Chiffrement en transit : Connexion à Neptune via SSL/HTTPS - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement en transit : Connexion à Neptune via SSL/HTTPS

En commençant par la version du moteur1.0.4.0, Amazon Neptune autorise uniquement les connexions du protocole SSL (Secure Sockets Layer) via HTTPS à n'importe quel point de terminaison d'instance ou de cluster.

Neptune nécessite TLS 1.2, en utilisant les suites de chiffrement robustes suivantes :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Même lorsque les connexions HTTP sont autorisées dans les versions antérieures du moteur, tout cluster de base de données qui utilise un nouveau groupe de paramètres de cluster de bases de données doit utiliser le protocole SSL par défaut. Pour protéger vos données, nous vous recommandons de toujours vous connecter aux points de terminaison Neptune via SSL, en utilisant HTTPS au lieu de HTTP.

Neptune fournit automatiquement des certificats SSL pour vos instances de base de données Neptune. Vous n'avez pas besoin de demander les certificats. Les certificats sont fournis lors de la création d'une nouvelle instance.

Neptune attribue un certificat SSL générique unique aux instances de votre compte pour chacune d'entre elles.AWSrégion. Le certificat fournit des entrées pour les points de terminaison de cluster, les points de terminaison de cluster en lecture seule et les points de terminaison d'instance.

Détails du certificat

Les entrées suivantes sont incluses dans le certificat fourni :

  • Endpoint de cluster :*.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Point de terminaison en lecture seule —*.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Points de terminaison d'instance —*.a1b2c3d4wxyz.region.neptune.amazonaws.com

Seules les entrées répertoriées ici sont prises en charge.

Connexions proxy

Les certificats prennent uniquement en charge les noms d'hôte qui sont répertoriés dans la section précédente.

Si vous utilisez un équilibreur de charge ou un serveur proxy (par exemple, HAProxy), vous devez utiliser la terminaison SSL et avoir votre propre certificat SSL sur le serveur proxy.

La transmission SSL ne fonctionne pas, car les certificats SSL fournis ne correspondent au nom d'hôte du serveur proxy.

Certificats d'autorité de certification racines

Les certificats pour les instances Neptune sont normalement validés à l'aide du trust store local du système d'exploitation ou du SDK (tel que le SDK Java).

Si vous avez besoin de fournir un certificat racine manuellement, vous pouvez télécharger le certificat d'autorité de certification racine Amazon au format PEM à partir du référentiel de stratégies Amazon Trust Services.

En savoir plus

Pour de plus amples informations sur la connexion à des points de terminaison Neptune avec SSL, veuillez consulterConfigurer la console Gremlin pour se connecter à une instance de base de données NeptuneetUtilisation du point de terminaison HTTP REST pour se connecter à une instance de base de données Neptune.