Mengenkripsi koneksi ke database Amazon Neptunus Anda dengan SSL/HTTPS - Amazon Neptune

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi koneksi ke database Amazon Neptunus Anda dengan SSL/HTTPS

Dimulai dengan versi engine 1.0.4.0, Amazon Neptunus hanya mengizinkan koneksi Secure Sockets Layer (SSL) melalui HTTPS ke instans atau titik akhir cluster apa pun.

Neptunus membutuhkan setidaknya TLS versi 1.2, menggunakan cipher suite kuat berikut:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Dimulai dengan Neptunus engine versi 1.3.2.0, Neptunus mendukung TLS versi 1.3 menggunakan cipher suite berikut:

  • TLS_AES_128_GCM_ SHA256

  • TLS_AES_256_GCM_ SHA384

Bahkan saat koneksi HTTP diperbolehkan dalam versi mesin sebelumnya, setiap klaster DB yang menggunakan grup parameter klaster DB baru diperlukan untuk menggunakan SSL secara default. Untuk melindungi data Anda, titik akhir Neptunus dalam 1.0.4.0 versi engine dan di atasnya hanya mendukung permintaan HTTPS. Untuk informasi selengkapnya, lihat Menggunakan titik akhir HTTP REST untuk menyambung ke instans DB Neptune.

Neptune secara otomatis menyediakan sertifikat SSL untuk instans DB Neptune Anda. Anda tidak perlu meminta sertifikat apa pun. Sertifikat disediakan saat Anda membuat instans baru.

Neptunus menetapkan sertifikat SSL wildcard tunggal ke instans di akun Anda untuk setiap Wilayah. AWS Sertifikat menyediakan entri untuk titik akhir klaster, titik akhir baca-saja klaster, dan titik akhir instans.

Detail Sertifikat

Entri berikut disertakan dalam sertifikat yang disediakan:

  • Titik akhir klaster — *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Titik akhir hanya-baca — *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Titik akhir instans — *.a1b2c3d4wxyz.region.neptune.amazonaws.com

Hanya entri yang tercantum di sini yang didukung.

Koneksi Proksi

Sertifikat hanya mendukung nama host yang tercantum di bagian sebelumnya.

Jika Anda menggunakan penyeimbang beban atau server proxy (seperti HAProxy), Anda harus menggunakan penghentian SSL dan memiliki sertifikat SSL Anda sendiri di server proxy.

Passthrough SSL tidak bekerja karena sertifikat SSL yang disediakan tidak cocok dengan nama host server proxy.

Sertifikat CA Akar

Sertifikat untuk instans Neptune biasanya divalidasi menggunakan penyimpanan kepercayaan lokal dari sistem operasi atau SDK (seperti Java SDK).

Jika Anda perlu memberikan sertifikat akar secara manual, Anda dapat men-download Sertifikat CA Akar Amazon dalam format PEM dari Amazon Trust Services Policy Repository.

Informasi Selengkapnya

Untuk informasi selengkapnya tentang menghubungkan ke titik akhir Neptune dengan SSL, lihat Mengatur konsol Gremlin agar terhubung ke instans DB Neptune dan Menggunakan titik akhir HTTP REST untuk menyambung ke instans DB Neptune.