Autenticación de la base de datos de Amazon Neptune con AWS Identity and Access Management - Amazon Neptune
Roles diferentesUso de identidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación de la base de datos de Amazon Neptune con AWS Identity and Access Management

AWS Identity and Access Management(IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede estar autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos de Neptune. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.

Puede usar AWS Identity and Access Management (IAM) para autenticarse en su instancia de base de datos o clúster de base de datos de Neptune. Cuando la autenticación de bases de datos de IAM está habilitada, cada solicitud debe firmarse con AWS la versión 4 de Signature.

AWSLa versión 4 de Signature agrega información de autenticación a AWS las solicitudes. Por motivos de seguridad, todas las solicitudes a los clústeres de bases de datos de Neptune con autenticación de IAM habilitada se deben firmar con una clave de acceso. La clave consta de un ID de clave de acceso y una clave de acceso secreta. La autenticación se administra de forma externa mediante políticas de IAM.

Neptune se autentica en la conexión y, en el caso de WebSockets las conexiones, verifica los permisos periódicamente para garantizar que el usuario siga teniendo acceso.

nota

  • La revocación, eliminación o rotación de las credenciales asociadas al usuario de IAM no es recomendable porque no finaliza ninguna conexión que ya esté abierta.

  • Hay límites en el número de WebSocket conexiones simultáneas por instancia de base de datos y en cuanto al tiempo que una conexión puede permanecer abierta. Para obtener más información, consulte WebSockets Límites.

El uso de IAM depende de la función

La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo que se realice en Neptune.

Usuario de servicio: si utiliza el servicio de Neptune para realizar su trabajo, su administrador le proporciona las credenciales y los permisos que necesita para utilizar el plano de datos de Neptune. A medida que necesite más acceso para realizar su trabajo, comprender cómo se administra el acceso a los datos puede ayudarle a solicitar los permisos adecuados a su administrador.

Administrador de servicio: si está a cargo de los recursos de Neptune en su empresa, probablemente tenga acceso a las acciones de administración de Neptune, que corresponden a la API de administración de Neptune. También puede ser su trabajo determinar qué acciones y recursos de acceso a datos de Neptune necesitan los usuarios del servicio para realizar su trabajo. En ese caso, un administrador de IAM puede aplicar políticas de IAM para cambiar los permisos de los usuarios de su servicio.

Administrador de IAM: si es administrador de IAM, tendrá que escribir políticas de IAM para la administración y el acceso de datos a Neptune. Para ver ejemplos de políticas basadas en la identidad de Neptune que puede utilizar, consulte Uso de diferentes tipos de políticas de IAM para controlar el acceso a Neptune.

Autenticación con identidades

La autenticación es la forma de iniciar sesión AWS con sus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte Cómo iniciar sesión en la Cuenta de AWS en la Guía del usuario de AWS Sign-In.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte AWS Signature Version 4 para solicitudes de API en la Guía del usuario de IAM.

Cuenta de AWSusuario root

Al crear unCuenta de AWS, se comienza con una identidad de inicio de sesión denominada usuario Cuenta de AWS raíz que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

Usuarios y grupos de IAM

Un usuario de IAM es una identidad con permisos específicos para una sola persona o aplicación. Se recomiendael uso de credenciales temporales en lugar de usuarios de IAM con credenciales a largo plazo. Para obtener más información, consulte Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales en la Guía del usuario de IAM.

Un grupo de IAM especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.

Roles de IAM

Un rol de IAM es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol cambiando de un rol de usuario a uno de IAM (consola) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte Métodos para asumir un rol en la Guía del usuario de IAM.

Las funciones de IAM son útiles para el acceso de usuarios federados, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon. EC2 Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.