を使用した Amazon Neptune データベースの認証AWS Identity and Access Management - Amazon Neptune
さまざまなロールアイデンティティの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Amazon Neptune データベースの認証AWS Identity and Access Management

AWS Identity and Access Management(IAM) は、管理者が AWSリソースへのアクセスを安全に制御AWS のサービスするのに役立つ です。IAM 管理者は、誰を認証 (サインイン) し、誰に Neptune リソースの使用を許可する (アクセス許可を持たせる) かを制御します。IAM は、追加料金なしで使用できる AWS のサービスです。

AWS Identity and Access Management(IAM) を使用して、Neptune DB インスタンスまたは DB クラスターを認証できます。IAM データベース認証が有効になっている場合、各リクエストはAWS署名バージョン 4 を使用して署名する必要があります。

AWS署名バージョン 4 はAWS、リクエストに認証情報を追加します。セキュリティ上の理由から、UAM 認証が有効である Neptune DB クラスターへのすべてのリクエストはアクセスキーを使用して署名する必要があります。このキーは、アクセスキー ID とシークレットアクセスキーで構成されます。この認証は、IAM ポリシーを使用して外部で管理されます。

Neptune は接続時、および WebSocket 接続に認証し、アクセス権限を定期的に検証して、ユーザーにアクセス権がまだあることを確認します。

注記

  • IAM ユーザーに関連付けられている認証情報の取り消し、削除、更新によって確立済みのオープン接続は終了されないため、推奨されません。

  • データベースインスタンスあたりの同時 WebSocket 接続数、および接続を開いたままにできる時間には制限があります。詳細については、「WebSocket の制限」を参照してください。

IAM の使用はロールによって異なる

AWS Identity and Access Management(IAM) の使用方法は、Neptune で行う作業によって異なります。

サービスユーザー – ジョブを実行するために Neptune サービスを使用する場合、Neptune データプレーンの使用に必要な認証情報とアクセス許可が管理者から与えられます。作業を実行するために、より多くのアクセスが必要になるにつれて、アクセスの管理方法を理解しておくと、管理者に適切なアクセス許可をリクエストするうえで役立ちます。

サービス管理者 — 社内の Neptune リソースを担当している場合は、おそらく Neptune 管理 API に対応する Neptune 管理アクションにアクセスできます。また、サービスユーザーが仕事をするために必要な Neptune データアクセスアクションとリソースを決定するのもあなたの仕事かもしれません。その場合、IAM 管理者は IAM ポリシーを適用して、サービスユーザーのアクセス許可を変更できます。

IAM 管理者 — IAM 管理者は、IAM ポリシーを作成して、 Neptune の管理とデータアクセスの両方を管理する必要があります。使用できる Neptune アイデンティティベースのポリシーの例を表示するには、「Neptune へのアクセスを制御するためのさまざまな種類の IAM ポリシーの使用」 を参照してください。

アイデンティティを使用した認証

認証とは、ID 認証情報AWSを使用して にサインインする方法です。、IAM ユーザーAWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

AWS IAM アイデンティティセンター(IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「AWS サインインユーザーガイド」の「AWS アカウントへのサインイン方法」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWSを提供してリクエストを暗号化して署名します。詳細については、「IAM ユーザーガイド」の「API リクエストに対する AWS 署名バージョン 4」を参照してください。

AWS アカウントルートユーザー

を作成するときはAWS アカウント、すべての AWS のサービスおよび リソースへの完全なアクセス権を持つAWS アカウントルートユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

IAM ユーザーとグループ

IAM ユーザーは、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイド「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求するAWS」を参照してください。

IAM グループは、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「IAM ユーザーガイド」の「IAM ユーザーに関するユースケース」を参照してください。

IAM ロール

IAM ロールは、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。AWS CLIAWS詳細については、「IAM ユーザーガイド」の「ロールを引き受けるための各種方法」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、IAM ユーザーガイドIAM でのクロスアカウントリソースアクセス を参照してください。