Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

使用 Amazon Identity and Access Management 对 Amazon Neptune 数据库进行身份验证

Amazon Identity and Access Management（IAM）是一项 Amazon Web Services 服务，可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制可以通过身份验证（登录）和授权（具有权限）使用 Neptune 资源的人员。IAM 是一项无需额外费用即可使用的 Amazon Web Services 服务。

您可以使用 Amazon Identity and Access Management (IAM) 对 Neptune 数据库实例或数据库集群进行身份验证。启用 IAM 数据库身份验证后，每个请求都必须使用 Amazon 签名版本 4 进行签名。

Amazon 签名版本 4 会将身份验证信息添加到 Amazon 请求。出于安全考虑，对启用了 IAM 身份验证的 Neptune 数据库集群的所有请求必须使用访问密钥签名。此密钥由访问密钥 ID 和私有访问密钥组成。身份验证在外部是使用 IAM policy 进行管理的。

Neptune 将对连接进行身份验证，并定期为 WebSocket 连接验证权限以确保用户仍具有访问权限。

IAM 的用法取决于您的角色

如何使用 Amazon Identity and Access Management (IAM) 因您可以在 Neptune 中执行的操作而异。

服务用户 – 如果使用 Neptune 服务来完成任务，则管理员会为您提供使用 Neptune 数据面板所需的凭证和权限。由于您需要更多的访问权限来完成您的工作，因此了解如何管理数据访问权限可帮助您从管理员请求适合的权限。

服务管理员 – 如果您在公司负责管理 Neptune 资源，则您可能可以访问 Neptune 管理操作，这些操作与 Neptune 管理 API 相对应。确定服务用户需要哪些 Neptune 数据访问操作和资源才能完成其工作也可能是您的任务。然后，IAM 管理员可以应用 IAM policy 来更改您的服务用户的权限。

IAM 管理员 – 如果您是 IAM 管理员，您需要编写 IAM policy 来管理 Neptune 的管理和数据访问。要查看您可以使用的基于 Neptune 身份的示例策略，请参阅使用不同类型的 IAM policy 控制对 Neptune 的访问权限。

使用身份进行身份验证

身份验证是您使用身份凭证登录 Amazon 的方法。您必须作为 Amazon Web Services 账户根用户、IAM 用户或通过代入 IAM 角色进行身份验证。

对于编程访问，Amazon 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息，请参阅《IAM 用户指南》中的适用于 API 请求的 Amazon 签名版本 4。

Amazon Web Services 账户根用户

当您创建 Amazon Web Services 账户时，最初使用的是一个对所有 Amazon Web Services 服务和资源拥有完全访问权限的登录身份（称为 Amazon Web Services 账户根用户）。强烈建议您不要使用根用户执行日常任务。有关需要根用户凭证的任务，请参阅《IAM 用户指南》中的需要根用户凭证的任务。

IAM 用户和群组

IAM 用户是对单个人员或应用程序具有特定权限的一个身份。建议使用临时凭证，而非具有长期凭证的 IAM 用户。有关更多信息，请参阅《IAM 用户指南》中的要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 Amazon。

IAM 组指定一组 IAM 用户，便于更轻松地对大量用户进行权限管理。有关更多信息，请参阅《IAM 用户指南》中的 IAM 用户的使用案例。

IAM 角色

IAM 角色是具有特定权限的身份，可提供临时凭证。您可以通过从用户切换到 IAM 角色（控制台）或调用 Amazon CLI 或 Amazon API 操作来代入角色。有关更多信息，请参阅《IAM 用户指南》中的担任角色的方法。

IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息，请参阅《IAM 用户指南》中的 IAM 中的跨账户资源访问。