本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建 IAM 角色以允许 Amazon Neptune 访问 Amazon S3 资源 使用 `AmazonS3ReadOnlyAccess` 托管式 IAM policy 创建一个新的 IAM 角色,该角色将允许 Amazon Neptune 访问 Amazon S3 资源。 **创建新的 IAM 角色以允许 Neptune 访问 Amazon S3** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**角色**。 1. 选择**创建角色**。 1. 在 **AWS 服务**下,选择 **S3**。 1. 选择**下一步: 权限**。 1. 使用筛选框按术语 **S3** 进行筛选,然后选中 A **mazon ReadOnlyAccess** S3 旁边的复选框。 **注意** 此策略向所有存储桶授予 `s3:Get*` 和 `s3:List*` 权限。后续步骤使用信任策略限制对角色的访问。 加载程序只需要从中加载的桶的 `s3:Get*` 和 `s3:List*` 权限,这样您也可以通过 Amazon S3 资源限制这些权限。 如果 S3 存储桶已加密,您需要添加 `kms:Decrypt` 权限 1. 选择**下一步:审核**。 1. 将**角色名称**设置为您的 IAM 角色的名称,例如:`NeptuneLoadFromS3`。也可以添加可选的**角色描述**值,例如,“允许 Neptune 代表您访问 Amazon S3 资源。” 1. 选择**创建角色**。 1. 在导航窗格中,选择**角色**。 1. 在**Search (搜索)** 字段中,输入已创建的角色的名称,然后选择列表中显示的角色。 1. 在 **Trust Relationships (信任关系)** 选项卡上,选择 **Edit trust relationship (编辑信任关系)**。 1. 在文本字段中,粘贴以下信任策略。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 选择**更新信任策略**。 1. 完成 [将 IAM 角色添加到 Amazon Neptune 集群](bulk-load-tutorial-IAM-add-role-cluster.md) 中的步骤。