本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
传输中的加密:使用 SSL/HTTPS 连接到Neptune
从引擎版本 1.0.4.0 开始,Amazon Neptune 仅允许通过 HTTPS 与任何实例或集群终端节点建立安全套接字层 (SSL) 连接。
Neptune y 需要使用 TLS 1.2 版本,需要使用以下强密码套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
即使在早期引擎版本中允许 HTTP 连接,默认情况下,任何使用新数据库集群参数组的数据库集群也必须使用 SSL。为了保护您的数据,引擎版本1.0.4.0及更高版本的 Neptune 端点仅支持 HTTPS 请求。参阅 使用 HTTP REST 端点连接到 Neptune 数据库实例 了解更多信息。
Neptune 自动为您的 Neptune 数据库实例提供 SSL 证书。您无需请求任何证书。证书在您创建新实例时提供。
Neptune 为每个Amazon区域的账户中的实例分配一个通配符 SSL 证书。证书提供集群终端节点、集群只读终端节点和实例终端节点的条目。
证书详细信息
以下条目包含在提供的证书中:
集群终端节点 —
*.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com只读终端节点 —
*.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com实例终端节点 —
*.a1b2c3d4wxyz.region.neptune.amazonaws.com
仅支持此处列出的条目。
代理连接
证书仅支持上一节中列出的主机名。
如果您使用的是负载均衡器或代理服务器(如 HAProxy),则必须使用 SSL 终止并在代理服务器上拥有您自己的 SSL 证书。
SSL 传递不起作用,因为提供的 SSL 证书与代理服务器主机名不匹配。
根 CA 证书
Neptune 实例的证书通常使用操作系统或 SDK(例如 Java SDK)的本地信任存储进行验证。
如果您需要手动提供根证书,可以从 Amazon T rust Services 策略存储库下载 PEM 格式的 Amazon
更多信息
有关通过 SSL 连接到 Neptune 终端节点的终端节点的更多信息,请参阅设置 Gremlin 控制台以连接到 Neptune 数据库实例和使用 HTTP REST 端点连接到 Neptune 数据库实例。