Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung des Zugriffs auf Amazon Neptune Neptune-Datenbanken mithilfe von IAM-Richtlinien
IAM-Richtlinien sind JSON-Objekte, die Berechtigungen für die Verwendung von Aktionen und Ressourcen definieren.
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an Identitäten oder Ressourcen anhängen. AWS Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWSbewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter Übersicht über JSON-Richtlinien im IAM-Benutzerhandbuch.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches Prinzipal welche Aktionen auf welchen Ressourcenund unter welchen Bedingungendurchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien im IAM-Benutzerhandbuch.
Identitätsbasierte Richtlinien können Inline-Richtlinien (direkt in eine einzelne Identität eingebettet) oder verwaltete Richtlinien (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter Choose between managed policies and inline policies im IAM-Benutzerhandbuch.
Verwendung von Service Control Policies (SCP) in Organisationen AWS
Servicesteuerungsrichtlinien (SCPs) sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in AWS Organizations
Kunden, die Amazon Neptune in einem AWS Konto innerhalb eines AWS Unternehmens einsetzen, können so steuern SCPs , welche Konten Neptune verwenden können. Um den Zugriff auf Neptune innerhalb eines Mitgliedskontos zu gewährleisten, musst du Folgendes tun:
-
Erlaubt den Zugriff auf
rds:*undneptune-db:*für Neptune-Datenbankoperationen. Weitere Informationen finden Sie unter Warum sind Amazon RDS-Berechtigungen und Ressourcen für die Verwendung von Neptune Database erforderlich? für Einzelheiten darüber, warum Amazon RDS-Berechtigungen für die Neptune-Datenbank erforderlich sind. -
Erlauben Sie den Zugriff
neptune-graph:*auf Neptune Analytics-Operationen.
Für die Verwendung der Amazon-Neptune-Konsole erforderliche Berechtigungen
Damit Benutzer mit der Amazon-Neptune-Konsole arbeiten können, müssen sie einen Mindestsatz von Berechtigungen besitzen. Diese Berechtigungen ermöglichen es dem Benutzer, die Neptune-Ressourcen für sein AWS Konto zu beschreiben und andere verwandte Informationen bereitzustellen, einschließlich EC2 Sicherheits- und Netzwerkinformationen von Amazon.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Neptune-Konsole weiter verwenden können, müssen Sie ihnen die verwaltete Richtlinie NeptuneReadOnlyAccess anfügen, wie in Verwenden AWS verwalteter Richtlinien für den Zugriff auf Amazon Neptune Neptune-Datenbanken beschrieben.
Sie müssen Benutzern, die nur die Amazon Neptune-API AWS CLI oder die Amazon Neptune Neptune-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
Anfügen einer IAM-Richtlinie an einen IAM-Benutzer
Um eine verwaltete oder benutzerdefinierte Richtlinie anzuwenden, fügen Sie diese an einen IAM-Benutzer an. Eine praktische Anleitung zu diesem Thema finden Sie unter Praktische Anleitung: Erstellen und Anfügen Ihrer ersten vom Kunden verwalteten Richtlinie im IAM-Benutzerhandbuch.
Wenn Sie die praktischen Anleitung durchgehen, können Sie eine der in diesem Abschnitt aufgeführten Beispielrichtlinien als Ausgangsbasis verwenden und auf Ihre Bedürfnisse anpassen. Am Ende des Tutorials verfügen Sie über einen IAM-Benutzer mit einer angefügten Richtlinie, der die Aktion neptune-db:* verwenden kann.
Wichtig
-
Die Anwendung von Änderungen einer IAM-Richtlinie auf die angegebenen Neptune-Ressourcen kann bis zu 10 Minuten dauern.
-
IAM-Richtlinien, die auf einen Neptune-DB-Cluster angewendet werden, werden auf alle Instances in diesem Cluster angewendet.
Verwenden verschiedener Arten von IAM-Richtlinien für die Steuerung des Zugriffs auf Neptune
Um Zugriff auf Neptune-Verwaltungsaktionen oder auf Daten in einem Neptune-DB-Cluster zu gewähren, fügen Sie einem IAM-Benutzer oder einer IAM-Rolle Richtlinien an. Informationen zum Anfügen einer IAM-Richtlinie an einen Benutzer finden Sie unter Anfügen einer IAM-Richtlinie an einen IAM-Benutzer. Informationen zum Anfügen einer Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Richtlinien im IAM-Benutzerhandbuch.
Für den allgemeinen Zugriff auf Neptune können Sie eine der von Neptune verwalteten Richtlinien verwenden. Um den Zugriff stärker einzuschränken, können Sie mithilfe der von Neptune unterstützten administrativen Aktionen und Ressourcen eine eigene benutzerdefinierte Richtlinie erstellen.
In einer benutzerdefinierten IAM-Richtlinie können Sie zwei verschiedene Arten von Richtlinienanweisungen verwenden, die verschiedene Zugriffsmodi auf einen Neptune-DB-Cluster steuern:
-
Administrative Richtlinienanweisungen — Administrative Richtlinienanweisungen bieten Zugriff auf das Neptune-Management APIs, mit dem Sie einen DB-Cluster und seine Instances erstellen, konfigurieren und verwalten.
Da Neptune Funktionalität mit Amazon RDS teilt, verwenden administrative Aktionen, Ressourcen und Bedingungsschlüssel in Neptune-Richtlinien standardmäßig das Präfix
rds:. -
Datenzugriff-Richtlinienanweisungen – Datenzugriff-Richtlinienanweisungen verwenden Datenzugriffsaktionen, Ressourcen und Bedingungsschlüssel zur Steuerung des Zugriffs auf die Daten in einem DB-Cluster.
Neptune-Datenzugriffsaktionen, -Ressourcen und -Bedingungsschlüssel verwenden das Präfix
neptune-db:.
Verwenden von IAM-Bedingungskontextschlüsseln in Amazon Neptune
Sie können Bedingungen in einer IAM-Richtlinienanweisung angeben, die den Zugriff auf Neptune steuert. Die Richtlinienanweisung ist nur wirksam, wenn die Bedingungen erfüllt werden.
Vielleicht möchten Sie, dass eine Richtlinienanweisung erst nach einem bestimmten Datum wirksam wird oder dass der Zugriff nur zulässig ist, wenn ein bestimmter Wert in der Anforderung enthalten ist.
Zum Ausdruck von Bedingungen verwenden Sie im Condition-Element einer Richtlinienanweisung vordefinierte Bedingungsschlüssel zusammen mit IAM-Bedingungs-Richtlinienoperatoren wie „gleich“ oder „kleiner als“.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen Operation aus. OR Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags im IAM-Benutzerhandbuch.
Der Datentyp eines Bedingungsschlüssels legt fest, welche Bedingungsoperatoren Sie für den Vergleich der Werte in der Anforderung mit den Werten in der Richtlinienanweisung verwenden können. Wenn Sie einen Bedingungsoperator verwenden, der nicht mit diesem Datentyp kompatibel ist, wird niemals eine Übereinstimmung ermittelt und die Richtlinienanweisung wird nie angewendet.
Neptune unterstützt andere Sätze von Bedingungsschlüsseln für administrative Richtlinienanweisungen als für Datenzugriffs-Richtlinienanweisungen:
Unterstützung für IAM-Richtlinien- und Zugriffssteuerungs-Features in Amazon Neptune
Die folgende Tabelle zeigt die IAM-Features, die Neptune für administrative Richtlinienanweisungen und Datenzugriff-Richtlinienanweisungen unterstützt:
| IAM-Feature | Administrativ | Datenzugriff |
|---|---|---|
Ja |
Ja |
|
Nein |
Nein |
|
Ja |
Ja |
|
Ja |
Ja |
|
Ja |
(eine Teilmenge) |
|
Ja |
Nein |
|
Nein |
Nein |
|
Ja |
Ja |
|
Ja |
Nein |
IAM-Richtlinien – Einschränkungen
Die Anwendung von Änderungen einer IAM-Richtlinie auf die angegebenen Neptune-Ressourcen kann bis zu 10 Minuten dauern.
IAM-Richtlinien, die auf einen Neptune-DB-Cluster angewendet werden, werden auf alle Instances in diesem Cluster angewendet.
Neptune unterstützt derzeit keine kontenübergreifende Zugriffskontrolle auf Datenebene. Die kontenübergreifende Zugriffskontrolle wird nur beim Massenladen und bei Verwendung von Rollenverkettung unterstützt. Weitere Informationen finden Sie im Tutorial zum Laden von Massenladungen.
