本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 用于管理 Amazon Neptune 的 IAM 条件键
[使用条件键](security-iam-access-manage.md#iam-using-condition-keys),您可以在 IAM policy 语句中指定条件,这样该语句仅在条件为 true 时才生效。您可以在 Neptune 管理策略语句中使用的条件键分为以下几类:
+ [全局条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html) — 这些条件键由定义 Amazon ,供一般 Amazon 服务使用。大多数可用于 Neptune 管理策略语句中。
+ [管理资源属性条件键](#iam-rds-property-condition-keys) - [下面](#iam-rds-property-condition-keys)列出的这些键基于管理资源的属性。
+ [基于标签的访问条件键](#iam-rds-tag-based-condition-keys) - [下面](#iam-rds-tag-based-condition-keys)列出的这些键基于附加到管理资源的 [Amazon 标签](https://docs.amazonaws.cn/general/latest/gr/aws_tagging.html)。
## Neptune 管理资源属性条件键
| 条件键 | 描述 | Type |
| --- | --- | --- |
| rds:DatabaseClass | 按数据库实例类的类型筛选访问。 | 字符串 |
| rds:DatabaseEngine | 按数据库引擎筛选访问。有关可能的值,请参阅 Create DBInstance API 中的引擎参数 | 字符串 |
| rds:DatabaseName | 按数据库实例上的数据库的用户定义名称筛选访问 | 字符串 |
| rds:EndpointType | 按终端节点类型筛选访问。它是以下内容之一:READER、WRITER、CUSTOM | 字符串 |
| rds:Vpc | 指定数据库实例是否在 Amazon Virtual Private Cloud (Amazon VPC) 中运行的值筛选访问。要指示数据库实例在 Amazon VPC 中运行,请指定 true。 | 布尔值 |
## 基于管理标签的条件键
Amazon Neptune 支持在 IAM policy 中使用自定义标签指定条件,以通过 [管理 API 参考](api.md) 控制对 Neptune 的访问。
例如,如果您向数据库实例添加一个名为 `environment` 的标签,其值为 `beta`、`staging`、和 `production` 等,则可以创建一个策略,以根据该标签的值限制对实例的访问。
**重要**
如果您使用标签管理对 Neptune 资源的访问,请保护对于标签的访问。您可通过为 `AddTagsToResource` 和 `RemoveTagsFromResource` 操作创建策略来限制对标签的访问。
例如,您可以使用以下策略拒绝用户为所有资源添加或删除标签。然后,您可以创建策略来允许特定用户添加或删除标签。
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
以下基于标签的条件键仅适用于管理策略语句中的管理资源。
**基于标签的管理条件键**
| 条件键 | 描述 | Type |
| --- | --- | --- |
| [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | 根据在请求中是否具有标签键/值对来筛选访问。 | 字符串 |
| [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | 根据附加到资源的标签键/值对筛选访问。 | 字符串 |
| [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | 根据在请求中是否具有标签键来筛选访问。 | 字符串 |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | 按附加到数据库集群参数组的标签筛选访问。 | 字符串 |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | 按附加到数据库集群快照的标签筛选访问。 | 字符串 |
| rds:cluster-tag/\$1\$1TagKey\$1 | 按附加到数据库集群的标签筛选访问。 | 字符串 |
| rds:db-tag/\$1\$1TagKey\$1 | 按附加到数据库实例的标签筛选访问。 | 字符串 |
| rds:es-tag/\$1\$1TagKey\$1 | 按附加到事件订阅的标签筛选访问。 | 字符串 |
| rds:pg-tag/\$1\$1TagKey\$1 | 按附加到数据库参数组的标签筛选访问。 | 字符串 |
| rds:req-tag/\$1\$1TagKey\$1 | 按可用于对资源进行标记的一组标签键和值筛选访问。 | 字符串 |
| rds:secgrp-tag/\$1\$1TagKey\$1 | 按附加到数据库安全组的标签筛选访问。 | 字符串 |
| rds:snapshot-tag/\$1\$1TagKey\$1 | 按附加到数据库快照的标签筛选访问。 | 字符串 |
| rds:subgrp-tag/\$1\$1TagKey\$1 | 按附加到数据库子网组的标签筛选访问 | 字符串 |