Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren von Sicherheitsprotokollen und Verschlüsselungen von SQL Server
Sie können bestimmte Sicherheitsprotokolle und Verschlüsselungen mithilfe von DB-Parametern ein- und ausschalten. Die Sicherheitsparameter, die Sie konfigurieren können (mit Ausnahme von TLS Version 1.2), werden in der folgenden Tabelle angezeigt.
| DB-Parameter | Zulässige Werte (Standardwert in Fettdruck) | Beschreibung |
|---|---|---|
| rds.tls10 | Standard, aktiviert, deaktiviert | TLS 1.0. |
| rds.tls11 | Standard, aktiviert, deaktiviert | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. Dieser Wert kann nicht verändert werden. |
| rds.fips | 0, 1 |
Wenn Sie den Parameter auf 1 setzen, erzwingt RDS die Verwendung von Modulen, die dem 140-2-Standard Federal Information Processing Standard (FIPS) entsprechen. Weitere Informationen finden Sie unter Verwenden von SQL Server 2016 im FIPS 140-2-konformen Modus |
| rds.rc4 | Standard, aktiviert, deaktiviert | RC4-Stream-Verschlüsselung |
| rds.diffie-hellman | Standard, aktiviert, deaktiviert | Diffie-Hellman-Schlüsselaustausch-Verschlüsselung. |
| rds.diffie-hellman-min-key-bit-length | Standard, 1024, 2048, 3072, 4096 | Minimale Bitlänge für Diffie-Hellman-Schlüssel. |
| rds.curve25519 | Standard, aktiviert, deaktiviert | Curve25519 Verschlüsselungsverfahren mit elliptischer Kurve. Dieser Parameter wird nicht für alle Engine-Versionen unterstützt. |
| rds.3des168 | Standard, aktiviert, deaktiviert | Dreifaches DES-Verschlüsselungsverfahren (Data Encryption Standard) mit einer 168-Bit-Schlüssellänge. |
Anmerkung
Für Engine-Unterversionen nach 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 und 12.00.6449.1 ist die Standardeinstellung für die DB-Parameter rds.tls10, rds.tls11, rds.rc4, rds.curve25519 und rds.3des168 auf deaktiviert festgelegt. Andernfalls lautet die Standardeinstellung aktiviert.
Für Engine-Unterversionen nach 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 und 12.00.6449.1 ist die Standardeinstellung für rds.diffie-hellman-min-key-bit-length 3072. Andernfalls lautet die Standardeinstellung 2048.
Gehen Sie wie folgt vor, um die Sicherheitsprotokolle und Verschlüsselungen zu konfigurieren:
-
Erstellen Sie eine benutzerdefinierte DB-Parametergruppe.
-
Ändern Sie die Parameter in der Parametergruppe.
-
Ordnen Sie die neue DB-Parametergruppe der DB-Instance zu.
Weitere Informationen zu DB-Parametergruppen finden Sie unter Parametergruppen für Amazon RDS.
Erstellen der sicherheitsbezogenen Parametergruppe
Erstellen Sie eine Parametergruppe für Ihre sicherheitsbezogenen Parameter, die der SQL Server-Edition und der Version Ihrer DB-Instance entspricht.
Im folgenden Verfahren wird eine Parametergruppe für SQL Server Standard Edition 2016 erstellt.
So erstellen Sie die Parametergruppe
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/
. -
Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.
-
Wählen Sie Create parameter group (Parametergruppe erstellen).
-
Führen Sie im Bereich Parametergruppe erstellen die folgenden Schritte aus:
-
Wählen Sie für Parametergruppenfamilie die Option sqlserver-se-13.0 aus.
-
Geben Sie unter Gruppenname einen Bezeichner für die Parametergruppe ein, z. B.
sqlserver-ciphers-se-13. -
Geben Sie für Beschreibung den Text
Parameter group for security protocols and ciphersein.
-
-
Wählen Sie Erstellen aus.
Im folgenden Verfahren wird eine Parametergruppe für SQL Server Standard Edition 2016 erstellt.
So erstellen Sie die Parametergruppe
-
Führen Sie einen der folgenden Befehle aus.
Für Linux, macOS oder Unix:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Ändern von sicherheitsbezogenen Parametern
Ändern Sie den sicherheitsbezogenen Parameter in der Parametergruppe, die der SQL Server-Edition und der Version Ihrer DB-Instance entspricht.
Im folgenden Verfahren wird die Parametergruppe geändert, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS-Version 1.0 deaktiviert.
So ändern Sie die Parametergruppe
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/
. -
Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.
-
Wählen Sie die Parametergruppe aus, z. B. sqlserver-ciphers-se-13.
-
Filtern Sie unter Parameter die Parameterliste nach
rds. -
Wählen Sie Parameter bearbeiten aus.
-
Wählen Sie rds.tls10 aus.
-
Wählen Sie unter Werte die Option deaktiviert aus.
-
Wählen Sie Änderungen speichern aus.
Im folgenden Verfahren wird die Parametergruppe geändert, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS-Version 1.0 deaktiviert.
So ändern Sie die Parametergruppe
-
Führen Sie einen der folgenden Befehle aus.
Für Linux, macOS oder Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Zuordnen der sicherheitsbezogenen Parametergruppe zu Ihrer DB-Instance
Um die Parametergruppe Ihrer DB-Instance zuzuordnen, verwenden Sie die AWS-Managementkonsole oder die AWS CLI.
Sie können die Parametergruppe einer neuen oder vorhandenen DB-Instance zuordnen:
-
Bei einer neuen DB-Instance ordnen Sie diese zu, wenn Sie die Instance starten. Weitere Informationen finden Sie unter Erstellen einer Amazon-RDS-DB-Instance.
-
Bei einer vorhandenen DB-Instance ordnen Sie diese zu, indem Sie die Instance ändern. Weitere Informationen finden Sie unter Ändern einer Amazon-RDS-DB-Instance.
Sie können die Parametergruppe einer neuen oder einer vorhandenen DB-Instance zuordnen.
So erstellen Sie eine DB-Instance mit der Parametergruppe
-
Geben Sie denselben DB-Engine-Typ und dieselbe Hauptversion an, die Sie beim Erstellen der Parametergruppe verwendet haben.
Für Linux, macOS oder Unix:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Windows:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13Anmerkung
Geben Sie aus Sicherheitsgründen ein anderes Passwort als hier angegeben an.
So ändern Sie eine DB-Instance und ordnen die Parametergruppe zu
-
Führen Sie einen der folgenden Befehle aus.
Für Linux, macOS oder Unix:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyWindows:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
