転送時の暗号化: SSL/ を使用した Neptune への接続HTTPS - Amazon Neptune

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

転送時の暗号化: SSL/ を使用した Neptune への接続HTTPS

エンジンバージョン 1.0.4.0 以降、Amazon Neptune では、 を介した任意のインスタンスまたはクラスターエンドポイントHTTPSへの Secure Sockets Layer (SSL) 接続のみが許可されます。

Neptune には、次の強力な暗号スイートを使用するTLSバージョン 1.2 以上が必要です。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Neptune エンジンバージョン 1.3.2.0 以降、Neptune は次の暗号スイートを使用してTLSバージョン 1.3 をサポートしています。

  • TLSAES__128_GCM_SHA256

  • TLSAES__256_GCM_SHA384

以前のエンジンバージョンでHTTP接続が許可されている場合でも、新しい DB クラスターパラメータグループを使用する DB クラスターはSSL、デフォルトで を使用する必要があります。データを保護するために、エンジンバージョン 1.0.4.0以降の Neptune エンドポイントは HTTPS リクエストのみをサポートします。詳細については、「HTTP REST エンドポイントを使用して Neptune DB インスタンスに接続する」を参照してください。

Neptune は Neptune DB インスタンスのSSL証明書を自動的に提供します。証明書をリクエストする必要はありません。新しいインスタンスを作成するときに、証明書が提供されます。

Neptune は、各 AWS リージョンのアカウント内のインスタンスに 1 つのワイルドカードSSL証明書を割り当てます。証明書では、クラスターエンドポイント、クラスターの読み取り専用エンドポイント、インスタンスエンドポイントのエントリが提供されます。

証明書の詳細

提供された証明書には以下のエントリが含まれます。

  • クラスターエンドポイント — *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • 読み取り専用エンドポイント — *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • インスタンスエンドポイント — *.a1b2c3d4wxyz.region.neptune.amazonaws.com

ここにリストされているエントリのみがサポートされています。

プロキシ接続

証明書では前のセクションでリストされたホスト名のみがサポートされています。

ロードバランサーまたはプロキシサーバー ( などHAProxy) を使用している場合は、SSL終了を使用し、プロキシサーバーに独自のSSL証明書が必要です。

SSL 指定されたSSL証明書がプロキシサーバーのホスト名と一致しないため、パススルーは機能しません。

ルート CA 証明書

Neptune インスタンスの証明書は通常、オペレーティングシステムのローカル信頼ストアまたは SDK (Java など) を使用して検証されますSDK。

ルート証明書を手動で提供する必要がある場合は、Amazon Trust Services ポリシーリポジトリ から 形式の Amazon ルート CA 証明書をダウンロードできます。 PEM https://www.amazontrust.com/repository/

詳細情報

を使用して Neptune エンドポイントに接続する方法の詳細についてはSSL、Gremlin コンソールをセットアップして Neptune DB インスタンスに接続する「」および「」を参照してくださいHTTP REST エンドポイントを使用して Neptune DB インスタンスに接続する