Come posso attivare SSL sulla mia istanza database compatibile con Aurora PostgreSQL e connettermi alla mia istanza utilizzando certificati SSL?

3 minuti di lettura
0

Desidero connettermi al mio cluster database compatibile con Amazon Aurora PostgreSQL utilizzando una connessione Secure Socket Layer (SSL).

Breve descrizione

Puoi crittografare una connessione al tuo cluster database compatibile con Aurora PostgreSQL dalla tua applicazione utilizzando SSL o Transport Layer Security (TLS). Le connessioni SSL e TLS forniscono un unico livello di sicurezza per il cluster e crittografano i dati che si spostano tra client e cluster. Per ulteriori informazioni, consulta Utilizzo di SSL/TLS per crittografare una connessione a un cluster database.

Per garantire la sicurezza, le connessioni SSL devono essere configurate sia sul client sia sul server prima di effettuare la connessione. Se SSL non è configurato sul server, il client potrebbe inviare informazioni sensibili come le password. Per ulteriori informazioni sulla creazione di una connessione protetta da SSL, consulta la documentazione di PostgreSQL per il supporto SSL.

Le modalità SSL per PostgreSQL sono:

  • verify-full
  • verify-ca
  • require
  • prefer
  • allow
  • disable

Per ulteriori informazioni sulla scelta della modalità SSL giusta per il tuo caso d'uso, consulta la documentazione di PostgreSQL per la protezione fornita in diverse modalità.

Risoluzione

Amazon Relational Database Service (Amazon RDS) genera la certificazione SSL o TLS per il cluster nel momento in cui lo crei. Per ulteriori informazioni, consulta Sicurezza con Amazon Aurora PostgreSQL.

Connettiti al tuo cluster database mediante SSL/TLS

1.    Scarica il certificato SSL/TSL.

2.    Importa il certificato nel tuo sistema operativo.

3.    Connettiti al tuo cluster database compatibile con Aurora PostgreSQL mediante SSL/TLS.

Guarda questo esempio:

psql -h DBInstance.cluster-Account-Number.eu-west-1.rds.amazonaws.com  -p 5432 "dbname=postgres user=postgres sslrootcert=global-bundle.pem sslmode=verify-full"

Quando imposti rds.force_ssl su 1 (attivato), il file pg_hba.conf dell'istanza database viene modificato per supportare la nuova configurazione SSL. Puoi utilizzare la vista pg_hba_file_rules per visualizzare il riepilogo dei contenuti del file pg_hba.conf. Il valore del tipo nella vista pg_hba_file_rules viene aggiornato in hostssl dopo che rds.force_ssl è stato impostato su 1 (attivo).

Puoi rendere obbligatorio l'utilizzo di SSL/TLS per le connessioni al tuo cluster database. A tale scopo, utilizza il parametro rds.force_ssl. Il parametro rds.force_ssl è impostato su 0 per impostazione predefinita, il che significa che è disattivato. Per attivare il parametro, imposta rds.force_ssl su 1. Ciò rende SSL/TLS un requisito per le connessioni al cluster database.

Per ulteriori informazioni, consulta Sicurezza dei dati Aurora PostgreSQL con SSL/TLS.

Verifica della connessione SSL

Per verificare la connessione SSL, esegui il seguente comando:

postgres=> select ssl_is_used();
 ssl_is_used
-------------
 t
(1 row)

postgres=> select ssl_cipher();
         ssl_cipher
-----------------------------
 ECDHE-RSA-AES128-GCM-SHA256
(1 row)

AWS UFFICIALE
AWS UFFICIALEAggiornata 5 mesi fa