を使用して Amazon Neptune をセットアップするための前提条件 AWS CloudFormation - Amazon Neptune
Amazon EC2 キーペアアクセス許可を追加する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用して Amazon Neptune をセットアップするための前提条件 AWS CloudFormation

AWS CloudFormation テンプレートを使用して Amazon Neptune クラスターを作成する前に、以下が必要です。

  • Amazon EC2 のキーペア。

  • の使用に必要なアクセス許可 AWS CloudFormation。

を使用して Neptune クラスターを起動するために使用する Amazon EC2 キーペアを作成する AWS CloudFormation

AWS CloudFormation テンプレートを使用して Neptune DB クラスターを起動するには、 AWS CloudFormation スタックを作成するリージョンで Amazon EC2key ペア (および関連する PEM ファイル) が使用可能である必要があります。

キーペアを作成する必要がある場合は、Amazon EC2 ユーザーガイド」の「Amazon EC2 を使用したキーペアの作成」またはAmazon EC2 ユーザーガイド」の「Amazon EC2 を使用したキーペアの作成」を参照してください。 Amazon EC2 Amazon EC2

AWS CloudFormation テンプレートを使用するために必要なアクセス許可を付与する IAM ポリシーを追加する

まず、「Neptune のアクセス許可を持つ IAM ユーザーの作成」で説明されているように、Neptune での作業に必要なアクセス許可を持つ IAM ユーザーを設定する必要があります。

次に、 AWS 管理ポリシー AWSCloudFormationReadOnlyAccessをそのユーザーに追加する必要があります。

最後に、以下のカスタマー管理ポリシーを作成して、そのユーザーに追加する必要があります。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": "arn:aws:iam::0123456789012:role/*",
			"Condition": {
				"StringEquals": {
					"iam:passedToService": "rds.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "rds.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"sns:ListTopics",
				"sns:ListSubscriptions",
				"sns:Publish"
			],
			"Resource":  "arn:aws:sns:*:0123456789012:*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"kms:ListRetirableGrants",
				"kms:ListKeys",
				"kms:ListAliases",
				"kms:ListKeyPolicies"
			],
			"Resource": "arn:aws:kms:*:0123456789012:key/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricStatistics",
				"cloudwatch:ListMetrics"
			],
			"Resource": "arn:aws:cloudwatch:*:0123456789012:service/*-*",
			"Condition": {
				"StringLike": {
                    "cloudwatch:namespace": "AWS/Neptune"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeVpcs",
				"ec2:DescribeAccountAttributes",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcAttribute"
			],
			"Resource": [
				"arn:aws:ec2:*:0123456789012:vpc/*",
				"arn:aws:ec2:*:0123456789012:subnet/*",
				"arn:aws:ec2:*:0123456789012:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"rds:CreateDBCluster",
				"rds:CreateDBInstance",
				"rds:AddTagsToResource",
				"rds:ListTagsForResource",
				"rds:RemoveTagsFromResource",
				"rds:RemoveRoleFromDBCluster",
				"rds:ResetDBParameterGroup",
				"rds:CreateDBSubnetGroup",
				"rds:ModifyDBParameterGroup",
				"rds:DownloadDBLogFilePortion",
				"rds:CopyDBParameterGroup",
				"rds:AddRoleToDBCluster",
				"rds:ModifyDBInstance",
				"rds:ModifyDBClusterParameterGroup",
				"rds:ModifyDBClusterSnapshotAttribute",
				"rds:DeleteDBInstance",
				"rds:CopyDBClusterParameterGroup",
				"rds:CreateDBParameterGroup",
				"rds:DescribeDBSecurityGroups",
				"rds:DeleteDBSubnetGroup",
				"rds:DescribeValidDBInstanceModifications",
				"rds:ModifyDBCluster",
				"rds:CreateDBClusterSnapshot",
				"rds:DeleteDBParameterGroup",
				"rds:CreateDBClusterParameterGroup",
				"rds:RemoveTagsFromResource",
				"rds:PromoteReadReplicaDBCluster",
				"rds:RestoreDBClusterFromSnapshot",
				"rds:DescribeDBSubnetGroups",
				"rds:DescribePendingMaintenanceActions",
				"rds:DescribeDBParameterGroups",
				"rds:FailoverDBCluster",
				"rds:DescribeDBInstances",
				"rds:DescribeDBParameters",
				"rds:DeleteDBCluster",
				"rds:ResetDBClusterParameterGroup",
				"rds:RestoreDBClusterToPointInTime",
				"rds:DescribeDBClusterSnapshotAttributes",
				"rds:AddTagsToResource",
				"rds:DescribeDBClusterParameters",
				"rds:CopyDBClusterSnapshot",
				"rds:DescribeDBLogFiles",
				"rds:DeleteDBClusterSnapshot",
				"rds:ListTagsForResource",
				"rds:RebootDBInstance",
				"rds:DescribeDBClusterSnapshots",
				"rds:DeleteDBClusterParameterGroup",
				"rds:ApplyPendingMaintenanceAction",
				"rds:DescribeDBClusters",
				"rds:DescribeDBClusterParameterGroups",
				"rds:ModifyDBSubnetGroup"
			],
			"Resource": [
				"arn:aws:rds:*:0123456789012:cluster-snapshot:*",
				"arn:aws:rds:*:0123456789012:cluster:*",
				"arn:aws:rds:*:0123456789012:pg:*",
				"arn:aws:rds:*:0123456789012:cluster-pg:*",
				"arn:aws:rds:*:0123456789012:secgrp:*",
				"arn:aws:rds:*:0123456789012:db:*",
				"arn:aws:rds:*:0123456789012:subgrp:*"
			],
			"Condition": {
				"StringEquals": {
					"rds:DatabaseEngine": [
						"graphdb",
						"neptune"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"logs:GetLogEvents",
				"logs:DescribeLogStreams"
			],
			"Resource": [
				"arn:aws:logs:*:0123456789012:log-group:*:log-stream:*",
				"arn:aws:logs:*:0123456789012:log-group:*"
			]
		}
	]
}
注記

次のアクセス権限は、スタックの削除にのみ必要です。iam:DeleteRoleiam:RemoveRoleFromInstanceProfileiam:DeleteRolePolicyiam:DeleteInstanceProfile、および ec2:DeleteVpcEndpoints

また、ec2:*Vpc は、ec2:DeleteVpc アクセス許可を付与します。