Cifrar las conexiones a la base de datos de Amazon Neptune con/SSLHTTPS - Amazon Neptune

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrar las conexiones a la base de datos de Amazon Neptune con/SSLHTTPS

A partir de la versión 1.0.4.0 del motor, Amazon Neptune solo permite conexiones de Secure Sockets Layer SSL () a HTTPS través de cualquier instancia o punto final de clúster.

Neptune requiere al menos la TLS versión 1.2, que utilice los siguientes conjuntos de cifrado seguros:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

A partir de la versión 1.3.2.0 del motor Neptune, Neptune TLS admite la versión 1.3 con los siguientes conjuntos de cifrado:

  • TLSGCM_ _128_ _ AES SHA256

  • TLS_ _256_ _ AES GCM SHA384

Incluso cuando HTTP las conexiones estaban permitidas en versiones anteriores del motor, cualquier clúster de base de datos que utilice un nuevo grupo de parámetros de clúster de base de datos debe utilizarse de forma SSL predeterminada. Para proteger sus datos, los puntos finales de Neptune en la versión de motor 1.0.4.0 y superior solo admiten solicitudes. HTTPS Para obtener más información, consulte Uso del HTTP REST punto final para conectarse a una instancia de base de datos de Neptune.

Neptune proporciona automáticamente SSL certificados para las instancias de base de datos de Neptune. No tiene que solicitar ningún certificado. Los certificados se facilitan cuando crea una nueva instancia.

Neptune asigna un único SSL certificado comodín a las instancias de su cuenta para cada región. AWS El certificado proporciona entradas para los puntos de enlace del clúster, los puntos de enlace de solo lectura del clúster y los puntos de enlace de instancia.

Detalles del certificado

Las siguientes entradas se incluyen en el certificado suministrado:

  • Punto de conexión de clúster: *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Punto de conexión de solo lectura: *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Puntos de conexión de instancia: *.a1b2c3d4wxyz.region.neptune.amazonaws.com

Solo se admiten las entradas enumeradas aquí.

Conexiones de proxy

Los certificados solo admiten los nombres de host que se enumeran en la sección anterior.

Si utilizas un balanceador de carga o un servidor proxy (por ejemploHAProxy), debes usar la SSL terminación y tener tu propio SSL certificado en el servidor proxy.

SSLla transferencia no funciona porque los SSL certificados proporcionados no coinciden con el nombre de host del servidor proxy.

Certificados de CA raíz.

Los certificados de las instancias de Neptune normalmente se validan mediante el almacén de confianza local del sistema operativo o SDK (como JavaSDK).

Si necesitas proporcionar un certificado raíz manualmente, puedes descargar el certificado Amazon Root CA en PEM formato desde el repositorio de políticas de Amazon Trust Services.

Más información

Para obtener más información sobre la conexión a los puntos finales de Neptuno conSSL, consulte y. Configure la consola de Gremlin para conectarse a una instancia de base de datos de Neptune Uso del HTTP REST punto final para conectarse a una instancia de base de datos de Neptune