Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des protocoles de sécurité et des chiffrements SQL Server
Vous pouvez activer et désactiver certains protocoles de sécurité et chiffrements à l'aide des paramètres de base de données. Les paramètres de sécurité que vous pouvez configurer (à l'exception de TLS version 1.2) sont présentés dans le tableau suivant.
| Paramètre de base de données | Valeurs autorisées (valeur par défaut en gras) | Description |
|---|---|---|
| rds.tls10 | par défaut, activé, désactivé | TLS 1.0. |
| rds.tls11 | par défaut, activé, désactivé | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. Vous ne pouvez pas modifier cette valeur. |
| rds.fips | 0, 1 |
Lorsque vous définissez le paramètre sur 1, RDS force l'utilisation de modules conformes à la norme FIPS 140-2 (Federal Information Processing Standard). Pour plus d'informations, consultez Utiliser SQL Server 2016 en mode conforme FIPS 140-2 |
| rds.rc4 | par défaut, activé, désactivé | Chiffrement du flux RC4. |
| rds.diffie-hellman | par défaut, activé, désactivé | Chiffrement d'échange de clés Diffie-Hellman. |
| rds.diffie-hellman-min-key-bit-length | par défaut, 1024, 2048, 3072, 4096 | Longueur minimale de bits pour les clés Diffie-Hellman. |
| rds.curve25519 | par défaut, activé, désactivé | Chiffrement Curve25519 elliptic-curve. Ce paramètre n'est pas pris en charge pour toutes les versions du moteur. |
| rds.3des168 | par défaut, activé, désactivé | Chiffrement des données Triple Data Encryption Standard (DES) avec une longueur de clé de 168 bits. |
Note
Pour les versions mineures du moteur postérieures aux versions 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour les paramètres de base de données rds.tls10, rds.tls11, rds.rc4, rds.curve25519 et rds.3des168 est désactivé. Sinon, la valeur par défaut est activée.
Pour les versions mineures du moteur postérieures aux versions 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 et 12.00.6449.1, le paramètre par défaut pour rds.diffie-hellman-min-key-bit-length est 3072. Sinon, la valeur par défaut est 2048.
Utilisez la procédure suivante pour configurer les protocoles de sécurité et les chiffrements :
-
Créez un groupe de paramètres DB personnalisé.
-
Modifiez les paramètres du groupe de paramètres.
-
Associez le groupe de paramètres DB à l'instance de base de données.
Pour plus d'informations sur les groupes de paramètres de base de données, consultez Groupes de paramètres pour Amazon RDS.
Création du groupe de paramètres liés à la sécurité
Créez un groupe de paramètres pour vos paramètres liés à la sécurité qui correspond à l'édition et à la version de SQL Server de votre instance de base de données.
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez Créer un groupe de paramètres.
-
Dans le volet Créer un groupe de paramètres, faites ce qui suit :
-
Pour Famille de groupes de paramètres, choisissez sqlserver-se-13.0.
-
Pour Nom du groupe, saisissez un identifiant pour le groupe de paramètres, tel que
sqlserver-ciphers-se-13. -
Pour Description, saisissez
Parameter group for security protocols and ciphers.
-
-
Choisissez Créer.
La procédure suivante crée un groupe de paramètres pour SQL Server Standard Edition 2016.
Pour créer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour Linux, macOS ou Unix :
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Pour Windows :
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Modification des paramètres liés à la sécurité
Modifiez les paramètres liés à la sécurité dans le groupe de paramètres qui correspond à l'édition et à la version SQL Server de votre instance de base de données.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.
Pour modifier le groupe de paramètres
Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le panneau de navigation, choisissez Groupes de paramètres.
-
Choisissez le groupe de paramètres, tel que sqlserver-ciphers-se-13.
-
Sous Paramètres, filtrez la liste des paramètres pour
rds. -
Choisissez Modifier les paramètres.
-
Choisissez rds.tls10.
-
Pour Valeurs, choisissez désactivé.
-
Sélectionnez Enregistrer les modifications.
La procédure suivante modifie le groupe de paramètres que vous avez créé pour SQL Server Standard Edition 2016. Cet exemple montre comment désactiver TLS version 1.0.
Pour modifier le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour Linux, macOS ou Unix :
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Pour Windows :
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Association du groupe de paramètres liés à la sécurité à votre instance de base de données
Pour associer le groupe de paramètres à votre instance de base de données, utilisez le AWS Management Console ou le AWS CLI.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante :
-
Pour une nouvelle instance de base de données, associez-la lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS.
-
Pour une instance de base de données existante, associez-la en modifiant l'instance. Pour plus d’informations, consultez Modification d'une instance de base de données Amazon RDS.
Vous pouvez associer le groupe de paramètres à une instance de base de données nouvelle ou existante.
Pour créer une instance de base de données avec le groupe de paramètres
-
Spécifiez le type de moteur de base de données et la version majeure utilisés lors de la création du groupe de paramètres.
Pour Linux, macOS ou Unix :
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Pour Windows :
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13Note
Spécifiez un mot de passe autre que celui indiqué ici, en tant que bonne pratique de sécurité.
Pour modifier une instance de base de données et associer le groupe de paramètres
-
Exécutez une des commandes suivantes :
Pour Linux, macOS ou Unix :
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyPour Windows :
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
