Come posso attivare SSL sulla mia istanza database compatibile con Aurora PostgreSQL e connettermi alla mia istanza utilizzando certificati SSL?

3 minuti di lettura

Desidero connettermi al mio cluster database compatibile con Amazon Aurora PostgreSQL utilizzando una connessione Secure Socket Layer (SSL).

Breve descrizione

Puoi crittografare una connessione al tuo cluster database compatibile con Aurora PostgreSQL dalla tua applicazione utilizzando SSL o Transport Layer Security (TLS). Le connessioni SSL e TLS forniscono un unico livello di sicurezza per il cluster e crittografano i dati che si spostano tra client e cluster. Per ulteriori informazioni, consulta Utilizzo di SSL/TLS per crittografare una connessione a un cluster database.

Per garantire la sicurezza, le connessioni SSL devono essere configurate sia sul client sia sul server prima di effettuare la connessione. Se SSL non è configurato sul server, il client potrebbe inviare informazioni sensibili come le password. Per ulteriori informazioni sulla creazione di una connessione protetta da SSL, consulta la documentazione di PostgreSQL per il supporto SSL.

Le modalità SSL per PostgreSQL sono:

verify-full
verify-ca
require
prefer
allow
disable

Per ulteriori informazioni sulla scelta della modalità SSL giusta per il tuo caso d'uso, consulta la documentazione di PostgreSQL per la protezione fornita in diverse modalità.

Risoluzione

Amazon Relational Database Service (Amazon RDS) genera la certificazione SSL o TLS per il cluster nel momento in cui lo crei. Per ulteriori informazioni, consulta Sicurezza con Amazon Aurora PostgreSQL.

Connettiti al tuo cluster database mediante SSL/TLS

1. Scarica il certificato SSL/TSL.

2. Importa il certificato nel tuo sistema operativo.

3. Connettiti al tuo cluster database compatibile con Aurora PostgreSQL mediante SSL/TLS.

Guarda questo esempio:

psql -h DBInstance.cluster-Account-Number.eu-west-1.rds.amazonaws.com  -p 5432 "dbname=postgres user=postgres sslrootcert=global-bundle.pem sslmode=verify-full"

Quando imposti rds.force_ssl su 1 (attivato), il file pg_hba.conf dell'istanza database viene modificato per supportare la nuova configurazione SSL. Puoi utilizzare la vista pg_hba_file_rules per visualizzare il riepilogo dei contenuti del file pg_hba.conf. Il valore del tipo nella vista pg_hba_file_rules viene aggiornato in hostssl dopo che rds.force_ssl è stato impostato su 1 (attivo).

Puoi rendere obbligatorio l'utilizzo di SSL/TLS per le connessioni al tuo cluster database. A tale scopo, utilizza il parametro rds.force_ssl. Il parametro rds.force_ssl è impostato su 0 per impostazione predefinita, il che significa che è disattivato. Per attivare il parametro, imposta rds.force_ssl su 1. Ciò rende SSL/TLS un requisito per le connessioni al cluster database.

Per ulteriori informazioni, consulta Sicurezza dei dati Aurora PostgreSQL con SSL/TLS.

Verifica della connessione SSL

Per verificare la connessione SSL, esegui il seguente comando:

postgres=> select ssl_is_used();
 ssl_is_used
-------------
 t
(1 row)

postgres=> select ssl_cipher();
         ssl_cipher
-----------------------------
 ECDHE-RSA-AES128-GCM-SHA256
(1 row)

Argomenti

Database

Tag

Aurora PostgreSQL

Lingua

Italiano

AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente

Perché ricevo un errore di accesso negato quando tento di connettermi al mio cluster database Amazon Aurora?
AWS UFFICIALEAggiornata 5 mesi fa
Come posso scaricare il testo SQL completo da Performance Insight per la mia istanza compatibile con Aurora PostgreSQL?
AWS UFFICIALEAggiornata 5 mesi fa
Come posso connettermi a un'istanza DB compatibile con Aurora PostgreSQL utilizzando l'autenticazione Kerberos?
AWS UFFICIALEAggiornata 4 mesi fa
Come posso collegarmi correttamente alla mia istanza Amazon RDS utilizzando una connessione SSL?
AWS UFFICIALEAggiornata 10 mesi fa