Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'accesso ai database Amazon Neptune utilizzando le policy IAM
Le [policy IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) sono oggetti JSON che definiscono le autorizzazioni per utilizzare azioni e risorse.
Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
## Policy basate sulle identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
## Utilizzo delle politiche di controllo dei servizi (SCP) con le organizzazioni AWS
Le politiche di controllo del servizio (SCPs) sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più AWS account di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta [How SCPs work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) nella AWS Organizations User Guide.
I clienti che implementano Amazon Neptune AWS in un account AWS all'interno di un'organizzazione SCPs possono sfruttare per controllare quali account possono utilizzare Neptune. Per garantire l'accesso a Neptune all'interno di un account membro, assicurati di:
+ Consenti l'accesso a `rds:*` e `neptune-db:*` per le operazioni del database Neptune. Consulta [Perché sono necessarie le autorizzazioni e le risorse di Amazon RDS per utilizzare il database Neptune](https://aws.amazon.com/neptune/faqs/)? per informazioni dettagliate sul motivo per cui sono necessarie le autorizzazioni Amazon RDS per il database Neptune.
+ Consenti l'accesso alle `neptune-graph:*` operazioni di Neptune Analytics.
## Autorizzazioni necessarie per utilizzare la console Amazon Neptune
Affinché un utente possa utilizzare la console Amazon Neptune, è necessario che disponga di un set minimo di autorizzazioni. Queste autorizzazioni permettono all'utente di descrivere le risorse Neptune per il proprio account AWS e di fornire altre informazioni correlate, tra cui informazioni sulla sicurezza e sulla rete di Amazon EC2.
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che gli utenti possano continuare a utilizzare la console Neptune, collega anche la policy gestita `NeptuneReadOnlyAccess` all'utente, come descritto in [Utilizzo di policy AWS gestite per accedere ai database Amazon Neptune](security-iam-access-managed-policies.md).
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l' AWS CLI API Amazon Neptune.
## Collegamento di una policy IAM a un utente IAM
Per applicare una policy gestita o personalizzata, collegarla a un utente IAM. Per un tutorial su questo argomento, consulta [ Creare e collegare la tua prima policy gestita dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) nella *Guida per l'utente IAM*.
Durante il tutorial, puoi utilizzare uno degli esempi di policy indicati in questa sezione come punto di partenza e personalizzarli in base alle tue esigenze. Al termine del tutorial, avrai un utente IAM con una policy collegata che potrà utilizzare l'operazione `neptune-db:*`.
**Importante**
Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.
Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.
## Utilizzo di diversi tipi di policy IAM per controllare l'accesso a Neptune
Per fornire l'accesso alle azioni amministrative di Neptune o ai dati in un cluster database Neptune, collegare le policy a un utente o un ruolo IAM. Per informazioni sul collegamento di una policy IAM a un utente, consulta [Collegamento di una policy IAM a un utente IAM](#iam-auth-policy-attaching). Per informazioni su come collegare una policy a un ruolo, consulta [Aggiunta e rimozione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*.
Per l'accesso generale a Neptune, puoi utilizzare una delle [policy gestite](security-iam-access-managed-policies.md) di Neptune. Per un accesso più limitato, puoi creare la tua policy personalizzata utilizzando le [azioni e le [risorse](iam-admin-resources.md) amministrative](neptune-iam-admin-actions.md) supportate da Neptune.
In una policy IAM personalizzata, puoi utilizzare due diversi tipi di dichiarazioni di policy che controllano diverse modalità di accesso a un cluster database Neptune:
+ [Dichiarazioni sui criteri amministrativi](iam-admin-policies.md): le dichiarazioni dei criteri amministrativi forniscono l'accesso alla APIs gestione di [Neptune](api.md) utilizzata per creare, configurare e gestire un cluster DB e le relative istanze.
Poiché Neptune condivide funzionalità con Amazon RDS, le azioni amministrative, le risorse e le chiavi di condizione nelle policy Neptune utilizzano un prefisso `rds:` per impostazione predefinita.
+ [Dichiarazioni di policy di accesso ai dati](iam-data-access-policies.md): le dichiarazioni di policy di accesso ai dati utilizzano [azioni di accesso ai dati](iam-dp-actions.md), [risorse](iam-data-resources.md) e [chiavi di condizione](iam-data-condition-keys.md#iam-neptune-condition-keys) per controllare l'accesso ai dati contenuti in un cluster database.
Le azioni di accesso ai dati, le risorse e le chiavi di condizione di Neptune utilizzano un prefisso `neptune-db:`.
## Utilizzo delle chiavi di contesto delle condizioni IAM in Amazon Neptune
È possibile specificare le condizioni in una dichiarazione di policy IAM che controlla l'accesso a Neptune. La dichiarazione di policy diventa effettiva solo quando le condizioni sono true.
Ad esempio, potresti volere che una dichiarazione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta è presente un valore specifico.
Per specificare le condizioni, è possibile utilizzare le chiavi di condizione predefinite nell'elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una dichiarazione di policy insieme agli [operatori della policy della condizione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) come uguale a o minore di.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. `OR` Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
Il tipo di dati di una chiave di condizione determina quali operatori di condizione è possibile utilizzare per confrontare i valori nella richiesta con i valori della dichiarazione di policy. Se si utilizza un operatore di condizione che non è compatibile con tale tipo di dati, la corrispondenza ha sempre esito negativo e la dichiarazione di policy non viene mai applicata.
Neptune supporta diversi set di chiavi di condizione per le dichiarazioni di policy amministrative rispetto alle dichiarazioni di policy di accesso ai dati:
+ [Chiavi di condizione per le dichiarazioni di policy amministrative](iam-admin-condition-keys.md)
+ [Chiavi di condizione per le dichiarazioni di policy di accesso ai dati](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Supporto delle funzionalità delle policy IAM e di controllo degli accessi in Amazon Neptune
La tabella seguente mostra le funzionalità IAM supportate da Neptune per le dichiarazioni di policy amministrative e le dichiarazioni di policy di accesso ai dati:
**Funzionalità IAM che è possibile utilizzare con Neptune**
| Funzionalità IAM | Amministrativa | Accesso ai dati |
| --- | --- | --- |
| [Policy basate sull’identità](#security_iam_access-manage-id-based-policies) | Sì | Sì |
| [Policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | No | No |
| [Operazioni di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sì | Sì |
| [Risorse relative alle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sì | Sì |
| [Chiavi della condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sì | (un sottoinsieme) |
| [Chiavi di condizione basate su tag](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sì | No |
| [Liste di controllo degli accessi () ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | No | No |
| [Politiche di controllo del servizio (SCPs)](#security_iam_access-manage-scp) | Sì | Sì |
| [Ruoli collegati ai servizi](security-iam-service-linked-roles.md) | Sì | No |
## Limitazioni della policy IAM
Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.
Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.
Neptune attualmente non supporta il controllo degli accessi tra account a livello di piano dati. Il controllo degli accessi tra account è supportato solo in caso di caricamento in blocco e utilizzando il concatenamento dei ruoli. [Per ulteriori informazioni, consulta il tutorial sul caricamento in blocco.](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account)