TiDB Cloud PremiumへのTLS接続
TiDB Cloudでは、TLS接続の確立は、 TiDB Cloud Premiumインスタンスへの接続における基本的なセキュリティ対策の一つです。クライアント、アプリケーション、開発ツールからTiDB Cloud Premiumインスタンスへの複数のTLS接続を設定することで、データ送信のセキュリティを保護できます。セキュリティ上の理由から、 TiDB Cloud PremiumはTLS 1.2とTLS 1.3のみをサポートし、TLS 1.0とTLS 1.1はサポートしていません。
データセキュリティを確保するため、 TiDB Cloud Premiumインスタンスの認証局(CA)証明書はAWSプライベート認証局にホストされています。CA証明書の秘密鍵は、 FIPS 140-2 レベル3セキュリティ基準を満たすAWS管理のハードウェアセキュリティモジュール(HSM)に保存されています。
前提条件
パスワード認証またはSSO認証を介してTiDB Cloudにログインし、 TiDB Cloud Premiumインスタンスを作成します。
安全な設定でインスタンスにアクセスするためのパスワードを設定してください。
そのためには、私のTiDBページに移動し、 TiDB Cloud Premium インスタンスの行にある「 ...」をクリックして、 「ルートパスワードの変更」を選択します。パスワード設定で、「パスワードの自動生成」をクリックすると、数字、大文字、小文字、特殊文字を含む 16 文字のルートパスワードが自動的に生成されます。
TiDB Cloud Premiumインスタンスへのセキュリティ接続
TiDB Cloudコンソールでは、さまざまな接続方法の例を確認し、次のようにしてTiDB Cloud Premium インスタンスに接続できます。
私のTiDBページに移動し、 TiDB Cloud Premiumインスタンスの名前をクリックして概要ページに移動してください。
右上隅の「接続」をクリックしてください。ダイアログが表示されます。
接続ダイアログで、 「接続タイプ」ドロップダウンリストから「パブリック」を選択します。
IP アクセス リストを設定していない場合は、最初の接続の前に、 [IP アクセス リストの設定] をクリックして設定します。詳細については、 IPアクセスリストを設定する参照してください。
「CA証明書」をクリックすると、 TiDB Cloud PremiumインスタンスへのTLS接続に必要なCA証明書をダウンロードできます。このCA証明書はデフォルトでTLS 1.2をサポートしています。
注記:
- ダウンロードしたCA証明書は、オペレーティングシステムのデフォルトのstorageパスに保存することも、別のstorageパスを指定することもできます。以降の手順では、コード例のCA証明書パスを、ご自身のCA証明書パスに置き換える必要があります。
- TiDB Cloud Premiumでは、クライアントにTLS接続の使用を強制することはなく、
require_secure_transport変数のユーザー定義設定は現在TiDB Cloud Premiumではサポートされていません。
ご希望の接続方法を選択し、タブに表示されている接続文字列とサンプルコードを参照してインスタンスに接続してください。
TiDB Cloud Premium のルート証明書を管理する
TiDB Cloud Premium は、クライアントとTiDB Cloud Premium インスタンス間の TLS 接続の CA としてAWSプライベート認証局からの証明書を使用します。通常、CA 証明書の秘密キーはFIPS 140-2 レベル3セキュリティ標準を満たす AWS 管理のハードウェア セキュリティ モジュール (HSM) に安全に保存されます。
よくある質問
TiDB Cloud Premiumインスタンスへの接続には、どのTLSバージョンがサポートされていますか?
セキュリティ上の理由から、 TiDB Cloud Premium は TLS 1.2 と TLS 1.3 のみをサポートし、TLS 1.0 または TLS 1.1 はサポートしません。詳細については、「IETF TLS 1.0およびTLS 1.1のサポートを終了します参照してください。
私のクライアントとTiDB Cloud Premium間の双方向TLS認証はサポートされていますか?
いいえ。
TiDB Cloud Premiumは、現在、一方向TLS認証のみをサポートしており、双方向TLS認証はサポートしていません。双方向TLS認証が必要な場合は、 TiDB Cloudサポートにお問い合わせください。