使用 驗證您的 Amazon Neptune 資料庫 AWS Identity and Access Management - Amazon Neptune
不同角色使用身分

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 驗證您的 Amazon Neptune 資料庫 AWS Identity and Access Management

AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制誰能完成身分驗證 (登入) 和獲得授權 (具有許可),而得以使用 Neptune 資源。IAM 是您可以免費使用 AWS 服務 的 。

您可以使用 AWS Identity and Access Management (IAM) 驗證 Neptune 資料庫執行個體或資料庫叢集。啟用 IAM 資料庫身分驗證時,必須使用 AWS Signature 第 4 版簽署每個請求。

AWS Signature 第 4 版會將身分驗證資訊新增至 AWS 請求。基於安全,在啟用 IAM 身分驗證的情況下,所有對 Neptune 資料庫叢集提出的請求都必須使用存取金鑰進行簽署。此金鑰由存取金鑰 ID 和私密存取金鑰組成。身分驗證會使用 IAM 政策從外部進行管理。

Neptune 會在連線時進行身分驗證,並且針對 WebSocket 連線,它會定期驗證許可,確保使用者仍擁有存取權。

注意

  • 不建議撤銷、刪除或輪換與 IAM 使用者相關聯的憑證,因為它不會終止任何已開啟的連線。

  • 每個資料庫執行個體可以同時使用的 WebSocket 連線數量和連線保持開啟的時間長短都有限制。如需詳細資訊,請參閱WebSockets 限制

IAM 用法取決於您的角色

使用方式 AWS Identity and Access Management (IAM) 會有所不同,取決於您在 Neptune 中執行的工作。

服務使用者 - 如果您使用 Neptune 服務執行工作,則管理員會為您提供使用 Neptune 資料平面所需的憑證和許可。當您需要更多存取權來執行工作時,了解資料存取的管理方式可協助您向管理員請求正確的許可。

服務管理員 - 如果您負責公司的 Neptune 資源,則可能有權存取 Neptune 管理動作,這些動作對應於 Neptune 管理 API。確定使用者需要哪個 Neptune 資料存取動作和資源服務才能完成其工作,這也可能是您的工作。IAM 管理員接著可以套用 IAM 政策來變更服務使用者的許可。

IAM 管理員 - 如果您是 IAM 管理員,您將需要撰寫 IAM 政策,來同時管理對 Neptune 的管理和資料存取。若要檢視您可以使用的範例 Neptune 身分型政策,請參閱 使用不同種類的 IAM 政策來控制對 Neptune 的存取

使用身分來驗證

身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。

您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》中的如何登入您的 AWS 帳戶

對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》中的 API 請求的AWS 第 4 版簽署程序

AWS 帳戶 根使用者

當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 theroot 使用者的登入身分開始,該身分可完整存取所有 AWS 服務 和 資源。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》中的需要根使用者憑證的任務

IAM 使用者和群組

IAM 使用者https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取

IAM 群組會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者的使用案例

IAM 角色

IAM 角色https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html的身分具有特定許可權,其可以提供臨時憑證。您可以透過從使用者切換到 IAM 角色 (主控台) 或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》中的擔任角色的方法

IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的快帳戶資源存取