Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengelola akses ke database Amazon Neptunus menggunakan kebijakan IAM
[Kebijakan IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) adalah objek JSON yang menentukan izin untuk menggunakan tindakan dan sumber daya.
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
## Kebijakan Berbasis Identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
## Menggunakan Kebijakan Kontrol Layanan (SCP) dengan organisasi AWS
Kebijakan kontrol layanan (SCPs) adalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di. [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations adalah layanan untuk mengelompokkan dan mengelola beberapa AWS akun secara terpusat yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam organisasi, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCP membatasi izin untuk entitas di akun anggota, termasuk setiap pengguna root AWS akun. Untuk informasi selengkapnya tentang Organizations dan SCPs, lihat [Cara SCPs kerja](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) di Panduan AWS Organizations Pengguna.
Pelanggan yang menggunakan Amazon Neptunus di Akun AWS dalam Organisasi SCPs dapat memanfaatkan untuk mengontrol akun AWS mana yang dapat menggunakan Neptunus. Untuk memastikan akses ke Neptunus dalam akun anggota, pastikan untuk:
+ Izinkan akses ke `rds:*` dan `neptune-db:*` untuk operasi basis data Neptunus. Lihat [Mengapa izin dan sumber daya Amazon RDS diperlukan untuk menggunakan Database Neptunus](https://aws.amazon.com/neptune/faqs/)? untuk detail tentang mengapa izin Amazon RDS diperlukan untuk database Neptunus.
+ Izinkan akses `neptune-graph:*` untuk operasi Neptunus Analytics.
## Izin Diperlukan untuk Menggunakan Konsol Amazon Neptune
Agar pengguna dapat bekerja dengan konsol Amazon Neptune, pengguna tersebut harus memiliki set izin minimum. Izin ini memungkinkan pengguna untuk menjelaskan sumber daya Neptune untuk akun AWS mereka dan untuk menyediakan informasi terkait lainnya, termasuk informasi keamanan dan jaringan Amazon EC2.
Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Neptune, lampirkan juga kebijakan `NeptuneReadOnlyAccess` yang dikelola kepada pengguna, sebagaimana dijelaskan dalam [Menggunakan kebijakan AWS terkelola untuk mengakses database Amazon Neptunus](security-iam-access-managed-policies.md).
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke API Amazon Neptunus AWS CLI atau Amazon Neptunus.
## Melampirkan Kebijakan IAM ke pengguna IAM
Untuk menerapkan kebijakan terkelola atau kustom, Anda melampirkannya ke pengguna IAM. Untuk tutorial tentang topik ini, lihat [ Buat dan Lampirkan Kebijakan Pengelolaan Pelanggan Pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) dalam *Panduan Pengguna IAM*.
Saat mengikuti tutorial ini, Anda dapat menggunakan salah satu contoh kebijakan yang ditunjukkan dalam bagian ini sebagai titik awal dan menyesuaikannya dengan kebutuhan Anda. Di akhir tutorial, Anda memiliki seorang pengguna IAM dengan kebijakan terlampir yang dapat menggunakan tindakan `neptune-db:*`.
**penting**
Perubahan kebijakan IAM memakan waktu hingga 10 menit untuk diterapkan ke sumber daya Neptune yang ditentukan.
Kebijakan IAM diterapkan ke klaster DB Neptune berlaku untuk semua instans dalam klaster itu.
## Menggunakan berbagai jenis kebijakan IAM untuk mengontrol akses ke Neptunus
Untuk menyediakan akses ke tindakan administratif Neptunus atau ke data dalam klaster DB Neptunus, Anda melampirkan kebijakan ke pengguna atau peran IAM. Untuk informasi tentang cara melampirkan kebijakan IAM ke pengguna, lihat[Melampirkan Kebijakan IAM ke pengguna IAM](#iam-auth-policy-attaching). Untuk informasi tentang melampirkan kebijakan ke peran, lihat [Menambahkan dan Menghapus Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.
[Untuk akses umum ke Neptunus, Anda dapat menggunakan salah satu kebijakan terkelola Neptunus.](security-iam-access-managed-policies.md) Untuk akses yang lebih terbatas, Anda dapat membuat kebijakan kustom Anda sendiri menggunakan [tindakan administratif](neptune-iam-admin-actions.md) dan [sumber daya yang didukung](iam-admin-resources.md) Neptunus..
Dalam kebijakan IAM kustom, Anda dapat menggunakan dua jenis pernyataan kebijakan berbeda yang mengontrol mode akses yang berbeda ke kluster DB Neptunus:
+ [Pernyataan kebijakan administratif](iam-admin-policies.md) — Pernyataan kebijakan administratif menyediakan akses ke APIs manajemen [Neptunus](api.md) yang Anda gunakan untuk membuat, mengonfigurasi, dan mengelola klaster DB dan instansnya.
Karena Neptunus berbagi fungsionalitas dengan Amazon RDS, tindakan administratif, sumber daya, dan kunci kondisi dalam kebijakan Neptunus menggunakan awalan berdasarkan desain. `rds:`
+ [Pernyataan kebijakan akses data — Pernyataan](iam-data-access-policies.md) kebijakan akses data menggunakan [tindakan akses data](iam-dp-actions.md), [sumber daya](iam-data-resources.md), dan [kunci kondisi](iam-data-condition-keys.md#iam-neptune-condition-keys) untuk mengontrol akses data yang berisi kluster DB.
Tindakan akses data Neptunus, sumber daya, dan kunci kondisi menggunakan awalan. `neptune-db:`
## Menggunakan kunci konteks kondisi IAM di Amazon Neptunus
Anda dapat menentukan kondisi dalam pernyataan kebijakan IAM yang mengontrol akses ke Neptunus. Pernyataan kebijakan kemudian berlaku hanya jika kondisinya benar.
Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku hanya setelah tanggal tertentu, atau mengizinkan akses hanya jika nilai tertentu ada dalam permintaan.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan dalam [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)elemen pernyataan kebijakan, bersama dengan [operator kebijakan kondisi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) seperti sama atau kurang dari.
Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM: Variabel dan Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
Tipe data dari kunci kondisi menentukan operator kondisi yang dapat Anda gunakan untuk membandingkan nilai dalam permintaan dengan nilai dalam pernyataan kebijakan. Jika Anda menggunakan operator kondisi yang tidak kompatibel dengan tipe data tersebut, kecocokan selalu gagal dan pernyataan kebijakan tidak pernah berlaku.
Neptunus mendukung kumpulan kunci kondisi yang berbeda untuk pernyataan kebijakan administratif daripada untuk pernyataan kebijakan akses data:
+ [Kunci kondisi untuk pernyataan kebijakan administratif](iam-admin-condition-keys.md)
+ [Kunci kondisi untuk pernyataan kebijakan akses data](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Dukungan untuk kebijakan IAM dan fitur kontrol akses di Amazon Neptunus
Tabel berikut menunjukkan fitur IAM yang didukung Neptunus untuk pernyataan kebijakan administratif dan pernyataan kebijakan akses data:
**Fitur IAM yang dapat Anda gunakan dengan Neptunus**
| Fitur IAM | Administratif | Akses data |
| --- | --- | --- |
| [Kebijakan berbasis identitas](#security_iam_access-manage-id-based-policies) | Ya | Ya |
| [Kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | Tidak | Tidak |
| [Tindakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Ya | Ya |
| [Sumber daya kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Ya | Ya |
| [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Ya | (subset) |
| [Kunci kondisi berbasis tag](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Ya | Tidak |
| [Daftar Kontrol Akses (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | Tidak | Tidak |
| [Kebijakan kontrol layanan (SCPs)](#security_iam_access-manage-scp) | Ya | Ya |
| [Peran terkait layanan](security-iam-service-linked-roles.md) | Ya | Tidak |
## Keterbatasan Kebijakan IAM
Perubahan kebijakan IAM memakan waktu hingga 10 menit untuk diterapkan ke sumber daya Neptune yang ditentukan.
Kebijakan IAM diterapkan ke klaster DB Neptune berlaku untuk semua instans dalam klaster itu.
Neptunus saat ini tidak mendukung kontrol akses lintas akun di tingkat bidang data. Kontrol akses lintas akun hanya didukung saat pemuatan massal dan dengan menggunakan rantai peran. Untuk informasi lebih lanjut, lihat [Tutorial pemuatan massal](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).