Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Modification des paramètres de ENCRYPTION l'option NATIVE NETWORK _ _
Après avoir activé l'option NATIVE_NETWORK_ENCRYPTION, vous pouvez modifier ses paramètres. Actuellement, vous ne pouvez modifier les paramètres des NATIVE_NETWORK_ENCRYPTION options qu'avec le AWS CLI ou RDSAPI. Vous ne pouvez pas utiliser la console. L'exemple suivant modifie deux paramètres de l'option.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Pour savoir comment modifier les paramètres des options à l'aide duCLI, voirAWS CLI. Pour plus d'informations sur chaque paramètre, consultez NATIVE_ NETWORK _ paramètres des ENCRYPTION options.
Rubriques
Modification des CRYPTO valeurs _ CHECKSUM _*
Si vous modifiez les paramètres de ENCRYPTION l'option NATIVENETWORK_ _, assurez-vous que les paramètres d'option suivants comportent au moins un chiffre commun :
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
L'exemple suivant montre un scénario dans lequel vous modifiez SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. La configuration est valide car CRYPTO_CHECKSUM_TYPES_CLIENT et CRYPTO_CHECKSUM_TYPES_SERVER utilisent tous les deux SHA256.
| Paramètre d'option | Valeurs avant modification | Valeurs après modification |
|---|---|---|
|
|
|
Pas de modification |
|
|
|
SHA1,MD5,SHA256 |
Pour un autre exemple, supposons que vous souhaitez modifier SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER à partir de son paramètre par défaut vers SHA1,MD5. Dans ce cas, veillez à définir SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT sur SHA1 ou MD5. Ces algorithmes ne sont pas inclus dans les valeurs par défaut pour SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.
Modification des paramètres ALLOW WEAK _ _ CRYPTO *
Pour définir le paramètre SQLNET.ALLOW_WEAK_CRYPTO* de la valeur par défaut à FALSE, vérifiez que les conditions suivantes sont réunies :
-
SQLNET.ENCRYPTION_TYPES_SERVERetSQLNET.ENCRYPTION_TYPES_CLIENTpossèdent une méthode de chiffrement sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasDES,3DESouRC4(toutes les longueurs de clés). -
SQLNET.CHECKSUM_TYPES_SERVERetSQLNET.CHECKSUM_TYPES_CLIENTdisposent d'une méthode de total de contrôle sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasMD5. -
Le client est patché avec le juillet 2021. PSU Si le client n'est pas corrigé, il perd la connexion et reçoit l'erreur
ORA-12269.
L'exemple suivant montre des exemples de NNE paramètres. Supposons que vous souhaitez définir SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT faireFALSE, bloquant ainsi les connexions non sécurisées. Les paramètres de l'option de total de contrôle répondent aux conditions préalables car ils ont tous les deux SHA256. Cependant, SQLNET.ENCRYPTION_TYPES_CLIENT et SQLNET.ENCRYPTION_TYPES_SERVER utilisent les méthodes de chiffrement DES, 3DES et RC4, qui ne sont pas sécurisées. Par conséquent, pour définir les options SQLNET.ALLOW_WEAK_CRYPTO* à FALSE, définissez d'abord SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT pour utiliser une méthode de chiffrement sécurisée telle que AES256.
| Paramètre d'option | Valeurs |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
