使用 AWS 用于访问亚马逊 Neptune 数据库的托管策略

AWS 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 AWS。托管策略可针对常见使用案例授予必要权限，因此，您无需自行调查具体需要哪些权限。有关更多信息，请参阅《IAM 用户指南》中的 AWS 托管式策略。

以下 AWS 托管策略适用于使用 Amazon Neptune 管理 API，您可以将其附加到账户中的用户：

NeptuneReadOnlyAccess— 授予对所有 Neptune 资源的只读管理操作（例如rds:Describe*和rds:ListTagsForResource）和只读数据访问操作（neptune-db:Read*neptune-db:Get*、和neptune-db:List*）。此策略适用于需要在不进行更改的情况下查看集群配置和查询数据的用户。
NeptuneFullAccess— 授予所有管理操作（对 N rds:* eptune 资源）和所有数据访问操作（）。neptune-db:*此策略适用于通过 AWS CLI 或 SDK 管理 Neptune 集群但不需要 AWS 管理控制台访问权限的管理员。
NeptuneConsoleFullAccess— 授予对 Neptune 资源的所有管理操作以及工作流程所需的亚马逊 EC2 (VPC)、IAM 和 Neptune Analytics 的额外权限。 AWS 管理控制台此政策不包括数据访问操作 (neptune-db:*)。此策略适用于通过管理控制台管理 Neptune 的 AWS 用户。
NeptuneGraphReadOnlyAccess— 本政策适用于 Neptune Analytics。有关详细信息，请参阅 Nep tune NeptuneGraphReadOnlyAccess An alytics。
AWSServiceRoleForNeptuneGraphPolicy— 本政策适用于 Neptune Analytics。有关详细信息，请参阅 Nep tune AWSServiceRoleForNeptuneGraphPolicy An alytics。

Neptune IAM 角色和策略授予对 Amazon RDS 资源的部分访问权限，因为对于特定的管理特征，Neptune 采用了与 Amazon RDS 相同的操作技术。这包括管理 API 权限，这就是 Neptune 管理操作具有 rds: 前缀的原因。

创建自定义策略

如果 AWS 托管策略对于您的用例来说过于宽泛，则可以创建自定义 IAM 策略，仅授予您需要的特定权限。Neptune 支持两类自定义策略：

管理策略-控制对 Neptune 管理操作的访问权限，例如创建、修改和删除集群和实例。这些操作使用前rds:缀。有关示例，请参阅创建适用于 Amazon Neptune 的 IAM 管理策略语句。
Data-access 策略 — 控制对 Neptune 图形数据库中数据的访问权限，包括读取、写入和删除操作。这些操作使用前neptune-db:缀。有关示例，请参阅在 Amazon Neptune 中创建 IAM 数据访问策略。

通过组合管理和数据访问策略声明，您可以授予为组织中的每个用户或角色量身定制的精细权限。

验证 IAM policy

创建或编辑自定义 IAM 策略时，我们建议您在将其应用于用户、群组或角色之前对其进行验证。

IAM Access Analyzer 策略验证 — IAM Access Analyzer 提供策略检查，根据 IAM 策略语法和 AWS 最佳实践验证您的 IAM 策略。它可以识别错误、安全警告和建议，以帮助您制定功能齐全且符合安全最佳实践的策略。有关更多信息，请参阅 IAM 用户指南中的使用 IAM 访问分析器验证策略。

IAM 策略模拟器 — IAM 策略模拟器允许您在将 IAM 策略投入生产之前对其进行测试。您可以模拟对 AWS 服务的 API 调用，以验证您的策略是授予还是拒绝了预期的访问权限。有关更多信息，请参阅 IAM 用户指南中的使用 IAM 策略模拟器测试 IAM 策略。

Neptune 的更新 AWS 托管策略

下表跟踪从 Neptune 开始跟踪相应更改之时起对 Neptune 托管式策略的更新：

策略	说明	日期
AWS Amazon Neptune 的托管政策-现有政策的更新	`NeptuneReadOnlyAcess` 和 `NeptuneFullAccess` 托管式策略现在将 `Sid`（语句 ID）作为标识符包括在策略语句中。	2024-01-22
NeptuneGraphReadOnlyAccess（已发布）	已发布，可提供对 Neptune Analytics 图和资源的只读访问权限。	2023-11-29
AWSServiceRoleForNeptuneGraphPolicy（已发布）	发布的目的是允许 Neptune Analytics 图表访问 CloudWatch 以发布操作和使用指标及日志。请参阅 Using service-linked roles (SLRs) in Neptune Analytics。	2023-11-29
NeptuneConsoleFullAccess（已添加权限）	新增的权限提供了与 Neptune Analytics 图交互所需的所有访问权限。	2023-11/29
NeptuneFullAccess（已添加权限）	添加了数据访问权限和对于新的全球数据库 API 的权限。	2022-07-28
NeptuneConsoleFullAccess（已添加权限）	添加了对于新的全球数据库 API 的权限。	2022-07-21
Neptune 开始了跟踪更改	Neptune 开始跟踪其 AWS 托管策略的变更。	2022-07-21

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用 IAM 策略

授予只读访问权限