Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración del acceso a las bases de datos de Amazon Neptune mediante políticas de IAM
Las políticas de IAM son objetos JSON que definen los permisos para usar acciones y recursos.
AWSPara controlar el acceso, puede crear políticas y adjuntarlas a las AWS identidades o los recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWSevalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte Información general de políticas de JSON en la Guía del usuario de IAM.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué entidad principal puede realizar acciones sobre qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
Políticas basadas en identidad
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente en la Guía del usuario de IAM.
Las políticas basadas en identidad pueden ser políticas insertadas (incrustadas directamente en una sola identidad) o políticas administradas (políticas independientes asociadas a varias identidades). Para obtener más información sobre cómo elegir entre políticas administradas e insertadas, consulte Elegir entre políticas administradas y políticas insertadas en la Guía del usuario de IAM.
Uso de políticas de control de servicios (SCP) con AWS las organizaciones
Las políticas de control de servicios (SCPs) son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). AWS Organizations
Los clientes que implementan Amazon Neptune en una AWS cuenta de una AWS organización pueden aprovechar SCPs para controlar qué cuentas pueden usar Neptune. Para garantizar el acceso a Neptune desde una cuenta de miembro, asegúrese de:
-
Permitir el acceso a
rds:*yneptune-db:*para las operaciones de la base de datos de Neptune. Consulte ¿Por qué se necesitan los permisos y recursos de Amazon RDS para utilizar la base de datos de Neptune?para obtener más información sobre por qué se necesitan los permisos de Amazon RDS para la base de datos de Neptune. -
Permitir el acceso a
neptune-graph:*para las operaciones de Neptune Analytics.
Permisos necesarios para usar la consola de Amazon Neptune
Para que un usuario pueda trabajar con la consola de Amazon Neptune, debe tener un conjunto mínimo de permisos. Estos permisos permiten al usuario describir los recursos de Neptune para su AWS cuenta y proporcionar otra información relacionada, incluida la información de EC2 seguridad y de red de Amazon.
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de Neptune, asocie también la política administrada NeptuneReadOnlyAccess al usuario, según se explica en Uso de políticas AWS administradas para acceder a las bases de datos de Amazon Neptune.
No es necesario permitir permisos mínimos de consola a los usuarios que solo realizan llamadas a la API de Amazon Neptune AWS CLI o a la misma.
Asociación de una política de IAM a un usuario de IAM
Para aplicar una política administrada o personalizada, debe asociarla a un usuario de IAM. Para ver un tutorial acerca de este tema, consulte Crear y asociar su primera política administrada por el cliente en la Guía del usuario de IAM.
Mientras realiza el tutorial, puede usar uno de los ejemplos de política mostrados en esta sección como punto de partida y adaptarlo a sus necesidades. Al final del tutorial, tendrá un usuario de IAM con una política asociada que puede utilizar la acción neptune-db:*.
importante
-
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
-
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
Uso de diferentes tipos de políticas de IAM para controlar el acceso a Neptune
Para proporcionar acceso a las acciones administrativas de Neptune o a los datos de un clúster de base de datos de Neptune, debe asociar políticas a un rol o usuario de IAM. Para obtener información sobre cómo asociar una política de IAM a un usuario, consulte Asociación de una política de IAM a un usuario de IAM. Para obtener información sobre cómo asociar una política a un rol, consulte Adición y eliminación de políticas de IAM en la Guía del usuario de IAM.
Para el acceso general a Neptune, puede utilizar una de las políticas administradas de Neptune. Para que el acceso sea más restringido, puede crear su propia política personalizada utilizando las acciones administrativas y recursos que admite Neptune.
En una política de IAM personalizada, puede utilizar dos tipos diferentes de declaraciones de políticas que controlan los distintos modos de acceso a un clúster de base de datos de Neptune:
-
Declaraciones de política administrativa: las declaraciones de política administrativa proporcionan acceso a la administración de Neptune APIs que se utiliza para crear, configurar y administrar un clúster de base de datos y sus instancias.
Dado que Neptune comparte funcionalidades con Amazon RDS, las acciones administrativas, los recursos y las claves de condición de las políticas de Neptune utilizan un prefijo
rds:por diseño. -
Declaraciones de políticas de acceso a los datos: las declaraciones de políticas de acceso a los datos utilizan acciones de acceso a los datos, recursos y claves de condición para controlar el acceso a los datos que contiene un clúster de base de datos.
Las acciones de acceso a los datos, recursos y claves de condición de Neptune usan un prefijo.
neptune-db:
Uso de claves de contexto de condición de IAM en Amazon Neptune
Puede especificar las condiciones en una declaración de la política de IAM que controle el acceso a Neptune. La declaración de la política solo se aplica si se cumplen las condiciones.
Por ejemplo, es posible que desee que una declaración de política entre en vigor solo después de una fecha específica o que permita el acceso solo cuando la solicitud contenga un valor específico.
Para expresar condiciones, se utilizan claves de condición predefinidas en el elemento Condition de una declaración de política, junto con operadores de política de condiciones de IAM, como igual o menor que.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una operación lógicaOR. Se deben cumplir todas las condiciones antes de conceder los permisos de la declaración.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: Variables y etiquetas en la Guía del usuario de IAM.
El tipo de datos de una clave de condición determina qué operadores de condición puede utilizar para comparar los valores de la solicitud con los valores de la declaración de política. Si utiliza un operador de condición que no es compatible con ese tipo de datos, la coincidencia siempre falla y la declaración de política nunca se aplica.
Neptune admite diferentes conjuntos de claves de condición para las declaraciones de políticas administrativas que para las declaraciones de políticas de acceso a datos:
Compatibilidad con la política de IAM y las características de control de acceso en Amazon Neptune
La siguiente tabla muestra qué características de IAM admite Neptune para las declaraciones de políticas administrativas y las declaraciones de políticas de acceso a datos:
| Característica de IAM | Administración | Acceso a los datos |
|---|---|---|
Sí |
Sí |
|
No |
No |
|
Sí |
Sí |
|
Sí |
Sí |
|
Sí |
(un subconjunto) |
|
Sí |
No |
|
No |
No |
|
Sí |
Sí |
|
Sí |
No |
Limitaciones de las políticas de IAM
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
Neptune no admite actualmente el control de acceso entre cuentas en el plano de datos. El control de acceso entre cuentas solo se admite cuando se realizan cargas masivas y se utiliza el encadenamiento de roles. Para obtener más información, consulte el tutorial sobre carga masiva.
