使用 IAM 策略管理访问 - Amazon Neptune
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 策略管理访问

您将创建策略并将其附加到 IAM 身份或Amazon资源,以便控制Amazon中的访问。策略是Amazon中的对象;在与标识或资源相关联时,策略定义它们的权限。您可以通过 root 用户或 IAM 用户身份登录,也可以代入 IAM 角色。随后,当您提出请求时,Amazon会评估相关的基于身份或基于资源的策略。策略中的权限确定是允许还是拒绝请求。大多数策略在 Amazon 中存储为 JSON 文档。有关 JSON 策略文档的结构和内容的更多信息,请参阅 IAM 用户指南 中的 JSON 策略概览

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体 可以对什么资源 执行操作,以及在什么条件 下执行。

每个 IAM 实体(用户或角色)最初没有任何权限。换言之,预设情况下,用户什么都不能做,甚至不能更改他们自己的密码。要为用户授予执行某些操作的权限,管理员必须将权限策略附加到用户。或者,管理员可以将用户添加到具有预期权限的组中。当管理员为某个组授予访问权限时,该组内的全部用户都会获得这些访问权限。

IAM 策略定义操作的权限,无关乎您使用哪种方法执行操作。例如,假设您有一个允许 iam:GetRole 操作的策略。具有该策略的用户可以从 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 获取角色信息。

基于身份的策略

基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》中的创建 IAM 策略

基于身份的策略可以进一步归类为内联策略托管式策略。内联策略直接嵌入单个用户、组或角色中。托管式策略是可以附加到Amazon Web Services 账户中的多个用户、组和角色的独立策略。托管式策略包括 Amazon 托管式策略和客户托管式策略。要了解如何在托管式策略和内联策略之间进行选择,请参阅 IAM 用户指南 中的在托管式策略与内联策略之间进行选择

访问控制列表 (ACL)

访问控制列表 (ACL) 控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。

Simple Storage Service(Amazon S3)、Amazon WAF 和 Amazon VPC 是支持 ACL 的服务示例。要了解有关 ACL 的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的访问控制列表 (ACL) 概览

使用 Amazon Neptune 控制台所需的权限

对于要使用 Amazon Neptune 控制台的用户,该用户必须拥有一组最低权限。这些权限允许用户描述他们的 Neptune 资源Amazon账户并提供其他相关信息(包括 Amazon EC2 安全和网络信息)。

如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户, 控制台将无法按预期正常运行。为确保这些用户仍可使用 Neptune 控制台,还请将NeptuneReadOnlyAccess针对用户的托管策略,如中所述Amazon针对 Amazon Neptune 的托管(预定义)策略.

对于只需要调用的用户,无需为其提供最低控制台权限。Amazon CLI或者是 Amazon Neptune API。

以下部分提供有关使用的信息。AmazonNeptune 的托管策略,以及如何使用服务特定的操作、资源和条件键创建自己的自定义策略。

将 IAM 策略附加到 IAM 用户

要应用托管或自定义策略,请将其附加到 IAM 用户。有关此主题的教程,请参阅创建并附加您的第一个客户托管策略中的IAM 用户指南.

在演练此教程时,您可以使用此部分中显示的策略示例之一作为起点并根据您的需求进行定制。在教程结束时,您将有一个 IAM 用户,该用户具有可使用 neptune-db:* 操作的附加策略。

重要
  • 对 IAM 策略的更改将需要长达 10 分钟才能应用于指定 Neptune 资源。

  • 应用于 Neptune 数据库集群的 IAM 策略将应用于集群中的所有实例。

IAM 策略限制

对 IAM 策略的更改将需要长达 10 分钟才能应用于指定 Neptune 资源。

应用于 Neptune 数据库集群的 IAM 策略将应用于集群中的所有实例。

Neptune 不支持以下功能:

  • 访问权限的精细控制。

  • neptune-db:* 之外的操作。用户必须拥有授予 neptune-db:* 操作访问实例的权限的策略。

  • 跨账户访问.

在 Neptune 中使用 IAM 策略的其他详细信息