Authentifizieren Sie Ihre Amazon Neptune Neptune-Datenbank mit AWS Identity and Access Management - Amazon Neptune
Verschiedene RollenVerwenden von Identitäten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizieren Sie Ihre Amazon Neptune Neptune-Datenbank mit AWS Identity and Access Management

AWS Identity and Access Management(IAM) hilft einem Administrator, den Zugriff auf AWS-Service Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren steuern, wer für die Verwendung von Neptune-Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) werden kann. IAM ist ein ProgrammAWS-Service, das Sie ohne zusätzliche Kosten nutzen können.

Sie können AWS Identity and Access Management (IAM) verwenden, um sich bei Ihrer Neptune-DB-Instance oder Ihrem DB-Cluster zu authentifizieren. Wenn die IAM-Datenbankauthentifizierung aktiviert ist, muss jede Anfrage mit Signature Version 4 signiert werden. AWS

AWSSignature Version 4 fügt Authentifizierungsinformationen zu AWS Anfragen hinzu. Aus Sicherheitsgründen müssen alle Anfragen an Neptune-DB-Cluster mit aktivierter IAM-Authentifizierung mit einem Zugriffsschlüssel signiert werden. Dieser Schlüssel besteht aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Die Authentifizierung wird extern über IAM-Richtlinien verwaltet.

Neptune authentifiziert sich bei der Verbindung und überprüft bei WebSockets Verbindungen regelmäßig die Berechtigungen, um sicherzustellen, dass der Benutzer weiterhin Zugriff hat.

Anmerkung

  • Das Widerrufen, Löschen oder Rotieren von Anmeldeinformationen in Verbindung mit IAM-Benutzern wird nicht empfohlen, da dies keine bereits geöffneten Verbindungen beendet.

  • Es gibt Beschränkungen für die Anzahl gleichzeitiger WebSocket Verbindungen pro Datenbankinstanz und für die Dauer, die eine Verbindung bestehen kann. Weitere Informationen finden Sie unter WebSockets Grenzwerte.

Die Nutzung von IAM ist von Ihrer Rolle abhängig

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Neptune ausführen.

Service-Benutzer – Wenn Sie den Neptune-Service zur Ausführung von Aufgaben verwenden, stellt Ihnen Ihr Administrator die nötigen Anmeldeinformationen und Berechtigungen für die Nutzung der Neptune-Datenebene bereit. Wenn Sie einen umfangreicheren Zugriff benötigen, kann Ihnen Wissen über die Zugriffsverwaltung helfen, die richtigen Berechtigungen bei Ihrem Administrator anzufordern.

Service-Administrator – Wenn Sie in Ihrem Unternehmen für Neptune-Ressourcen verantwortlich sind, haben Sie wahrscheinlich Zugriff auf Neptune-Verwaltungsaktionen über die Neptune-Verwaltungs-API. Möglicherweise ermitteln Sie auch, welche Neptune-Datenzugriffsaktionen und Ressourcen Service-Benutzer benötigen, um ihre Arbeit zu erledigen. Ein IAM-Administrator kann anschließend IAM-Richtlinien anwenden, um die Berechtigungen Ihrer Service-Benutzer zu ändern.

IAM-Administrator – Wenn Sie IAM-Administrator sind, müssen Sie IAM-Richtlinien für die Verwaltung und den Datenzugriff in Neptune verfassen. Beispiele für identitätsbasierte Neptune-Richtlinien, die Sie in verwenden können, finden Sie unter Verwenden verschiedener Arten von IAM-Richtlinien für die Steuerung des Zugriffs auf Neptune.

Authentifizieren mit Identitäten

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter So melden Sie sich bei Ihrem AWS-Konto an im Benutzerhandbuch für AWS-Anmeldung.

AWSBietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter AWS Signature Version 4 for API requests im IAM-Benutzerhandbuch.

AWS-KontoRoot-Benutzer

Wenn Sie einen erstellenAWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto Root-Benutzer, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Tasks that require root user credentials im IAM-Benutzerhandbuch.

IAM-Benutzer und -Gruppen

Ein IAM-Benutzer ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.

Eine IAM-Gruppe spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter Anwendungsfälle für IAM-Benutzer im IAM-Benutzerhandbuch.

IAM-Rollen

Eine IAM-Rolle ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter Methoden, um eine Rolle zu übernehmen im IAM-Benutzerhandbuch.

IAM-Rollen sind nützlich für Verbundbenutzerzugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, dienstübergreifenden Zugriff und Anwendungen, die auf Amazon ausgeführt werden. EC2 Weitere Informationen finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.