Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración del acceso a las bases de datos de Amazon Neptune mediante políticas IAM
IAMlas políticas son JSON objetos que definen los permisos para usar acciones y recursos.
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política es un objeto AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director (usuario, usuario raíz o sesión de rol) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como JSON documentos. Para obtener más información sobre la estructura y el contenido de los documentos de JSON políticas, consulte Descripción general de JSON las políticas en la Guía del IAM usuario.
Los administradores pueden usar AWS JSON las políticas para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Para conceder a los usuarios permiso para realizar acciones en los recursos que necesitan, un IAM administrador puede crear IAM políticas. A continuación, el administrador puede añadir las IAM políticas a las funciones y los usuarios pueden asumir las funciones.
IAMlas políticas definen los permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción iam:GetRole. Un usuario con esa política puede obtener información sobre el rol de AWS Management Console AWS CLI, el o el AWS
API.
Políticas basadas en identidad
Las políticas basadas en la identidad son documentos de política de JSON permisos que se pueden adjuntar a una identidad, como un IAM usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener información sobre cómo crear una política basada en la identidad, consulte Creación de IAM políticas en la Guía del usuario. IAM
Las políticas basadas en identidades pueden clasificarse además como políticas insertadas o políticas administradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y funciones de su empresa. Cuenta de AWS Las políticas administradas incluyen políticas AWS administradas y políticas administradas por el cliente. Para saber cómo elegir entre una política gestionada o una política integrada, consulte Elegir entre políticas gestionadas y políticas integradas en la Guía del IAM usuario.
Uso de políticas de control de servicios (SCP) con organizaciones AWS
Las políticas de control de servicios (SCPs) son JSON políticas que especifican los permisos máximos para una organización o unidad organizativa (OU) en AWS Organizations
Los clientes que implementan Amazon Neptune en una AWS cuenta de una AWS organización pueden aprovechar SCPs para controlar qué cuentas pueden usar Neptune. Para garantizar el acceso a Neptune desde la cuenta de un miembro, asegúrese de permitir el acceso a las IAM acciones del plano de control y del plano de datos utilizando neptune:* yneptune-db:*, respectivamente.
Permisos necesarios para usar la consola de Amazon Neptune
Para que un usuario pueda trabajar con la consola de Amazon Neptune, debe tener un conjunto mínimo de permisos. Estos permisos permiten al usuario describir los recursos de Neptune para su AWS cuenta y proporcionar otra información relacionada, incluida la información de EC2 seguridad y de red de Amazon.
Si creas una IAM política que sea más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para los usuarios con esa IAM política. Para asegurarse de que esos usuarios puedan seguir usando la consola de Neptune, asocie también la política administrada NeptuneReadOnlyAccess al usuario, según se explica en Uso de políticas AWS administradas para acceder a las bases de datos de Amazon Neptune.
No es necesario conceder permisos mínimos de consola a los usuarios que solo realizan llamadas a Amazon Neptune AWS CLI API o a Amazon.
Adjuntar una IAM política a un usuario IAM
Para aplicar una política gestionada o personalizada, debe adjuntarla a un IAM usuario. Para ver un tutorial sobre este tema, consulte Crear y adjuntar su primera política gestionada por el cliente en la Guía del IAM usuario.
Mientras realiza el tutorial, puede usar uno de los ejemplos de política mostrados en esta sección como punto de partida y adaptarlo a sus necesidades. Al final del tutorial, hay un IAM usuario con una política adjunta que puede utilizar la neptune-db:* acción.
importante
-
Los cambios en una IAM política tardan hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
-
IAMlas políticas aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias de ese clúster.
Uso de diferentes tipos de IAM políticas para controlar el acceso a Neptune
Para proporcionar acceso a las acciones administrativas de Neptune o a los datos de un clúster de base de datos de Neptune, debe adjuntar políticas a un IAM usuario o rol. Para obtener información sobre cómo adjuntar una IAM política a un usuario, consulte. Adjuntar una IAM política a un usuario IAM Para obtener información sobre cómo asociar una política a un rol, consulte Añadir y eliminar IAM políticas en la Guía del IAM usuario.
Para el acceso general a Neptune, puede utilizar una de las políticas administradas de Neptune. Para que el acceso sea más restringido, puede crear su propia política personalizada utilizando las acciones administrativas y recursos que admite Neptune.
En una IAM política personalizada, puede utilizar dos tipos diferentes de declaración de política que controlan los distintos modos de acceso a un clúster de base de datos de Neptune:
-
Declaraciones de política administrativa: las declaraciones de política administrativa proporcionan acceso a la administración de Neptune APIs que se utiliza para crear, configurar y administrar un clúster de base de datos y sus instancias.
Dado que Neptune comparte funciones con AmazonRDS, las acciones administrativas, los recursos y las claves de condición de las políticas de Neptune utilizan un
rds:prefijo por diseño. -
Declaraciones de políticas de acceso a los datos: las declaraciones de políticas de acceso a los datos utilizan acciones de acceso a los datos, recursos y claves de condición para controlar el acceso a los datos que contiene un clúster de base de datos.
Las acciones de acceso a los datos, recursos y claves de condición de Neptune usan un prefijo.
neptune-db:
Uso de claves de contexto de IAM condición en Amazon Neptune
Puede especificar las condiciones en una declaración IAM de política que controle el acceso a Neptune. La declaración de la política solo se aplica si se cumplen las condiciones.
Por ejemplo, es posible que desee que una declaración de política entre en vigor solo después de una fecha específica o que permita el acceso solo cuando la solicitud contenga un valor específico.
Para expresar las condiciones, utilice claves de condición predefinidas en el Conditionelemento de una declaración de política, junto con operadores de políticas de IAM condiciones como iguales o inferiores a.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un IAM usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de IAM usuario. Para obtener más información, consulte Elementos IAM de política: variables y etiquetas en la Guía del IAM usuario.
El tipo de datos de una clave de condición determina qué operadores de condición puede utilizar para comparar los valores de la solicitud con los valores de la declaración de política. Si utiliza un operador de condición que no es compatible con ese tipo de datos, la coincidencia siempre falla y la declaración de política nunca se aplica.
Neptune admite diferentes conjuntos de claves de condición para las declaraciones de políticas administrativas que para las declaraciones de políticas de acceso a datos:
Support para funciones IAM de políticas y control de acceso en Amazon Neptune
En la siguiente tabla se muestran las IAM funciones que admite Neptune para las declaraciones de políticas administrativas y las declaraciones de políticas de acceso a los datos:
IAMfunciones que puedes usar con Neptune | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAMcaracterística | Administración | Acceso a los datos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
Sí |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
No |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
Sí |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
Sí |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
(un subconjunto) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
No |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
Sí |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sí |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAMLimitaciones de la política
Los cambios en una IAM política tardan hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
IAMlas políticas aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias de ese clúster.
Neptune no admite actualmente el control de acceso entre cuentas.
