AmazonRDS-SSLを使用したMSSQL DB

意図しない第三者によるデータの閲覧を防ぐために、クライアントアプリケーションとRDSDBインスタンスの間で接続暗号化を使用できます。暗号化は、すべてのAWSリージョンで、AWSRDSでサポートされているすべてのDBタイプで利用できます。この章では、MSSQLServerで暗号化を有効にする方法について説明します。

暗号化を有効にする方法は2つあります。

  • すべての接続にSSLを強制します—これはクライアントに対して透過的に行われ、クライアントはSSLを使用するために何もする必要はありません。

  • 特定の接続を暗号化する—これにより、特定のクライアントコンピューターからSSL接続がセットアップされます。接続を暗号化するには、クライアントで作業を行う必要があります。

このアプローチでは、DBクライアントからのすべての接続でSSLを使用するように強制します。これは、rds.force_sslパラメーターを使用して実行されます。rds.force_sslパラメーターをtrueに設定して、接続でSSLを使用するように強制します。これは静的パラメータであるため、変更を有効にするにはDBインスタンスを再起動する必要があります。次の図は、DBパラメータ設定ページにアクセスしてrds.force_sslパラメータの値を設定することにより、値をリセットする方法を示しています。

特定のクライアントコンピューターからRDSDBインスタンスへの接続のみを暗号化できます。これを行うには、クライアントコンピューターに証明書をインストールする必要があります。以下は、証明書をインストールする手順です。

ステップ1

ここからクライアントコンピューターに証明書をダウンロードします。

ステップ2

パス「Windows」->「実行」->「MMC」と入力して入力します。次のウィンドウが開きます。

ステップ-3

[スナップインの追加と削除]ダイアログボックスで、[使用可能なスナップイン]で[証明書]を選択し、[追加]を選択します。

ステップ-4

パスコンピュータアカウント->ローカルコンピュータ->終了に従います。

ステップ-5

MMCコンソールで、[証明書]を展開し、信頼されたルート証明機関のコンテキスト(右クリック)メニューを開いて、[すべてのタスク]を選択し、[インポート]を選択します。

ステップ-6

前の手順でダウンロードした.pemファイルを選択し、デフォルト値を選択して[次へ]をクリックしてインポートウィザードを終了します。

ステップ-7

インストールされている証明書は次のように表示されます。

ステップ-8

SSMSを使用してAWSRDS MSSQL Dbインスタンスに接続する場合は、[オプション]タブを展開し、[暗号化接続]を選択します。

これで、このコンピューターからRDSへのクライアント接続が暗号化されます。