Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di dichiarazioni di policy IAM amministrative per Amazon Neptune
Esempi di policy amministrative generali
Gli esempi seguenti mostrano come creare policy amministrative di Neptune che concedono le autorizzazioni per eseguire varie azioni di gestione su un cluster database.
Policy che impedisce a un utente di eliminare un'istanza DB specificata IAM
Di seguito è riportato un esempio di policy che impedisce a un IAM utente di eliminare un'istanza DB di Neptune specificata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteOneInstance", "Effect": "Deny", "Action": "rds:DeleteDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name" } ] }
Policy che concede l'autorizzazione per creare nuove istanze database
Di seguito è riportato un esempio di policy che consente a un IAM utente di creare istanze DB in un cluster Neptune DB specificato:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstance", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster" } ] }
Policy che concede l'autorizzazione per creare nuove istanze database che utilizzano un gruppo di parametri database specifico
Di seguito è riportato un esempio di policy che consente a un IAM utente di creare istanze DB in un cluster DB specificato (quius-west-2) in un cluster Neptune DB specificato utilizzando solo un gruppo di parametri DB specificato.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstanceWithPG", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster", "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg" ] } ] }
Policy che concede l'autorizzazione per descrivere una risorsa
Di seguito è riportato un esempio di policy che consente a un IAM utente di descrivere qualsiasi risorsa di Neptune.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribe", "Effect": "Allow", "Action": "rds:Describe*", "Resource": * } ] }
Esempi di policy amministrative basate su tag
Gli esempi seguenti mostrano come creare policy amministrative di Neptune che utilizzano tag per filtrare le autorizzazioni per varie azioni di gestione su un cluster database.
Esempio 1: Concedere l'autorizzazione per le azioni su una risorsa tramite un tag personalizzato che può assumere più valori
La politica riportata di seguito consente l'ModifyDBInstanceuso di CreateDBInstance o DeleteDBInstance API su qualsiasi istanza DB il cui env tag è impostato su uno o dev su: test
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDevTestAccess", "Effect": "Allow", "Action": [ "rds:ModifyDBInstance", "rds:CreateDBInstance", "rds:DeleteDBInstance" ], "Resource": "*", "Condition": { "StringEquals": { "rds:db-tag/env": [ "dev", "test" ], "rds:DatabaseEngine": "neptune" } } } ] }
Esempio 2: Limitare il set di chiavi e valori di tag che possono essere utilizzati per aggiungere tag a una risorsa
Questa policy utilizza una chiave Condition per consentire a un tag con la chiave env e il valore test, qa o dev di essere aggiunto a una risorsa:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTagAccessForDevResources", "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "StringEquals": { "rds:req-tag/env": [ "test", "qa", "dev" ], "rds:DatabaseEngine": "neptune" } } } ] }
Esempio 3: Consentire l'accesso completo alle risorse Neptune in base a aws:ResourceTag
La policy seguente è simile al primo esempio, ma utilizza aws:ResourceTag:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToDev", "Effect": "Allow", "Action": [ "rds:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "dev", "rds:DatabaseEngine": "neptune" } } } ] }
