As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o acesso aos bancos de dados do Amazon Neptune usando políticas do IAM

As políticas do IAM são objetos JSON que definem permissões para usar ações e recursos.

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWSavalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Consulte mais informações sobre documentos de política JSON em Visão geral das políticas JSON no Guia do usuário do IAM.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual entidade principal pode realizar ações em quais recursos e sob quais condições.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

Políticas baseadas em identidade

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

As políticas baseadas em identidade podem ser políticas em linha (incorporadas diretamente em uma única identidade) ou políticas gerenciadas (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário do IAM.

Usando políticas de controle de serviços (SCP) com organizações AWS

As políticas de controle de serviço (SCPs) são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations. AWS Organizationsé um serviço para agrupar e gerenciar centralmente várias AWS contas que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. O SCP limita as permissões para entidades nas contas dos membros, incluindo cada usuário raiz AWS da conta. Para obter mais informações sobre Organizations e SCPs, consulte Como SCPs trabalhar no Guia AWS Organizations do Usuário.

Os clientes que implantam o Amazon Neptune AWS em uma conta AWS dentro de uma organização SCPs podem usar o Amazon Neptune para controlar quais contas podem usar o Neptune. Para garantir o acesso ao Neptune em uma conta de membro:

Permissões necessárias para usar o console do Amazon Neptune

Para um usuário trabalhar com o console do Amazon Neptune, esse usuário deve ter um conjunto mínimo de permissões. Essas permissões permitem que o usuário descreva os recursos do Neptune para AWS sua conta e forneça outras informações relacionadas, incluindo informações de segurança e rede da EC2 Amazon.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console do Neptune, associe também a política gerenciada NeptuneReadOnlyAccess ao usuário, conforme descrito em Usando políticas AWS gerenciadas para acessar bancos de dados do Amazon Neptune.

Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon Neptune AWS CLI ou para a Amazon Neptune.

Como associar uma política do IAM a um usuário do IAM

Para aplicar uma política gerenciada ou personalizada, associe-a a um usuário do IAM. Para obter um tutorial sobre esse tópico, consulte Criar e anexar sua primeira política gerenciada pelo cliente no Guia do usuário do IAM.

À medida que avança pelo tutorial, você pode usar um dos exemplos de política mostrados nessa seção como um ponto de partida e adequá-lo às suas necessidades. No fim do tutorial, você terá um usuário do IAM com uma política anexada que pode usar a ação neptune-db:*.

Usar diferentes tipos de política do IAM para controle de acesso ao Neptune

Para conceder acesso às ações administrativas do Neptune ou aos dados em um cluster de banco de dados do Neptune, associe políticas a um usuário ou um perfil do IAM. Para obter informações sobre como anexar uma política do IAM, consulte Como associar uma política do IAM a um usuário do IAM. Para obter informações sobre como associar uma política a um perfil, consulte Adding and Removing IAM Policies no Guia do usuário do IAM

Para ter acesso geral ao Neptune, é possível usar uma das políticas gerenciadas do Neptune. Para ter um acesso mais restrito, você pode criar a própria política personalizada usando as ações administrativas e os recursos compatíveis com o Neptune.

Em uma política personalizada do IAM, é possível usar dois tipos diferentes de declaração de política que controlam diferentes modos de acesso a um cluster de banco de dados do Neptune:

Usar chaves de contexto de condição do IAM no Amazon Neptune

É possível especificar condições em uma declaração de política do IAM que controle o acesso ao Neptune. A declaração de política terá efeito apenas quando as condições forem verdadeiras.

Por exemplo, é recomendável que uma declaração de política só entre em vigor após uma data específica ou viabilize o acesso apenas quando um valor específico estiver presente na solicitação.

Para expressar condições, use chaves de condição predefinidas no elemento Condition de uma declaração de política com operadores de política de condição do IAM, como “igual a” ou “menos do que”.

Se você especificar vários elementos de Condition em uma declaração ou várias chaves em um único elemento de Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma OR operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM: variáveis e tags no Guia do usuário do IAM.

O tipo de dados de uma chave de condição determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Se você usar um operador de condição que não seja compatível com esse tipo de dados, a correspondência sempre falhará, e a declaração da política nunca será aplicada.

O Neptune aceita conjuntos de chaves de condição para declarações de política administrativa diferentes dos aceitos para declarações de política de acesso a dados:

Suporte para políticas do IAM e recursos de controle de acesso no Amazon Neptune

A tabela a seguir mostra quais atributos do IAM o Neptune aceita para declarações de política administrativa e declarações de política de acesso a dados:

Limitações da política do IAM

As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.

As políticas do IAM aplicadas a um cluster de banco de dados do Neptune aplicam-se a todas as instâncias desse cluster.

Atualmente, o Neptune não é compatível com o controle de acesso entre contas no nível de plano de dados. O controle de acesso entre contas só é compatível durante o carregamento em massa e usando o encadeamento de perfis. Para obter mais informações, consulte o Tutorial de carregamento em massa.