IAM ポリシーを使用した Amazon Neptune データベースへのアクセスの管理 - Amazon Neptune
アイデンティティベースのポリシーサービスコントロールポリシー (SCP)Neptune コンソールアクセスポリシーのアタッチIAM ポリシーのタイプ条件キーの使用IAM 機能のサポートIAM ポリシーの制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーを使用した Amazon Neptune データベースへのアクセスの管理

IAM ポリシーは、アクションとリソースを使用するアクセス許可を定義するJSONオブジェクトです。

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは のオブジェクト AWS であり、アイデンティティまたはリソースに関連付けられると、そのアクセス許可を定義します。 は、プリンシパル (ユーザー、ルートユーザー、またはロールセッション) がリクエストを行うときに、これらのポリシー AWS を評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーはJSON、ドキュメント AWS として に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、「 IAMユーザーガイド」のJSON「ポリシーの概要」を参照してください。

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

デフォルトでは、ユーザーやロールに権限はありません。IAM管理者は、リソースで必要なアクションを実行するためのアクセス許可をユーザーに付与する IAMポリシーを作成できます。その後、管理者はロールに IAMポリシーを追加し、ユーザーはロールを引き受けることができます。

IAM ポリシーは、オペレーションの実行方法を問わず、アクションのアクセス許可を定義します。例えば、iam:GetRole アクションを許可するポリシーがあるとします。そのポリシーを持つユーザーは、 AWS Management Console、、 AWS CLIまたは AWS からロール情報を取得できますAPI。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、 IAM ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできるJSONアクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。ID ベースのポリシーを作成する方法については、「 IAMユーザーガイド」の「カスタマー管理ポリシーを使用してカスタムIAMアクセス許可を定義する」を参照してください。

アイデンティティベースのポリシーは、さらにインラインポリシーまたはマネージドポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンポリシーです AWS アカウント。管理ポリシーには、 AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。管理ポリシーまたはインラインポリシーを選択する方法については、「 IAMユーザーガイド」の「管理ポリシーとインラインポリシーの選択」を参照してください。

AWS 組織でのサービスコントロールポリシー (SCP) の使用

サービスコントロールポリシー (SCPs) は、 の組織または組織単位 (OU) の最大アクセス許可を指定するJSONポリシーですAWS Organizations。 AWS Organizations は、ビジネスが所有する複数の AWS アカウントをグループ化して一元管理するためのサービスです。組織内のすべての機能を有効にすると、サービスコントロールポリシー (SCPs) をアカウントの一部またはすべてに適用できます。は、各アカウントのルートユーザーを含む、メンバー AWS アカウントのエンティティのアクセス許可SCPを制限します。Organizations と の詳細についてはSCPs、「 AWS Organizations ユーザーガイド」の「 SCPsの仕組み」を参照してください。

Amazon Neptune を AWS 組織内の AWS アカウントにデプロイするお客様は、 SCPsを活用して、Neptune を使用できるアカウントを制御できます。メンバーアカウント内の Neptune へのアクセスを確保するには、次の点を確認してください。

Amazon Neptune コンソールを使用するために必要なアクセス許可

Amazon Neptune コンソールを使用するユーザーには、最小限のアクセス権限のセットが必要です。これらのアクセス許可により、ユーザーは AWS 自分のアカウントの Neptune リソースを記述し、Amazon EC2 セキュリティやネットワーク情報などの他の関連情報を提供できます。

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。それらのユーザーが Neptune コンソールを引き続き使用するためには、NeptuneReadOnlyAccess で説明しているように、AWS マネージドポリシーを使用した Amazon Neptune データベースへのアクセス 管理ポリシーをユーザーにもアタッチします。

AWS CLI または Amazon Neptune のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありませんAPI。

ユーザーへの IAMポリシーのアタッチ IAM

管理ポリシーまたはカスタムポリシーを適用するには、 IAMユーザーにアタッチします。このトピックのチュートリアルについては、 IAMユーザーガイド「最初のカスタマー管理ポリシーの作成とアタッチ」を参照してください。

チュートリアルを進める際に、このセクションに記載されているいずれかのポリシー例をスタート点として使用し、ニーズに合わせて調整することができます。チュートリアルを完了すると、neptune-db:* アクションの使用を許可するポリシーが IAM ユーザーにアタッチされます。

重要

  • IAM ポリシーへの変更は、指定された Neptune リソースに適用されるまでに最大 10 分かかります。

  • IAM Neptune DB クラスターに適用される ポリシーは、そのクラスター内のすべてのインスタンスに適用されます。

Neptune へのアクセスを制御するためのさまざまな種類のIAMポリシーの使用

Neptune 管理アクションまたは Neptune DB クラスター内のデータへのアクセスを提供するには、 IAM ユーザーまたはロールにポリシーをアタッチします。IAM ポリシーをユーザーにアタッチする方法については、「」を参照してくださいユーザーへの IAMポリシーのアタッチ IAM 。ロールにポリシーをアタッチする方法については、「 IAMユーザーガイド」のIAM「ポリシーの追加と削除」を参照してください。

Neptune への一般的なアクセスには、Neptune の管理ポリシーのいずれかを使用できます。アクセスをさらに制限したい場合は、Neptune がサポートする管理アクションリソースを使用して独自のカスタムポリシーを作成できます。

カスタムIAMポリシーでは、Neptune DB クラスターへのさまざまなアクセスモードを制御する 2 種類のポリシーステートメントを使用できます。

  • 管理ポリシーステートメント – 管理ポリシーステートメントは、DB クラスターとそのインスタンスの作成、設定、管理に使用する Neptune 管理APIsへのアクセスを提供します。

    Neptune は Amazon と機能を共有するためRDS、Neptune ポリシーの管理アクション、リソース、および条件キーは、設計上 rds:プレフィックスを使用します。

  • データアクセスポリシーステートメント — データアクセスポリシーステートメントは、データアクセスアクションリソース、および条件キーを使用して、DB クラスターに含まれるデータへのアクセスを制御します。

    Neptune データアクセスアクション、リソース、および条件キーは、neptune-db: プレフィックスを使用します。

Amazon Neptune でIAMの条件コンテキストキーの使用

Neptune へのアクセスを制御する IAMポリシーステートメントで条件を指定できます。ポリシーステートメントは、条件が true の場合にのみ有効です。

例えば、特定の日付の後にのみ適用されるポリシーステートメントや、リクエストに特定の値が存在する場合のみアクセスが許可されるポリシーステートメントが必要になる場合があります。

条件を表すには、ポリシーステートメントの Condition要素で事前定義された条件キーと、等しいかそれより小さいなどのIAM条件ポリシー演算子を使用します。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM「 ユーザーガイド」の「ポリシー要素: 変数とタグ」を参照してください。 IAM

条件キーのデータ型によって、リクエスト内の値とポリシーステートメント内の値の比較に使用できる条件演算子が決まります。そのデータ型と互換性のない条件演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。

Neptune は、管理ポリシーステートメントについて、データアクセスポリシーステートメントとは異なる条件キーのセットをサポートしています。

Amazon Neptune でのIAMポリシーとアクセスコントロール機能のサポート

次の表は、Neptune が管理ポリシーステートメントとデータアクセスポリシーステートメントでサポートするIAM機能を示しています。

IAM Neptune で使用できる の機能
IAM 機能 管理 データアクセス

アイデンティティベースポリシー

はい

あり

リソースベースのポリシー

いいえ

いいえ

ポリシーアクション

はい

あり

ポリシーリソース

はい

あり

グローバル条件キー

あり

(サブセット)

タグベースの条件キー

あり

いいえ

アクセスコントロールリスト (ACLs)

いいえ

いいえ

サービスコントロールポリシー (SCPs)

はい

あり

サービスリンクロール

あり

不可

IAM ポリシーの制限

IAM ポリシーへの変更は、指定された Neptune リソースに適用されるまでに最大 10 分かかります。

IAM Neptune DB クラスターに適用される ポリシーは、そのクラスター内のすべてのインスタンスに適用されます。

Neptune は現在、クロスアカウントアクセスコントロールをサポートしていません。