Criptografia de dados em trânsito - Amazon DocumentDB
Gerenciar configurações de TLS de cluster

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em trânsito

É possível usar o Transport Layer Security (TLS) para criptografar a conexão entre sua aplicação e um cluster do Amazon DocumentDB. Por padrão, a criptografia em trânsito é ativada para clusters recém-criados do Amazon DocumentDB. É possível desabilitá-la ao criar o cluster ou depois da criação ser concluída. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Para obter mais informações sobre como se conectar ao Amazon DocumentDB usando TLS, consulte Conectar-se de forma programática ao Amazon DocumentDB.

Gerenciar configurações de TLS de cluster do Amazon DocumentDB

A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS em um grupo de parâmetros de cluster. Você pode gerenciar as configurações de TLS do cluster Amazon DocumentDB usando o AWS Management Console ou o AWS Command Line Interface ().AWS CLI Consulte as seções a seguir para saber como verificar e modificar suas configurações de TLS atuais.

Using the AWS Management Console

Para gerenciar a criptografia usando TLS e o , como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.

nota

A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster default não podem ser modificados (por exemplo, tls habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de cluster default, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Primeiro, será necessário criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte Criando grupos de parâmetros de cluster do Amazon DocumentDB.

  1. Determine o grupo de parâmetros de cluster usado pelo cluster.

    1. Abra o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

    2. No painel de navegação, escolha Clusters.

      dica

      Caso não visualize o painel de navegação à esquerda da tela, selecione o ícone do menu (Hamburger menu icon with three horizontal lines.) no canto superior esquerdo da página.

    3. Observe que na caixa de navegação Clusters, a coluna Identificador do cluster mostra clusters e instâncias. As instâncias estão listadas abaixo dos clusters. Veja o snapshot abaixo para referência.

      Imagem da caixa de navegação Clusters mostrando uma lista de links de cluster existentes e seus links de instância correspondentes.

    4. Escolha o cluster que você deseja usar.

    5. Escolha a guia Configuração e role para baixo até a parte inferior dos Detalhes do cluster e localize o Grupo de parâmetros do cluster.. Anote o nome do grupo de parâmetros de cluster.

      Se o nome do grupo de parâmetros do cluster para default (por exemplo default.docdb3.6), será necessário criar um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte:

      1. Criando grupos de parâmetros de cluster do Amazon DocumentDB — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.

      2. Modificar um cluster do Amazon DocumentDB — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.

  2. Determine o valor atual do parâmetro tls de cluster.

    1. Abra o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

    2. No painel de navegação, escolha Grupos de parâmetros.

    3. Na lista de grupos de parâmetros, selecione o nome do grupo de parâmetros de cluster desejado.

    4. Localize a seção Parâmetros do cluster. Na lista de parâmetros de cluster, localize a linha do parâmetro de cluster tls. Nesse momento, as quatro colunas a seguir são importantes:

      • Nome do parâmetro de cluster — O nome dos parâmetros do cluster. Para gerenciar TLS, você está interessado no parâmetro de cluster tls.

      • Valores — O valor atual de cada parâmetro do cluster.

      • Valores permitidos — Uma lista de valores que podem ser aplicados a um parâmetro de cluster.

      • Aplicar tipoestático ou dinâmico. As alterações em parâmetros de cluster estáticos poderão ser aplicadas somente quando as instâncias forem reiniciadas. As alterações feitas em parâmetros de cluster dinâmicos podem ser aplicadas imediatamente ou quando as instâncias são reiniciadas.

  3. Modifique o valor do parâmetro tls do cluster.

    Se o valor de tls não for o que é necessário, modifique o valor para esse grupo de parâmetros de cluster. Para alterar o valor do parâmetro de cluster tls, continue na seção anterior seguindo estas etapas.

    1. Escolha o botão à esquerda do nome do parâmetro de cluster (tls).

    2. Escolha Editar.

    3. Para alterar o valor de tls, na caixa de diálogo Modificar tls, escolha o valor desejado para o parâmetro do cluster na lista suspensa.

      Os valores válidos são:

      • desabilitado — Desativa o TLS

      • ativado — Ativa as versões 1.0 a 1.3 do TLS.

      • fips-140-3 — Ativa o TLS com FIPS. O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só é suportado a partir dos clusters do Amazon DocumentDB 5.0 (engine versão 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      • tls1.2+ — Ativa o TLS versão 1.2 e superior. Isso só é suportado a partir do Amazon DocumentDB 4.0 (versão do mecanismo 2.0.10980) e do Amazon DocumentDB (versão do mecanismo 3.0.11051).

      • tls1.3+ — Ativa o TLS versão 1.3 e superior. Isso só é suportado a partir do Amazon DocumentDB 4.0 (versão do mecanismo 2.0.10980) e do Amazon DocumentDB (versão do mecanismo 3.0.11051).

      Imagem de uma caixa de diálogo Modificar TLS específica de cluster.

    4. Escolha Modificar parâmetro de cluster. A alteração será aplicada a cada instância do cluster quando ela for reinicializada.

  4. Reinicie a instância do Amazon DocumentDB.

    Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster.

    1. Abra o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

    2. No painel de navegação, escolha Instances (Instâncias).

    3. Para especificar a reinicialização de uma instância, localize a instância na lista de instâncias e escolha o botão à esquerda de seu nome.

    4. Escolha Ações e Reiniciar. Confirme se deseja reinicializar, selecionando Reiniciar.

Using the AWS CLI

Para gerenciar a criptografia usando TLS e o AWS CLI, como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.

nota

A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster default não podem ser modificados (por exemplo, tls habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de cluster default, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Pode ser necessário primeiro criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte Criando grupos de parâmetros de cluster do Amazon DocumentDB.

  1. Determine o grupo de parâmetros de cluster usado pelo cluster.

    Use o comando describe-db-clusters com os seguintes parâmetros:

    • --db-cluster-identifier — Obrigatório. O nome do cluster de interesse.

    • --query: opcional. Uma consulta que limita a saída apenas aos campos de interesse, neste caso, o nome do cluster e o nome do grupo de parâmetros de cluster.

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    A saída dessa operação é semelhante ao seguinte (formato JSON).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Se o nome do grupo de parâmetros do cluster for default (por exemplo, default.docdb3.6), será necessário ter um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte os tópicos a seguir.

    1. Criando grupos de parâmetros de cluster do Amazon DocumentDB — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.

    2. Modificar um cluster do Amazon DocumentDB — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.

  2. Determine o valor atual do parâmetro tls de cluster.

    Para obter mais informações sobre esse grupo de parâmetros de cluster, use a operação describe-db-cluster-parameters com os seguintes parâmetros:

    • --db-cluster-parameter-group-name — Obrigatório. Use o nome do grupo de parâmetros de cluster de saída do comando anterior.

    • --query: opcional. Uma consulta que limita a saída apenas aos campos de interesse, nesse caso, ParameterName, ParameterValue, AllowedValues e ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    A saída dessa operação é semelhante ao seguinte (formato JSON).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Modifique o valor do parâmetro tls do cluster.

    Se o valor de tls for o que ele precisa ser, modifique seu valor para este grupo de parâmetros de cluster. Para alterar o valor do parâmetro de cluster tls, use a operação modify-db-cluster-parameter-group com os seguintes parâmetros.

    • --db-cluster-parameter-group-name — Obrigatório. O nome do grupo de parâmetros de cluster a ser modificado. Não pode ser um grupo de parâmetros de cluster default.*.

    • --parameters — Obrigatório. Uma lista de parâmetros do grupo de parâmetros de cluster para modificar.

      • ParameterName — Obrigatório. O nome do parâmetro do cluster a ser modificado.

      • ParameterValue — Obrigatório. O novo valor desse parâmetro de cluster. Deve ser um dos AllowedValues do parâmetro de cluster.

        • enabled— O cluster aceita conexões seguras usando TLS versão 1.0 a 1.3.

        • disabled — O cluster não aceita conexões seguras usando o TLS.

        • fips-140-3— O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só é suportado a partir dos clusters do Amazon DocumentDB 5.0 (engine versão 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

        • tls1.2+— O cluster aceita conexões seguras usando TLS versão 1.2 e superior. Isso só é suportado a partir do Amazon DocumentDB 4.0 (versão do mecanismo 2.0.10980) e do Amazon DocumentDB 5.0 (versão do mecanismo 3.0.11051).

        • tls1.3+— O cluster aceita conexões seguras usando TLS versão 1.3 e superior. Isso só é suportado a partir do Amazon DocumentDB 4.0 (versão do mecanismo 2.0.10980) e do Amazon DocumentDB 5.0 (versão do mecanismo 3.0.11051).

      • ApplyMethod — Quando essa modificação deve ser aplicada. Para parâmetros de cluster estáticos, como tle, esse valor deve ser pending-reboot.

        • pending-reboot — A alteração é aplicada a uma instância somente depois de ser reinicializada. Você deve reinicializar cada instância de cluster individualmente para que essa mudança ocorra em todas as instâncias do cluster.

    O código a seguir desativa o tls, aplicando a alteração a cada instância de banco de dados quando ela é reinicializada.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    O código a seguir permite tls (versão 1.0 a 1.3) aplicar a alteração a cada instância quando ela é reinicializada.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    O código a seguir ativa o fips-140-3, aplicando a alteração a cada instância de banco de dados quando ela é reinicializada.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    A saída dessa operação é semelhante ao seguinte (formato JSON).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Reinicialize sua instância do Amazon DocumentDB.

    Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster. Para reinicializar uma instância do Amazon DocumentDB, use a operação reboot-db-instance com o seguinte parâmetro:

    • --db-instance-identifier — Obrigatório. O identificador da instância a ser reinicializada.

    O código a seguir reinicializa a instância sample-db-instance.

    Para Linux, macOS ou Unix:

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Para Windows:

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    A saída dessa operação é semelhante ao seguinte (formato JSON).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Demora alguns minutos para sua instância reinicializar. É possível usar a instância somente quando seu status for disponível. É possível monitorar o status da instância usando o console ou a AWS CLI. Para obter mais informações, consulte Monitoramento do status de uma instância do Amazon DocumentDB.