SSL/HTTPS를 사용하여 Amazon Neptune 데이터베이스에 대한 연결 암호화 - Amazon Neptune

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SSL/HTTPS를 사용하여 Amazon Neptune 데이터베이스에 대한 연결 암호화

엔진 버전 1.0.4.0부터 Amazon Neptune은 HTTPS를 통해 인스턴스 또는 클러스터 엔드포인트에 대한 보안 소켓 계층(SSL) 연결만 허용합니다.

Neptune에는 다음과 같은 강력한 암호 제품군을 사용하여 최소 TLS 버전 1.2가 필요합니다.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Neptune 엔진 버전 1.3.2.0부터 Neptune은 다음 암호 제품군을 사용하여 TLS 버전 1.3을 지원합니다.

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

이전 엔진 버전에서 HTTP 연결이 허용되는 경우에도 기본적으로 SSL를 사용하려면 새 DB 클러스터 파라미터 그룹을 사용하는 모든 DB 클러스터가 필요합니다. 데이터를 보호하기 위해 엔진 버전 1.0.4.0 이상의 Neptune 엔드포인트는 HTTPS 요청만 지원합니다. 자세한 내용은 HTTP REST 엔드포인트를 사용하여 Neptune DB 인스턴스에 연결 섹션을 참조하세요.

Neptune은 Neptune DB 인스턴스에 대한 SSL 인증서를 자동으로 제공합니다. 인증서를 요청할 필요가 없습니다. 새 인스턴스를 생성할 때 인증서가 제공됩니다.

Neptune은 각 AWS 리전에 대해 계정의 인스턴스에 단일 와일드카드 SSL 인증서를 할당합니다. 인증서는 클러스터 엔드포인트, 클러스터 읽기 전용 엔드포인트 및 인스턴스 엔드포인트에 대한 항목을 제공합니다.

인증서 세부 정보

다음 항목이 제공된 인증서에 포함됩니다.

  • 클러스터 엔드포인트 — *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • 읽기 전용 엔드포인트 — *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • 인스턴스 엔드포인트 — *.a1b2c3d4wxyz.region.neptune.amazonaws.com

여기에 나열된 항목만 지원됩니다.

프록시 연결

인증서는 이전 단원에 나열된 호스트 이름만 지원합니다.

로드 밸런서 또는 프록시 서버(예: HAProxy)를 사용하는 경우 SSL 종료를 사용하고 프록시 서버에 자체 SSL 인증서를 보유해야 합니다.

제공된 SSL 인증서가 프록시 서버 호스트 이름과 일치하지 않으므로 SSL 전달이 작동하지 않습니다.

루트 CA 인증서

Neptune 인스턴스의 인증서는 일반적으로 운영 체제 또는 SDK(예: Java SDK)의 로컬 신뢰 스토어를 사용하여 검증됩니다.

루트 인증서를 수동으로 제공해야 하는 경우 Amazon Trust Services 정책 리포지토리에서 Word 형식의 Amazon Root CA 인증서를 다운로드할 수 있습니다. PEM

추가 정보

SSL를 사용하여 Neptune 엔드포인트에 연결하는 방법에 대한 자세한 내용은 Gremlin 콘솔에서 Neptune DB 인스턴스에 연결하도록 설정 및 섹션을 참조하세요HTTP REST 엔드포인트를 사용하여 Neptune DB 인스턴스에 연결.