

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciar o acesso aos bancos de dados do Amazon Neptune usando políticas do IAM
<a name="security-iam-access-manage"></a>

As [políticas do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) são objetos JSON que definem permissões para usar ações e recursos.

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

## Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

## Usando políticas de controle de serviços (SCP) com organizações AWS
<a name="security_iam_access-manage-scp"></a>

As políticas de controle de serviço (SCPs) são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em [AWS Organizations](https://aws.amazon.com/organizations/). AWS Organizations é um serviço para agrupar e gerenciar centralmente várias AWS contas que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. O SCP limita as permissões para entidades nas contas dos membros, incluindo cada usuário raiz AWS da conta. Para obter mais informações sobre Organizations e SCPs, consulte [Como SCPs trabalhar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) no Guia AWS Organizations do Usuário.

Os clientes que implantam o Amazon Neptune AWS em uma conta AWS dentro de uma organização SCPs podem usar o Amazon Neptune para controlar quais contas podem usar o Neptune. Para garantir o acesso ao Neptune em uma conta de membro:
+  Permita o acesso a `rds:*` e `neptune-db:*` para as operações de banco de dados do Neptune. Consulte [Why are Amazon RDS permissions and resources required to use Neptune Database?](https://aws.amazon.com/neptune/faqs/) para obter detalhes sobre por que as permissões do Amazon RDS são necessárias para o banco de dados do Neptune. 
+  Permita o acesso a `neptune-graph:*` para operações do Neptune Analytics. 

## Permissões necessárias para usar o console do Amazon Neptune
<a name="security-iam-access-manage-console"></a>

Para um usuário trabalhar com o console do Amazon Neptune, esse usuário deve ter um conjunto mínimo de permissões. Essas permissões possibilitam que o usuário descreva os recursos do Neptune para a conta da AWS e forneça outras informações relacionadas, inclusive informações de segurança e rede do Amazon EC2.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console do Neptune, associe também a política gerenciada `NeptuneReadOnlyAccess` ao usuário, conforme descrito em [Usando políticas AWS gerenciadas para acessar bancos de dados do Amazon Neptune](security-iam-access-managed-policies.md).

Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon Neptune AWS CLI ou para a Amazon Neptune.

## Como associar uma política do IAM a um usuário do IAM
<a name="iam-auth-policy-attaching"></a>

Para aplicar uma política gerenciada ou personalizada, associe-a a um usuário do IAM. Para obter um tutorial sobre esse tópico, consulte [ Criar e anexar sua primeira política gerenciada pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) no *Guia do usuário do IAM*.

À medida que avança pelo tutorial, você pode usar um dos exemplos de política mostrados nessa seção como um ponto de partida e adequá-lo às suas necessidades. No fim do tutorial, você terá um usuário do IAM com uma política anexada que pode usar a ação `neptune-db:*`.

**Importante**  
As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.
As políticas do IAM aplicadas a um cluster de banco de dados do Neptune aplicam-se a todas as instâncias desse cluster.

## Usar diferentes tipos de política do IAM para controle de acesso ao Neptune
<a name="iam-auth-policy"></a>

Para conceder acesso às ações administrativas do Neptune ou aos dados em um cluster de banco de dados do Neptune, associe políticas a um usuário ou um perfil do IAM. Para obter informações sobre como anexar uma política do IAM, consulte [Como associar uma política do IAM a um usuário do IAM](#iam-auth-policy-attaching). Para obter informações sobre como associar uma política a um perfil, consulte [Adding and Removing IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*

Para ter acesso geral ao Neptune, é possível usar uma das [políticas gerenciadas](security-iam-access-managed-policies.md) do Neptune. Para ter um acesso mais restrito, você pode criar a própria política personalizada usando as [ações administrativas](neptune-iam-admin-actions.md) e os [recursos](iam-admin-resources.md) compatíveis com o Neptune.

Em uma política personalizada do IAM, é possível usar dois tipos diferentes de declaração de política que controlam diferentes modos de acesso a um cluster de banco de dados do Neptune:
+ [Declarações de política administrativa](iam-admin-policies.md) — As declarações de política administrativa fornecem acesso ao APIs gerenciamento do [Neptune](api.md) que você usa para criar, configurar e gerenciar um cluster de banco de dados e suas instâncias.

  Como o Neptune compartilha a funcionalidade com o Amazon RDS, as ações administrativas, os recursos e as chaves de condição nas políticas do Neptune usam um prefixo `rds:` por design.
+ [Declarações de política de acesso a dados](iam-data-access-policies.md): as declarações de política de acesso a dados usam [ações de acesso a dados](iam-dp-actions.md), [recursos](iam-data-resources.md) e [chaves de condição](iam-data-condition-keys.md#iam-neptune-condition-keys) para controlar o acesso aos dados contidos em um cluster de banco de dados.

  As ações de acesso a dados, os recursos e as chaves de condição do Neptune usam um prefixo `neptune-db:`.

## Usar chaves de contexto de condição do IAM no Amazon Neptune
<a name="iam-using-condition-keys"></a>

É possível especificar condições em uma declaração de política do IAM que controle o acesso ao Neptune. A declaração de política terá efeito apenas quando as condições forem verdadeiras.

Por exemplo, é recomendável que uma declaração de política só entre em vigor após uma data específica ou viabilize o acesso apenas quando um valor específico estiver presente na solicitação.

Para expressar condições, use chaves de condição predefinidas no elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma declaração de política com [operadores de política de condição do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menos do que”.

Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma `OR` operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

 Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.

O tipo de dados de uma chave de condição determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Se você usar um operador de condição que não seja compatível com esse tipo de dados, a correspondência sempre falhará, e a declaração da política nunca será aplicada.

O Neptune aceita conjuntos de chaves de condição para declarações de política administrativa diferentes dos aceitos para declarações de política de acesso a dados:
+ [Chaves de condição para declarações de política administrativa](iam-admin-condition-keys.md)
+ [Chaves de condição para declarações de política de acesso a dados](iam-data-condition-keys.md#iam-neptune-condition-keys)

## Suporte para políticas do IAM e recursos de controle de acesso no Amazon Neptune
<a name="neptune-iam-policy-support"></a>

A tabela a seguir mostra quais atributos do IAM o Neptune aceita para declarações de política administrativa e declarações de política de acesso a dados:


**Atributos do IAM que você pode usar com o Neptune**  

| Recurso do IAM | Administração | Acesso aos dados | 
| --- | --- | --- | 
| [Políticas baseadas em identidade](#security_iam_access-manage-id-based-policies) | Sim | Sim | 
| [Políticas baseadas em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | Não | Não | 
| [Ações de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sim | Sim | 
| [Recursos de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sim | Sim | 
| [Chaves de condições globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sim | (um subconjunto) | 
| [Chaves de condição baseadas em tags](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sim | Não | 
| [Listas de controle de acesso (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | Não | Não | 
| [Políticas de controle de serviços (SCPs)](#security_iam_access-manage-scp) | Sim | Sim | 
| [Funções vinculadas ao serviço](security-iam-service-linked-roles.md) | Sim | Não | 

## Limitações da política do IAM
<a name="iam-policy-limits"></a>

As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.

As políticas do IAM aplicadas a um cluster de banco de dados do Neptune aplicam-se a todas as instâncias desse cluster.

Atualmente, o Neptune não é compatível com o controle de acesso entre contas no nível de plano de dados. O controle de acesso entre contas só é compatível durante o carregamento em massa e usando o encadeamento de perfis. Para obter mais informações, consulte o [Tutorial de carregamento em massa](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).