本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 驗證您的 Amazon Neptune 資料庫 AWS Identity and Access Management
<a name="iam-auth"></a>

AWS Identity and Access Management (IAM) 是一種 AWS 服務 ，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制誰能*完成身分驗證* (登入) 和*獲得授權* (具有許可)，而得以使用 Neptune 資源。IAM 是您可以免費使用 AWS 服務 的 。

您可以使用 AWS Identity and Access Management (IAM) 驗證 Neptune 資料庫執行個體或資料庫叢集。啟用 IAM 資料庫身分驗證時，必須使用 AWS Signature 第 4 版簽署每個請求。

AWS Signature 第 4 版會將身分驗證資訊新增至 AWS 請求。基於安全，在啟用 IAM 身分驗證的情況下，所有對 Neptune 資料庫叢集提出的請求都必須使用存取金鑰進行簽署。此金鑰由存取金鑰 ID 和私密存取金鑰組成。身分驗證會使用 IAM 政策從外部進行管理。

Neptune 會在連線時進行身分驗證，並且針對 WebSocket 連線，它會定期驗證許可，確保使用者仍擁有存取權。

**注意**  
不建議撤銷、刪除或輪換與 IAM 使用者相關聯的憑證，因為它不會終止任何已開啟的連線。
每個資料庫執行個體可以同時使用的 WebSocket 連線數量和連線保持開啟的時間長短都有限制。如需詳細資訊，請參閱[WebSockets 限制](limits.md#limits-websockets)。

## IAM 用法取決於您的角色
<a name="security-iam-audience"></a>

使用方式 AWS Identity and Access Management (IAM) 會有所不同，具體取決於您在 Neptune 中執行的工作。

**服務使用者** - 如果您使用 Neptune 服務執行工作，則管理員會為您提供使用 Neptune 資料平面所需的憑證和許可。當您需要更多存取權來執行工作時，了解資料存取的管理方式可協助您向管理員請求正確的許可。

**服務管理員** - 如果您負責公司的 Neptune 資源，則可能有權存取 Neptune 管理動作，這些動作對應於 [Neptune 管理 API](api.md)。確定使用者需要哪個 Neptune 資料存取動作和資源服務才能完成其工作，這也可能是您的工作。IAM 管理員接著可以套用 IAM 政策來變更服務使用者的許可。

**IAM 管理員** - 如果您是 IAM 管理員，您將需要撰寫 IAM 政策，來同時管理對 Neptune 的管理和資料存取。若要檢視您可以使用的範例 Neptune 身分型政策，請參閱 [使用不同種類的 IAM 政策來控制對 Neptune 的存取](security-iam-access-manage.md#iam-auth-policy)。

## 使用身分來驗證
<a name="security-iam-authentication"></a>

身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色進行身分驗證。

您可以使用身分來源的登入資料，例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料，以聯合身分的形式登入。如需有關登入的詳細資訊，請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。

對於程式設計存取， AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。

### AWS 帳戶 根使用者
<a name="security-iam-authentication-rootuser"></a>

 當您建立 時 AWS 帳戶，您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始，該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務，請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

### IAM 使用者和群組
<a name="security-iam-authentication-iamuser"></a>

*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。

[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合，使管理大量使用者的許可權更加輕鬆。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。

### IAM 角色
<a name="security-iam-authentication-iamrole"></a>

*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權，其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 （主控台） ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊，請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。

IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取，以及在 Amazon EC2 執行的應用程式。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。