Mengelola akses ke database Amazon Neptunus menggunakan kebijakan IAM - Amazon Neptune

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke database Amazon Neptunus menggunakan kebijakan IAM

IAMkebijakan adalah JSON objek yang menentukan izin untuk menggunakan tindakan dan sumber daya.

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai JSON dokumen. Untuk informasi selengkapnya tentang struktur dan isi dokumen JSON kebijakan, lihat Ringkasan JSON kebijakan di Panduan IAM Pengguna.

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.

IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole. Pengguna dengan kebijakan itu bisa mendapatkan informasi peran dari AWS Management Console, AWS CLI, atau AWS API.

Kebijakan Berbasis Identitas

Kebijakan berbasis identitas adalah dokumen kebijakan JSON izin yang dapat dilampirkan ke identitas, seperti pengguna, grup IAM pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Membuat IAM kebijakan di Panduan Pengguna. IAM

Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai kebijakan inline atau kebijakan yang dikelola. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan terkelola atau kebijakan sebaris, lihat Memilih antara kebijakan terkelola dan kebijakan sebaris di IAMPanduan Pengguna.

Menggunakan Kebijakan Kontrol Layanan (SCP) dengan AWS organisasi

Kebijakan kontrol layanan (SCPs) adalah JSON kebijakan yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di AWS Organizations. AWS Organizations adalah layanan untuk mengelompokkan dan mengelola beberapa AWS akun secara terpusat yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam suatu organisasi, maka Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCPMembatasi izin untuk entitas di akun anggota, termasuk setiap pengguna root AWS akun. Untuk informasi selengkapnya tentang Organizations danSCPs, lihat Cara SCPs kerja di Panduan AWS Organizations Pengguna.

Pelanggan yang menggunakan Amazon Neptunus di Akun AWS dalam Organisasi SCPs dapat memanfaatkan untuk mengontrol akun AWS mana yang dapat menggunakan Neptunus. Untuk memastikan akses ke Neptunus dalam akun anggota, pastikan untuk mengizinkan akses ke pesawat kontrol dan tindakan IAM pesawat data dengan neptune:* menggunakan dan masing-masing. neptune-db:*

Izin Diperlukan untuk Menggunakan Konsol Amazon Neptune

Agar pengguna dapat bekerja dengan konsol Amazon Neptune, pengguna tersebut harus memiliki set izin minimum. Izin ini memungkinkan pengguna untuk mendeskripsikan sumber daya Neptunus untuk akun AWS mereka dan untuk memberikan informasi terkait lainnya, termasuk keamanan EC2 Amazon dan informasi jaringan.

Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebutIAM. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Neptune, lampirkan juga kebijakan NeptuneReadOnlyAccess yang dikelola kepada pengguna, sebagaimana dijelaskan dalam Menggunakan kebijakan AWS terkelola untuk mengakses database Amazon Neptunus.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke Amazon Neptunus AWS CLI API atau Amazon.

Melampirkan IAM Kebijakan ke pengguna IAM

Untuk menerapkan kebijakan terkelola atau kustom, Anda melampirkannya ke IAM pengguna. Untuk tutorial tentang topik ini, lihat Membuat dan Melampirkan Kebijakan Dikelola Pelanggan Pertama Anda di Panduan IAM Pengguna.

Saat mengikuti tutorial ini, Anda dapat menggunakan salah satu contoh kebijakan yang ditunjukkan dalam bagian ini sebagai titik awal dan menyesuaikannya dengan kebutuhan Anda. Di akhir tutorial, Anda memiliki IAM pengguna dengan kebijakan terlampir yang dapat menggunakan neptune-db:* tindakan.

penting
  • Perubahan IAM kebijakan membutuhkan waktu hingga 10 menit untuk diterapkan pada sumber daya Neptunus yang ditentukan.

  • IAMkebijakan yang diterapkan ke cluster DB Neptunus berlaku untuk semua instance di cluster itu.

Menggunakan berbagai jenis IAM kebijakan untuk mengontrol akses ke Neptunus

Untuk menyediakan akses ke tindakan administratif Neptunus atau ke data dalam klaster DB Neptunus, Anda melampirkan kebijakan ke pengguna atau peran. IAM Untuk informasi tentang cara melampirkan IAM kebijakan ke pengguna, lihatMelampirkan IAM Kebijakan ke pengguna IAM. Untuk informasi tentang melampirkan kebijakan ke peran, lihat Menambahkan dan Menghapus IAM Kebijakan di Panduan IAM Pengguna.

Untuk akses umum ke Neptunus, Anda dapat menggunakan salah satu kebijakan terkelola Neptunus. Untuk akses yang lebih terbatas, Anda dapat membuat kebijakan kustom Anda sendiri menggunakan tindakan administratif dan sumber daya yang didukung Neptunus..

Dalam IAM kebijakan khusus, Anda dapat menggunakan dua jenis pernyataan kebijakan berbeda yang mengontrol mode akses berbeda ke kluster DB Neptunus:

  • Pernyataan kebijakan administratif — Pernyataan kebijakan administratif menyediakan akses ke APIs manajemen Neptunus yang Anda gunakan untuk membuat, mengonfigurasi, dan mengelola klaster DB dan instansnya.

    Karena Neptunus berbagi fungsionalitas dengan RDS Amazon, tindakan administratif, sumber daya, dan kunci kondisi dalam kebijakan Neptunus menggunakan awalan berdasarkan desain. rds:

  • Pernyataan kebijakan akses data — Pernyataan kebijakan akses data menggunakan tindakan akses data, sumber daya, dan kunci kondisi untuk mengontrol akses data yang berisi kluster DB.

    Tindakan akses data Neptunus, sumber daya, dan kunci kondisi menggunakan awalan. neptune-db:

Menggunakan tombol konteks IAM kondisi di Amazon Neptunus

Anda dapat menentukan kondisi dalam pernyataan IAM kebijakan yang mengontrol akses ke Neptunus. Pernyataan kebijakan kemudian berlaku hanya jika kondisinya benar.

Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku hanya setelah tanggal tertentu, atau mengizinkan akses hanya jika nilai tertentu ada dalam permintaan.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan dalam Conditionelemen pernyataan kebijakan, bersama dengan operator kebijakan IAM kondisi seperti sama atau kurang dari.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat Elemen IAM Kebijakan: Variabel dan Tag di Panduan IAM Pengguna.

Tipe data dari kunci kondisi menentukan operator kondisi yang dapat Anda gunakan untuk membandingkan nilai dalam permintaan dengan nilai dalam pernyataan kebijakan. Jika Anda menggunakan operator kondisi yang tidak kompatibel dengan tipe data tersebut, kecocokan selalu gagal dan pernyataan kebijakan tidak pernah berlaku.

Neptunus mendukung kumpulan kunci kondisi yang berbeda untuk pernyataan kebijakan administratif daripada untuk pernyataan kebijakan akses data:

Dukungan untuk fitur IAM kebijakan dan kontrol akses di Amazon Neptunus

Tabel berikut menunjukkan IAM fitur apa yang didukung Neptunus untuk pernyataan kebijakan administratif dan pernyataan kebijakan akses data:

IAMfitur yang dapat Anda gunakan dengan Neptunus
IAMfitur Administratif Akses data

Kebijakan berbasis identitas

Ya

Ya

Kebijakan berbasis sumber daya

Tidak

Tidak

Tindakan kebijakan

Ya

Ya

Sumber daya kebijakan

Ya

Ya

Kunci kondisi global

Ya

(subset)

Kunci kondisi berbasis tag

Ya

Tidak

Daftar Kontrol Akses (ACLs)

Tidak

Tidak

Kebijakan kontrol layanan (SCPs)

Ya

Ya

Peran terkait layanan

Ya

Tidak

IAMBatasan Kebijakan

Perubahan IAM kebijakan membutuhkan waktu hingga 10 menit untuk diterapkan pada sumber daya Neptunus yang ditentukan.

IAMkebijakan yang diterapkan ke cluster DB Neptunus berlaku untuk semua instance di cluster itu.

Neptunus saat ini tidak mendukung kontrol akses lintas akun.