Verschlüsseln von Verbindungen zu Ihrer Amazon Neptune Neptune-Datenbank mit/SSLHTTPS - Amazon Neptune

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Verbindungen zu Ihrer Amazon Neptune Neptune-Datenbank mit/SSLHTTPS

Ab Engine-Version 1.0.4.0 erlaubt Amazon Neptune nur Secure Sockets Layer (SSL) -Verbindungen HTTPS zu beliebigen Instances oder Cluster-Endpunkten.

Neptune benötigt mindestens TLS Version 1.2 und verwendet die folgenden starken Verschlüsselungssammlungen:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Ab der Neptune-Engine-Version 1.3.2.0 unterstützt Neptune TLS Version 1.3 mit den folgenden Verschlüsselungssammlungen:

  • TLSGCM_ _128_ _ AES SHA256

  • TLS_ _256_ _ AES GCM SHA384

Auch wenn HTTP Verbindungen in früheren Engine-Versionen zulässig waren, muss jeder DB-Cluster, der eine neue DB-Cluster-Parametergruppe verwendet, standardmäßig verwendet SSL werden. Um Ihre Daten zu schützen, unterstützen Neptune-Endgeräte in der Engine-Version 1.0.4.0 und höher nur Anfragen. HTTPS Weitere Informationen finden Sie unter Den HTTP REST Endpunkt verwenden, um eine Verbindung zu einer Neptune-DB-Instance herzustellen.

Neptune stellt automatisch SSL Zertifikate für Ihre Neptune-DB-Instances bereit. Sie müssen keine Zertifikate anfordern. Die Zertifikate werden bereitgestellt, wenn Sie eine neue Instance erstellen.

Neptune weist den Instances in Ihrem Konto für jede Region ein einzelnes SSL Wildcard-Zertifikat zu. AWS Das Zertifikat enthält Einträge für die Clusterendpunkte, die schreibgeschützten Clusterendpunkte und die Instance-Endpunkte.

Zertifikatdetails

Die folgenden Einträge sind im bereitgestellten Zertifikat enthalten:

  • Cluster-Endpunkt – *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Schreibgeschützter Endpunkt – *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Instance-Endpunkte – *.a1b2c3d4wxyz.region.neptune.amazonaws.com

Nur die hier aufgelisteten Einträge werden unterstützt.

Proxyverbindungen

Die Zertifikate unterstützen nur die im vorherigen Abschnitt aufgeführten Hostnamen.

Wenn Sie einen Load Balancer oder einen Proxyserver (z. B.HAProxy) verwenden, müssen Sie SSL Terminierung verwenden und Ihr eigenes SSL Zertifikat auf dem Proxyserver haben.

SSLPassthrough funktioniert nicht, weil die bereitgestellten SSL Zertifikate nicht mit dem Hostnamen des Proxyservers übereinstimmen.

CA-Stammzertifikate

Die Zertifikate für Neptune-Instanzen werden normalerweise mithilfe des lokalen Vertrauensspeichers des Betriebssystems oder SDK (wie JavaSDK) validiert.

Wenn Sie ein Stammzertifikat manuell bereitstellen müssen, können Sie das Amazon Root CA-Zertifikat im PEM Format aus dem Amazon Trust Services Policy Repository herunterladen.

Weitere Informationen

Weitere Informationen zum Herstellen einer Verbindung zu Neptune-Endpunkten mit finden Sie unter SSL und. Einrichten der Gremlin-Konsole zum Herstellen einer Verbindung mit einer Neptune-DB-Instance Den HTTP REST Endpunkt verwenden, um eine Verbindung zu einer Neptune-DB-Instance herzustellen