使用 驗證您的 Amazon Neptune 資料庫AWS Identity and Access Management - Amazon Neptune
不同角色使用身分

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 驗證您的 Amazon Neptune 資料庫AWS Identity and Access Management

AWS Identity and Access Management(IAM) 是 AWS 服務,可協助管理員安全地控制對 AWS資源的存取。IAM 管理員可以控制誰能完成身分驗證 (登入) 和獲得授權 (具有許可),而得以使用 Neptune 資源。IAM 是您可以免費使用AWS 服務的 。

您可以使用 AWS Identity and Access Management(IAM) 驗證 Neptune 資料庫執行個體或資料庫叢集。啟用 IAM 資料庫身分驗證時,必須使用 AWSSignature 第 4 版簽署每個請求。

AWSSignature 第 4 版會將身分驗證資訊新增至AWS請求。基於安全,在啟用 IAM 身分驗證的情況下,所有對 Neptune 資料庫叢集提出的請求都必須使用存取金鑰進行簽署。此金鑰由存取金鑰 ID 和私密存取金鑰組成。身分驗證會使用 IAM 政策從外部進行管理。

Neptune 會在連線時進行身分驗證,並且針對 WebSocket 連線,它會定期驗證許可,確保使用者仍擁有存取權。

注意

  • 不建議撤銷、刪除或輪換與 IAM 使用者相關聯的憑證,因為它不會終止任何已開啟的連線。

  • 每個資料庫執行個體可以同時使用的 WebSocket 連線數量和連線保持開啟的時間長短都有限制。如需詳細資訊,請參閱WebSockets 限制

IAM 用法取決於您的角色

使用方式 AWS Identity and Access Management(IAM) 會有所不同,取決於您在 Neptune 中執行的工作。

服務使用者 - 如果您使用 Neptune 服務執行工作,則管理員會為您提供使用 Neptune 資料平面所需的憑證和許可。當您需要更多存取權來執行工作時,了解資料存取的管理方式可協助您向管理員請求正確的許可。

服務管理員 - 如果您負責公司的 Neptune 資源,則可能有權存取 Neptune 管理動作,這些動作對應於 Neptune 管理 API。確定使用者需要哪個 Neptune 資料存取動作和資源服務才能完成其工作,這也可能是您的工作。IAM 管理員接著可以套用 IAM 政策來變更服務使用者的許可。

IAM 管理員 - 如果您是 IAM 管理員,您將需要撰寫 IAM 政策,來同時管理對 Neptune 的管理和資料存取。若要檢視您可以使用的範例 Neptune 身分型政策,請參閱 使用不同種類的 IAM 政策來控制對 Neptune 的存取

使用身分來驗證

身分驗證是您AWS使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。

您可以使用身分來源的登入資料,例如 AWS IAM Identity Center(IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》中的如何登入您的 AWS 帳戶

對於程式設計存取, AWS提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》中的 API 請求的 AWS 第 4 版簽署程序

AWS 帳戶根使用者

當您建立 時AWS 帳戶,您會從一個名為 AWS 帳戶theroot 使用者的登入身分開始,該身分可完整存取所有 AWS 服務和 資源。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》中的需要根使用者憑證的任務

IAM 使用者和群組

IAM 使用者https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的要求人類使用者使用聯合身分提供者來AWS使用臨時憑證存取

IAM 群組會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者的使用案例

IAM 角色

IAM 角色https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html的身分具有特定許可權,其可以提供臨時憑證。您可以透過從使用者切換到 IAM 角色 (主控台) 或呼叫 AWS CLI或 AWSAPI 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》中的擔任角色的方法

IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的快帳戶資源存取