SQL Server のセキュリティプロトコルおよび暗号の設定
DB パラメータを使用して、特定のセキュリティプロトコルと暗号のオン/オフを切り替えることができます。設定できるセキュリティパラメータ (TLS バージョン 1.2 を除く) を次の表に示します。
| DB パラメータ | 許可される値 (デフォルトは太字) | 説明 |
|---|---|---|
| rds.tls10 | デフォルト、有効、無効 | TLS 1.0. |
| rds.tls11 | デフォルト、有効、無効 | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. この値は変更できません。 |
| rds.fips | 0、1 |
パラメータを 1 に設定すると、RDS は連邦情報処理規格 (FIPS) 140-2 標準に準拠したモジュールの使用を強制します。 詳細については、Microsoft のドキュメントの Use SQL Server 2016 in FIPS 140-2-compliant mode |
| rds.rc4 | デフォルト、有効、無効 | RC4 ストリーム暗号です。 |
| rds.diffie-hellman | デフォルト、有効、無効 | Diffie-Hellman キー交換暗号化。 |
| rds.diffie-hellman-min-key-bit-length | デフォルト、1024、2048、3072、4096 | Diffie-Hellman キーの最小ビット長。 |
| rds.curve25519 | デフォルト、有効、無効 | Curve25519 elliptic-curve 暗号化暗号。このパラメータは、すべてのエンジンバージョンでサポートされているわけではありません。 |
| rds.3des168 | デフォルト、有効、無効 | 168 ビットのキー長を持つトリプルデータ暗号化標準 (DES) 暗号化暗号。 |
注記
16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1、および 12.00.6449.1 以降のマイナーエンジンバージョンでは、DB パラメータ rds.tls10、rds.tls11、rds.rc4、rds.curve25519、rds.3des168 のデフォルト設定は無効になっています。それ以外の場合、デフォルト設定は有効です。
16.00.4120.1、15.00.4365.2、14.00.3465.1、13.00.6435.1、および 12.00.6449.1 以降のマイナーエンジンバージョンでは、rds.diffie-hellman-min-key-bit-length のデフォルト設定は 3072 です。それ以外の場合、デフォルト設定は 2048 です。
セキュリティプロトコルと暗号を設定するには、次のプロセスを使用します。
-
カスタム DB パラメータグループを作成します。
-
パラメータグループのパラメータを変更します。
-
DB パラメータグループを DB インスタンスに関連付けます。
DB パラメータグループの詳細については、「Amazon RDS のパラメータグループ」を参照してください。
セキュリティ関連のパラメータグループの作成
DB インスタンスの SQL Server のエディションとバージョンに対応するセキュリティ関連パラメータのパラメータグループを作成します。
以下の例では、SQL Server Standard Edition 2016 のパラメータグループを作成します。
パラメータグループを作成するには
AWS マネジメントコンソール にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
ナビゲーションペインで、[パラメータグループ] を選択します。
-
[パラメータグループの作成] を選択します。
-
[パラメータグループの作成] ペインで、次の操作を行います。
-
[パラメータグループファミリー] で、[sqlserver-se-13.0] を選択します。
-
[グループ名] に、パラメータグループの識別子 (
sqlserver-ciphers-se-13など) を入力します。 -
[説明] に「
Parameter group for security protocols and ciphers」と入力します。
-
-
[Create] (作成) を選択します。
以下の例では、SQL Server Standard Edition 2016 のパラメータグループを作成します。
パラメータグループを作成するには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Windows の場合:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
セキュリティ関連のパラメータの変更
DB インスタンスの SQL Server のエディションとバージョンに対応するパラメータグループのセキュリティ関連のパラメータを変更します。
以下の手順では、SQL Server Standard Edition 2016 用に作成したパラメータグループを変更します。この例では、TLS バージョン 1.0 をオフにします。
パラメータグループを変更するには
AWS マネジメントコンソール にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
ナビゲーションペインで、[パラメータグループ] を選択します。
-
[sqlserver-ciphers-se-13] などのパラメータグループを選択します。
-
[パラメータ] で、パラメータのリストを
rdsでフィルタ処理します。 -
[Edit parameters] を選択します。
-
[rds.tls10] を選択します。
-
[値] で、[無効] を選択します。
-
[Save changes] (変更の保存) をクリックします。
以下の手順では、SQL Server Standard Edition 2016 用に作成したパラメータグループを変更します。この例では、TLS バージョン 1.0 をオフにします。
パラメータグループを変更するには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Windows の場合:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
セキュリティ関連のパラメータグループと DB インスタンスの関連付け
パラメータグループを DB インスタンスに関連付けるには、AWS マネジメントコンソール または AWS CLI を使用します。
パラメータグループを新規または既存の DB インスタンスに関連付けることができます。
-
新しい DB インスタンスの場合は、インスタンスを起動するときにそれを関連付けます。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。
-
既存の DB インスタンスの場合は、インスタンスを変更することでそれを関連付けます。詳しくは、「Amazon RDS DB インスタンスを変更する」を参照してください。
パラメータグループを新規または既存の DB インスタンスに関連付けることができます。
パラメータグループを使用して DB インスタンスを作成するには
-
パラメータグループの作成時に使用したものと同じ DB エンジンのタイプとメジャーバージョンを指定します。
Linux、macOS、Unix の場合:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Windows の場合:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13注記
セキュリティ上のベストプラクティスとして、ここに示されているプロンプト以外のパスワードを指定してください。
DB インスタンスを変更し、パラメータグループを関連付けるには
-
以下のいずれかのコマンドを実行します。
Linux、macOS、Unix の場合:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyWindows の場合:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
