Ringkasan Prasyarat dan batasan Arsitektur Alat Praktik terbaik Epik Pemecahan Masalah Sumber daya terkait

Aktifkan koneksi terenkripsi untuk instans PostgreSQL DB di Amazon RDS

Rohit Kapoor, Amazon Web Services

Ringkasan

Amazon Relational Database Service (Amazon RDS) mendukung enkripsi SSL untuk instans PostgreSQL DB. Menggunakan SSL, Anda dapat mengenkripsi koneksi PostgreSQL antara aplikasi dan Amazon RDS for PostgreSQL DB instans. Secara default, Amazon RDS SSL/TLS for PostgreSQL menggunakan dan mengharapkan semua klien terhubung dengan menggunakan enkripsi. SSL/TLS Amazon RDS for PostgreSQL mendukung TLS versi 1.1 dan 1.2.

Pola ini menjelaskan bagaimana Anda dapat mengaktifkan koneksi terenkripsi untuk instans Amazon RDS for PostgreSQL DB. Anda dapat menggunakan proses yang sama untuk mengaktifkan koneksi terenkripsi untuk Amazon Aurora PostgreSQL Edisi yang kompatibel.

Prasyarat dan batasan

Akun AWS yang aktif
Sebuah Amazon RDS untuk instans DB Amazon RDS for PostgreSQL
Bundel SSL

Arsitektur

Mengaktifkan koneksi terenkripsi untuk instans PostgreSQL DB di Amazon RDS

Alat

pgAdmin adalah platform administrasi dan pengembangan open-source untuk PostgreSQL. Anda dapat menggunakan pgAdmin di Linux, Unix, macOS, dan Windows untuk mengelola objek database Anda di PostgreSQL 10 dan yang lebih baru.
Editor PostgreSQL menyediakan antarmuka yang lebih ramah pengguna untuk membantu Anda membuat, mengembangkan, dan menjalankan kueri, dan mengedit kode sesuai dengan kebutuhan Anda.

Praktik terbaik

Pantau koneksi database yang tidak aman.
Audit hak akses basis data.
Pastikan bahwa backup dan snapshot dienkripsi saat istirahat.
Pantau akses basis data.
Hindari grup akses yang tidak terbatas.
Tingkatkan notifikasi Anda dengan Amazon GuardDuty.
Pantau kepatuhan kebijakan secara teratur.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Muat sertifikat tepercaya ke komputer Anda.	Untuk menambahkan sertifikat ke toko Otoritas Sertifikasi Root Tepercaya untuk komputer Anda, ikuti langkah-langkah berikut. (Instruksi ini menggunakan Window Server sebagai contoh.) Di Windows Server, pilih Mulai, Jalankan, lalu ketik mmc. Di konsol, pilih File, Tambah/Hapus Snap-in. Di bawah Snap-in yang tersedia, pilih Sertifikat, lalu pilih Tambah. Di bawah Snap-in ini akan selalu mengelola sertifikat untuk, pilih Akun komputer, Berikutnya. Pilih Komputer lokal, Selesai. Jika Anda tidak memiliki snap-in lagi untuk ditambahkan ke konsol, pilih OK. Di pohon konsol, klik dua kali Sertifikat. Klik kanan Otoritas Sertifikasi Root Tepercaya. Pilih Semua Tugas, Impor untuk mengimpor sertifikat yang diunduh. Ikuti langkah-langkah di Wisaya Impor Sertifikat.	DevOps insinyur, insinyur migrasi, DBA

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat grup parameter dan atur parameter rds.force_ssl.	Jika instance PostgreSQL DB memiliki grup parameter kustom, edit grup parameter dan ubah ke 1. `rds.force_ssl` Jika instans DB menggunakan grup parameter default yang belum `rds.force_ssl` diaktifkan, buat grup parameter baru. Anda dapat memodifikasi grup parameter baru dengan menggunakan Amazon RDS API atau secara manual seperti pada petunjuk berikut. Untuk membuat grup parameter baru: Masuk ke konsol AWS Management dan buka konsol Amazon RDS untuk Wilayah AWS yang menghosting instans DB. Di panel navigasi, pilih Grup parameter. Pilih Buat grup parameter, dan atur nilai berikut: Untuk keluarga grup Parameter, pilih postgres14. <database_instance>Untuk nama Grup, ketik pgsql- -ssl. Untuk Deskripsi, masukkan deskripsi bentuk bebas untuk grup parameter yang Anda tambahkan. Pilih Buat. Pilih grup parameter yang Anda buat. Dari Tindakan grup parameter, pilih Edit. Temukan rds.force_ssl dan ubah pengaturannya menjadi 1. catatan Lakukan pengujian sisi klien sebelum mengubah parameter ini. Pilih Simpan perubahan. Untuk mengaitkan grup parameter dengan instance PostgreSQL DB Anda: Di konsol Amazon RDS, di panel navigasi, pilih Databases, lalu pilih instans PostgreSQL DB. Pilih Ubah. Di bawah Konfigurasi tambahan, pilih grup parameter baru, lalu pilih Lanjutkan. Di bawah Jadwalkan modifikasi, pilih Terapkan segera. Pilih Ubah instans DB. Untuk informasi selengkapnya, lihat dokumentasi Amazon RDS.	DevOps insinyur, insinyur migrasi, DBA
Memaksa koneksi SSL.	Connect ke instans Amazon RDS for PostgreSQL DB. Upaya koneksi yang tidak menggunakan SSL ditolak dengan pesan kesalahan. Untuk informasi selengkapnya, lihat dokumentasi Amazon RDS.	DevOps insinyur, insinyur migrasi, DBA

Buat grup parameter dan atur parameter rds.force_ssl.

Jika instance PostgreSQL DB memiliki grup parameter kustom, edit grup parameter dan ubah ke 1. rds.force_ssl

Jika instans DB menggunakan grup parameter default yang belum rds.force_ssl diaktifkan, buat grup parameter baru. Anda dapat memodifikasi grup parameter baru dengan menggunakan Amazon RDS API atau secara manual seperti pada petunjuk berikut.

Untuk membuat grup parameter baru:

Masuk ke konsol AWS Management dan buka konsol Amazon RDS untuk Wilayah AWS yang menghosting instans DB.
Di panel navigasi, pilih Grup parameter.
Pilih Buat grup parameter, dan atur nilai berikut:
- Untuk keluarga grup Parameter, pilih postgres14.
- <database_instance>Untuk nama Grup, ketik pgsql- -ssl.
- Untuk Deskripsi, masukkan deskripsi bentuk bebas untuk grup parameter yang Anda tambahkan.
- Pilih Buat.
Pilih grup parameter yang Anda buat.
Dari Tindakan grup parameter, pilih Edit.
Temukan rds.force_ssl dan ubah pengaturannya menjadi 1.
catatan
Lakukan pengujian sisi klien sebelum mengubah parameter ini.
Pilih Simpan perubahan.

Untuk mengaitkan grup parameter dengan instance PostgreSQL DB Anda:

Di konsol Amazon RDS, di panel navigasi, pilih Databases, lalu pilih instans PostgreSQL DB.
Pilih Ubah.
Di bawah Konfigurasi tambahan, pilih grup parameter baru, lalu pilih Lanjutkan.
Di bawah Jadwalkan modifikasi, pilih Terapkan segera.
Pilih Ubah instans DB.

Untuk informasi selengkapnya, lihat dokumentasi Amazon RDS.

DevOps insinyur, insinyur migrasi, DBA

Memaksa koneksi SSL.

Connect ke instans Amazon RDS for PostgreSQL DB. Upaya koneksi yang tidak menggunakan SSL ditolak dengan pesan kesalahan. Untuk informasi selengkapnya, lihat dokumentasi Amazon RDS.

DevOps insinyur, insinyur migrasi, DBA

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Instal ekstensi SSL.	Luncurkan koneksi psql atau pgAdmin sebagai DBA. Panggil fungsi ssl_is_used () untuk menentukan apakah SSL sedang digunakan. `select ssl_is_used();` Fungsi kembali `t` jika koneksi menggunakan SSL; jika tidak, ia kembali`f`. Instal ekstensi SSL. `create extension sslinfo; show ssl; select ssl_cipher();` Untuk informasi selengkapnya, lihat dokumentasi Amazon RDS.	DevOps insinyur, insinyur migrasi, DBA

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfigurasikan klien untuk SSL.	Dengan menggunakan SSL, Anda dapat memulai server PostgreSQL dengan dukungan untuk koneksi terenkripsi yang menggunakan protokol TLS. Server mendengarkan koneksi standar dan SSL pada port TCP yang sama, dan bernegosiasi dengan klien penghubung apakah akan menggunakan SSL. Secara default, ini adalah opsi klien. Jika Anda menggunakan klien psql: Pastikan sertifikat Amazon RDS telah dimuat ke komputer lokal Anda. Luncurkan koneksi klien SSL dengan menambahkan yang berikut ini: `psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem select ssl_cipher();` Untuk klien PostgreSQL lainnya: Ubah parameter kunci publik aplikasi masing-masing. Ini mungkin tersedia sebagai opsi, sebagai bagian dari string koneksi Anda, atau sebagai properti di halaman koneksi di alat GUI. Tinjau halaman berikut untuk klien ini: Dokumentasi pgAdmin Dokumentasi JDBC	DevOps insinyur, insinyur migrasi, DBA

Konfigurasikan klien untuk SSL.

Dengan menggunakan SSL, Anda dapat memulai server PostgreSQL dengan dukungan untuk koneksi terenkripsi yang menggunakan protokol TLS. Server mendengarkan koneksi standar dan SSL pada port TCP yang sama, dan bernegosiasi dengan klien penghubung apakah akan menggunakan SSL. Secara default, ini adalah opsi klien.

Jika Anda menggunakan klien psql:

Pastikan sertifikat Amazon RDS telah dimuat ke komputer lokal Anda.

Luncurkan koneksi klien SSL dengan menambahkan yang berikut ini:


psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem
select ssl_cipher();

Untuk klien PostgreSQL lainnya:

Ubah parameter kunci publik aplikasi masing-masing. Ini mungkin tersedia sebagai opsi, sebagai bagian dari string koneksi Anda, atau sebagai properti di halaman koneksi di alat GUI.

Tinjau halaman berikut untuk klien ini:

DevOps insinyur, insinyur migrasi, DBA

Pemecahan Masalah

Isu	Solusi
Tidak dapat mengunduh sertifikat SSL.	Periksa koneksi Anda ke situs web, dan coba lagi unduh sertifikat ke komputer lokal Anda.

Sumber daya terkait

Amazon RDS untuk dokumentasi PostgreSQL
Menggunakan SSL dengan instance PostgreSQL DB (dokumentasi Amazon RDS)
TCP/IP Koneksi Aman dengan SSL (dokumentasi PostgreSQL)
Menggunakan SSL (dokumentasi JDBC)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Meniru array PL/SQL asosiatif Oracle di Amazon Aurora dan Amazon RDS

Enkripsi Amazon RDS yang ada untuk instans DB Amazon RDS for PostgreSQL

Aktifkan koneksi terenkripsi untuk instans PostgreSQL DB di Amazon RDS

Ringkasan

Prasyarat dan batasan

Arsitektur

Alat

Praktik terbaik

Epik

catatan

Pemecahan Masalah

Sumber daya terkait