強制用戶端使用SSL串連RDS PostgreSQL

在配置用戶端CA認證後，您可以在RDS PostgreSQL執行個體中配置ACL，以管理用戶端的存取權限。此時，用戶端必須攜帶其相應的用戶端認證和私密金鑰，並通過相應的認證方式進行驗證，方可串連資料庫。

單擊配置ACL後的修改，選擇不同的用戶端串連控制模式。

配置如下認證方法可以強制用戶端通過SSL串連RDS PostgreSQL執行個體：

• cert：使用認證代替密碼登入，加密資料鏈路，同時檢查用戶端認證真偽，檢查認證CN與資料庫使用者名稱匹配。

• verify-ca：加密資料鏈路，同時檢查用戶端認證真偽。

• verify-full（RDS PostgreSQL 12以上支援）：加密資料鏈路，同時檢查用戶端認證真偽，檢查認證CN與資料庫使用者名稱匹配。

在配置SSL鏈路加密後，您可以通過RDS PostgreSQL提供的AD網域服務配置功能實現修改pg_hba.cnf檔案的目的，使用戶端串連資料庫時必須使用SSL方式。

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列單擊帳號管理，然後選擇AD網域服務頁簽。

3. 將第一條記錄中的TYPE取值修改為hostssl。

4. 單擊提交。

   說明

   提交後系統狀態將變為維護執行個體中，預計時間長度約1分鐘，修改後的新配置僅對新串連生效，對於舊串連，您需要斷開已有串連後重新串連才會生效。