Gestione dell'accesso ai database Amazon Neptune utilizzando le policy IAM - Amazon Neptune
Policy basate sulle identitàPolicy di controllo dei serviziAccesso alla console NeptuneCollegamento di una policyTipi di policy IAMUtilizzo delle chiavi di condizioneSupporto delle funzionalità IAMLimitazioni della policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell'accesso ai database Amazon Neptune utilizzando le policy IAM

Le policy IAM sono oggetti JSON che definiscono le autorizzazioni per utilizzare azioni e risorse.

Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWSvaluta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l’utente IAM.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale principale può eseguire azioni su quali risorse e in quali condizioni.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

Policy basate sulle identità

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy definiscono le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente IAM.

Le policy basate su identità possono essere policy in linea (incorporate direttamente in una singola identità) o policy gestite (policy standalone collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta Scegliere tra policy gestite e policy in linea nella Guida per l’utente di IAM.

Utilizzo delle politiche di controllo dei servizi (SCP) con le organizzazioni AWS

Le politiche di controllo del servizio (SCPs) sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizationsè un servizio per il raggruppamento e la gestione centralizzata di più AWS account di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta How SCPs work nella AWS Organizations User Guide.

I clienti che implementano Amazon Neptune AWS in un account AWS all'interno di un'organizzazione SCPs possono sfruttare per controllare quali account possono utilizzare Neptune. Per garantire l'accesso a Neptune all'interno di un account membro, assicurati di:

Autorizzazioni necessarie per utilizzare la console Amazon Neptune

Affinché un utente possa utilizzare la console Amazon Neptune, è necessario che disponga di un set minimo di autorizzazioni. Queste autorizzazioni consentono all'utente di descrivere le risorse Neptune per il AWS proprio account e di fornire altre informazioni correlate, tra cui la sicurezza e le informazioni di rete di EC2 Amazon.

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che gli utenti possano continuare a utilizzare la console Neptune, collega anche la policy gestita NeptuneReadOnlyAccess all'utente, come descritto in Utilizzo di policy AWS gestite per accedere ai database Amazon Neptune.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l'AWS CLIAPI Amazon Neptune.

Collegamento di una policy IAM a un utente IAM

Per applicare una policy gestita o personalizzata, collegarla a un utente IAM. Per un tutorial su questo argomento, consulta Creare e collegare la tua prima policy gestita dal cliente nella Guida per l'utente IAM.

Durante il tutorial, puoi utilizzare uno degli esempi di policy indicati in questa sezione come punto di partenza e personalizzarli in base alle tue esigenze. Al termine del tutorial, avrai un utente IAM con una policy collegata che potrà utilizzare l'operazione neptune-db:*.

Importante

  • Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.

  • Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.

Utilizzo di diversi tipi di policy IAM per controllare l'accesso a Neptune

Per fornire l'accesso alle azioni amministrative di Neptune o ai dati in un cluster database Neptune, collegare le policy a un utente o un ruolo IAM. Per informazioni sul collegamento di una policy IAM a un utente, consulta Collegamento di una policy IAM a un utente IAM. Per informazioni su come collegare una policy a un ruolo, consulta Aggiunta e rimozione delle policy IAM nella Guida per l'utente di IAM.

Per l'accesso generale a Neptune, puoi utilizzare una delle policy gestite di Neptune. Per un accesso più limitato, puoi creare la tua policy personalizzata utilizzando le azioni e le risorse amministrative supportate da Neptune.

In una policy IAM personalizzata, puoi utilizzare due diversi tipi di dichiarazioni di policy che controllano diverse modalità di accesso a un cluster database Neptune:

  • Dichiarazioni sui criteri amministrativi: le dichiarazioni dei criteri amministrativi forniscono l'accesso alla APIs gestione di Neptune utilizzata per creare, configurare e gestire un cluster DB e le relative istanze.

    Poiché Neptune condivide funzionalità con Amazon RDS, le azioni amministrative, le risorse e le chiavi di condizione nelle policy Neptune utilizzano un prefisso rds: per impostazione predefinita.

  • Dichiarazioni di policy di accesso ai dati: le dichiarazioni di policy di accesso ai dati utilizzano azioni di accesso ai dati, risorse e chiavi di condizione per controllare l'accesso ai dati contenuti in un cluster database.

    Le azioni di accesso ai dati, le risorse e le chiavi di condizione di Neptune utilizzano un prefisso neptune-db:.

Utilizzo delle chiavi di contesto delle condizioni IAM in Amazon Neptune

È possibile specificare le condizioni in una dichiarazione di policy IAM che controlla l'accesso a Neptune. La dichiarazione di policy diventa effettiva solo quando le condizioni sono true.

Ad esempio, potresti volere che una dichiarazione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta è presente un valore specifico.

Per specificare le condizioni, è possibile utilizzare le chiavi di condizione predefinite nell'elemento Condition di una dichiarazione di policy insieme agli operatori della policy della condizione IAM come uguale a o minore di.

Se specifichi più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione AND logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.

È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.

Il tipo di dati di una chiave di condizione determina quali operatori di condizione è possibile utilizzare per confrontare i valori nella richiesta con i valori della dichiarazione di policy. Se si utilizza un operatore di condizione che non è compatibile con tale tipo di dati, la corrispondenza ha sempre esito negativo e la dichiarazione di policy non viene mai applicata.

Neptune supporta diversi set di chiavi di condizione per le dichiarazioni di policy amministrative rispetto alle dichiarazioni di policy di accesso ai dati:

Supporto delle funzionalità delle policy IAM e di controllo degli accessi in Amazon Neptune

La tabella seguente mostra le funzionalità IAM supportate da Neptune per le dichiarazioni di policy amministrative e le dichiarazioni di policy di accesso ai dati:

Funzionalità IAM che è possibile utilizzare con Neptune
Funzionalità IAM Amministrativa Accesso ai dati

Policy basate sull’identità

Policy basate su risorse

No

No

Operazioni di policy

Risorse relative alle policy

Chiavi della condizione globale

(un sottoinsieme)

Chiavi di condizione basate su tag

No

Liste di controllo degli accessi () ACLs

No

No

Politiche di controllo del servizio (SCPs)

Ruoli collegati ai servizi

No

Limitazioni della policy IAM

Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.

Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.

Neptune attualmente non supporta il controllo degli accessi tra account a livello di piano dati. Il controllo degli accessi tra account è supportato solo in caso di caricamento in blocco e utilizzando il concatenamento dei ruoli. Per ulteriori informazioni, consulta il tutorial sul caricamento in blocco.