¿Cómo puedo activar la SSL en mi instancia de base de datos compatible con Aurora PostgreSQL y cómo puedo conectarme a mi instancia mediante certificados SSL?

Descripción corta

Puede cifrar una conexión a su clúster de base de datos compatible con PostgreSQL de Aurora desde su aplicación, bien con SSL o con seguridad de la capa de transporte (TLS). Las conexiones SSL y TLS proporcionan una única capa de seguridad al clúster y cifran los datos que se mueven entre el cliente y el clúster. Para obtener más información, consulte Uso de SSL/TLS para cifrar una conexión a un clúster de bases de datos.

Las conexiones SSL deben configurarse tanto en el cliente como en el servidor antes de realizar la conexión para que sean seguras. Si el SSL no está configurado en el servidor, es posible que el cliente envíe información confidencial, como contraseñas. Para obtener más información sobre cómo crear una conexión segura mediante SSL, consulte Asistencia para SSL en el sitio web de PostgreSQL.

Los modos SSL para PostgreSQL son:

• verify-full
• verify-ca
• require
• prefer
• allow
• disable

Para obtener más información sobre cómo elegir el modo SSL adecuado para su caso de uso, consulte Protección que se proporciona en los diferentes modos en el sitio web de PostgreSQL.

Resolución

Amazon Relational Database Service (Amazon RDS) crea la certificación SSL o TLS para su clúster. Esto ocurre en el momento de crearlo. Para obtener más información, consulte Seguridad con Amazon Aurora PostgreSQL.

Conectarse al clúster de base de datos mediante SSL/TLS

1. Descargue el certificado SSL/TSL.
2. Importe el certificado a su sistema operativo.
3. Conéctese a su clúster de base de datos compatible con Aurora PostgreSQL mediante SSL/TLS.
   Por ejemplo:

   psql -h DBInstance.cluster-Account-Number.eu-west-1.rds.amazonaws.com  -p 5432 "dbname=postgres user=postgres sslrootcert=global-bundle.pem sslmode=verify-full"

Al establecer rds.force_ssl to 1 (activado), el archivo pg_hba.conf de su instancia de base de datos se modifica para que sea compatible con la nueva configuración SSL. Utilice la vista pg_hba_file_rules para ver el resumen del contenido del archivo pg_hba.conf. El valor de tipo de la vista pg_hba_file_rules se actualiza a hostssl después de establecer rds.force_ssl en 1 (activado).

Puede necesitar conexiones a su clúster de base de datos para utilizar SSL/TLS. Para ello, utilice el parámetro rds.force_ssl. El parámetro rds.force_ssl está establecido en 0 por defecto. El valor 0 indica que está desactivado. Para activar este parámetro, defina rds.force_ssl en 1. Esto hace que SSL/TLS sea un requisito para las conexiones a su clúster de base de datos.

Para obtener más información, consulte Protección de los datos de Aurora PostgreSQL con SSL/TLS.

Revisar la conexión SSL

Para revisar la conexión SSL, ejecute este comando:

postgres=> select ssl_is_used(); ssl_is_used
-------------
 t
(1 row)

postgres=> select ssl_cipher();
         ssl_cipher
-----------------------------
 ECDHE-RSA-AES128-GCM-SHA256
(1 row)

Nota: El SSL de instancia de Amazon RDS es un SSL unidireccional. Esto significa que el cliente puede verificar la identidad del servidor.