Autenticando seu banco de dados Amazon Neptune com AWS Identity and Access Management - Amazon Neptune
Perfis diferentesUso de identidades

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticando seu banco de dados Amazon Neptune com AWS Identity and Access Management

AWS Identity and Access Management(IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (fazer login) e autorizado (ter permissões) para usar recursos do Neptune. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

Você pode usar AWS Identity and Access Management (IAM) para se autenticar em sua instância de banco de dados ou cluster de banco de dados Neptune. Quando a autenticação do banco de dados do IAM está ativada, cada solicitação deve ser assinada usando o AWS Signature Version 4.

AWSA versão 4 do Signature adiciona informações de autenticação às AWS solicitações. Para segurança, todas as solicitações para clusters de banco de dados do Neptune DB com autenticação do IAM habilitada devem ser assinadas com uma chave de acesso. Essa chave consiste em um ID de chave de acesso e uma chave de acesso secreta. A autenticação é gerenciada externamente usando políticas do IAM.

O Neptune se autentica na conexão e, WebSockets para conexões, verifica as permissões periodicamente para garantir que o usuário ainda tenha acesso.

nota

  • A revogação, a exclusão ou a troca de credenciais associadas ao usuário do IAM não são recomendadas porque não encerram nenhuma conexão já aberta.

  • Há limites no número de WebSocket conexões simultâneas por instância do banco de dados e por quanto tempo uma conexão pode permanecer aberta. Para obter mais informações, consulte WebSockets Limites.

O uso do IAM depende de sua função

A forma como você usa AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz em Neptune.

Usuário do serviço: se você usa o serviço do Neptune para fazer o trabalho, o administrador fornece as credenciais e as permissões necessárias para usar o plano de dados do Neptune. À medida que você precisa de mais acesso para fazer seu trabalho, entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao administrador.

Administrador do serviço: se você for o responsável pelos recursos do Neptune na empresa, provavelmente terá acesso às ações de gerenciamento do Neptune, que correspondem à API de gerenciamento do Neptune. Também pode ser seu trabalho determinar quais ações de acesso a dados e recursos do Neptune de que os usuários do serviço precisam para realizar o trabalho. Assim, um administrador do IAM poderá aplicar políticas do IAM para alterar as permissões dos usuários do serviço.

Administrador do IAM: se você for administrador do IAM, precisará elaborar políticas do IAM para gerenciar o gerenciamento e o acesso aos dados ao Neptune. Para visualizar exemplos de política baseada em identidade do Neptune que podem ser usadas, consulte Usar diferentes tipos de política do IAM para controle de acesso ao Neptune.

Autenticação com identidades

A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Consulte mais informações sobre como fazer login em Como fazer login em sua Conta da AWS no Guia do usuário do Início de Sessão da AWS.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Consulte mais informações em AWS Signature Version 4 para solicitações de API no Guia do usuário do IAM.

Conta da AWSusuário root

Ao criar umConta da AWS, você começa com uma identidade de login chamada usuário Conta da AWS raiz que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em Tarefas que exigem credenciais de usuário-raiz no Guia do usuário do IAM.

Grupos e usuários do IAM

Um usuário do IAM é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias no Guia do usuário do IAM.

Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Consulte mais informações em Casos de uso de usuários do IAM no Guia do usuário do IAM.

Perfis do IAM

Uma perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função mudando de um usuário para uma função do IAM (console) ou chamando uma operação de AWS API AWS CLI ou. Para obter mais informações, consulte Métodos para assumir um perfil no Manual do usuário do IAM.

As funções do IAM são úteis para acesso de usuários federados, permissões temporárias de usuários do IAM, acesso entre contas, acesso entre serviços e aplicativos executados na Amazon. EC2 Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.