本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
傳輸中加密:使用 SSL/HTTPS 連線至 Neptune
從引擎 1.0.4.0 版開始,Amazon Neptune 只允許透過 HTTPS 對任何執行個體或叢集端點進行 Secure Sockets Layer (SSL) 連線。
Neptune 至少需要使用 TLS 1.2 版,使用以下強式密碼套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
從 Neptune 引擎版本 1.3.2.0 開始,Neptune 使用下列加密套件支援 TLS 1.3 版:
-
TLS_AES_128_GCM_SHA256
-
TLS_AES_256_GCM_SHA384
即使在舊版引擎中允許 HTTP 連線的情況下,任何使用新資料庫叢集參數群組的資料庫叢集根據預設都必須使用 SSL。為了保護您的資料,引擎版本 1.0.4.0 及更新版本的 Neptune 端點僅支援 HTTPS 請求。如需詳細資訊,請參閱使用 HTTP REST 端點連線到 Neptune 資料庫執行個體。
Neptune 會自動為您的 Neptune 資料庫執行個體提供 SSL 憑證。您不需要請求任何憑證。憑證會在您建立新執行個體時提供。
Neptune 會為每個 AWS 區域的帳戶中的執行個體指派單一萬用字元 SSL 憑證。此憑證為叢集端點、叢集唯讀端點、執行個體端點提供項目。
憑證詳細資訊
提供的憑證包含以下項目:
叢集端點 -
*.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com唯讀端點 -
*.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com執行個體端點 -
*.a1b2c3d4wxyz.region.neptune.amazonaws.com
只支援此處所列的項目。
代理連線
憑證只支援上一節所列的主機名稱。
如果您使用負載平衡器或代理伺服器 (例如 HAProxy),您必須在代理伺服器上使用 SSL 終止,並有您自己的 SSL 憑證。
SSL 傳遞沒有作用,因為提供的 SSL 憑證與代理伺服器主機名稱不符。
根 CA 憑證
Neptune 執行個體的憑證通常使用作業系統或 SDK (例如 Java SDK) 的本機信任存放區進行驗證。
如果您需要手動提供根憑證,可以從 Amazon Trust Services 政策儲存庫
詳細資訊
如需使用 SSL 連線至 Neptune 端點的詳細資訊,請參閱 設定 Gremlin 主控台來連線至 Neptune 資料庫執行個體 和 使用 HTTP REST 端點連線到 Neptune 資料庫執行個體。
