Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dell'accesso tramite IAM politiche
IAMle politiche sono JSON oggetti che definiscono le autorizzazioni per utilizzare azioni e risorse.
È possibile controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come JSON documenti. Per ulteriori informazioni sulla struttura e il contenuto dei documenti relativi alle JSON politiche, vedere Panoramica delle JSON politiche nella Guida per l'IAMutente.
Gli amministratori possono utilizzare AWS JSON le politiche per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire azioni su quali risorse e in quali condizioni.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM politiche. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.
IAMle politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, supponiamo di disporre di una policy che consente l'operazione iam:GetRole. Un utente con tale criterio può ottenere informazioni sul ruolo da AWS Management Console, da o da. AWS CLI AWS
API
Policy basate sulle identità
I criteri basati sull'identità sono documenti relativi alle politiche di JSON autorizzazione che è possibile allegare a un'identità, ad esempio un IAM utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una politica basata sull'identità, consulta Creazione di politiche nella Guida per l'utente. IAM IAM
Le policy basate su identità possono essere ulteriormente classificate come policy inline o policy gestite. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le politiche gestite sono politiche autonome che puoi allegare a più utenti, gruppi e ruoli all'interno del tuo. Account AWS Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una politica gestita o una politica in linea, consulta Scelta tra politiche gestite e politiche in linea nella Guida per l'IAMutente.
Utilizzo delle politiche di controllo dei servizi (SCP) con le organizzazioni AWS
Le politiche di controllo del servizio (SCPs) sono JSON politiche che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in AWS Organizations
I clienti che implementano Amazon Neptune AWS in un account AWS all'interno di un'organizzazione SCPs possono sfruttare per controllare quali account possono utilizzare Neptune. Per garantire l'accesso a Neptune all'interno di un account membro, assicurati di consentire l'accesso sia alle azioni del piano di controllo che al IAM piano dati utilizzando e rispettivamente. neptune:* neptune-db:*
Autorizzazioni necessarie per utilizzare la console Amazon Neptune
Affinché un utente possa utilizzare la console Amazon Neptune, è necessario che disponga di un set minimo di autorizzazioni. Queste autorizzazioni consentono all'utente di descrivere le risorse Neptune per il AWS proprio account e di fornire altre informazioni correlate, tra cui la sicurezza e le informazioni di rete di EC2 Amazon.
Se crei una IAM policy più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con quella policy. IAM Per garantire che gli utenti possano continuare a utilizzare la console Neptune, collega anche la policy gestita NeptuneReadOnlyAccess all'utente, come descritto in AWS politiche gestite (predefinite) per Amazon Neptune.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso Amazon NeptuneAPI. AWS CLI
Allegare una policy a un utente IAM IAM
Per applicare una politica gestita o personalizzata, è necessario allegarla a un IAM utente. Per un tutorial su questo argomento, consulta Creare e allegare la tua prima politica gestita dai clienti nella Guida per l'IAMutente.
Durante il tutorial, puoi utilizzare uno degli esempi di policy indicati in questa sezione come punto di partenza e personalizzarli in base alle tue esigenze. Alla fine del tutorial, hai un IAM utente con una politica allegata che può utilizzare l'neptune-db:*azione.
Importante
-
Le modifiche a una IAM policy richiedono fino a 10 minuti per essere applicate alle risorse di Neptune specificate.
-
IAMle politiche applicate a un cluster Neptune DB si applicano a tutte le istanze di quel cluster.
Utilizzo di diversi tipi di IAM politiche per controllare l'accesso a Neptune
Per fornire l'accesso alle azioni amministrative di Neptune o ai dati in un cluster Neptune DB, si allegano le policy a un utente o a un ruolo. IAM Per informazioni su come allegare una IAM policy a un utente, consulta. Allegare una policy a un utente IAM IAM Per informazioni sull'associazione di una politica a un ruolo, vedere Aggiungere e rimuovere IAM criteri nella Guida per l'IAMutente.
Per l'accesso generale a Neptune, puoi utilizzare una delle policy gestite di Neptune. Per un accesso più limitato, puoi creare la tua policy personalizzata utilizzando le azioni e le risorse amministrative supportate da Neptune.
In una IAM policy personalizzata, è possibile utilizzare due diversi tipi di policy statement che controllano diverse modalità di accesso a un cluster Neptune DB:
-
Dichiarazioni sui criteri amministrativi: le dichiarazioni dei criteri amministrativi forniscono l'accesso alla APIs gestione di Neptune utilizzata per creare, configurare e gestire un cluster DB e le relative istanze.
Poiché Neptune condivide funzionalità con RDS Amazon, le azioni amministrative, le risorse e le chiavi di condizione nelle policy di Neptune utilizzano un prefisso di progettazione.
rds: -
Dichiarazioni di policy di accesso ai dati: le dichiarazioni di policy di accesso ai dati utilizzano azioni di accesso ai dati, risorse e chiavi di condizione per controllare l'accesso ai dati contenuti in un cluster database.
Le azioni di accesso ai dati, le risorse e le chiavi di condizione di Neptune utilizzano un prefisso
neptune-db:.
Utilizzo IAM delle chiavi di contesto delle condizioni in Amazon Neptune
È possibile specificare le condizioni in una dichiarazione IAM politica che controlla l'accesso a Neptune. La dichiarazione di policy diventa effettiva solo quando le condizioni sono true.
Ad esempio, potresti volere che una dichiarazione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta è presente un valore specifico.
Per esprimere le condizioni, si utilizzano chiavi di condizione predefinite nell'Conditionelemento di una dichiarazione politica, insieme a operatori di policy IAM condizionali come equals o less than.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta Elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.
Il tipo di dati di una chiave di condizione determina quali operatori di condizione è possibile utilizzare per confrontare i valori nella richiesta con i valori della dichiarazione di policy. Se si utilizza un operatore di condizione che non è compatibile con tale tipo di dati, la corrispondenza ha sempre esito negativo e la dichiarazione di policy non viene mai applicata.
Neptune supporta diversi set di chiavi di condizione per le dichiarazioni di policy amministrative rispetto alle dichiarazioni di policy di accesso ai dati:
Support per le funzionalità IAM di policy e controllo degli accessi in Amazon Neptune
La tabella seguente mostra le IAM funzionalità supportate da Neptune per le dichiarazioni di policy amministrative e le dichiarazioni di policy di accesso ai dati:
IAMfunzionalità che puoi usare con Neptune | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IAMcaratteristica | Amministrativa | Accesso ai dati | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
Sì |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
No |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
Sì |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
Sì |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
(un sottoinsieme) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
No |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
Sì |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sì |
No |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAMLimitazioni delle politiche
Le modifiche a una IAM policy richiedono fino a 10 minuti per essere applicate alle risorse di Neptune specificate.
IAMle politiche applicate a un cluster Neptune DB si applicano a tutte le istanze di quel cluster.
Neptune attualmente non supporta il controllo dell'accesso multi-account.
