Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración del acceso a las bases de datos de Amazon Neptune mediante políticas de IAM
Las [políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) son objetos JSON que definen los permisos para usar acciones y recursos.
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a las AWS identidades o los recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
## Políticas basadas en identidad
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
## Uso de políticas de control de servicios (SCP) con AWS las organizaciones
Las políticas de control de servicios (SCPs) son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations es un servicio para agrupar y administrar de forma centralizada varias AWS cuentas que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluido cada usuario raíz de la AWS cuenta. Para obtener más información sobre Organizations SCPs, consulte [Cómo SCPs trabajar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) en la Guía del AWS Organizations usuario.
Los clientes que implementan Amazon Neptune en una AWS cuenta de una AWS organización pueden aprovechar SCPs para controlar qué cuentas pueden usar Neptune. Para garantizar el acceso a Neptune desde una cuenta de miembro, asegúrese de:
+ Permitir el acceso a `rds:*` y `neptune-db:*` para las operaciones de la base de datos de Neptune. Consulte [¿Por qué se necesitan los permisos y recursos de Amazon RDS para utilizar la base de datos de Neptune?](https://aws.amazon.com/neptune/faqs/) para obtener más información sobre por qué se necesitan los permisos de Amazon RDS para la base de datos de Neptune.
+ Permitir el acceso a `neptune-graph:*` para las operaciones de Neptune Analytics.
## Permisos necesarios para usar la consola de Amazon Neptune
Para que un usuario pueda trabajar con la consola de Amazon Neptune, debe tener un conjunto mínimo de permisos. Estos permisos dejan al usuario describir los recursos de Neptune de su cuenta de AWS y proporcionar otra información relacionada, incluida información de red y seguridad de Amazon EC2.
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de Neptune, asocie también la política administrada `NeptuneReadOnlyAccess` al usuario, según se explica en [Uso de políticas AWS administradas para acceder a las bases de datos de Amazon Neptune](security-iam-access-managed-policies.md).
No es necesario permitir permisos mínimos de consola a los usuarios que solo realizan llamadas a la API de Amazon Neptune AWS CLI o a la misma.
## Asociación de una política de IAM a un usuario de IAM
Para aplicar una política administrada o personalizada, debe asociarla a un usuario de IAM. Para ver un tutorial acerca de este tema, consulte [ Crear y asociar su primera política administrada por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) en la *Guía del usuario de IAM*.
Mientras realiza el tutorial, puede usar uno de los ejemplos de política mostrados en esta sección como punto de partida y adaptarlo a sus necesidades. Al final del tutorial, tendrá un usuario de IAM con una política asociada que puede utilizar la acción `neptune-db:*`.
**importante**
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
## Uso de diferentes tipos de políticas de IAM para controlar el acceso a Neptune
Para proporcionar acceso a las acciones administrativas de Neptune o a los datos de un clúster de base de datos de Neptune, debe asociar políticas a un rol o usuario de IAM. Para obtener información sobre cómo asociar una política de IAM a un usuario, consulte [Asociación de una política de IAM a un usuario de IAM](#iam-auth-policy-attaching). Para obtener información sobre cómo asociar una política a un rol, consulte [Adición y eliminación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.
Para el acceso general a Neptune, puede utilizar una de las [políticas administradas](security-iam-access-managed-policies.md) de Neptune. Para que el acceso sea más restringido, puede crear su propia política personalizada utilizando las [acciones administrativas](neptune-iam-admin-actions.md) y [recursos](iam-admin-resources.md) que admite Neptune.
En una política de IAM personalizada, puede utilizar dos tipos diferentes de declaraciones de políticas que controlan los distintos modos de acceso a un clúster de base de datos de Neptune:
+ [Declaraciones de política administrativa](iam-admin-policies.md): las declaraciones de política administrativa proporcionan acceso a la [administración de Neptune APIs](api.md) que se utiliza para crear, configurar y administrar un clúster de base de datos y sus instancias.
Dado que Neptune comparte funcionalidades con Amazon RDS, las acciones administrativas, los recursos y las claves de condición de las políticas de Neptune utilizan un prefijo `rds:` por diseño.
+ [Declaraciones de políticas de acceso a los datos](iam-data-access-policies.md): las declaraciones de políticas de acceso a los datos utilizan [acciones de acceso a los datos](iam-dp-actions.md), [recursos](iam-data-resources.md) y [claves de condición](iam-data-condition-keys.md#iam-neptune-condition-keys) para controlar el acceso a los datos que contiene un clúster de base de datos.
Las acciones de acceso a los datos, recursos y claves de condición de Neptune usan un prefijo. `neptune-db:`
## Uso de claves de contexto de condición de IAM en Amazon Neptune
Puede especificar las condiciones en una declaración de la política de IAM que controle el acceso a Neptune. La declaración de la política solo se aplica si se cumplen las condiciones.
Por ejemplo, es posible que desee que una declaración de política entre en vigor solo después de una fecha específica o que permita el acceso solo cuando la solicitud contenga un valor específico.
Para expresar condiciones, se utilizan claves de condición predefinidas en el elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una declaración de política, junto con [operadores de política de condiciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como igual o menor que.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una operación lógica`OR`. Se deben cumplir todas las condiciones antes de conceder los permisos de la declaración.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para obtener más información, consulte [Elementos de la política de IAM: Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
El tipo de datos de una clave de condición determina qué operadores de condición puede utilizar para comparar los valores de la solicitud con los valores de la declaración de política. Si utiliza un operador de condición que no es compatible con ese tipo de datos, la coincidencia siempre falla y la declaración de política nunca se aplica.
Neptune admite diferentes conjuntos de claves de condición para las declaraciones de políticas administrativas que para las declaraciones de políticas de acceso a datos:
+ [Claves de condición para las declaraciones de políticas administrativas](iam-admin-condition-keys.md)
+ [Claves de condición para las declaraciones de políticas de acceso a los datos](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Compatibilidad con la política de IAM y las características de control de acceso en Amazon Neptune
La siguiente tabla muestra qué características de IAM admite Neptune para las declaraciones de políticas administrativas y las declaraciones de políticas de acceso a datos:
**Características de IAM que puede utilizar con Neptune**
| Característica de IAM | Administración | Acceso a los datos |
| --- | --- | --- |
| [Políticas basadas en identidades](#security_iam_access-manage-id-based-policies) | Sí | Sí |
| [Políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | No | No |
| [Acciones de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sí | Sí |
| [Recursos de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sí | Sí |
| [Claves de condición global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sí | (un subconjunto) |
| [Claves de condición basadas en etiquetas](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sí | No |
| [Listas de control de acceso (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | No | No |
| [Políticas de control de servicios (SCPs)](#security_iam_access-manage-scp) | Sí | Sí |
| [Roles vinculados a servicios](security-iam-service-linked-roles.md) | Sí | No |
## Limitaciones de las políticas de IAM
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
Neptune no admite actualmente el control de acceso entre cuentas en el plano de datos. El control de acceso entre cuentas solo se admite cuando se realizan cargas masivas y se utiliza el encadenamiento de roles. Para obtener más información, consulte [el tutorial sobre carga masiva](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).