As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando o acesso aos bancos de dados do Amazon Neptune usando políticas IAM
IAMpolíticas são JSON objetos que definem permissões para usar ações e recursos.
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como JSON documentos. Para obter mais informações sobre a estrutura e o conteúdo dos documentos de JSON política, consulte Visão geral das JSON políticas no Guia IAM do usuário.
Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
Por padrão, usuários e perfis não têm permissões. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.
IAMas políticas definem permissões para uma ação, independentemente do método usado para realizar a operação. Por exemplo, suponha que você tenha uma política que permite a ação iam:GetRole. Um usuário com essa política pode obter informações de função do AWS Management Console AWS CLI, do ou do AWS
API.
Políticas baseadas em identidade
Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir IAM permissões personalizadas com políticas gerenciadas pelo cliente no Guia do IAMusuário.
As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como políticas em linha ou políticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas autônomas que você pode associar a vários usuários, grupos e funções em seu Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do IAMusuário.
Usando políticas de controle de serviços (SCP) com AWS organizações
Políticas de controle de serviço (SCPs) são JSON políticas que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations
Os clientes que implantam o Amazon Neptune AWS em uma conta AWS dentro de uma organização SCPs podem usar o Amazon Neptune para controlar quais contas podem usar o Neptune. Para garantir o acesso ao Neptune em uma conta de membro, certifique-se de:
-
Permita o acesso às
rds:*eneptune-db:*para as operações do banco de dados Neptune. Consulte Por que as RDS permissões e os recursos da Amazon são necessários para usar o Neptune Database? para obter detalhes sobre por que RDS as permissões da Amazon são necessárias para o banco de dados Neptune. -
Permita o acesso às
neptune-graph:*operações do Neptune Analytics.
Permissões necessárias para usar o console do Amazon Neptune
Para um usuário trabalhar com o console do Amazon Neptune, esse usuário deve ter um conjunto mínimo de permissões. Essas permissões permitem que o usuário descreva os recursos do Neptune para AWS sua conta e forneça outras informações relacionadas, incluindo informações de segurança e rede da EC2 Amazon.
Se você criar uma IAM política que seja mais restritiva do que as permissões mínimas exigidas, o console não funcionará conforme o esperado para os usuários com essa IAM política. Para garantir que esses usuários ainda consigam usar o console do Neptune, associe também a política gerenciada NeptuneReadOnlyAccess ao usuário, conforme descrito em Usando políticas AWS gerenciadas para acessar bancos de dados do Amazon Neptune.
Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para o Amazon Neptune AWS CLI ou para o Amazon NeptuneAPI.
Anexando uma IAM política a um usuário IAM
Para aplicar uma política gerenciada ou personalizada, você a anexa a um IAM usuário. Para obter um tutorial sobre esse tópico, consulte Criar e anexar sua primeira política gerenciada pelo cliente no Guia IAM do usuário.
À medida que avança pelo tutorial, você pode usar um dos exemplos de política mostrados nessa seção como um ponto de partida e adequá-lo às suas necessidades. No final do tutorial, você tem um IAM usuário com uma política anexada que pode usar a neptune-db:* ação.
Importante
-
As alterações em uma IAM política levam até 10 minutos para serem aplicadas aos recursos especificados do Neptune.
-
IAMas políticas aplicadas a um cluster de banco de dados Neptune se aplicam a todas as instâncias desse cluster.
Usando diferentes tipos de IAM políticas para controlar o acesso a Neptune
Para fornecer acesso às ações administrativas do Neptune ou aos dados em um cluster de banco de dados do Neptune, você anexa políticas a um usuário ou função. IAM Para obter informações sobre como anexar uma IAM política a um usuário, consulteAnexando uma IAM política a um usuário IAM. Para obter informações sobre como anexar uma política a uma função, consulte Adicionar e remover IAM políticas no Guia do IAM usuário.
Para ter acesso geral ao Neptune, é possível usar uma das políticas gerenciadas do Neptune. Para ter um acesso mais restrito, você pode criar a própria política personalizada usando as ações administrativas e os recursos compatíveis com o Neptune.
Em uma IAM política personalizada, você pode usar dois tipos diferentes de declaração de política que controlam diferentes modos de acesso a um cluster de banco de dados Neptune:
-
Declarações de política administrativa — As declarações de política administrativa fornecem acesso ao APIs gerenciamento do Neptune que você usa para criar, configurar e gerenciar um cluster de banco de dados e suas instâncias.
Como o Neptune compartilha funcionalidade com a RDS Amazon, as ações administrativas, os recursos e as chaves de condição nas políticas do Neptune usam um prefixo por design.
rds: -
Declarações de política de acesso a dados: as declarações de política de acesso a dados usam ações de acesso a dados, recursos e chaves de condição para controlar o acesso aos dados contidos em um cluster de banco de dados.
As ações de acesso a dados, os recursos e as chaves de condição do Neptune usam um prefixo
neptune-db:.
Usando chaves de contexto de IAM condição no Amazon Neptune
Você pode especificar condições em uma declaração IAM de política que controla o acesso ao Neptune. A declaração de política terá efeito apenas quando as condições forem verdadeiras.
Por exemplo, é recomendável que uma declaração de política só entre em vigor após uma data específica ou viabilize o acesso apenas quando um valor específico estiver presente na solicitação.
Para expressar condições, você usa chaves de condição predefinidas no Conditionelemento de uma declaração de política, junto com operadores de política de IAM condição, como igual ou menor que.
Se você especificar vários elementos Condition em uma instrução ou várias chaves em um único Condition elemento, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma OR operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder permissão a um IAM usuário para acessar um recurso somente se ele estiver marcado com o nome de IAM usuário. Para obter mais informações, consulte Elementos de IAM política: variáveis e tags no Guia IAM do usuário.
O tipo de dados de uma chave de condição determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Se você usar um operador de condição que não seja compatível com esse tipo de dados, a correspondência sempre falhará, e a declaração da política nunca será aplicada.
O Neptune aceita conjuntos de chaves de condição para declarações de política administrativa diferentes dos aceitos para declarações de política de acesso a dados:
Support para recursos IAM de política e controle de acesso no Amazon Neptune
A tabela a seguir mostra quais IAM recursos o Neptune oferece suporte para declarações de política administrativa e declarações de política de acesso a dados:
| IAMrecurso | Administração | Acesso aos dados |
|---|---|---|
Sim |
Sim |
|
Não |
Não |
|
Sim |
Sim |
|
Sim |
Sim |
|
Sim |
(um subconjunto) |
|
Sim |
Não |
|
Não |
Não |
|
Sim |
Sim |
|
Sim |
Não |
IAMLimitações da política
As alterações em uma IAM política levam até 10 minutos para serem aplicadas aos recursos especificados do Neptune.
IAMas políticas aplicadas a um cluster de banco de dados Neptune se aplicam a todas as instâncias desse cluster.
No momento, o Neptune não é compatível com o controle de acesso entre contas.
