기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Neptune에 대한 IAM 관리 정책 설명 생성
일반 관리 정책 예제
다음 예제는 DB 클러스터에서 다양한 관리 작업을 수행할 수 있는 권한을 부여하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.
IAM 사용자가 지정된 DB 인스턴스를 삭제하지 못하도록 하는 정책
다음은 IAM 사용자가 지정된 Neptune DB 인스턴스를 삭제하지 못하도록 하는 예제 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteOneInstance", "Effect": "Deny", "Action": "rds:DeleteDBInstance", "Resource": "arn:aws:rds:
us-west-2
:123456789012
:db:my-instance-name
" } ] }
새 DB 인스턴스 생성 권한을 부여하는 정책
다음은 IAM 사용자가 지정된 Neptune DB 클러스터에서 DB 인스턴스를 생성할 수 있도록 허용하는 예제 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstance", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "arn:aws:rds:
us-west-2
:123456789012
:cluster:my-cluster
" } ] }
특정 DB 파라미터 그룹을 사용하는 새 DB 인스턴스를 생성할 권한을 부여하는 정책
다음은 IAM 사용자가 지정된 DB 파라미터 그룹만 사용하여 지정된 Neptune DB 클러스터의 지정된 DB 클러스터(여기서 us-west-2
)에서 DB 인스턴스를 생성할 수 있도록 허용하는 예제 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstanceWithPG", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:
us-west-2
:123456789012
:cluster:my-cluster
", "arn:aws:rds:us-west-2
:123456789012
:pg:my-instance-pg
" ] } ] }
리소스 설명 권한을 부여하는 정책
다음은 IAM 사용자가 Neptune 리소스를 설명할 수 있도록 허용하는 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribe", "Effect": "Allow", "Action": "rds:Describe*", "Resource": * } ] }
태그 기반 관리 정책 예제
다음 예제에서는 DB 클러스터의 다양한 관리 작업에 대한 권한을 필터링하도록 태그를 지정하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.
예제 1: 여러 값을 취할 수 있는 사용자 지정 태그를 사용하여 리소스 작업에 대한 권한 부여
아래 정책은 env
태그가 ModifyDBInstance
CreateDBInstance
또는 로 설정된 모든 DB 인스턴스DeleteDBInstance
API에서 dev
또는 를 사용할 수 있도록 허용합니다test
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDevTestAccess", "Effect": "Allow", "Action": [ "rds:ModifyDBInstance", "rds:CreateDBInstance", "rds:DeleteDBInstance" ], "Resource": "*", "Condition": { "StringEquals": { "rds:db-tag/env": [ "dev", "test" ], "rds:DatabaseEngine": "neptune" } } } ] }
예제 2: 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 세트 제한
이 정책은 Condition
키를 사용하여 키 env
와 값이 test
, qa
, dev
인 태그를 리소스에 추가할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTagAccessForDevResources", "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "StringEquals": { "rds:req-tag/env": [ "test", "qa", "dev" ], "rds:DatabaseEngine": "neptune" } } } ] }
예제 3: aws:ResourceTag
를 기반으로 Neptune 리소스에 대한 전체 액세스 허용
다음 정책은 위의 첫 번째 예와 비슷하지만, aws:ResourceTag
대신 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToDev", "Effect": "Allow", "Action": [ "rds:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "dev", "rds:DatabaseEngine": "neptune" } } } ] }