Autenticación de la base de datos de Amazon Neptune con AWS Identity and Access Management - Amazon Neptune
Roles diferentesUso de identidades

Autenticación de la base de datos de Amazon Neptune con AWS Identity and Access Management

AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los gestionadores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién puede estar autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos de Neptune. IAM es un servicio de Servicio de AWS que se puedes utilizar sin cargo adicional.

Puede usar AWS Identity and Access Management (IAM) para autenticarse en la instancia de base de datos o clúster de base de datos de Neptune. Cuando la autenticación de bases de datos de IAM está habilitada, cada una de las solicitudes debe firmarse con AWS Signature Version 4.

AWS Signature Version 4 añade información de autenticación a las solicitudes de AWS. Por motivos de seguridad, todas las solicitudes a los clústeres de bases de datos de Neptune con autenticación de IAM habilitada se deben firmar con una clave de acceso. La clave consta de un ID de clave de acceso y una clave de acceso secreta. La autenticación se administra de forma externa mediante políticas de IAM.

Neptune se autentica al conectarse y, en el caso de las conexiones de WebSockets, verifica los permisos periódicamente para asegurarse de que el usuario sigue teniendo acceso.

nota

  • La revocación, eliminación o rotación de las credenciales asociadas al usuario de IAM no es recomendable porque no finaliza ninguna conexión que ya esté abierta.

  • Hay límites en cuanto a la cantidad de conexiones WebSocket simultáneas por instancia de base de datos y el tiempo que una conexión puede permanecer abierta. Para obtener más información, consulte Límites de Websockets.

El uso de IAM depende de la función

La forma en que utilice AWS Identity and Access Management (IAM) difiere en función del trabajo que realice en Neptune.

Usuario de servicio: si utiliza el servicio de Neptune para realizar su trabajo, su administrador le proporciona las credenciales y los permisos que necesita para utilizar el plano de datos de Neptune. A medida que necesite más acceso para realizar su trabajo, comprender cómo se administra el acceso a los datos puede ayudarle a solicitar los permisos adecuados a su administrador.

Administrador de servicio: si está a cargo de los recursos de Neptune en su empresa, probablemente tenga acceso a las acciones de administración de Neptune, que corresponden a la API de administración de Neptune. También puede ser su trabajo determinar qué acciones y recursos de acceso a datos de Neptune necesitan los usuarios del servicio para realizar su trabajo. En ese caso, un administrador de IAM puede aplicar políticas de IAM para cambiar los permisos de los usuarios de su servicio.

Administrador de IAM: si es administrador de IAM, tendrá que escribir políticas de IAM para la administración y el acceso de datos a Neptune. Para ver ejemplos de políticas basadas en la identidad de Neptune que puede utilizar, consulte Uso de diferentes tipos de políticas de IAM para controlar el acceso a Neptune.

Autenticación con identidades

La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe estar autenticado como Usuario raíz de la cuenta de AWS, como usuario de IAM o asumiendo un rol de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), autenticación de inicio de sesión único o credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte Cómo iniciar sesión en la Cuenta de AWS en la Guía del usuario de AWS Sign-In.

Para acceder mediante programación, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte AWS Signature Version 4 para solicitudes de API en la Guía del usuario de IAM.

Usuario raíz de la Cuenta de AWS

Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada usuario raíz de la Cuenta de AWS, que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para las tareas cotidianas. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

Usuarios y grupos de IAM

Un usuario de IAM es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos utilizar credenciales temporales en lugar de usuarios de IAM con credenciales a largo plazo. Para obtener más información, consulte Solicitar que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS mediante credenciales temporales en la Guía del usuario de IAM.

Un grupo de IAM especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.

Roles de IAM

Un rol de IAM es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol cambiando de usuario a rol de IAM (consola) o llamando a una operación de AWS CLI o de la API de AWS. Para obtener más información, consulte Métodos para asumir un rol en la Guía del usuario de IAM.

Los roles de IAM son útiles para el acceso de usuarios federados, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.