Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung des Zugriffs auf Amazon Neptune Neptune-Datenbanken mithilfe von Richtlinien IAM
IAMRichtlinien sind JSON Objekte, die Berechtigungen zur Nutzung von Aktionen und Ressourcen definieren.
Sie steuern den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS Form von JSON Dokumenten gespeichert. Weitere Informationen zur Struktur und zum Inhalt von JSON Richtliniendokumenten finden Sie im IAMBenutzerhandbuch unter Überblick über JSON Richtlinien.
Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.
IAMRichtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen aus dem AWS Management Console AWS CLI, dem oder dem abrufen AWS
API.
Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter IAMRichtlinien erstellen im Benutzerhandbuch. IAM
Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen zur Auswahl zwischen einer verwalteten Richtlinie und einer Inline-Richtlinie finden Sie im IAMBenutzerhandbuch unter Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien.
Verwenden von Service Control-Richtlinien (SCP) in AWS Organisationen
Dienststeuerungsrichtlinien (SCPs) sind JSON Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen AWS Organizations
Kunden, die Amazon Neptune in einem AWS Konto innerhalb eines AWS Unternehmens einsetzen, können so steuernSCPs, welche Konten Neptune verwenden können. Um den Zugriff auf Neptune innerhalb eines Mitgliedskontos sicherzustellen, stellen Sie sicher, dass Sie den Zugriff auf die IAM Aktionen der Steuerungsebene und der Datenebene zulassen, indem Sie jeweils neptune:* und neptune-db:* verwenden.
Für die Verwendung der Amazon-Neptune-Konsole erforderliche Berechtigungen
Damit Benutzer mit der Amazon-Neptune-Konsole arbeiten können, müssen sie einen Mindestsatz von Berechtigungen besitzen. Diese Berechtigungen ermöglichen es dem Benutzer, die Neptune-Ressourcen für sein AWS Konto zu beschreiben und andere verwandte Informationen bereitzustellen, einschließlich EC2 Sicherheits- und Netzwerkinformationen von Amazon.
Wenn Sie eine IAM Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser IAM Richtlinie nicht wie vorgesehen. Um sicherzustellen, dass diese Benutzer die Neptune-Konsole weiter verwenden können, müssen Sie ihnen die verwaltete Richtlinie NeptuneReadOnlyAccess anfügen, wie in Verwenden AWS verwalteter Richtlinien für den Zugriff auf Amazon Neptune Neptune-Datenbanken beschrieben.
Sie müssen Benutzern, die nur Amazon Neptune API anrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS CLI
Einem Benutzer eine IAM Richtlinie zuordnen IAM
Um eine verwaltete oder benutzerdefinierte Richtlinie anzuwenden, fügen Sie sie einem IAM Benutzer hinzu. Ein Tutorial zu diesem Thema finden Sie im IAMBenutzerhandbuch unter Erstellen und Anhängen Ihrer ersten vom Kunden verwalteten Richtlinie.
Wenn Sie die praktischen Anleitung durchgehen, können Sie eine der in diesem Abschnitt aufgeführten Beispielrichtlinien als Ausgangsbasis verwenden und auf Ihre Bedürfnisse anpassen. Am Ende des Tutorials haben Sie einen IAM Benutzer mit einer angehängten Richtlinie, der die neptune-db:* Aktion verwenden kann.
Wichtig
-
Es dauert bis zu 10 Minuten, bis Änderungen an einer IAM Richtlinie auf die angegebenen Neptun-Ressourcen angewendet werden.
-
IAMRichtlinien, die auf einen Neptune-DB-Cluster angewendet werden, gelten für alle Instances in diesem Cluster.
Verwendung verschiedener IAM Richtlinien zur Steuerung des Zugriffs auf Neptune
Um Zugriff auf Neptune-Verwaltungsaktionen oder auf Daten in einem Neptune-DB-Cluster zu gewähren, fügen Sie einem Benutzer oder einer IAM Rolle Richtlinien hinzu. Informationen darüber, wie Sie einem Benutzer eine IAM Richtlinie zuordnen, finden Sie unter. Einem Benutzer eine IAM Richtlinie zuordnen IAM Informationen zum Anhängen einer Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM Richtlinien im IAMBenutzerhandbuch.
Für den allgemeinen Zugriff auf Neptune können Sie eine der von Neptune verwalteten Richtlinien verwenden. Um den Zugriff stärker einzuschränken, können Sie mithilfe der von Neptune unterstützten administrativen Aktionen und Ressourcen eine eigene benutzerdefinierte Richtlinie erstellen.
In einer benutzerdefinierten IAM Richtlinie können Sie zwei verschiedene Arten von Richtlinienanweisungen verwenden, die verschiedene Zugriffsmodi auf einen Neptune-DB-Cluster steuern:
-
Administrative Richtlinienanweisungen — Administrative Richtlinienanweisungen bieten Zugriff auf das Neptune-Management APIs, mit dem Sie einen DB-Cluster und seine Instances erstellen, konfigurieren und verwalten.
Da Neptune die gleiche Funktionalität wie Amazon hatRDS, verwenden administrative Aktionen, Ressourcen und Bedingungsschlüssel in Neptune-Richtlinien von Natur aus ein
rds:Präfix. -
Datenzugriff-Richtlinienanweisungen – Datenzugriff-Richtlinienanweisungen verwenden Datenzugriffsaktionen, Ressourcen und Bedingungsschlüssel zur Steuerung des Zugriffs auf die Daten in einem DB-Cluster.
Neptune-Datenzugriffsaktionen, -Ressourcen und -Bedingungsschlüssel verwenden das Präfix
neptune-db:.
Verwenden von IAM Bedingungskontextschlüsseln in Amazon Neptune
Sie können Bedingungen in einer IAM Grundsatzerklärung angeben, die den Zugriff auf Neptune steuert. Die Richtlinienanweisung ist nur wirksam, wenn die Bedingungen erfüllt werden.
Vielleicht möchten Sie, dass eine Richtlinienanweisung erst nach einem bestimmten Datum wirksam wird oder dass der Zugriff nur zulässig ist, wenn ein bestimmter Wert in der Anforderung enthalten ist.
Um Bedingungen auszudrücken, verwenden Sie vordefinierte Bedingungsschlüssel im ConditionElement einer Grundsatzerklärung zusammen mit IAMBedingungsoperatoren wie „gleich“ oder „kleiner als“.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.
Der Datentyp eines Bedingungsschlüssels legt fest, welche Bedingungsoperatoren Sie für den Vergleich der Werte in der Anforderung mit den Werten in der Richtlinienanweisung verwenden können. Wenn Sie einen Bedingungsoperator verwenden, der nicht mit diesem Datentyp kompatibel ist, wird niemals eine Übereinstimmung ermittelt und die Richtlinienanweisung wird nie angewendet.
Neptune unterstützt andere Sätze von Bedingungsschlüsseln für administrative Richtlinienanweisungen als für Datenzugriffs-Richtlinienanweisungen:
Support für IAM Richtlinien- und Zugriffskontrollfunktionen in Amazon Neptune
Die folgende Tabelle zeigt, welche IAM Funktionen Neptune für administrative Richtlinienerklärungen und Datenzugriffspolitikanweisungen unterstützt:
IAMFunktionen, die Sie mit Neptune verwenden können | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAMMerkmal | Administrativ | Datenzugriff | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Ja |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nein |
Nein |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Ja |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Ja |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
(eine Teilmenge) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Nein |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nein |
Nein |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Ja |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ja |
Nein |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAMEinschränkungen der Richtlinien
Es dauert bis zu 10 Minuten, bis Änderungen an einer IAM Richtlinie auf die angegebenen Neptun-Ressourcen angewendet werden.
IAMRichtlinien, die auf einen Neptune-DB-Cluster angewendet werden, gelten für alle Instances in diesem Cluster.
Neptune unterstützt zurzeit keine kontoübergreifende Zugriffssteuerung.
