Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement en transit : connexion à Neptune à l'aide du protocole SSL/HTTPS
À partir de la version 1.0.4.0 du moteur, Amazon Neptune autorise uniquement les connexions SSL (Secure Sockets Layer) via HTTPS vers n'importe quel point de terminaison d'instance ou de cluster.
Neptune nécessite la version 1.2 du protocole TLS, avec les suites de chiffrement solides suivantes :
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Même lorsque les connexions HTTP sont autorisées dans les versions antérieures du moteur, tout cluster de bases de données qui utilise un nouveau groupe de paramètres de cluster de bases de données doit utiliser le protocole SSL par défaut. Pour protéger vos données, les points de terminaison Neptune des versions du moteur 1.0.4.0 et supérieures ne prennent en charge que les demandes HTTPS. Pour plus d’informations, consultez Utilisation du point de terminaison HTTP REST pour se connecter à une instance de base de données Neptune.
Neptune fournit automatiquement des certificats SSL pour vos instances de base de données Neptune. Vous n'avez pas besoin de demander les certificats. Les certificats sont fournis lors de la création d'une nouvelle instance.
Neptune attribue un seul certificat SSL générique aux instances de votre compte pour chaque région. AWS Le certificat fournit des entrées pour les points de terminaison de cluster, les points de terminaison de cluster en lecture seule et les points de terminaison d'instance.
Détails du certificat
Les entrées suivantes sont incluses dans le certificat fourni :
Point de terminaison de cluster :
*.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.comPoint de terminaison en lecture seule :
*.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.comPoint de terminaison d'instance :
*.a1b2c3d4wxyz.region.neptune.amazonaws.com
Seules les entrées répertoriées ici sont prises en charge.
Connexions proxy
Les certificats prennent uniquement en charge les noms d'hôte qui sont répertoriés dans la section précédente.
Si vous utilisez un équilibreur de charge ou un serveur proxy (par exemple, HAProxy), vous devez utiliser la terminaison SSL et avoir votre propre certificat SSL sur le serveur proxy.
La transmission SSL ne fonctionne pas, car les certificats SSL fournis ne correspondent au nom d'hôte du serveur proxy.
Certificats d'autorité de certification racines
Les certificats pour les instances Neptune sont normalement validés à l'aide du référentiel d'approbations local du système d'exploitation ou du kit SDK (par exemple, le kit SDK Java).
Si vous avez besoin de fournir un certificat racine manuellement, vous pouvez télécharger le certificat d'autorité de certification racine Amazon
En savoir plus
Pour plus d'informations sur la connexion à des points de terminaison Neptune avec SSL, consultez Configuration de la console Gremlin pour se connecter à une instance de base de données Neptune et Utilisation du point de terminaison HTTP REST pour se connecter à une instance de base de données Neptune.
