設定SQL伺服器安全通訊協定和密碼 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定SQL伺服器安全通訊協定和密碼

您可以使用資料庫參數開啟和關閉特定安全性通訊協定和密碼。您可以設定的安全參數 (1.2 TLS版除外) 會顯示在下表中。

資料庫參數 允許的值 (預設值以粗體表示) 描述
rds.tls10 default、enabled、disabled TLS 1.0.
rds.tls11 default、enabled、disabled TLS 1.1.
rds.tls12 default TLS 1.2. 您無法修改此值。
rds.fips 0、1

當您將 參數設定為 1 時, 會RDS強制使用符合聯邦資訊處理標準 (FIPS) 140-2 標準的模組。

如需詳細資訊,請參閱 Microsoft 文件中的在 140-2 相容模式下使用 SQL Server FIPS 2016

rds.rc4 default、enabled、disabled RC4 串流密碼。
rds.diffie-hellman default、enabled、disabled Diffie-Hellman 金鑰交換加密。
rds.diffie-hellman-min-key-bit-length 預設 、1024、2048、3072、4096 Diffie-Hellman 金鑰的最小位元長度。
rds.curve25519 default、enabled、disabled Curve25519 橢圓曲線加密密碼。並非所有引擎版本都支援此參數。
rds.3des168 default、enabled、disabled 具有 168 位元金鑰長度的三重資料加密標準 (DES) 加密密碼。
注意

對於 16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1 和 12.00.6449.1 之後的次要引擎版本,資料庫參數 rds.tls10、、rds.tls11rds.rc4rds.curve25519和 的預設設定rds.3des168停用。否則,預設設定會啟用

對於 16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1 和 12.00.6449.1 之後的次要引擎版本, 的預設設定rds.diffie-hellman-min-key-bit-length為 3072。否則,預設設定為 2048。

請使用下列程序來設定安全性通訊協定和密碼:

  1. 建立自訂資料庫參數群組。

  2. 修改參數群組中的參數。

  3. 將資料庫參數群組與您的資料庫執行個體建立關聯。

如需資料庫參數群組的詳細資訊,請參閱 的參數組 RDS

建立安全性相關參數群組

為您的安全相關參數建立對應至SQL伺服器版本和資料庫執行個體版本的參數群組。

下列程序會為 SQL Server Standard Edition 2016 建立參數群組。

建立參數群組
  1. 登入 AWS Management Console 並在 開啟 Amazon RDS主控台https://console.aws.amazon.com/rds/

  2. 在導覽窗格中,選擇 Parameter groups (參數群組)。

  3. 選擇 Create parameter group (建立參數群組)

  4. Create parameter group (建立參數群組) 窗格中執行下列動作:

    1. 對於 Parameter group family (參數群組家族),請選擇 sqlserver-se-13.0

    2. 對於 Group name (群組名稱),輸入參數群組的識別碼,例如 sqlserver-ciphers-se-13

    3. 對於 Description (說明),輸入 Parameter group for security protocols and ciphers

  5. 選擇 Create (建立)。

下列程序會為 SQL Server Standard Edition 2016 建立參數群組。

建立參數群組
  • 請執行下列其中一個命令:

    用於 Linux, macOS、 或 Unix:

    aws rds create-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"

    用於 Windows:

    aws rds create-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"

修改安全性相關參數

修改參數群組中與SQL伺服器版本和資料庫執行個體版本相對應的安全相關參數。

下列程序會修改您為 SQL Server Standard Edition 2016 建立的參數群組。此範例會關閉 1.0 TLS版。

修改參數群組
  1. 登入 AWS Management Console 並在 開啟 Amazon RDS主控台https://console.aws.amazon.com/rds/

  2. 在導覽窗格中,選擇 Parameter groups (參數群組)。

  3. 選擇參數群組,例如 sqlserver-ciphers-se-13

  4. Parameters (參數) 下,篩選 rds 的參數清單。

  5. 選擇 Edit parameters (編輯參數)。

  6. 選擇 rds.tls10

  7. 對於 Values (值),選擇 disabled

  8. 選擇 Save changes (儲存變更)。

下列程序會修改您為 SQL Server Standard Edition 2016 建立的參數群組。此範例會關閉 1.0 TLS版。

修改參數群組
  • 請執行下列其中一個命令:

    用於 Linux, macOS、 或 Unix:

    aws rds modify-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    用於 Windows:

    aws rds modify-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

將安全性相關參數群組與資料庫執行個體建立關聯

若要將參數群組與您的資料庫執行個體建立關聯,請使用 AWS Management Console 或 AWS CLI。

您可以將參數群組與新的或現有的資料庫執行個體建立關聯。

您可以將參數群組與新的或現有的資料庫執行個體建立關聯。

使用參數群組建立資料庫執行個體
  • 指定建立參數群組時所使用的相同資料庫引擎類型和主要版本。

    用於 Linux, macOS、 或 Unix:

    aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m5.2xlarge \ --engine sqlserver-se \ --engine-version 13.00.5426.0.v1 \ --allocated-storage 100 \ --master-user-password secret123 \ --master-username admin \ --storage-type gp2 \ --license-model li \ --db-parameter-group-name sqlserver-ciphers-se-13

    用於 Windows:

    aws rds create-db-instance ^ --db-instance-identifier mydbinstance ^ --db-instance-class db.m5.2xlarge ^ --engine sqlserver-se ^ --engine-version 13.00.5426.0.v1 ^ --allocated-storage 100 ^ --master-user-password secret123 ^ --master-username admin ^ --storage-type gp2 ^ --license-model li ^ --db-parameter-group-name sqlserver-ciphers-se-13
    注意

    指定此處所顯示提示以外的密碼,作為安全最佳實務。

修改資料庫執行個體並建立參數群組的關聯
  • 請執行下列其中一個命令:

    用於 Linux, macOS、 或 Unix:

    aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --apply-immediately

    用於 Windows:

    aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --apply-immediately