All Products
Search
Document Center

ApsaraDB RDS:Terapkan koneksi SSL client untuk RDS for PostgreSQL

Last Updated:Jun 22, 2026

Setelah mengaktifkan enkripsi SSL, client masih dapat terhubung tanpa SSL menggunakan parameter PGSSLMODE=disable jika kontrol akses client belum dikonfigurasi. Untuk menerapkan koneksi SSL bagi semua client, ikuti langkah-langkah dalam topik ini.

Prasyarat

Prosedur

RDS for PostgreSQL menyediakan metode berikut untuk menerapkan enkripsi SSL pada koneksi client.

Metode 1: Client ACL

Setelah mengonfigurasi sertifikat CA client, Anda dapat menyiapkan ACL client pada instans RDS for PostgreSQL untuk mengelola akses client. Client kemudian harus menyerahkan sertifikat client dan kunci privat yang valid serta menggunakan metode autentikasi yang ditentukan untuk terhubung ke database.

Catatan
  • Mengonfigurasi ACL client akan membuat instans database PostgreSQL Anda tidak tersedia selama sekitar satu menit.

  • Jika kontrol akses client belum dikonfigurasi pada database RDS for PostgreSQL Anda, metode autentikasi akan menggunakan nilai default prefer. Hal ini memungkinkan client terhubung tanpa SSL menggunakan PGSSLMODE=disable. Untuk memblokir koneksi non-SSL, konfigurasikan ACL client agar menggunakan metode autentikasi selain prefer setelah mengaktifkan enkripsi SSL.

Klik Modify di samping Configure ACL dan pilih mode kontrol koneksi client.

Anda dapat menggunakan salah satu metode autentikasi berikut untuk menerapkan koneksi SSL ke instans RDS for PostgreSQL Anda:

  • cert: Melakukan autentikasi menggunakan sertifikat client alih-alih password. Metode ini mengenkripsi koneksi, memverifikasi sertifikat client, dan memastikan bahwa Common Name (CN) dalam sertifikat sesuai dengan username database.

  • verify-ca: Mengenkripsi koneksi dan memverifikasi sertifikat client terhadap CA yang dikonfigurasi.

  • verify-full (didukung pada RDS for PostgreSQL 12 dan versi lebih baru): Mengenkripsi koneksi, memverifikasi sertifikat client terhadap CA yang dikonfigurasi, dan memastikan bahwa CN dalam sertifikat sesuai dengan username database.

Metode 2: file pg_hba.conf

Setelah mengaktifkan enkripsi SSL, Anda dapat menggunakan fitur AD Domain Service Configuration di RDS for PostgreSQL untuk memodifikasi file pg_hba.conf. Hal ini memaksa client menggunakan SSL saat terhubung ke database.

  1. Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID instans tersebut.

  2. Di panel navigasi sebelah kiri, klik Accounts, lalu klik tab AD Domain Services.

  3. Pada tabel aturan di halaman konfigurasi pg_hba.conf, modifikasi catatan pertama dengan mengatur TYPE menjadi hostssl, DATABASE dan USER menjadi all, ADDRESS menjadi 0.0.0.0/0, dan METHOD menjadi md5.

  4. Klik Submit.

    Catatan

    Setelah mengklik Submit, status instans berubah menjadi Maintaining Instance selama sekitar satu menit. Konfigurasi baru hanya berlaku untuk koneksi baru. Untuk menerapkan perubahan pada koneksi yang sudah ada, Anda harus memutuskan lalu menyambungkan ulang.