IAMVerwaltungsrichtlinienerklärungen für Amazon Neptune erstellen - Amazon Neptune
Allgemeine BeispieleTag-basierte Beispiele

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMVerwaltungsrichtlinienerklärungen für Amazon Neptune erstellen

Beispiele für allgemeine administrative Richtlinien

Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien, die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster gewähren.

Richtlinie, die verhindert, dass ein Benutzer eine bestimmte DB-Instance löscht IAM

Im Folgenden finden Sie eine Beispielrichtlinie, die verhindert, dass ein IAM Benutzer eine angegebene Neptune-DB-Instance löscht:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteOneInstance",
      "Effect": "Deny",
      "Action": "rds:DeleteDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
    }
  ]
}

Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt

Im Folgenden finden Sie eine Beispielrichtlinie, die es einem IAM Benutzer ermöglicht, DB-Instances in einem angegebenen Neptune-DB-Cluster zu erstellen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstance",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
    }
  ]
}

Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt, die eine bestimmte DB-Parametergruppe verwenden

Im Folgenden finden Sie eine Beispielrichtlinie, die es einem IAM Benutzer ermöglicht, DB-Instances in einem angegebenen DB-Cluster (hierus-west-2) in einem angegebenen Neptune-DB-Cluster zu erstellen, wobei nur eine angegebene DB-Parametergruppe verwendet wird.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstanceWithPG",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
        "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
      ]
    }
  ]
}

Richtlinie, die Berechtigungen zum Beschreiben einer Ressource gewährt

Im Folgenden finden Sie eine Beispielrichtlinie, die es einem IAM Benutzer ermöglicht, jede Neptune-Ressource zu beschreiben.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribe",
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": *
    }
  ]
}

Beispiele für Tag-basierte administrative Richtlinien

Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien mit Tags, um die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster zu filtern.

Beispiel 1: Gewähren von Berechtigungen für Aktionen für eine Ressource mit einem benutzerdefinierten Tag, das mehrere Werte annehmen kann

Die folgende Richtlinie erlaubt die ModifyDBInstance Verwendung von CreateDBInstance oder DeleteDBInstance API auf jeder DB-Instance, deren env Tag entweder dev auf oder gesetzt ist: test

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevTestAccess",
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "rds:CreateDBInstance",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:db-tag/env": [
              "dev",
              "test"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Beispiel 2: Einschränken des Satzes von Tag-Schlüsseln und -Werten, mit denen ein Tag für eine Ressource erstellt werden kann

Diese Richtlinie verwendet einen Condition-Schlüssel, um das Hinzufügen eines Tags mit dem Schlüssel env und dem Wert test, qa oder dev zu einer Ressource zu erlauben:

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTagAccessForDevResources",
      "Effect": "Allow",
      "Action": [
        "rds:AddTagsToResource",
        "rds:RemoveTagsFromResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:req-tag/env": [
            "test",
            "qa",
            "dev"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Beispiel 3: Gewährung des Vollzugriffs auf Neptune-Ressourcen basierend auf aws:ResourceTag

Die folgende Richtlinie ist dem ersten Beispiel oben ähnlich, verwendet jedoch stattdessen aws:ResourceTag:

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowFullAccessToDev",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "dev",
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}