Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Connexion aux bases de données Amazon Neptune à l'aide d'IAM avec Garmlin Java

PDF
RSS
Mode de mise au point
Connexion aux bases de données Amazon Neptune à l'aide d'IAM avec Garmlin Java - Amazon Neptune
Utilisation de la TinkerPop version 3.4.11 ou supérieureAvant le TinkerPop 3.4.11

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la TinkerPop version 3.4.11 ou supérieure pour se connecter à Neptune avec la signature Sig4

Voici un exemple de connexion à Neptune à l'aide de l'API Java Gremlin avec signature Sig4 lorsque vous utilisez la version TinkerPop 3.4.11 ou une version ultérieure (cela suppose des connaissances générales sur l'utilisation de Maven). Définissez d'abord les dépendances dans le cadre du fichier pom.xml :

Note

Les exemples suivants ont été mis à jour pour inclure l'utilisation de RequestInterceptor (). Cela a été ajouté dans la version TinkerPop 3.6.6. Avant la TinkerPop version 3.6.6, les exemples de code utilisaient HandshakeInterceptor (), qui était obsolète avec cette version. 

<dependency>
  <groupId>com.amazonaws</groupId>
  <artifactId>amazon-neptune-sigv4-signer</artifactId>
  <version>2.4.0</version>
</dependency>

Utilisez ensuite du code tel que le suivant :

import com.amazonaws.auth.DefaultAWSCredentialsProviderChain;
import com.amazonaws.neptune.auth.NeptuneNettyHttpSigV4Signer;
import com.amazonaws.neptune.auth.NeptuneSigV4SignerException;

 ...

System.setProperty("aws.accessKeyId","your-access-key");
System.setProperty("aws.secretKey","your-secret-key");

 ...

Cluster cluster = Cluster.build((your cluster))
                 .enableSsl(true)
                 .requestInterceptor( r ->
                  {
                    try {
                      NeptuneNettyHttpSigV4Signer sigV4Signer =
                        new NeptuneNettyHttpSigV4Signer("(your region)", new DefaultAWSCredentialsProviderChain());
                      sigV4Signer.signRequest(r);
                    } catch (NeptuneSigV4SignerException e) {
                      throw new RuntimeException("Exception occurred while signing the request", e);
                    }
                    return r;
                  }
                 ).create();
try {
  Client client = cluster.connect();
  client.submit("g.V().has('code','IAD')").all().get();
} catch (Exception e) {
  throw new RuntimeException("Exception occurred while connecting to cluster", e);
}
Note

Si vous effectuez une mise à niveau depuis la version 3.4.11, supprimez les références à la bibliothèque amazon-neptune-gremlin-java-sigv4. Elle n'est plus nécessaire lors de l'utilisation de requestInterceptor(), comme indiqué dans l'exemple ci-dessus. N'essayez pas d'utiliser requestInterceptor() en conjonction avec channelizer (SigV4WebSocketChannelizer.class), car des erreurs seraient générées.

Authentification IAM entre comptes

Amazon Neptune prend en charge l'authentification IAM entre comptes grâce à l'utilisation de l'hypothèse de rôles, parfois appelée chaînage de rôles. Pour donner accès à un cluster Neptune à partir d'une application hébergée sur un autre AWS compte, procédez comme suit :

  • Créez un nouvel utilisateur ou rôle IAM dans le AWS compte d'application, avec une politique de confiance qui permet à l'utilisateur ou au rôle d'assumer un autre rôle IAM. Attribuez ce rôle au calcul hébergeant l'application (EC2 instance, fonction Lambda, tâche ECS, etc.). 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "assume-role-policy",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "(ARN of the role in the database account)"
        }
    ]
}

  • Créez un nouveau rôle IAM dans le compte de base de données Neptune qui permet d'accéder à la AWS base de données Neptune et d'assumer un rôle à partir du compte d'application IAM utilisateur/rôle. Utilisez une politique de confiance basée sur : 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "(ARN of application account IAM user or role)"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

  • Utilisez l'exemple de code suivant pour savoir comment utiliser ces deux rôles pour autoriser l'application à accéder à Neptune. Dans cet exemple, le rôle du compte d'application sera assumé via le DefaultCredentialProviderChainlors de la création duSTSclient. STSclientIl est ensuite utilisé via le STSAssumeRoleSessionCredentialsProvider pour assumer le rôle hébergé dans le compte de base AWS de données Neptune. 

    public static void main( String[] args )
  {

    /* 
     * Establish an STS client from the application account.
     */
    AWSSecurityTokenService client = AWSSecurityTokenServiceClientBuilder
        .standard()
        .build();

    /*
     * Define the role ARN that you will be assuming in the database account where the Neptune cluster resides.
     */
    String roleArnToAssume = "arn:aws:iam::012345678901:role/CrossAccountNeptuneRole";
    String crossAccountSessionName = "cross-account-session-" + UUID.randomUUID();

    /*
     * Change the Credentials Provider in the SigV4 Signer to use the STSAssumeRole Provider and provide it
     * with both the role to be assumed, the original STS client, and a session name (which can be
     * arbitrary.)
     */
    Cluster cluster = Cluster.build()
                 .addContactPoint("neptune-cluster.us-west-2.neptune.amazonaws.com")
                 .enableSsl(true)
                 .port(8182)
                 .requestInterceptor( r ->
                  {
                    try {
                      NeptuneNettyHttpSigV4Signer sigV4Signer =
                        // new NeptuneNettyHttpSigV4Signer("us-west-2", new DefaultAWSCredentialsProviderChain());
                        new NeptuneNettyHttpSigV4Signer(
                                "us-west-2",  
                                 new STSAssumeRoleSessionCredentialsProvider
                                    .Builder(roleArnToAssume, crossAccountSessionName)
                                        .withStsClient(client)
                                        .build());
                      sigV4Signer.signRequest(r);
                    } catch (NeptuneSigV4SignerException e) {
                      throw new RuntimeException("Exception occurred while signing the request", e);
                    }
                    return r;
                  }
                 ).create();

    GraphTraversalSource g = traversal().withRemote(DriverRemoteConnection.using(cluster));

    /* whatever application code is necessary */

    cluster.close();
  }

Utilisation d'une version TinkerPop antérieure à 3.4.11 pour se connecter à Neptune avec la signature Sig4

TinkerPop les versions antérieures 3.4.11 ne prenaient pas en charge la requestInterceptor() configuration présentée dans la section précédente et devaient donc s'appuyer sur le amazon-neptune-gremlin-java-sigv4 package. Il s'agit d'une bibliothèque Neptune qui contient la SigV4WebSocketChannelizer classe, qui remplace le TinkerPop Channelizer standard par un autre capable d'injecter automatiquement une signature SigV4. Dans la mesure du possible, passez à la TinkerPop version 3.4.11 ou supérieure, car la amazon-neptune-gremlin-java-sigv4 bibliothèque est obsolète.

Voici un exemple de connexion à Neptune à l'aide de l'API Java Gremlin avec signature Sig4 lorsque vous utilisez des TinkerPop versions antérieures à 3.4.11 (cela suppose des connaissances générales sur l'utilisation de Maven).

Définissez d'abord les dépendances dans le cadre du fichier pom.xml :

<dependency>
  <groupId>com.amazonaws</groupId>
  <artifactId>amazon-neptune-gremlin-java-sigv4</artifactId>
  <version>2.4.0</version>
</dependency>

La dépendance ci-dessus inclut la version 3.4.10 du pilote Gremlin. Bien qu'il soit possible d'utiliser des versions plus récentes du pilote Gremlin (jusqu'à la version 3.4.13), toute mise à niveau du pilote après la version 3.4.10 devrait inclure une modification visant à utiliser le modèle requestInterceptor() décrit ci-dessus.

L'objet cluster gremlin-driver doit ensuite être configuré comme suit dans le code Java :

import org.apache.tinkerpop.gremlin.driver.SigV4WebSocketChannelizer;

 ...

Cluster cluster = Cluster.build(your cluster)
                       .enableSsl(true)
                       .channelizer(SigV4WebSocketChannelizer.class)
                       .create();
Client client = cluster.connect();
client.submit("g.V().has('code','IAD')").all().get();

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.