翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Amazon Neptune databse の認証 AWS Identity and Access Management

AWS Identity and Access Management （IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を認証 (サインイン) し、誰に Neptune リソースの使用を承認する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで AWS のサービス 使用できる です。

AWS Identity and Access Management （IAM) を使用して、Neptune DB インスタンスまたは DB クラスターを認証できます。IAM データベース認証が有効になっている場合、各リクエストは AWS 署名バージョン 4 を使用して署名する必要があります。

AWS 署名バージョン 4 は AWS 、リクエストに認証情報を追加します。セキュリティのため、IAM 認証が有効になっている Neptune DB クラスターへのすべてのリクエストは、アクセスキーで署名する必要があります。このキーは、アクセスキー ID とシークレットアクセスキーで構成されます。認証は IAM ポリシーを使用して外部で管理されます。

Neptune は接続時に認証し、 for WebSockets 接続ではアクセス許可を定期的に検証して、ユーザーが引き続きアクセスできることを確認します。

IAM Use はロールによって異なります

AWS Identity and Access Management （IAM) の使用方法は、Neptune で行う作業によって異なります。

サービスユーザー – ジョブを実行するために Neptune サービスを使用する場合、Neptune データプレーンの使用に必要な認証情報とアクセス許可が管理者から与えられます。作業を実行するために、より多くのアクセスが必要になるにつれて、アクセスの管理方法を理解しておくと、管理者に適切なアクセス許可をリクエストするうえで役立ちます。

サービス管理者 – 社内の Neptune リソースを担当している場合は、Neptune 管理APIに対応する Neptune 管理アクションにアクセスできる可能性があります。また、サービスユーザーが仕事をするために必要な Neptune データアクセスアクションとリソースを決定するのもあなたの仕事かもしれません。その後、IAM 管理者は IAM ポリシーを適用して、サービスユーザーのアクセス許可を変更できます。

IAM 管理者 – IAM 管理者の場合は、Neptune への管理アクセスとデータアクセスの両方を管理するために IAM ポリシーを作成する必要があります。使用できる Neptune アイデンティティベースのポリシーの例を表示するには、「Neptune へのアクセスを制御するためのさまざまな種類の IAM ポリシーの使用」 を参照してください。

アイデンティティを使用した認証

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。として、IAM ユーザーとして AWS アカウントのルートユーザー、または IAM ロールを引き受けることによって、認証 ( にサインイン AWS) される必要があります。

ID ソースを介して提供された認証情報を使用して、フェデレーティッド ID AWS として にサインインできます。 AWS IAM Identity Center （IAM Identity Center) ユーザー、会社のシングルサインオン認証、Google または Facebook 認証情報は、フェデレーティッド ID の例です。フェデレーティッド ID としてサインインすると、管理者は IAM ロールを使用して ID フェデレーションを事前にセットアップしていました。フェデレーション AWS を使用して にアクセスすると、間接的にロールを引き受けることになります。

ユーザーのタイプに応じて、 AWS Management Console または AWS アクセスポータルにサインインできます。へのサインインの詳細については AWS、「 AWS サインイン ユーザーガイド」の「 にサインインする方法 AWS アカウント」を参照してください。

AWS プログラムで にアクセスする場合、 は Software Development Kit (SDK) とコマンドラインインターフェイス (CLI) AWS を提供し、認証情報を使用してリクエストに暗号で署名します。 AWS ツールを使用しない場合は、自分でリクエストに署名する必要があります。推奨される方法を使用してリクエストを自分で署名する方法の詳細については、Word IAMユーザーガイドのAWS API リクエストの署名バージョン 4」を参照してください。

使用する認証方法を問わず、追加セキュリティ情報の提供をリクエストされる場合もあります。たとえば、 では、アカウントのセキュリティを強化するために多要素認証 (MFA) を使用する AWS ことをお勧めします。詳細については、「 AWS IAM Identity Center ユーザーガイド」の「多要素認証」およびAWS 「 IAM ユーザーガイド」の「 Word での多要素認証」を参照してください。 IAM

AWS アカウント ルートユーザー

を作成するときは AWS アカウント、アカウント内のすべての およびリソースへの AWS のサービス 完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることでアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、IAM ユーザーガイド」の「ルートユーザー認証情報を必要とするタスク」を参照してください。

IAM ユーザーとグループ

IAM ユーザーは、単一のユーザーまたはアプリケーションに対して特定のアクセス許可 AWS アカウント を持つ 内のアイデンティティです。可能な場合は、パスワードやアクセスキーなどの長期的な認証情報を持つ IAM ユーザーを作成するのではなく、一時的な認証情報を使用することをお勧めします。ただし、IAM ユーザーとの長期的な認証情報を必要とする特定のユースケースがある場合は、アクセスキーをローテーションすることをお勧めします。詳細については、IAM ユーザーガイド」の「長期的な認証情報を必要とするユースケースでアクセスキーを定期的にローテーションする」を参照してください。

IAM グループは、IAM ユーザーのコレクションを指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、複数のユーザーに対して一度に権限を指定できます。多数のユーザーグループがある場合、グループを使用することで権限の管理が容易になります。たとえば、IAMAdmins という名前のグループを作成し、そのグループに IAM リソースを管理するアクセス許可を付与できます。

ユーザーは、ロールとは異なります。ユーザーは 1 人の人または 1 つのアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時認証情報が提供されます。詳細については、IAM ユーザーガイド」の「Word ユーザーのユースケース」を参照してください。 IAM

IAM ロール

IAM ロールは、特定のアクセス許可 AWS アカウント を持つ 内のアイデンティティです。これは IAM ユーザーと似ていますが、特定のユーザーに関連付けられていません。で IAM ロールを一時的に引き受けるには AWS Management Console、ユーザーから IAM ロールに切り替えることができます (コンソール）。ロールを引き受けるには、 AWS CLI or AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、IAM ユーザーガイド」の「ロールを引き受ける方法」を参照してください。

一時的な認証情報を持つIAMロールは、以下の状況で役立ちます。