传输中加密:使用 SSL/HTTPS 连接到 Neptune - Amazon Neptune
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

传输中加密:使用 SSL/HTTPS 连接到 Neptune

从引擎版本开始1.0.4.0,Amazon Neptune 仅允许通过 HTTPS 连接到任何实例或集群终端节点。

Neptune 需要使用 TLS 1.2 版本,使用如下强密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

即使在早期引擎版本中允许使用 HTTP 连接的情况下,默认情况下,任何使用新数据库群集参数组的数据库集群都需要使用 SSL。要保护您的数据,我们建议您始终通过 SSL 连接到 Neptune 终端节点,使用 HTTPS 而不是 HTTP。

Neptune 自动为您的 Neptune 数据库实例提供 SSL 证书。您无需请求任何证书。证书在您创建新实例时提供。

Neptune 会将单个通配符 SSL 证书分配给每个账户中的实例Amazon区域。证书提供集群终端节点、集群只读终端节点和实例终端节点的条目。

证书详细信息

以下条目包含在提供的证书中:

  • 集群终端节点 —*.cluster-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • 只读终端节点 —*.cluster-ro-a1b2c3d4wxyz.region.neptune.amazonaws.com

  • 实例终端节点 —*.a1b2c3d4wxyz.region.neptune.amazonaws.com

仅支持此处列出的条目。

代理连接

证书仅支持上一节中列出的主机名。

如果您使用的是负载均衡器或代理服务器(如 HAProxy),则必须使用 SSL 终止并在代理服务器上拥有您自己的 SSL 证书。

SSL 传递不起作用,因为提供的 SSL 证书与代理服务器主机名不匹配。

根 CA 证书

Neptune 实例的证书一般将通过操作系统的本地信任存储或开发工具包(如 Java 开发工具包)来进行验证。

如果需要手动提供根证书,则可以下载Amazon Root CA 证书以 PEM 格式从亚马逊信任服务策略存储库.

更多信息

有关使用 SSL 连接到 Neptune 终端节点的更多信息,请参阅设置 Gemlin 控制台以连接到 Neptune 数据库实例使用 HTTP REST 终端节点连接到 Neptune 数据库实例.