグループを選択します。
-
[パラメータ] で、パラメータのリストを
rdsでフィルタ処理します。 -
[Edit parameters] を選択します。
-
[rds.tls10] を選択します。
-
[値] で、[無効] を選択します。
-
[Save changes] (変更の保存) をクリックします。
以下の手順では、SQL Server Standard Edition 2016 用に作成したパラメータグループを変更します。この例では、TLS バージョン 1.0 をオフにします。
パラメータグループを変更するには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Windows の場合:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
セキュリティ関連のパラメータグループと DB インスタンスの関連付け
パラメータグループを DB インスタンスに関連付けるには、AWS Management Console または AWS CLI を使用します。
パラメータグループを新規または既存の DB インスタンスに関連付けることができます。
-
新しい DB インスタンスの場合は、インスタンスを起動するときにそれを関連付けます。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。
-
既存の DB インスタンスの場合は、インスタンスを変更することでそれを関連付けます。詳しくは、「Amazon RDS DB インスタンスを変更する」を参照してください。
パラメータグループを新規または既存の DB インスタンスに関連付けることができます。
パラメータグループを使用して DB インスタンスを作成するには
-
パラメータグループの作成時に使用したものと同じ DB エンジンのタイプとメジャーバージョンを指定します。
Linux、macOS、Unix の場合:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Windows の場合:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13注記
セキュリティ上のベストプラクティスとして、ここに示されているプロンプト以外のパスワードを指定してください。
DB インスタンスを変更し、パラメータグループを関連付けるには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyWindows の場合:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
