Exemples généraux Exemples basés sur les balises

Création de déclarations de politique IAM administrative pour Amazon Neptune

Exemples de politiques administratives générales

Les exemples suivants montrent comment créer des politiques administratives Neptune qui accordent des autorisations pour effectuer diverses actions de gestion sur un cluster de bases de données.

Politique empêchant un IAM utilisateur de supprimer une instance de base de données spécifiée

Voici un exemple de politique qui empêche un IAM utilisateur de supprimer une instance de base de données Neptune spécifiée :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteOneInstance",
      "Effect": "Deny",
      "Action": "rds:DeleteDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
    }
  ]
}

Politique autorisant la création d'instances de base de données

Voici un exemple de politique qui permet à un IAM utilisateur de créer des instances de base de données dans un cluster de base de données Neptune spécifié :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstance",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
    }
  ]
}

Politique autorisant la création d'instances de base de données utilisant un groupe de paramètres de base de données spécifique

Voici un exemple de politique qui permet à un IAM utilisateur de créer des instances de base de données dans un cluster de base de données spécifié (icius-west-2) dans un cluster de base de données Neptune spécifié en utilisant uniquement un groupe de paramètres de base de données spécifié.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstanceWithPG",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
        "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
      ]
    }
  ]
}

Politique qui accorde l'autorisation de décrire n'importe quelle ressource

Voici un exemple de politique qui permet à un IAM utilisateur de décrire n'importe quelle ressource Neptune.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribe",
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": *
    }
  ]
}

Exemples de politiques administratives basées sur des balises

Les exemples suivants montrent comment créer des politiques administratives Neptune qui utilisent le balisage pour filtrer les autorisations pour diverses actions de gestion sur un cluster de bases de données.

Exemple 1 : accorder une autorisation pour des actions sur une ressource à l'aide d'une balise personnalisée qui peut prendre plusieurs valeurs

La politique ci-dessous autorise l'utilisation deModifyDBInstance, CreateDBInstance ou DeleteDBInstance API sur toute instance de base de données dont la env balise est définie sur l'une dev ou l'autre des valeurs test suivantes :


{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevTestAccess",
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "rds:CreateDBInstance",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:db-tag/env": [
              "dev",
              "test"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Exemple 2 : limiter l'ensemble de clés et de valeurs de balise pouvant être utilisées pour baliser une ressource

Cette politique utilise une clé Condition pour autoriser une balise dotée de la clé env et de la valeur test, qa ou dev à être ajoutée à une ressource :


{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTagAccessForDevResources",
      "Effect": "Allow",
      "Action": [
        "rds:AddTagsToResource",
        "rds:RemoveTagsFromResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:req-tag/env": [
            "test",
            "qa",
            "dev"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Exemple 3 : autoriser l'accès complet aux ressources Neptune en fonction de la balise `aws:ResourceTag`

La politique suivante est similaire au premier exemple ci-dessus, mais utilise aws:ResourceTag à la place :


{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowFullAccessToDev",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "dev",
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Clés de condition

Déclarations de politique d'accès aux données personnalisées