NATIVE_NETWORK_ENCRYPTION 옵션 설정 수정

NATIVE_NETWORK_ENCRYPTION 옵션을 활성화한 후 해당 설정을 수정할 수 있습니다. 현재는 AWS CLI 또는 RDS API로만 NATIVE_NETWORK_ENCRYPTION 옵션 설정을 수정할 수 있습니다. 콘솔은 사용할 수 없습니다. 다음 예제에서는 옵션의 두 가지 설정을 수정합니다.

aws rds add-option-to-option-group \
    --option-group-name my-option-group \
    --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \
    --apply-immediately

CLI를 사용하여 옵션 설정을 수정하는 방법은 AWS CLI 섹션을 참조하세요. 각 설정에 대한 자세한 내용은 NATIVE_NETWORK_ENCRYPTION 옵션 설정 단원을 참조하십시오.

CRYPTO_CHECKSUM_* 값 수정

NATIVE_NETWORK_ENCRYPTION 옵션 설정을 수정하는 경우 다음 옵션 설정에 공통 암호가 하나 이상 있어야 합니다.

다음 예제에서는 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER를 수정한 시나리오를 보여줍니다. 구성은 CRYPTO_CHECKSUM_TYPES_CLIENT 및 CRYPTO_CHECKSUM_TYPES_SERVER가 모두 SHA256을 사용해서 유효합니다.

또 다른 예를 들어, SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER을(를) 기본 설정에서 SHA1,MD5(으)로 수정하려고 한다고 가정합니다. 이 경우 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT을(를) SHA1 또는 MD5(으)로 설정해야 합니다. 이러한 알고리즘은 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT에 대한 기본값에 포함되지 않습니다.

ALLOW_WEAK_CRYPTO* 설정 수정

기본값으로 SQLNET.ALLOW_WEAK_CRYPTO* 옵션을 FALSE로 설정하려면 다음 조건을 충족하는지 확인하세요.

다음 예는 NNE 설정 샘플을 보여줍니다. SQLNET.ENCRYPTION_TYPES_SERVER 및 SQLNET.ENCRYPTION_TYPES_CLIENT를 FALSE로 설정하려는 경우 비보안 연결을 차단합니다. 체크섬 옵션 설정은 두 가지 모두 SHA256을 가지고 있어서 필수 구성 요소를 충족합니다. 그러나 SQLNET.ENCRYPTION_TYPES_CLIENT 및 SQLNET.ENCRYPTION_TYPES_SERVER는 DES, 3DES 및 RC4 암호화 방법을 사용하여 안전하지 않습니다. 따라서 SQLNET.ALLOW_WEAK_CRYPTO* 옵션이 FALSE로 설정되면 먼저 SQLNET.ENCRYPTION_TYPES_SERVER 및 SQLNET.ENCRYPTION_TYPES_CLIENT를 AES256과 같은 보안 암호화 방법으로 설정합니다.