Paramètres de l’option NATIVE_NETWORK_ENCRYPTION - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres de l’option NATIVE_NETWORK_ENCRYPTION

Vous pouvez spécifier les exigences de chiffrement à la fois sur le serveur et le client. L'instance de base de données peut agir en tant que client lorsque, par exemple, elle utilise un lien de base de données pour se connecter à une autre base de données. Vous pouvez éviter de forcer le chiffrement côté serveur. Par exemple, vous pouvez ne pas forcer toutes les communications client à utiliser le chiffrement car le serveur en a besoin. Dans ce cas, vous pouvez forcer le chiffrement côté client à l’aide des options SQLNET.*CLIENT.

Amazon RDS prend en charge les paramètres suivants pour l’option NATIVE_NETWORK_ENCRYPTION.

Note

Lorsque vous utilisez des virgules pour séparer les valeurs d'un paramètre d'option, ne placez pas d'espace après la virgule.

Paramètre d'option Valeurs valides Valeurs par défaut Description

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

TRUE, FALSE

TRUE

Comportement du serveur lorsqu'un client utilisant un chiffrement non sécurisé tente de se connecter à la base de données. Si TRUE, les clients peuvent se connecter même s'ils ne sont pas corrigés avec la PSU de juillet 2021.

Si le paramètre est FALSE, les clients peuvent se connecter à la base de données uniquement lorsqu'ils sont corrigés avec la PSU de juillet 2021. Avant de paramétrer SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS à FALSE, assurez-vous que les conditions suivantes sont remplies :

  • SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT possèdent une méthode de chiffrement correspondante qui n'est pas DES ,3DES ou RC4 (toutes les longueurs de clés).

  • SQLNET.CHECKSUM_TYPES_SERVER et SQLNET.CHECKSUM_TYPES_CLIENT disposent d'une méthode de total de contrôle sécurisée correspondante autre que MD5.

  • Le client est corrigé avec la PSU de juillet 2021. Si le client n'est pas corrigé, il perd la connexion et reçoit l'erreur ORA-12269.

SQLNET.ALLOW_WEAK_CRYPTO

TRUE, FALSE

TRUE

Comportement du serveur lorsqu'un client utilisant un chiffrement non sécurisé tente de se connecter à la base de données. Les chiffrements suivants sont considérés comme non sécurisés :

  • Méthode de chiffrement DES (toutes les longueurs de clés)

  • Méthode de chiffrement 3DES (toutes les longueurs de clés)

  • Méthode de chiffrement RC4 (toutes les longueurs de clés)

  • Méthode de total de contrôle MD5

Si le paramètre est TRUE, les clients peuvent se connecter lorsqu'ils utilisent les chiffrements non sécurisés précédents.

Si le paramètre est FALSE, la base de données empêche les clients de se connecter lorsqu'ils utilisent les chiffrements non sécurisés précédents. Avant de paramétrer SQLNET.ALLOW_WEAK_CRYPTO à FALSE, assurez-vous que les conditions suivantes sont remplies :

  • SQLNET.ENCRYPTION_TYPES_SERVER et SQLNET.ENCRYPTION_TYPES_CLIENT possèdent une méthode de chiffrement correspondante qui n'est pas DES ,3DES ou RC4 (toutes les longueurs de clés).

  • SQLNET.CHECKSUM_TYPES_SERVER et SQLNET.CHECKSUM_TYPES_CLIENT disposent d'une méthode de total de contrôle sécurisée correspondante autre que MD5.

  • Le client est corrigé avec la PSU de juillet 2021. Si le client n'est pas corrigé, il perd la connexion et reçoit l'erreur ORA-12269.

SQLNET.CRYPTO_CHECKSUM_CLIENT

Accepted, Rejected, Requested, Required

Requested

Comportement d'intégrité des données quand une instance de base de données se connecte au client, ou à un serveur agissant en tant que client. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.

Requested indique que le client ne nécessite pas que l'instance de base de données effectue un total de contrôle.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportement d'intégrité des données quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.

Requested indique que l'instance de base de données ne nécessite pas que le client effectue un total de contrôle.

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512

Une liste d’algorithmes de somme de contrôle.

Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n’insérez pas d’espace après celle-ci ; sinon, vous recevez une erreur InvalidParameterValue.

Ce paramètre et SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER doivent avoir un chiffrement commun.

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Une liste d’algorithmes de somme de contrôle.

Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n’insérez pas d’espace après celle-ci ; sinon, vous recevez une erreur InvalidParameterValue.

Ce paramètre et SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT doivent avoir un chiffrement commun.

SQLNET.ENCRYPTION_CLIENT

Accepted, Rejected, Requested, Required

Requested

Comportement de chiffrement du client quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.

Requested indique que le client ne requiert pas que le trafic depuis l'instance de base de données soit chiffré.

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportement de chiffrement du serveur quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.

Requested indique que l'instance de base de données ne requiert pas que le trafic depuis le client soit chiffré.

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Liste d'algorithmes de chiffrement utilisés par le client. Le client tente de déchiffrer l'entrée du serveur en essayant chaque algorithme, dans l'ordre, jusqu'à ce qu'un algorithme réussisse ou que la fin de la liste soit atteinte.

Amazon RDS utilise la liste par défaut suivante d’Oracle. RDS commence par RC4_256 et parcourt la liste dans l'ordre. Vous pouvez modifier l'ordre ou limiter les algorithmes que l'instance de base de données accepte.

  1. RC4_256 : RSA RC4 (taille de clé 256 bits)

  2. AES256 : AES (taille de clé 256 bits)

  3. AES192 : AES (taille de clé 192 bits)

  4. 3DES168: 3-key Triple-DES (taille de clé effective 112 bits)

  5. RC4_128 : RSA RC4 (taille de clé 128 bits)

  6. AES128 : AES (taille de clé 128 bits)

  7. 3DES112 : 2-key Triple-DES (taille de clé effective 80 bits)

  8. RC4_56 : RSA RC4 (taille de clé 56 bits)

  9. DES : Standard DES (taille de clé 56 bits)

  10. RC4_40 : RSA RC4 (taille de clé 40 bits)

  11. DES40 : DES40 (taille de clé 40 bits)

Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n’insérez pas d’espace après celle-ci ; sinon, vous recevez une erreur InvalidParameterValue.

Ce paramètre et SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER doivent avoir un chiffrement commun.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Liste d'algorithmes de chiffrement utilisés par l'instance de base de données. L'instance de base de données utilise chaque algorithme, dans l'ordre, pour tenter de déchiffrer l'entrée du client jusqu'à ce qu'un algorithme réussisse ou que la fin de la liste soit atteinte.

Amazon RDS utilise la liste par défaut suivante d’Oracle. Vous pouvez modifier l'ordre ou limiter les algorithmes que le client accepte.

  1. RC4_256 : RSA RC4 (taille de clé 256 bits)

  2. AES256 : AES (taille de clé 256 bits)

  3. AES192 : AES (taille de clé 192 bits)

  4. 3DES168: 3-key Triple-DES (taille de clé effective 112 bits)

  5. RC4_128 : RSA RC4 (taille de clé 128 bits)

  6. AES128 : AES (taille de clé 128 bits)

  7. 3DES112 : 2-key Triple-DES (taille de clé effective 80 bits)

  8. RC4_56 : RSA RC4 (taille de clé 56 bits)

  9. DES : Standard DES (taille de clé 56 bits)

  10. RC4_40 : RSA RC4 (taille de clé 40 bits)

  11. DES40 : DES40 (taille de clé 40 bits)

Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n’insérez pas d’espace après celle-ci ; sinon, vous recevez une erreur InvalidParameterValue.

Ce paramètre et SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER doivent avoir un chiffrement commun.