Criptografando conexões com seu banco de dados Amazon SSL Neptune com/HTTPS - Amazon Neptune

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando conexões com seu banco de dados Amazon SSL Neptune com/HTTPS

A partir da versão 1.0.4.0 do mecanismo, o Amazon Neptune só permite conexões Secure Sockets Layer SSL () HTTPS por meio de qualquer instância ou endpoint de cluster.

O Neptune requer TLS pelo menos a versão 1.2, usando os seguintes conjuntos de criptografia fortes:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

A partir da versão 1.3.2.0 do Neptune Engine, o Neptune suporta a versão 1.3 usando os seguintes conjuntos de criptografia: TLS

  • TLS_ AES GCM _128_ _ SHA256

  • TLS_ AES GCM _256_ _ SHA384

Mesmo quando HTTP as conexões são permitidas em versões anteriores do mecanismo, qualquer cluster de banco de dados que usa um novo grupo de parâmetros de cluster de banco de dados deve ser usado SSL por padrão. Para proteger seus dados, os endpoints Neptune na 1.0.4.0 versão do motor e superior suportam apenas solicitações. HTTPS Consulte Usando o HTTP REST endpoint para se conectar a uma instância de banco de dados Neptune Para mais informações.

O Neptune SSL fornece certificados automaticamente para suas instâncias de banco de dados Neptune. Você não precisa solicitar nenhum certificado. Os certificados são fornecidos ao criar uma nova instância.

O Neptune atribui um único certificado SSL curinga às instâncias em sua conta para cada região. AWS O certificado fornece entradas para os endpoints do cluster, endpoints somente leitura do cluster e endpoints de instância.

Detalhes do Certificado

As seguintes entradas estão inclusas no certificado fornecido:

  • Endpoint do cluster: *.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Endpoint somente leitura: *.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • Endpoints da instância: *.a1b2c3d4wxyz.region.neptune.amazonaws.com

Somente as entradas listadas aqui são compatíveis.

Proxy-Connections

Os certificados oferecem suporte apenas aos nomes de host listados na seção anterior.

Se você estiver usando um balanceador de carga ou um servidor proxy (comoHAProxy), deverá usar a SSL terminação e ter seu próprio SSL certificado no servidor proxy.

SSLa passagem não funciona porque os SSL certificados fornecidos não correspondem ao nome do host do servidor proxy.

Certificados Root CA

Os certificados para instâncias do Neptune normalmente são validados usando o armazenamento confiável local do sistema operacional SDK ou (como o Java). SDK

Se precisar fornecer um certificado raiz manualmente, você pode baixar o certificado Amazon Root CA no PEM formato do Amazon Trust Services Policy Repository.

Mais informações

Para obter mais informações sobre como se conectar aos endpoints SSL do Neptune com, consulte e. Configurar o console do Gremlin para conectar-se a uma instância de banco de dados do Neptune Usando o HTTP REST endpoint para se conectar a uma instância de banco de dados Neptune