기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Lightsail에서는 SSL/TLS를 사용하여 관리형 데이터베이스에 연결할 수 있도록 새로운 인증 기관(CA)를 게시하였습니다. 이 안내서에서는 새 CA 인증서로 업그레이드하는 방법을 설명합니다. update-relational-database API 작업을 사용해야만 인증서를 업그레이드할 수 있습니다. 새 인증서를 rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 및 rds-ca-ecc384-g1(이)라고 합니다. 이전 인증서를 rds-ca-2019(이)라고 합니다. CA 인증서를 AWS 보안 모범 사례로 제공합니다. 관리형 데이터베이스의 CA 인증서, 지원되는 AWS 리전에 대한 자세한 내용은 관리형 데이터베이스의 SSL 인증서 다운로드를 참조하세요
이전 CA 인증서(rds-ca-2019)는 2024년 8월 22일에 만료됩니다. 따라서 새 인증서를 사용하도록 관리형 데이터베이스를 수정하기 위해 가능한 빨리 이 안내서의 단계를 완료하는 것이 좋습니다. 애플리케이션이 SSL/TLS를 사용하여 Lightsail 관리형 데이터베이스에 연결되지 않는 경우 아무 작업도 필요하지 않습니다. 이러한 단계가 완료되지 않으면 2024년 8월 22일 이후 애플리케이션은 SSL/TLS를 사용하여 관리형 데이터베이스에 연결할 수 없게 됩니다.
2024년 1월 26일 이후에 생성된 모든 새 관리형 데이터베이스에서는 기본적으로 rds-ca-rsa2048-g1 인증서를 사용합니다. 이전 인증서(rds-ca-2019)를 사용하도록 새 관리형 데이터베이스를 일시적으로 수정하려는 경우 AWS Command Line Interface (AWS CLI)을 사용하여 수정할 수 있습니다. 2024년 1월 26일 이전에 생성된 모든 관리형 데이터베이스에서는 rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 및 rds-ca-ecc384-g1 인증서로 업데이트하기 전까지 rds-ca-2019 인증서를 사용합니다.
참고
프로덕션 환경에서 사용하기 전에 개발 또는 스테이징 환경에서 이 안내서의 단계를 테스트하십시오.
사전 조건
-
새 SSL/TLS 인증서를 사용하려면 다음 단계를 완료하기 전에 데이터베이스 클라이언트 애플리케이션을 업데이트해야 합니다.
새 SSL/TLS 인증서를 위해 애플리케이션을 업데이트하는 방법은 애플리케이션에 따라 다릅니다. 애플리케이션 개발자와 함께 애플리케이션의 SSL/TLS 인증서를 업데이트하십시오. 새로운 SSL/TLS 인증서에 대해 애플리케이션을 업데이트하는 방법에 대한 자세한 내용은 Amazon Relational Database Service 사용 설명서의 새 SSL/TLS 인증서를 사용하여 MySQL DB 인스턴스에 연결할 애플리케이션 업데이트 또는 새 SSL/TLS 인증서를 사용하여 PostgreSQL DB 인스턴스에 연결할 애플리케이션 업데이트를 참조하세요.
-
이 안내서에서는 AWS CloudShell 를 사용하여 업그레이드를 수행합니다. CloudShell은 브라우저 기반의 사전 인증된 셸로, Lightsail 콘솔에서 직접 실행할 수 있습니다. CloudShell을 사용하면 Bash, PowerShell 또는 Z 쉘과 같은 원하는 쉘을 사용하여 AWS Command Line Interface (AWS CLI) 명령을 실행할 수 있습니다. 명령줄 도구를 다운로드하거나 설치할 필요 없이 이 작업을 수행할 수 있습니다. CloudShell을 설정하고 사용하는 방법은 Lightsail의AWS CloudShell 섹션을 참조하세요.
관리형 데이터베이스의 활성 CA 인증서 식별
다음 단계를 완료하여 Lightsail 데이터베이스 인스턴스의 활성 CA 인증서를 식별합니다.
-
터미널, AWS CloudShell 또는 명령 프롬프트 창을 엽니다.
-
다음 명령을 입력하여 관리형 데이터베이스에서 활성 CA 인증서를 식별합니다.
aws lightsail get-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion| grep "caCertificateIdentifier"명령에서
DatabaseName을 수정하려는 데이터베이스의 이름으로 바꾸고DatabaseRegion을 데이터베이스 인스턴스가 있는 AWS 리전 으로 바꿉니다.예
aws lightsail get-relational-database --relational-database-nameDatabase-1--regionus-east-1| grep "caCertificateIdentifier"명령은 데이터베이스에 대한 활성 CA 인증서의 ID를 반환합니다.
예
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
새 CA 인증서를 사용하도록 관리형 데이터베이스 수정
새 CA 인증서(rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 및 rds-ca-ecc384-g1)를 사용하도록 Lightsail에서 관리형 데이터베이스를 수정하려면 다음 단계를 수행하세요.
중요
데이터베이스에서 CA 인증서를 업데이트하기 전에 CA 인증서를 사용하는 클라이언트 애플리케이션을 업데이트합니다.
-
터미널, AWS CloudShell 또는 명령 프롬프트 창을 엽니다.
-
다음 명령을 입력하여 관리형 데이터베이스에서 새 인증서를 사용합니다.
aws lightsail update-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion--ca-certificate-identifier rds-ca-rsa2048-g1명령에서
DatabaseName을 수정하려는 데이터베이스의 이름으로 바꾸고DatabaseRegion을 데이터베이스 인스턴스가 있는 AWS 리전 으로 바꿉니다.예
aws lightsail update-relational-database --relational-database-nameDatabase-1--regionus-east-1--ca-certificate-identifier rds-ca-rsa2048-g1관리형 데이터베이스에서 사용하는 CA 인증서는 데이터베이스의 다음 유지 관리 기간 동안 또는
--apply-immediately파라미터를 명령 끝에 추가하는 경우 즉시 업데이트됩니다.
이전 CA 인증서를 사용하도록 관리형 데이터베이스 수정
이전 CA 인증서(rds-ca-2019)를 사용하도록 Lightsail에서 관리형 데이터베이스를 수정하려면 다음 단계를 수행하십시오. 새 인증서(rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 및 rds-ca-ecc384-g1) 중 하나에 심각한 문제가 발생하여 이전 인증서를 일시적으로 되돌려야 하는 경우에만 이 작업을 수행하세요.
중요
데이터베이스에서 CA 인증서를 업데이트하기 전에 CA 인증서를 사용하는 클라이언트 애플리케이션을 업데이트합니다.
-
터미널, AWS CloudShell 또는 명령 프롬프트 창을 엽니다.
-
다음 명령을 입력하여 관리형 데이터베이스에서
rds-ca-2019를 사용합니다.aws lightsail update-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion--ca-certificate-identifier rds-ca-2019명령에서
DatabaseName을 수정하려는 데이터베이스의 이름으로 바꾸고DatabaseRegion을 데이터베이스 인스턴스가 있는 AWS 리전 으로 바꿉니다.예
aws lightsail update-relational-database --relational-database-nameDatabase-1--regionus-east-1--ca-certificate-identifier rds-ca-2019관리형 데이터베이스에서 사용하는 CA 인증서는 데이터베이스의 다음 유지 관리 기간 동안 또는
--apply-immediately파라미터를 명령 끝에 추가하는 경우 즉시 업데이트됩니다.
