Paksa klien untuk menggunakan SSL saat terhubung ke RDS for PostgreSQL - ApsaraDB RDS

Setelah mengaktifkan enkripsi Secure Sockets Layer (SSL), klien masih dapat terhubung tanpa SSL menggunakan parameter PGSSLMODE=disable jika kontrol akses klien tidak dikonfigurasi. Untuk memaksa klien menggunakan koneksi SSL, ikuti langkah-langkah yang dijelaskan dalam topik ini.

Prasyarat

Enkripsi SSL telah diaktifkan untuk instans RDS Anda. Ini berlaku jika Anda ingin klien terhubung ke instans RDS hanya melalui koneksi SSL. Untuk informasi lebih lanjut, lihat Konfigurasikan Enkripsi SSL atau Konfigurasikan Sertifikat Kustom.
Sertifikat CA klien telah dikonfigurasi. Ini berlaku jika Anda ingin memverifikasi sertifikat klien ketika klien terhubung ke instans RDS melalui koneksi SSL. Untuk informasi lebih lanjut, lihat Konfigurasikan Sertifikat CA Klien.

Prosedur

Anda dapat menggunakan salah satu metode berikut untuk secara paksa mengaktifkan klien agar terhubung ke instans RDS melalui koneksi SSL:

Metode 1: Konfigurasikan ACL klien

Setelah sertifikat CA klien dikonfigurasi, Anda dapat mengonfigurasi ACL pada instans RDS. Kemudian, klien hanya dapat terhubung ke instans RDS setelah instans RDS memvalidasi klien berdasarkan mode SSL yang Anda tentukan. Instans RDS memvalidasi klien menggunakan sertifikat klien dan kunci privat dari sertifikat tersebut.

Catatan

Saat mengonfigurasi ACL, tidak ada operasi yang dapat dilakukan pada instans RDS. Proses konfigurasi ini memerlukan waktu sekitar 1 menit.
Jika kontrol akses klien tidak dikonfigurasi untuk instans RDS for PostgreSQL, metode autentikasi default adalah prefer. Dalam hal ini, klien dapat menggunakan parameter PGSSLMODE=disable untuk terhubung tanpa SSL. Untuk memblokir koneksi non-SSL, aktifkan enkripsi SSL dan kemudian konfigurasikan ACL untuk menggunakan metode autentikasi selain prefer.

Klik Modify di sebelah kanan Configure ACL dan pilih metode autentikasi yang sesuai.

Anda dapat menggunakan salah satu metode autentikasi berikut untuk secara paksa mengaktifkan klien agar terhubung ke instans RDS melalui koneksi SSL:

cert: Sertifikat klien, bukan kata sandi, digunakan untuk memvalidasi klien. Koneksi SSL dibuat. Selain itu, sistem memvalidasi sertifikat klien dan memeriksa apakah Common Name (CN) yang ditentukan dalam sertifikat klien sesuai dengan nama pengguna yang digunakan untuk terhubung ke instans RDS.
verify-ca: Koneksi SSL dibuat, dan sistem memvalidasi sertifikat klien.
verify-full: Koneksi SSL dibuat. Sistem memvalidasi sertifikat klien dan memeriksa apakah CN yang ditentukan dalam sertifikat klien sesuai dengan nama pengguna yang digunakan untuk terhubung ke instans RDS. Mode SSL ini didukung untuk PostgreSQL 12 atau yang lebih baru.

Metode 2: Konfigurasikan file pg_hba.cnf

Setelah mengonfigurasi enkripsi SSL, Anda dapat menggunakan fitur AD Domain Service Configuration dari RDS for PostgreSQL untuk memodifikasi file pg_hba.cnf. Ini memaksa klien untuk menggunakan SSL saat terhubung ke database.

Buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Kemudian, temukan instans RDS dan klik ID instans tersebut.
Di panel navigasi di sebelah kiri, klik Account Management lalu klik tab AD Domain Service Information.
Di catatan pertama, ubah nilai di kolom TIPE menjadi hostssl.
Klik Submit.
Catatan
Setelah mengklik Kirim, status instans RDS Anda akan berubah menjadi Maintaining Instance selama sekitar 1 menit. Konfigurasi baru hanya berlaku untuk koneksi baru. Anda harus menutup koneksi yang ada dan membuat ulang koneksi tersebut agar konfigurasi baru diterapkan.