Chiffrer les connexions à votre base de données Amazon Neptune avec/SSLHTTPS - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer les connexions à votre base de données Amazon Neptune avec/SSLHTTPS

À partir de la version 1.0.4.0 du moteur, Amazon Neptune autorise uniquement les connexions Secure Sockets Layer SSL () à n'importe quel point de HTTPS terminaison d'instance ou de cluster.

Neptune nécessite au moins la TLS version 1.2, utilisant les suites de chiffrement puissantes suivantes :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

À partir de la version 1.3.2.0 du moteur Neptune, Neptune TLS prend en charge la version 1.3 en utilisant les suites de chiffrement suivantes :

  • TLS_ AES GCM _128_ _ SHA256

  • TLS_ AES GCM _256_ _ SHA384

Même lorsque HTTP les connexions sont autorisées dans les versions antérieures du moteur, tout cluster de base de données qui utilise un nouveau groupe de paramètres de cluster de base de données doit être utilisé SSL par défaut. Pour protéger vos données, les terminaux Neptune des versions du moteur 1.0.4.0 et supérieures ne prennent en charge que les demandes. HTTPS Pour plus d’informations, consultez Utilisation du HTTP REST point de terminaison pour se connecter à une instance de base de données Neptune.

Neptune fournit automatiquement des SSL certificats pour vos instances de base de données Neptune. Vous n'avez pas besoin de demander les certificats. Les certificats sont fournis lors de la création d'une nouvelle instance.

Neptune attribue un seul SSL certificat générique aux instances de votre compte pour chaque région. AWS Le certificat fournit des entrées pour les points de terminaison de cluster, les points de terminaison de cluster en lecture seule et les points de terminaison d'instance.

Détails du certificat

Les entrées suivantes sont incluses dans le certificat fourni :

  • Point de terminaison de cluster : *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Point de terminaison en lecture seule : *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Point de terminaison d'instance : *.a1b2c3d4wxyz.region.neptune.amazonaws.com

Seules les entrées répertoriées ici sont prises en charge.

Connexions proxy

Les certificats prennent uniquement en charge les noms d'hôte qui sont répertoriés dans la section précédente.

Si vous utilisez un équilibreur de charge ou un serveur proxy (tel queHAProxy), vous devez utiliser la SSL terminaison et disposer de votre propre SSL certificat sur le serveur proxy.

SSLle transfert ne fonctionne pas car les SSL certificats fournis ne correspondent pas au nom d'hôte du serveur proxy.

Certificats d'autorité de certification racines

Les certificats des instances Neptune sont normalement validés à l'aide du trust store local du système d'exploitation ou SDK (tel que JavaSDK).

Si vous devez fournir un certificat racine manuellement, vous pouvez télécharger le certificat Amazon Root CA au PEM format depuis le référentiel des politiques Amazon Trust Services.

En savoir plus

Pour plus d'informations sur la connexion aux points de terminaison Neptune avecSSL, reportez-vous aux sections et. Configuration de la console Gremlin pour se connecter à une instance de base de données Neptune Utilisation du HTTP REST point de terminaison pour se connecter à une instance de base de données Neptune