翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Neptune を管理するための IAM 条件キー
条件キーを使用すると、IAM ポリシーステートメントで条件を指定して、条件が満たされた場合にのみステートメントが有効になるようにすることができます。Neptune 管理ポリシーステートメントで使用できる条件キーは、次のカテゴリに分類されます。
グローバル条件キー – これらは、 AWS サービスで一般使用するために AWS によって定義されます。ほとんどは Neptune 管理ポリシーステートメントで使用できます。
管理リソースプロパティ条件キー — 以下に示すこれらのキーは、管理リソースのプロパティに基づいています。
タグベースのアクセス条件キー — 以下に示すこれらのキーは、管理リソースに付けられた AWS タグに基づいています。
Neptune 管理リソースプロパティの条件キー
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
rds:DatabaseClass |
DB インスタンスクラスのタイプによってアクセスをフィルタリングします。 | String |
rds:DatabaseEngine |
データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 | 文字列 |
rds:DatabaseName |
DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 | 文字列 |
rds:EndpointType |
エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 | String |
rds:Vpc |
DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 |
ブール値 |
管理タグベースの条件キー
Amazon Neptune では、カスタムタグを使用して IAM ポリシーで条件を指定することがサポートされており、管理 API リファレンス を介して Neptune へのアクセスを制御します。
たとえば、DB インスタンスに environment という名前のタグを追加するとします。beta、staging、および production のような値を使用します。そのタグの値に基づいてインスタンスへのアクセスを制限するポリシーを作成できます。
重要
タグを使用して Neptune リソースへのアクセスを管理する場合は、タグへのアクセスを保護してください。AddTagsToResource および RemoveTagsFromResource アクションのポリシーを作成することによって、タグへのアクセスを制限できます。
例えば、次のポリシーは、ユーザーがすべてのリソースのタグを追加または削除することを拒否します。次に、特定のユーザーがタグを追加または削除することを許可するポリシーを作成できます。
{ "Version": "2012-10-17", "Statement":[ { "Sid": "DenyTagUpdates", "Effect": "Deny", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }
以下のタグベースの条件キーは、管理ポリシーステートメント内の管理リソースでのみ機能します。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
aws:RequestTag/${TagKey}
|
リクエスト内のタグキーと値のペアの有無に基づいてアクセスをフィルタリングします。 |
String |
aws:ResourceTag/${TagKey}
|
リソースにアタッチされているタグキーと値のペアに基づいてアクセスをフィルタリングします。 |
String |
aws:TagKeys
|
リクエスト内のタグキーの有無に基づいてアクセスをフィルタリングします |
String |
rds:cluster-pg-tag/${TagKey} |
DB クラスターパラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:cluster-snapshot-tag/${TagKey} |
DB クラスタースナップショットにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:cluster-tag/${TagKey} |
DB クラスターにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:db-tag/${TagKey} |
DB インスタンスにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:es-tag/${TagKey} |
イベントサブスクリプションにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:pg-tag/${TagKey} |
DB パラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:req-tag/${TagKey} |
リソースにタグを付けるために使用できるタグキーと値のセットによってアクセスをフィルタリングします。 | String |
rds:secgrp-tag/${TagKey} |
DB セキュリティグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
rds:snapshot-tag/${TagKey} |
DB スナップショットにアタッチされたタグによってアクセスをフィルタリングします | String |
rds:subgrp-tag/${TagKey} |
DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 | String |
