Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Modification des paramètres de l’option NATIVE_NETWORK_ENCRYPTION
Après avoir activé l’option NATIVE_NETWORK_ENCRYPTION, vous pouvez modifier ses paramètres. Actuellement, vous pouvez modifier les paramètres de l’option NATIVE_NETWORK_ENCRYPTION uniquement à l’aide de l’AWS CLI ou de l’API RDS. Vous ne pouvez pas utiliser la console. L’exemple suivant modifie deux paramètres de l’option.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Pour découvrir comment modifier des paramètres d'option avec l'interface de ligne de commande, consultez AWS CLI. Pour plus d’informations sur chaque paramètre, consultez Paramètres de l’option NATIVE_NETWORK_ENCRYPTION.
Modification des valeurs CRYPTO_CHECKSUM_*
Si vous modifiez les paramètres de l’option NATIVE_NETWORK_ENCRYPTION, assurez-vous que les paramètres des options suivantes ont au moins un chiffrement commun :
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
L'exemple suivant montre un scénario dans lequel vous modifiez SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. La configuration est valide car CRYPTO_CHECKSUM_TYPES_CLIENT et CRYPTO_CHECKSUM_TYPES_SERVER utilisent tous les deux SHA256.
| Paramètre d’option | Valeurs avant modification | Valeurs après modification |
|---|---|---|
|
|
|
Pas de modification |
|
|
|
SHA1,MD5,SHA256 |
Pour un autre exemple, supposons que vous souhaitez modifier SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER à partir de son paramètre par défaut vers SHA1,MD5. Dans ce cas, veillez à définir SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT sur SHA1 ou MD5. Ces algorithmes ne sont pas inclus dans les valeurs par défaut pour SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.
Modification des paramètres ALLOW_WEAK_CRYPTO*
Pour définir le paramètre SQLNET.ALLOW_WEAK_CRYPTO* de la valeur par défaut à FALSE, vérifiez que les conditions suivantes sont réunies :
-
SQLNET.ENCRYPTION_TYPES_SERVERetSQLNET.ENCRYPTION_TYPES_CLIENTpossèdent une méthode de chiffrement sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasDES,3DESouRC4(toutes les longueurs de clés). -
SQLNET.CHECKSUM_TYPES_SERVERetSQLNET.CHECKSUM_TYPES_CLIENTdisposent d'une méthode de total de contrôle sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasMD5. -
Le client est corrigé avec la PSU de juillet 2021. Si le client n'est pas corrigé, il perd la connexion et reçoit l'erreur
ORA-12269.
L'exemple suivant montre des exemples de paramètres NNE. Supposons que vous souhaitez définir SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT à FALSE, bloquant ainsi les connexions non sécurisées. Les paramètres de l'option de total de contrôle répondent aux conditions préalables car ils ont tous les deux SHA256. Cependant, SQLNET.ENCRYPTION_TYPES_CLIENT et SQLNET.ENCRYPTION_TYPES_SERVER utilisent les méthodes de chiffrement DES, 3DES et RC4, qui ne sont pas sécurisées. Par conséquent, pour définir les options SQLNET.ALLOW_WEAK_CRYPTO* à FALSE, définissez d'abord SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT pour utiliser une méthode de chiffrement sécurisée telle que AES256.
| Paramètre d’option | Valeurs |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
