Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verwaltung des Zugriffs auf Amazon Neptune Neptune-Datenbanken mithilfe von IAM-Richtlinien Verwenden von IAM-Richtlinien [IAM-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) sind JSON-Objekte, die Berechtigungen für die Verwendung von Aktionen und Ressourcen definieren. Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an Identitäten oder Ressourcen anhängen. AWS Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*. Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf. Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird. ## Identitätsbasierte Richtlinien Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*. Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*. ## Verwendung von Service Control Policies (SCP) in Organisationen AWS Service-Kontrollrichtlinien (SCP) Servicesteuerungsrichtlinien (SCPs) sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in [AWS Organizations](https://aws.amazon.com/organizations/)festlegen. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer AWS Konten, die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen AWS Root-Benutzer. Weitere Informationen zu Organizations und SCPs finden Sie unter [So SCPs arbeiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) Sie im AWS Organizations Benutzerhandbuch. Kunden, die Amazon Neptune in einem AWS Konto innerhalb eines AWS Unternehmens einsetzen, können so steuern SCPs , welche Konten Neptune verwenden können. Um den Zugriff auf Neptune innerhalb eines Mitgliedskontos zu gewährleisten, musst du Folgendes tun: + Erlaubt den Zugriff auf `rds:*` und `neptune-db:*` für Neptune-Datenbankoperationen. Weitere Informationen finden Sie unter [Warum sind Amazon RDS-Berechtigungen und Ressourcen für die Verwendung von Neptune Database erforderlich](https://aws.amazon.com/neptune/faqs/)? für Einzelheiten darüber, warum Amazon RDS-Berechtigungen für die Neptune-Datenbank erforderlich sind. + Erlauben Sie den Zugriff `neptune-graph:*` auf Neptune Analytics-Operationen. ## Für die Verwendung der Amazon-Neptune-Konsole erforderliche Berechtigungen Zugriff auf die Neptune-Konsole Damit Benutzer mit der Amazon-Neptune-Konsole arbeiten können, müssen sie einen Mindestsatz von Berechtigungen besitzen. Diese Berechtigungen ermöglichen Benutzern, die Neptune-Ressourcen für ihr AWS -Konto zu beschreiben und weitere verwandte Informationen bereitzustellen, einschließlich Informationen in den Bereichen Amazon-EC2-Sicherheit und -Netzwerk. Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Neptune-Konsole weiter verwenden können, müssen Sie ihnen die verwaltete Richtlinie `NeptuneReadOnlyAccess` anfügen, wie in [Verwenden AWS verwalteter Richtlinien für den Zugriff auf Amazon Neptune Neptune-Datenbanken](security-iam-access-managed-policies.md) beschrieben. Sie müssen Benutzern, die nur die Amazon Neptune-API AWS CLI oder die Amazon Neptune Neptune-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. ## Anfügen einer IAM-Richtlinie an einen IAM-Benutzer Anfügen einer Richtlinie Um eine verwaltete oder benutzerdefinierte Richtlinie anzuwenden, fügen Sie diese an einen IAM-Benutzer an. Eine praktische Anleitung zu diesem Thema finden Sie unter [ Praktische Anleitung: Erstellen und Anfügen Ihrer ersten vom Kunden verwalteten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) im *IAM-Benutzerhandbuch*. Wenn Sie die praktischen Anleitung durchgehen, können Sie eine der in diesem Abschnitt aufgeführten Beispielrichtlinien als Ausgangsbasis verwenden und auf Ihre Bedürfnisse anpassen. Am Ende des Tutorials verfügen Sie über einen IAM-Benutzer mit einer angefügten Richtlinie, der die Aktion `neptune-db:*` verwenden kann. **Wichtig** Die Anwendung von Änderungen einer IAM-Richtlinie auf die angegebenen Neptune-Ressourcen kann bis zu 10 Minuten dauern. IAM-Richtlinien, die auf einen Neptune-DB-Cluster angewendet werden, werden auf alle Instances in diesem Cluster angewendet. ## Verwenden verschiedener Arten von IAM-Richtlinien für die Steuerung des Zugriffs auf Neptune Arten von IAM-Richtlinien Um Zugriff auf Neptune-Verwaltungsaktionen oder auf Daten in einem Neptune-DB-Cluster zu gewähren, fügen Sie einem IAM-Benutzer oder einer IAM-Rolle Richtlinien an. Informationen zum Anfügen einer IAM-Richtlinie an einen Benutzer finden Sie unter [Anfügen einer IAM-Richtlinie an einen IAM-Benutzer](#iam-auth-policy-attaching). Informationen zum Anfügen einer Richtlinie an eine Rolle finden Sie unter [Hinzufügen und Entfernen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*. Für den allgemeinen Zugriff auf Neptune können Sie eine der von Neptune [verwalteten Richtlinien](security-iam-access-managed-policies.md) verwenden. Um den Zugriff stärker einzuschränken, können Sie mithilfe der von Neptune unterstützten [administrativen Aktionen](neptune-iam-admin-actions.md) und [Ressourcen](iam-admin-resources.md) eine eigene benutzerdefinierte Richtlinie erstellen. In einer benutzerdefinierten IAM-Richtlinie können Sie zwei verschiedene Arten von Richtlinienanweisungen verwenden, die verschiedene Zugriffsmodi auf einen Neptune-DB-Cluster steuern: + [Administrative Richtlinienanweisungen](iam-admin-policies.md) — Administrative Richtlinienanweisungen bieten Zugriff auf das [Neptune-Management APIs](api.md), mit dem Sie einen DB-Cluster und seine Instances erstellen, konfigurieren und verwalten. Da Neptune Funktionalität mit Amazon RDS teilt, verwenden administrative Aktionen, Ressourcen und Bedingungsschlüssel in Neptune-Richtlinien standardmäßig das Präfix `rds:`. + [Datenzugriff-Richtlinienanweisungen](iam-data-access-policies.md)   –   Datenzugriff-Richtlinienanweisungen verwenden [Datenzugriffsaktionen](iam-dp-actions.md), [Ressourcen](iam-data-resources.md) und [Bedingungsschlüssel](iam-data-condition-keys.md#iam-neptune-condition-keys) zur Steuerung des Zugriffs auf die Daten in einem DB-Cluster. Neptune-Datenzugriffsaktionen, -Ressourcen und -Bedingungsschlüssel verwenden das Präfix `neptune-db:`. ## Verwenden von IAM-Bedingungskontextschlüsseln in Amazon Neptune Verwenden von Bedingungsschlüsseln Sie können Bedingungen in einer IAM-Richtlinienanweisung angeben, die den Zugriff auf Neptune steuert. Die Richtlinienanweisung ist nur wirksam, wenn die Bedingungen erfüllt werden. Vielleicht möchten Sie, dass eine Richtlinienanweisung erst nach einem bestimmten Datum wirksam wird oder dass der Zugriff nur zulässig ist, wenn ein bestimmter Wert in der Anforderung enthalten ist. Zum Ausdruck von Bedingungen verwenden Sie im [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)-Element einer Richtlinienanweisung vordefinierte Bedingungsschlüssel zusammen mit [IAM-Bedingungs-Richtlinienoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) wie „gleich“ oder „kleiner als“. Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen Operation aus. `OR` Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden. Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*. Der Datentyp eines Bedingungsschlüssels legt fest, welche Bedingungsoperatoren Sie für den Vergleich der Werte in der Anforderung mit den Werten in der Richtlinienanweisung verwenden können. Wenn Sie einen Bedingungsoperator verwenden, der nicht mit diesem Datentyp kompatibel ist, wird niemals eine Übereinstimmung ermittelt und die Richtlinienanweisung wird nie angewendet. Neptune unterstützt andere Sätze von Bedingungsschlüsseln für administrative Richtlinienanweisungen als für Datenzugriffs-Richtlinienanweisungen: + [Bedingungsschlüssel für administrative Richtlinienanweisungen](iam-admin-condition-keys.md) + [Bedingungsschlüssel für Datenzugriff-Richtlinienanweisungen](iam-data-condition-keys.md#iam-neptune-condition-keys) ## Unterstützung für IAM-Richtlinien- und Zugriffssteuerungs-Features in Amazon Neptune Unterstützung für IAM-Features Die folgende Tabelle zeigt die IAM-Features, die Neptune für administrative Richtlinienanweisungen und Datenzugriff-Richtlinienanweisungen unterstützt: **IAM-Features, die Sie mit Neptune verwenden können** | IAM-Feature | Administrativ | Datenzugriff | | --- | --- | --- | | [Identitätsbasierte Richtlinien](#security_iam_access-manage-id-based-policies) | Ja | Ja | | [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | Nein | Nein | | [Richtlinienaktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Ja | Ja | | [Richtlinienressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Ja | Ja | | [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Ja | (eine Teilmenge) | | [Tag-basierte Bedingungsschlüssel](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Ja | Nein | | [Zugriffskontrolllisten (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | Nein | Nein | | [Richtlinien zur Dienstkontrolle (SCPs)](#security_iam_access-manage-scp) | Ja | Ja | | [Serviceverknüpfte Rollen](security-iam-service-linked-roles.md) | Ja | Nein | ## IAM-Richtlinien – Einschränkungen IAM-Richtlinien – Einschränkungen Die Anwendung von Änderungen einer IAM-Richtlinie auf die angegebenen Neptune-Ressourcen kann bis zu 10 Minuten dauern. IAM-Richtlinien, die auf einen Neptune-DB-Cluster angewendet werden, werden auf alle Instances in diesem Cluster angewendet. Neptune unterstützt derzeit keine kontenübergreifende Zugriffskontrolle auf Datenebene. Die kontenübergreifende Zugriffskontrolle wird nur beim Massenladen und bei Verwendung von Rollenverkettung unterstützt. [Weitere Informationen finden Sie im Tutorial zum Laden mehrerer Dateien.](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account) # Verwenden AWS verwalteter Richtlinien für den Zugriff auf Amazon Neptune Neptune-Datenbanken Verwendung von verwalteten RichtlinienÄnderungen der verwalteten IAM-Richtlinie für Neptune Die von **NeptuneConsoleFullAccess**IAM verwaltete Richtlinie wurde aktualisiert, um die für die Interaktion mit Neptune Analytics-Diagrammen erforderlichen Berechtigungen zu gewähren, eine neue **NeptuneGraphReadOnlyAccess**Richtlinie wurde hinzugefügt, um schreibgeschützten Zugriff auf Neptune Analytics-Graphressourcen zu gewähren, und eine neue `AWSServiceRoleForNeptuneGraphPolicy` Richtlinie wurde hinzugefügt, damit Neptune Analytics-Diagramme Betriebs- und Nutzungsmetriken und -protokolle veröffentlichen können. CloudWatch AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*. Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, gelten für die Nutzung der Amazon Neptune Neptune-Verwaltung: APIs + **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)**— Gewährt schreibgeschützten Zugriff auf alle Neptune-Ressourcen sowohl für administrative als auch für Datenzugriffszwecke im Root-Konto. AWS + **[NeptuneFullAccess](full-access-iam-managed-policy.md)**— Gewährt vollen Zugriff auf alle Neptune-Ressourcen sowohl für administrative als auch für Datenzugriffszwecke im Root-Konto. AWS Dies wird empfohlen, wenn Sie vollen Neptune-Zugriff über das AWS CLI oder SDK benötigen, aber nicht für AWS-Managementkonsole den Zugriff. + **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)**— Gewährt vollen Zugriff im AWS Root-Konto auf alle administrativen Aktionen und Ressourcen von Neptune, jedoch nicht auf Datenzugriffsaktionen oder Ressourcen. Dies schließt zusätzliche Berechtigungen ein, um den Zugriff auf Neptune über die Konsole zu vereinfachen, einschließlich eingeschränkter IAM- und Amazon-EC2 (VPC)-Berechtigungen. + **[NeptuneGraphReadOnlyAccess ](graph-read-only-access-iam-managed-policy.md)**— Bietet schreibgeschützten Zugriff auf alle Amazon Neptune Analytics-Ressourcen zusammen mit Leseberechtigungen für abhängige Dienste + **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)**— Ermöglicht Neptune Analytics-Grafiken zur Veröffentlichung von CloudWatch Betriebs- und Nutzungsmetriken und Protokollen. Neptune-IAM-Rollen und -Richtlinien gewähren einen bestimmten Zugriff auf Amazon–RDS-Ressourcen, da Neptune für bestimmte Verwaltungs-Features operative Technologien mit Amazon RDS teilt. Dazu gehören administrative API-Berechtigungen, weswegen administrative Neptune-Aktionen das Präfix `rds:` haben. ## Aktualisierungen der von Neptune verwalteten Richtlinien AWS Aktualisierungen Die folgende Tabelle listet die Aktualisierungen der von Neptune verwalteten Richtlinien ab dem Zeitpunkt auf, an dem Neptune mit der Verfolgung dieser Änderungen begonnen hat: | Richtlinie | Description | Date | | --- | --- | --- | | AWS verwaltete Richtlinien für Amazon Neptune — Aktualisierung vorhandener Richtlinien | Die `NeptuneReadOnlyAcess` und die `NeptuneFullAccess` verwalteten Richtlinien enthalten jetzt `Sid` (Kontoausweis-ID) als Kennung in der Richtlinienerklärung. | 2024-01-22 | | [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md)(veröffentlicht) | Diese Version bietet schreibgeschützten Zugriff auf Neptune-Analytics-Graphen und -Ressourcen. | 29.11.2023- | | [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)(veröffentlicht) | Veröffentlicht, um Neptune Analytics-Graphen Zugriff auf die Veröffentlichung von Betriebs- und Nutzungsmetriken und Protokollen CloudWatch zu ermöglichen. Weitere Informationen finden Sie [unter Verwenden von serviceverknüpften Rollen (SLRs) in Neptune Analytics](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html). | 2023-11-29 | | [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(Berechtigungen hinzugefügt) | Die hinzugefügten Berechtigungen bieten den gesamten benötigten Zugriff für die Interaktion mit Neptune-Analytics-Graphen. | 2023-11/29 | | [NeptuneFullAccess](full-access-iam-managed-policy.md)(Berechtigungen hinzugefügt) | Datenzugriffsberechtigungen und Berechtigungen für eine neue globale Datenbank APIs hinzugefügt. | 28.07.2022 | | [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(Berechtigungen hinzugefügt) | Berechtigungen für eine neue globale Datenbank hinzugefügt APIs. | 2021-07-21 | | Beginn der Verfolgung von Änderungen durch Neptune | Neptune begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen. | 21.07.2022 | # Gewährung `NeptuneReadOnlyAccess` an Amazon Neptune Neptune-Datenbanken mithilfe verwalteter Richtlinien AWS Nur-Lese-Zugriff gewähren Die unten stehende [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess)verwaltete Richtlinie gewährt Lesezugriff auf alle Neptune-Aktionen und -Ressourcen sowohl für administrative als auch für Datenzugriffszwecke. **Anmerkung** Diese Richtlinie wurde am 21.07.2022 aktualisiert und umfasst nun schreibgeschützte Datenzugriffsberechtigungen und administrative Berechtigungen sowie Berechtigungen für globale Datenbankaktionen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyPermissionsForRDS", "Effect": "Allow", "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForCloudwatch", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForEC2", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForKMS", "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*" ] }, { "Sid": "AllowReadOnlyPermissionsForNeptuneDB", "Effect": "Allow", "Action": [ "neptune-db:Read*", "neptune-db:Get*", "neptune-db:List*" ], "Resource": [ "*" ] } ] } ``` ------ # Gewährung `NeptuneFullAccess` an Amazon Neptune Neptune-Datenbanken mithilfe verwalteter Richtlinien AWS Gewähren von Vollzugriff Die unten stehende [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess)verwaltete Richtlinie gewährt vollen Zugriff auf alle Neptune-Aktionen und -Ressourcen, sowohl für administrative als auch für Datenzugriffszwecke. Sie wird empfohlen, wenn Sie vollen Zugriff über das AWS CLI oder über ein SDK benötigen, aber nicht über das. AWS-Managementkonsole **Anmerkung** Diese Richtlinie wurde am 21.07.2022 aktualisiert und umfasst vollständige Datenzugriffs- und administrative Berechtigungen sowie Berechtigungen für globale Datenbankaktionen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowNeptuneCreate", "Effect": "Allow", "Action": [ "rds:CreateDBCluster", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:*:*" ], "Condition": { "StringEquals": { "rds:DatabaseEngine": [ "graphdb", "neptune" ] } } }, { "Sid": "AllowManagementPermissionsForRDS", "Effect": "Allow", "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBClusterEndpoint", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterEndpoint", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeDBClusterEndpoints", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:FailoverGlobalCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterEndpoint", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime", "rds:StartDBCluster", "rds:StopDBCluster" ], "Resource": [ "*" ] }, { "Sid": "AllowOtherDepedentPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "AllowPassRoleForNeptune", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:passedToService": "rds.amazonaws.com" } } }, { "Sid": "AllowCreateSLRForNeptune", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "AllowDataAccessForNeptune", "Effect": "Allow", "Action": [ "neptune-db:*" ], "Resource": [ "*" ] } ] } ``` ------ # Gewährung `NeptuneConsoleFullAccess` mithilfe einer AWS verwalteten Richtlinie Vollzugriff auf die Neptune-Konsole gewähren Die unten stehende [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess)verwaltete Richtlinie gewährt vollen Zugriff auf alle Neptun-Aktionen und -Ressourcen für administrative Zwecke, jedoch nicht für Datenzugriffszwecke. Dies schließt zusätzliche Berechtigungen ein, um den Zugriff auf Neptune über die Konsole zu vereinfachen, einschließlich eingeschränkter IAM- und Amazon-EC2 (VPC)-Berechtigungen. **Anmerkung** Diese Richtlinie wurde am 29.11.2023 aktualisiert und umfasst nun auch die Berechtigungen, die für die Interaktion mit Neptune-Analytics-Graphen erforderlich sind. Sie wurde am 21.07.2022 aktualisiert und umfasst nun auch Berechtigungen für globale Datenbankaktionen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowNeptuneCreate", "Effect": "Allow", "Action": [ "rds:CreateDBCluster", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:*:*" ], "Condition": { "StringEquals": { "rds:DatabaseEngine": [ "graphdb", "neptune" ] } } }, { "Sid": "AllowManagementPermissionsForRDS", "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Sid": "AllowOtherDepedentPermissions", "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "iam:ListRoles", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Sid": "AllowPassRoleForNeptune", "Action": "iam:PassRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:passedToService": "rds.amazonaws.com" } } }, { "Sid": "AllowCreateSLRForNeptune", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "AllowManagementPermissionsForNeptuneAnalytics", "Effect": "Allow", "Action": [ "neptune-graph:CreateGraph", "neptune-graph:DeleteGraph", "neptune-graph:GetGraph", "neptune-graph:ListGraphs", "neptune-graph:UpdateGraph", "neptune-graph:ResetGraph", "neptune-graph:CreateGraphSnapshot", "neptune-graph:DeleteGraphSnapshot", "neptune-graph:GetGraphSnapshot", "neptune-graph:ListGraphSnapshots", "neptune-graph:RestoreGraphFromSnapshot", "neptune-graph:CreatePrivateGraphEndpoint", "neptune-graph:GetPrivateGraphEndpoint", "neptune-graph:ListPrivateGraphEndpoints", "neptune-graph:DeletePrivateGraphEndpoint", "neptune-graph:CreateGraphUsingImportTask", "neptune-graph:GetImportTask", "neptune-graph:ListImportTasks", "neptune-graph:CancelImportTask" ], "Resource": [ "arn:aws:neptune-graph:*:*:*" ] }, { "Sid": "AllowPassRoleForNeptuneAnalytics", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:passedToService": "neptune-graph.amazonaws.com" } } }, { "Sid": "AllowCreateSLRForNeptuneAnalytics", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph", "Condition": { "StringLike": { "iam:AWSServiceName": "neptune-graph.amazonaws.com" } } } ] } ``` ------ # Gewährung mithilfe einer verwalteten Richtlinie `NeptuneGraphReadOnlyAccess` AWS Nur-Lese-Zugriff auf das Neptun-Diagramm gewähren Die unten stehende [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess)verwaltete Richtlinie bietet Lesezugriff auf alle Amazon Neptune Analytics-Ressourcen sowie Nur-Lese-Berechtigungen für abhängige Dienste. Diese Richtlinie umfasst die folgenden Berechtigungen: + **Für Amazon EC2** — Rufen Sie Informationen über Subnetze VPCs, Sicherheitsgruppen und Availability Zones ab. + **Für AWS KMS** — Rufen Sie Informationen über KMS-Schlüssel und -Aliase ab. + **Für CloudWatch** — Ruft Informationen über CloudWatch Metriken ab. + **Für CloudWatch Logs** — Ruft Informationen über CloudWatch Log-Streams und Ereignisse ab. **Anmerkung** Diese Richtlinie wurde am 29.11.2023 veröffentlicht. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyPermissionsForNeptuneGraph", "Effect": "Allow", "Action": [ "neptune-graph:Get*", "neptune-graph:List*", "neptune-graph:Read*" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForEC2", "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForKMS", "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForCloudwatch", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Sid": "AllowReadOnlyPermissionsForLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*" ] } ] } ``` ------ # Zugriff auf den Neptun-Graphen gewähren mit `AWSServiceRoleForNeptuneGraphPolicy` Verwenden von `AWSServiceRoleForNeptuneGraphPolicy` Die unten stehende [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy)verwaltete Richtlinie ermöglicht den Zugriff auf Diagramme zur Veröffentlichung von Betriebs- und CloudWatch Nutzungsmetriken und Protokollen. Siehe [nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html). **Anmerkung** Diese Richtlinie wurde am 29.11.2023 veröffentlicht. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "GraphMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/Neptune", "AWS/Usage" ] } } }, { "Sid": "GraphLogGroup", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/neptune/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "GraphLogEvents", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] } ``` ------ # Anpassen des Zugriffs auf Amazon Neptune Neptune-Ressourcen mithilfe von IAM-Bedingungskontextschlüsseln Verwenden von Bedingungsschlüsseln Sie können in den IAM-Richtlinien, die den Zugriff auf Neptune-Verwaltungsaktionen und -Ressourcen steuern, Bedingungen angeben. Die Richtlinienanweisung ist nur wirksam, wenn die Bedingungen erfüllt werden. Vielleicht möchten Sie, dass eine Richtlinienanweisung erst nach einem bestimmten Datum wirksam wird oder dass der Zugriff nur zulässig ist, wenn ein bestimmter Wert in der API-Anforderung enthalten ist. Zum Ausdruck von Bedingungen verwenden Sie im [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)-Element einer Richtlinienanweisung vordefinierte Bedingungsschlüssel zusammen mit [IAM-Bedingungs-Richtlinienoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) wie „gleich“ oder „kleiner als“. Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen Operation aus. `OR` Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden. Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*. Der Datentyp eines Bedingungsschlüssels legt fest, welche Bedingungsoperatoren Sie für den Vergleich der Werte in der Anforderung mit den Werten in der Richtlinienanweisung verwenden können. Wenn Sie einen Bedingungsoperator verwenden, der nicht mit diesem Datentyp kompatibel ist, wird niemals eine Übereinstimmung ermittelt und die Richtlinienanweisung wird nie angewendet. **IAM-Bedingungsschlüssel für administrative Neptune-Richtlinienanweisungen** + [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Sie können die meisten AWS globalen Bedingungsschlüssel in den administrativen Richtlinienerklärungen von Neptune verwenden. + [Dienstspezifische Bedingungsschlüssel](iam-admin-condition-keys.md) — Dies sind Schlüssel, die für bestimmte Dienste definiert sind. AWS Die Bedingungsschlüssel, die Neptune für administrative Richtlinienanweisungen unterstützt, werden in [IAM-Bedingungsschlüssel für die Verwaltung von Amazon Neptune](iam-admin-condition-keys.md) aufgelistet. **IAM-Bedingungsschlüssel für Neptune-Datenzugriff-Richtlinienanweisungen** + [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)   –   Die Teilmenge dieser Schlüssel, die Neptune in Datenzugriff-Richtlinienanweisungen unterstützt, werden in [AWS Globale Bedingungskontextschlüssel, die von Neptune in Datenzugriffspolitikanweisungen unterstützt werden](iam-data-condition-keys.md#iam-data-global-condition-keys) aufgelistet. + Servicespezifische Bedingungsschlüssel, die Neptune für Datenzugriff-Richtlinienanweisungen definiert, werden in [Bedingungsschlüssel](iam-data-condition-keys.md) aufgelistet. # Erstellen von benutzerdefinierten IAM-Richtlinienerklärungen zur Verwaltung von Amazon Neptune Erklärungen zur Verwaltungsrichtlinie für IAM Mit administrativen Richtlinienanweisungen können Sie steuern, welche Aktionen ein IAM-Benutzer ausführen kann, um eine Neptune-Datenbank zu verwalten. Eine administrative Neptune-Richtlinienanweisung gewährt Zugriff auf eine oder mehrere [administrative Aktionen](neptune-iam-admin-actions.md) und [administrative Ressourcen](iam-admin-resources.md), die von Neptune unterstützt werden. Sie können [Bedingungsschlüssel](iam-admin-condition-keys.md) auch verwenden, um die administrativen Berechtigungen spezifischer zu gestalten. **Anmerkung** Da Neptune Funktionalität mit Amazon RDS teilt, verwenden administrative Aktionen, Ressourcen und servicespezifische Bedingungsschlüssel in administrativen Richtlinienanweisungen standardmäßig das Präfix `rds:`. **Topics** + [ # IAM-Aktionen zur Verwaltung von Amazon Neptune ](neptune-iam-admin-actions.md) + [ # IAM-Ressourcentypen für die Verwaltung von Amazon Neptune ](iam-admin-resources.md) + [ # IAM-Bedingungsschlüssel für die Verwaltung von Amazon Neptune ](iam-admin-condition-keys.md) + [ # Erstellung von IAM-Verwaltungsrichtlinienerklärungen für Amazon Neptune ](iam-admin-policy-examples.md) # IAM-Aktionen zur Verwaltung von Amazon Neptune Administrative Maßnahmen Sie können die unten im `Action` Element einer IAM-Richtlinienerklärung aufgeführten administrativen Aktionen verwenden, um den Zugriff auf das [Neptune-Management](api.md) zu kontrollieren. APIs Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen. Das Feld `Resource type` in der folgenden Liste gibt an, ob die einzelnen Aktionen jeweils Berechtigungen auf Ressourcenebene unterstützen. Wenn es keinen Wert in diesem Feld gibt, müssen Sie alle Ressourcen ("\$1") im `Resource`-Element Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen Ressourcen-ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Die administrativen Neptune-Ressourcentypen sind auf [dieser Seite](iam-admin-resources.md) aufgelistet. Erforderliche Ressourcen werden in der folgenden Liste mit einem Sternchen (\$1) gekennzeichnet. Wenn Sie einen Berechtigungs-ARN auf Ressourcenebene in einer Anweisung mit dieser Aktion angeben, muss er diesen Typ haben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn ein Ressourcentyp optional ist (d. h. nicht mit einem Sternchen gekennzeichnet ist), müssen Sie ihn nicht angeben. Weitere Informationen zu den hier aufgelisteten Feldern finden Sie unter [Aktionstabelle](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table) im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/). ## rds: AddRoleTo DBCluster `AddRoleToDBCluster` verknüpft eine IAM-Rolle mit einem Neptune-DB-Cluster. *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). ## rds: AddSourceIdentifierToSubscription `AddSourceIdentifierToSubscription` fügt eine Quell-ID zu einem vorhandenen Neptune-Ereignisbenachrichtigungs-Abonnement hinzu. *Zugriffsebene:* `Write`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## rds: AddTagsToResource `AddTagsToResource` verknüpft eine IAM-Rolle mit einem Neptune-DB-Cluster. *Zugriffsebene:* `Write`. *Ressourcentypen:* + [db](iam-admin-resources.md#neptune-db-resource) + [es](iam-admin-resources.md#neptune-es-resource) + [pg](iam-admin-resources.md#neptune-pg-resource) + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) *Bedingungsschlüssel:* + [als:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## rds: ApplyPendingMaintenanceAction `ApplyPendingMaintenanceAction` wendet eine ausstehende Wartungsaktion auf eine Ressource an. *Zugriffsebene:* `Write`. *Ressourcentyp:* [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). ## rds: kopieren DBCluster ParameterGroup `Kopieren DBCluster ParameterGroup` kopiert die angegebene DB-Cluster-Parametergruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:Snapshot kopieren DBCluster `DBClusterSnapshot kopieren` kopiert einen Snapshot eines DB-Clusters. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). ## RDS:Gruppe DBParameter kopieren `DBParameterGruppe kopieren` kopiert die angegebene DB-Parametergruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS:erstellen DBCluster `Erstellen DBCluster` erstellt einen neuen Neptune-DB-Cluster. *Zugriffsebene:* `Tagging`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) + [neptun-Rds\$1 DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) ## rds: erstellen DBCluster ParameterGroup `Erstellen DBCluster ParameterGroup` erstellt eine neue DB-Cluster-Parametergruppe. *Zugriffsebene:* `Tagging`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDSDBCluster: Snapshot erstellen `DBClusterSnapshot erstellen` erstellt einen Snapshot eines DB-Clusters. *Zugriffsebene:* `Tagging`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). *Bedingungsschlüssel:* + [aws:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDS: erstellen DBInstance `Erstellen DBInstance` erstellt eine neue DB-Instance. *Zugriffsebene:* `Tagging`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). + [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDSDBParameter: Gruppe erstellen `DBParameterGruppe erstellen` erstellt eine neue DB-Parametergruppe. *Zugriffsebene:* `Tagging`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDSDBSubnet: Gruppe erstellen `DBSubnetGruppe erstellen` erstellt eine neue DB-Subnetzgruppe. *Zugriffsebene:* `Tagging`. *Ressourcentyp:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## rds: CreateEventSubscription `CreateEventSubscription` erstellt ein Neptune-Ereignisbenachrichtigungs-Abonnement. *Zugriffsebene:* `Tagging`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). *Bedingungsschlüssel:* + [als:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDS: löschen DBCluster `Löschen DBCluster` löscht einen vorhandenen Neptune-DB-Cluster. *Zugriffsebene:* `Write`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). ## RDS:löschen DBCluster ParameterGroup `Löschen DBCluster ParameterGroup` löscht eine angegebene DB-Cluster-Parametergruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:Snapshot löschen DBCluster `DBClusterSchnappschuss löschen` löscht einen DB-Cluster-Snapshot. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). ## RDS:löschen DBInstance `Löschen DBInstance` löscht eine angegebene DB-Instance. *Zugriffsebene:* `Write`. *Ressourcentyp:* [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). ## RDS:Gruppe löschen DBParameter `DBParameterGruppe löschen`löscht eine angegebene Gruppe. DBParameter *Zugriffsebene:* `Write`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## rdsDBSubnet: Gruppe löschen `DBSubnetGruppe löschen` löscht eine DB-Subnetzgruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). ## rds: DeleteEventSubscription `DeleteEventSubscription` löscht ein Ereignisbenachrichtigungs-Abonnement. *Zugriffsebene:* `Write`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## rds: Beschreiben DBCluster ParameterGroups `Beschreiben DBCluster ParameterGroups`gibt eine Liste von Beschreibungen zurück. DBCluster ParameterGroup *Zugriffsebene:* `List`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:Parameter beschreiben DBCluster `Beschreiben Sie die DBCluster Parameter` gibt die detaillierte Parameterliste für eine bestimmte DB-Cluster-Parametergruppe zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:Beschreiben DBCluster SnapshotAttributes `Beschreiben DBCluster SnapshotAttributes` gibt eine Liste der Namen und Werte von DB-Cluster-Snapshot-Attributen für einen manuellen DB-Cluster-Snapshot zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). ## RDS:Schnappschüsse beschreiben DBCluster `Beschreiben Sie Schnappschüsse DBCluster` gibt Informationen zu DB-Cluster-Snapshots zurück. *Zugriffsebene:* `Read`. ## RDS: Beschreiben DBClusters `Beschreiben DBClusters` gibt Informationen zu einem bereitgestellten Neptune-DB-Cluster zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). ## RDS:Versionen beschreiben DBEngine `DBEngineVersionen beschreiben` gibt eine Liste der verfügbaren DB-Engines zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS:Beschreiben DBInstances `Beschreiben DBInstances` gibt Informationen zu DB-Instances zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## RDS:Gruppen beschreiben DBParameter `Beschreiben Sie DBParameter Gruppen`gibt eine Liste von DBParameter Gruppenbeschreibungen zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS: Beschreiben DBParameters `Beschreiben DBParameters` gibt die detaillierte Parameterliste für eine bestimmte DB-Parametergruppe zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS:Gruppen beschreiben DBSubnet `Beschreiben Sie DBSubnet Gruppen`gibt eine Liste von DBSubnet Gruppenbeschreibungen zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). ## rds: DescribeEventCategories `DescribeEventCategories` gibt eine Liste der Kategorien für alle Ereignisquelltypen oder (wenn angegeben) für einen angegebenen Quelltyp zurück. *Zugriffsebene:* `List`. ## rds: DescribeEventSubscriptions `DescribeEventSubscriptions` listet alle Abonnementbeschreibungen für ein Kundenkonto auf. *Zugriffsebene:* `List`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## rds: DescribeEvents `DescribeEvents` gibt Ereignisse für DB-Instances, DB-Sicherheitsgruppen und DB-Parametergruppen in den vergangenen 14 Tagen zurück. *Zugriffsebene:* `List`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## rds: DescribeOrderable DBInstance Optionen `DescribeOrderableDBInstanceOptionen` gibt eine Liste der bestellbaren DB-Instance-Optionen für die angegebene Engine zurück. *Zugriffsebene:* `List`. ## rds: DescribePendingMaintenanceActions `DescribePendingMaintenanceActions` gibt eine Liste von Ressourcen (z. B. DB-Instances) zurück, für die mindestens eine Wartungsaktion aussteht. *Zugriffsebene:* `List`. *Ressourcentyp:* [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). ## rds: DescribeValid DBInstance Änderungen `DescribeValidDBInstanceÄnderungen` listet verfügbare Änderungen auf, die Sie für Ihre DB-Instance ausführen können *Zugriffsebene:* `List`. *Ressourcentyp:* [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). ## rds: Failover DBCluster `Failover DBCluster` erzwingt einen Failover für einen DB-Cluster. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). ## rds: ListTagsForResource `ListTagsForResource` listet alle Tags für eine Neptune-Ressource auf. *Zugriffsebene:* `Read`. *Ressourcentypen:* + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) + [db](iam-admin-resources.md#neptune-db-resource) + [es](iam-admin-resources.md#neptune-es-resource) + [pg](iam-admin-resources.md#neptune-pg-resource) + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) ## rds: ändern DBCluster `Modifizieren DBCluster` Ändert eine Einstellung für einen Neptune-DB-Cluster. *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:ändern DBCluster ParameterGroup `Modifizieren DBCluster ParameterGroup` ändert die Parameter einer DB-Cluster-Parametergruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:ändern DBCluster SnapshotAttribute `Modifizieren DBCluster SnapshotAttribute` fügt ein Attribut und Werte zu einem manuellen DB-Cluster-Snapshot hinzu oder entfernt ein Attribut und Werte aus diesem. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). ## RDS:ändern DBInstance `Modifizieren DBInstance` ändert Einstellungen für eine DB-Instance. *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). + [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS:Gruppe ändern DBParameter `DBParameterGruppe ändern` ändert die Parameter einer DB-Parametergruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## DBSubnetRDS:Gruppe ändern `DBSubnetGruppe ändern` ändert eine vorhandene DB-Subnetzgruppe. *Zugriffsebene:* `Write`. *Ressourcentyp:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). ## rds: ModifyEventSubscription `ModifyEventSubscription` ändert ein vorhandenes Neptune-Ereignisbenachrichtigungs-Abonnement. *Zugriffsebene:* `Write`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## RDS: Neustart DBInstance `Starten Sie neu DBInstance` startet den Datenbank-Engine-Service für die Instance neu. *Zugriffsebene:* `Write`. *Ressourcentyp:* [db](iam-admin-resources.md#neptune-db-resource) (erforderlich). ## rds: RemoveRoleFrom DBCluster `RemoveRoleFromDBCluster`trennt eine AWS Identity and Access Management (IAM) -Rolle von einem Amazon Neptune Neptune-DB-Cluster. *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). ## rds: RemoveSourceIdentifierFromSubscription `RemoveSourceIdentifierFromSubscription` entfernt eine Quell-ID aus einem vorhandenen Neptune-Ereignisbenachrichtigungs-Abonnement. *Zugriffsebene:* `Write`. *Ressourcentyp:* [es](iam-admin-resources.md#neptune-es-resource) (erforderlich). ## rds: RemoveTagsFromResource `RemoveTagsFromResource` entfernt Metadaten-Tags aus einer Neptune-Ressource. *Zugriffsebene:* `Tagging`. *Ressourcentypen:* + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) + [db](iam-admin-resources.md#neptune-db-resource) + [es](iam-admin-resources.md#neptune-es-resource) + [pg](iam-admin-resources.md#neptune-pg-resource) + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) *Bedingungsschlüssel:* + [als:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDS: Zurücksetzen DBCluster ParameterGroup `Zurücksetzen DBCluster ParameterGroup` ändert die Parameter einer DB-Cluster-Parametergruppe auf den Standardwert zurück. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (erforderlich). ## RDS:Gruppe zurücksetzen DBParameter `DBParameterGruppe zurücksetzen`ändert die Parameter einer DB-Parametergruppe auf den Standardwert. engine/system *Zugriffsebene:* `Write`. *Ressourcentyp:* [pg](iam-admin-resources.md#neptune-pg-resource) (erforderlich). ## RDS: Wiederherstellen DBCluster FromSnapshot `Wiederherstellen DBCluster FromSnapshot` erstellt einen neuen DB-Cluster aus einem DB-Cluster-Snapshot *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDS: Wiederherstellen DBCluster ToPointInTime `Wiederherstellen DBCluster ToPointInTime` stellt einen DB-Cluster zu einem beliebigen Zeitpunkt her. *Zugriffsebene:* `Write`. *Abhängige Aktionen:* `iam:PassRole`. *Ressourcentypen:* + [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). + [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (erforderlich). *Bedingungsschlüssel:* + [als:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag) + [war: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys) ## RDS: Start DBCluster `Starten DBCluster` startet den angegebenen DB-Cluster. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). ## RDS: Stopp DBCluster `Stopp DBCluster` stoppt den angegebenen DB-Cluster. *Zugriffsebene:* `Write`. *Ressourcentyp:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (erforderlich). # IAM-Ressourcentypen für die Verwaltung von Amazon Neptune Ressourcentypen Neptune unterstützt die Ressourcentypen in der folgenden Tabelle für die Verwendung im `Resource`-Element der administrativen IAM-Richtlinienanweisungen. Weitere Informationen zum `Resource`-Element finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html). Die [Liste der Neptune-Verwaltungsaktionen](neptune-iam-admin-actions.md) identifiziert die Ressourcentypen, die für die einzelnen Aktionen angegeben werden können. Ein Ressourcentyp bestimmt auch, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können, wie in der letzten Spalte der Tabelle angegeben. Die Spalte `ARN` in der folgenden Tabelle gibt das Format für den Amazon-Ressourcennamen (ARN) an, das Sie verwenden müssen, um Ressourcen dieses Typs zu referenzieren. Die Bestandteile mit vorangestelltem ` $ ` müssen durch die tatsächlichen Werte für das jeweilige Szenario ersetzt werden. Beispiel: Wenn Sie `$user-name` in einem ARN sehen, müssen Sie diese Zeichenfolge durch den tatsächlichen Namen eines IAM-Benutzers oder eine Richtlinienvariable ersetzen, die den Namen eines IAM-Benutzers enthält. [Weitere Informationen zu finden Sie unter IAM und. ARNs ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) [Arbeiten mit administrativen Funktionen ARNs in Amazon Neptune](tagging-arns.md) Die Spalte ` Condition Keys ` Bedingungsschlüssel gibt Bedingungskontextschlüssel an, die Sie nur dann in eine IAM-Richtlinienanweisung einfügen können, wenn sowohl diese Ressource als auch eine kompatible unterstützende Aktion in der Anweisung enthalten sind. **** | Ressourcentypen | ARN | Bedingungsschlüssel | | --- | --- | --- | | `cluster` (ein DB-Cluster) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: Cluster-Tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) | | `cluster-pg` (eine DB-Cluster-Parametergruppe) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [war:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) | | `cluster-snapshot` (ein DB-Cluster-Snapshot) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-snapshot-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) | | `db` (eine DB-Instance) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [war:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds: DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) | | `es` (ein Ereignisabonnement) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [war:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:es-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) | | `pg` (eine DB-Parametergruppe) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [war:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) | | `subgrp` (eine DB-Subnetzgruppe) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [war:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) | # IAM-Bedingungsschlüssel für die Verwaltung von Amazon Neptune Bedingungsschlüssel [Mithilfe von Bedingungsschlüsseln](security-iam-access-manage.md#iam-using-condition-keys) können Sie Bedingungen in einer IAM-Richtlinienanweisung angeben, damit die Anweisung nur dann wirksam wird, wenn die Bedingungen erfüllt werden. Die Bedingungsschlüssel, die Sie in administrativen Richtlinienanweisungen in Neptune verwenden können, gehören den folgenden Kategorien an: + [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Diese sind für die allgemeine Verwendung mit Diensten definiert. AWS AWS Die meisten können in den administrativen Richtlinienanweisungen in Neptune verwendet werden. + [Administrative Ressourceneigenschaft-Bedingungsschlüssel](#iam-rds-property-condition-keys)   –   Diese Schlüssel (wie [unten](#iam-rds-property-condition-keys) aufgelistet) basieren auf Eigenschaften von Verwaltungsressourcen. + [Tag-basierte Zugriffsbedingungsschlüssel](#iam-rds-tag-based-condition-keys)   –   Diese Schlüssel (wie [unten](#iam-rds-tag-based-condition-keys) aufgelistet) basieren auf [AWS Tags](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html), die an Verwaltungsressourcen angefügt sind. ## Administrative Ressourceneigenschaft-Bedingungssschlüssel in Neptune Ressourceneigenschaftsschlüssel | Bedingungsschlüssel | Beschreibung | Typ | | --- | --- | --- | | rds:DatabaseClass | Filtert den Zugriff nach Typ der DB-Instance-Klasse | Zeichenfolge | | rds:DatabaseEngine | Filtert den Zugriff nach dem Datenbank-Engine. Mögliche Werte finden Sie im Engine-Parameter in Create DBInstance API | Zeichenfolge | | rds:DatabaseName | Filtert den Zugriff nach benutzerdefiniertem Name der Datenbank auf der DB-Instance | Zeichenfolge | | rds:EndpointType | Filtert den Zugriff nach dem Typ des Endpunkts. Einer der folgenden Typen: READER, WRITER, CUSTOM. | Zeichenfolge | | rds:Vpc | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in einer Amazon Virtual Private Cloud (Amazon VPC) ausgeführt wird. Geben Sie true an, um anzuzeigen, dass die DB-Instance in einer Amazon-VPC ausgeführt wird. | Boolesch | ## Administrative Tag-basierte Bedingungsschlüssel Tag-basierte Schlüssel Amazon Neptune unterstützt die Angabe von Bedingungen in einer IAM-Richtlinie mit benutzerdefinierten Tags, um den Zugriff auf Neptune über die [Management-API-Referenz](api.md) zu steuern. Wenn Sie beispielsweise Ihren DB-Instances ein Tag mit dem Namen `environment` und Werten wie `beta`, `staging` und `production` hinzufügen, können Sie anschließend eine Richtlinie erstellen, die den Zugriff auf die Instances anhand des Werts dieses Tags einschränkt. **Wichtig** Wenn Sie den Zugriff auf Ihre Neptune-Ressourcen mit Tags verwalten, muss der Zugriff auf die Tags geschützt werden. Sie können den Zugriff auf Tags einschränken, indem Sie Richtlinien für die Aktionen `AddTagsToResource` und `RemoveTagsFromResource` erstellen. Beispielsweise könnten Sie die folgende Richtlinie verwenden, um das Hinzufügen oder Entfernen von Tags für alle Ressourcen abzulehnen. Anschließend könnten Sie Richtlinien erstellen, um bestimmten Benutzern das Hinzufügen oder Entfernen von Tags zu ermöglichen. **** ``` { "Version":"2012-10-17", "Statement":[ { "Sid": "DenyTagUpdates", "Effect": "Deny", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] } ``` Die folgenden Tag-basierten Bedingungsschlüssel funktionieren nur mit administrativen Ressourcen in administrativen Richtlinienanweisungen. **Administrative Tag-basierte Bedingungsschlüssel** | Bedingungsschlüssel | Beschreibung | Typ | | --- | --- | --- | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Filtert den Zugriff basierend auf dem Vorhandensein von Tag-Schlüssel-Wert-Paaren in der Anforderung. | Zeichenfolge | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Filtert den Zugriff basierend auf den Tag-Schlüssel-Wert-Paaren, die der Ressource angefügt sind. | Zeichenfolge | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | Filtert den Zugriff basierend auf dem Vorhandensein von Tag-Schlüsseln in der Anforderung. | Zeichenfolge | | rds:cluster-pg-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einer DB-Cluster-Parametergruppe angefügt ist. | Zeichenfolge | | rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einem DB-Cluster-Snapshot angefügt ist. | Zeichenfolge | | rds:cluster-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einem DB-Cluster angefügt ist. | Zeichenfolge | | rds:db-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einer DB-Instance angefügt ist. | Zeichenfolge | | rds:es-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einem Ereignisabonnement angefügt ist. | Zeichenfolge | | rds:pg-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einer DB-Parametergruppe angefügt ist. | Zeichenfolge | | rds:req-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Satz von Tag-Schlüsseln und -Werten, die zum Taggen einer Ressource verwendet werden können. | Zeichenfolge | | rds:secgrp-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einer DB-Sicherheitsgruppe angefügt ist. | Zeichenfolge | | rds:snapshot-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einem DB-Snapshot angefügt ist. | Zeichenfolge | | rds:subgrp-tag/\$1\$1TagKey\$1 | Filtert den Zugriff nach dem Tag, das einer DB-Subnetzgruppe angefügt ist. | Zeichenfolge | # Erstellung von IAM-Verwaltungsrichtlinienerklärungen für Amazon Neptune Beispiele für Verwaltungsrichtlinien ## Beispiele für allgemeine administrative Richtlinien Allgemeine Beispiele Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien, die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster gewähren. ### Richtlinie, die das Löschen einer angegebenen DB-Instance durch IAM-Benutzer verhindert Löschen von Instances verhindern Dies ist ein Beispiel für eine Richtlinie, die das Löschen einer angegebenen Neptune-DB-Instance durch IAM-Benutzer verhindert: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyDeleteOneInstance", "Effect": "Deny", "Action": "rds:DeleteDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name" } ] } ``` ------ ### Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt Berechtigung zum Erstellen von Instances Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Erstellung von DB-Instances in einem angegebenen Neptune-DB-Cluster erlaubt: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCreateInstance", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster" } ] } ``` ------ ### Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt, die eine bestimmte DB-Parametergruppe verwenden Instances erstellen, die eine Parametergruppe verwenden Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Erstellung von DB-Instances in einem angegebenen Neptune-DB-Cluster (hier`us-west-2`) mittels einer einzelnen angegebenen DB-Parametergruppe erlaubt. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCreateInstanceWithPG", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster", "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg" ] } ] } ``` ------ ### Richtlinie, die Berechtigungen zum Beschreiben einer Ressource gewährt Berechtigung zum Beschreiben Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Beschreibung jeder Neptune-Ressource erlaubt. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowDescribe", "Effect": "Allow", "Action": "rds:Describe*", "Resource": "*" } ] } ``` ------ ## Beispiele für Tag-basierte administrative Richtlinien Tag-basierte Beispiele Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien mit Tags, um die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster zu filtern. ### Beispiel 1: Gewähren von Berechtigungen für Aktionen für eine Ressource mit einem benutzerdefinierten Tag, das mehrere Werte annehmen kann Beispiel für ein benutzerdefiniertes Tag mit mehreren Werten Die folgende Richtlinie erlaubt die Verwendung der `ModifyDBInstance`-, `CreateDBInstance`- oder `DeleteDBInstance`-API für jede DB-Instance, deren `env`-Tag auf `dev` oder `test` festgelegt ist: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowDevTestAccess", "Effect": "Allow", "Action": [ "rds:ModifyDBInstance", "rds:CreateDBInstance", "rds:DeleteDBInstance" ], "Resource": "*", "Condition": { "StringEquals": { "rds:db-tag/env": [ "dev", "test" ], "rds:DatabaseEngine": "neptune" } } } ] } ``` ------ ### Beispiel 2: Einschränken des Satzes von Tag-Schlüsseln und -Werten, mit denen ein Tag für eine Ressource erstellt werden kann Beispiel für die Einschränkung der Schlüsselverwendung Diese Richtlinie verwendet einen `Condition`-Schlüssel, um das Hinzufügen eines Tags mit dem Schlüssel `env` und dem Wert `test`, `qa` oder `dev` zu einer Ressource zu erlauben: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowTagAccessForDevResources", "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "StringEquals": { "rds:req-tag/env": [ "test", "qa", "dev" ], "rds:DatabaseEngine": "neptune" } } } ] } ``` ------ ### Beispiel 3: Gewährung des Vollzugriffs auf Neptune-Ressourcen basierend auf `aws:ResourceTag` Verwenden von ResourceTag aws: für vollen Zugriff Die folgende Richtlinie ist dem ersten Beispiel oben ähnlich, verwendet jedoch stattdessen `aws:ResourceTag`: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToDev", "Effect": "Allow", "Action": [ "rds:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "dev", "rds:DatabaseEngine": "neptune" } } } ] } ``` ------ # Erstellen benutzerdefinierter IAM-Richtlinienerklärungen für den Zugriff auf Daten in Amazon Neptune Benutzerdefinierte Richtlinienerklärungen zum Datenzugriff Neptune-Datenzugriff-Richtlinienanweisungen verwenden [Datenzugriffsaktionen](iam-dp-actions.md), [Ressourcen](iam-data-resources.md) und [Bedingungsschlüssel](iam-data-condition-keys.md#iam-neptune-condition-keys), denen jeweils das Präfix `neptune-db:` vorangestellt ist. **Topics** + [ ## Verwenden von Abfrageaktionen in Neptune-Datenzugriff-Richtlinienanweisungen ](#iam-data-query-actions) + [ # IAM-Aktionen für den Datenzugriff in Amazon Neptune ](iam-dp-actions.md) + [ # IAM-Ressourcentypen für den Zugriff auf Daten in Amazon Neptune ](iam-data-resources.md) + [ # IAM-Bedingungsschlüssel für den Zugriff auf Daten in Amazon Neptune ](iam-data-condition-keys.md) + [ # Erstellen von IAM-Datenzugriffsrichtlinien in Amazon Neptune ](iam-data-access-examples.md) ## Verwenden von Abfrageaktionen in Neptune-Datenzugriff-Richtlinienanweisungen Verwenden von Abfrageaktionen Es gibt drei Neptune-Abfrageaktionen, die in Datenzugriff-Richtlinienanweisungen verwendet werden können, `ReadDataViaQuery`, `WriteDataViaQuery` und `DeleteDataViaQuery`. Eine bestimmte Abfrage benötigt möglicherweise Berechtigungen, um mehr als eine dieser Aktionen auszuführen, und es möglicherweise nicht immer offensichtlich, welche Kombination dieser Aktionen zulässig sein muss, um eine Abfrage auszuführen. Neptune ermittelt vor der Ausführung einer Abfrage die Berechtigungen, die für die Ausführung der einzelnen Schritte der Abfrage erforderlich sind, und kombiniert diese zu einem vollständigen Satz der Berechtigungen, die für die Abfrage erforderlich sind. Beachten Sie, dass dieser vollständige Satz von Berechtigungen alle Aktionen enthält, die die Abfrage *möglicherweise* ausführt. Dabei handelt es sich nicht notwendigerweise um den Satz von Aktionen, den die Abfrage tatsächlich für Ihre Daten ausführt. Das bedeutet, dass Sie Berechtigungen für alle Aktionen bereitstellen müssen, die die Abfrage möglicherweise ausführt, um die Ausführung einer bestimmten Abfrage zu ermöglichen, unabhängig davon, ob die Abfrage diese Aktionen tatsächlich ausführt oder nicht. Dies sind einige Beispiele für Gremlin-Abfragen, die dies im Detail zeigen: + ``` g.V().count() ``` `g.V()` und `count()` benötigen lediglich Lesezugriff, sodass die Abfrage insgesamt lediglich einen `ReadDataViaQuery`-Zugriff benötigt. + ``` g.addV() ``` `addV()` muss überprüfen, ob ein Eckpunkt mit einer bestimmten ID vorhanden ist oder nicht, bevor ein neuer Eckpunkt eingefügt wird. Das bedeutet, dass die Abfrage einen `ReadDataViaQuery`- und einen `WriteDataViaQuery`-Zugriff benötigt. + ``` g.V('1').as('a').out('created').addE('createdBy').to('a') ``` `g.V('1').as('a')` und `out('created')` benötigen lediglich Lesezugriff. `addE().from('a')` benötigt jedoch sowohl Lese- als auch Schreibzugriff, da `addE()` die Eckpunkte `to` und `from` lesen muss und prüfen muss, ob bereits eine Kante mit derselben ID vorhanden ist, bevor eine neue Kante hinzugefügt wird. Die Abfrage benötigt daher insgesamt einen `ReadDataViaQuery`- und einen `WriteDataViaQuery`-Zugriff. + ``` g.V().drop() ``` `g.V()` benötigt lediglich Lesezugriff. `drop()` benötigt einen Lese- und Löschzugriff, da Eckpunkte oder Kanten vor dem Löschen gelesen werden müssen. Daher benötigt die Abfrage insgesamt einen `ReadDataViaQuery`- und einen `DeleteDataViaQuery`-Zugriff. + ``` g.V('1').property(single, 'key1', 'value1') ``` `g.V('1')` benötigt lediglich Lesezugriff. `property(single, 'key1', 'value1')` benötigt jedoch einen Lese-, Schreib- und Löschzugriff. Hier werden im Schritt `property()` Schlüssel und Wert eingefügt, falls noch nicht im Eckpunkt vorhanden. Falls jedoch bereits vorhanden, wird der vorhandene Eigenschaftswert gelöscht und es wird ein neuer Wert eingefügt. Daher benötigt die Abfrage insgesamt einen `ReadDataViaQuery`-, `WriteDataViaQuery`- und `DeleteDataViaQuery`-Zugriff. Jede Abfrage, die den Schritt `property()` enthält, benötigt `ReadDataViaQuery`-, `WriteDataViaQuery`- und `DeleteDataViaQuery`-Berechtigungen. Dies sind einige openCypher-Beispiele: + ``` MATCH (n) RETURN n ``` Diese Abfrage liest alle Knoten in der Datenbank und gibt sie zurück. Hierfür wird lediglich ein `ReadDataViaQuery`-Zugriff benötigt. + ``` MATCH (n:Person) SET n.dept = 'AWS' ``` Diese Abfrage benötigt einen `ReadDataViaQuery`-, `WriteDataViaQuery`- und `DeleteDataViaQuery`-Zugriff. Sie liest alle Knoten mit der Bezeichnung 'Person' und fügt ihnen entweder eine neue Eigenschaft mit dem Schlüssel `dept` und dem Wert `AWS` hinzu oder (wenn die Eigenschaft `dept` bereits vorhanden ist) löscht den alten Wert und fügt stattdessen `AWS` ein. Wenn der festzulegende Wert `null` ist, löscht `SET` die Eigenschaft vollständig. Da die `SET`-Klausel in einigen Fällen möglicherweise einen vorhandenen Wert löschen muss, benötigt sie **stets** `DeleteDataViaQuery`-, `ReadDataViaQuery`- und `WriteDataViaQuery`-Berechtigungen. + ``` MATCH (n:Person) DETACH DELETE n ``` Diese Abfrage benötigt `ReadDataViaQuery`- und `DeleteDataViaQuery`-Berechtigungen. Sie sucht alle Knoten mit der Bezeichnung `Person` und löscht sie zusammen mit den Kanten, die mit diesen Knoten verbunden sind, und allen zugehörigen Bezeichnungen und Eigenschaften. + ``` MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'}) RETURN n ``` Diese Abfrage benötigt `ReadDataViaQuery`- und `WriteDataViaQuery`-Berechtigungen. Die `MERGE`-Klausel stimmt entweder mit einem angegebenen Muster überein oder erstellt es. Da ein Schreibvorgang erfolgen kann, wenn das Muster nicht übereinstimmt, sind Schreib- und Leseberechtigungen erforderlich. # IAM-Aktionen für den Datenzugriff in Amazon Neptune Aktionen für den Datenzugriff Beachten Sie, dass Neptun-Datenzugriffsaktionen das Präfix `neptune-db:` besitzen, während administrative Aktionen in Neptune das Präfix `rds:` besitzen. Der Amazon-Ressourcenname (ARN) für eine Datenressource in IAM ist nicht mit dem ARN identisch, der dem Cluster bei der Erstellung zugeordnet wird. Sie müssen den ARN wie in [Angeben von Datenressourcen](iam-data-resources.md) beschrieben konstruieren. Eine solche Datenressource ARNs kann Platzhalter verwenden, um mehrere Ressourcen einzubeziehen. Richtlinien für den Datenzugriff können auch den QueryLanguage Bedingungsschlüssel [neptune-db:](iam-data-condition-keys.md#iam-neptune-condition-keys) enthalten, um den Zugriff anhand der Abfragesprache einzuschränken. Ab [Release: 1.2.0.0 (21.07.2022)](engine-releases-1.2.0.0.md) unterstützt Neptune die Einschränkung von Berechtigungen auf eine oder mehrere [bestimmte Neptune-Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html). Dies ermöglicht eine detailliertere Zugriffssteuerung als bisher möglich. **Wichtig** Die Anwendung von Änderungen einer IAM-Richtlinie auf die angegebenen Neptune-Ressourcen kann bis zu 10 Minuten dauern. IAM-Richtlinien, die auf einen Neptune-DB-Cluster angewendet werden, werden auf alle Instances in diesem Cluster angewendet. ## *Abfragebasierte Datenzugriffsaktionen* \$1 \$1 \$1 Abfragebasierte Aktionen \$1 \$1 \$1 **Anmerkung** Es ist nicht immer offensichtlich, welche Berechtigungen für die Ausführung einer bestimmten Abfrage benötigt werden, da Abfragen abhängig von den verarbeiteten Daten mehr als eine Aktion ausführen können. Weitere Informationen finden Sie unter [Verwenden von Abfrageaktionen](iam-data-access-policies.md#iam-data-query-actions). ## `neptune-db:ReadDataViaQuery` `ReadDataViaQuery` `ReadDataViaQuery` ermöglicht Benutzern das Lesen von Daten aus der Neptune-Datenbank mittels Abfragen. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Aktionskontextschlüssel:* `neptune-db:QueryLanguage`. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:WriteDataViaQuery` `WriteDataViaQuery` `WriteDataViaQuery` ermöglicht Benutzern das Schreiben von Daten zur Neptune-Datenbank mittels Abfragen. *Aktionsgruppen:* Lesen und Schreiben. *Aktionskontextschlüssel:* `neptune-db:QueryLanguage`. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:DeleteDataViaQuery` `DeleteDataViaQuery` `DeleteDataViaQuery` ermöglicht Benutzern das Löschen von Daten aus der Neptune-Datenbank mittels Abfragen. *Aktionsgruppen:* Lesen und Schreiben. *Aktionskontextschlüssel:* `neptune-db:QueryLanguage`. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetQueryStatus` `GetQueryStatus` `GetQueryStatus` ermöglicht Benutzern die Prüfung des Status aller aktiven Abfragen. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Aktionskontextschlüssel:* `neptune-db:QueryLanguage`. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetStreamRecords` `GetStreamRecords` `GetStreamRecords` ermöglicht Benutzern das Abrufen von Stream-Datensätzen aus Neptune. *Aktionsgruppen:* Lesen und Schreiben. *Aktionskontextschlüssel:* `neptune-db:QueryLanguage`. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CancelQuery` `CancelQuery` `CancelQuery` ermöglicht Benutzern das Abbrechen von Abfragen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## *Allgemeine Datenzugriffsaktionen* \$1 \$1 \$1 Allgemeine Aktionen \$1 \$1 \$1 ## `neptune-db:GetEngineStatus` `GetEngineStatus` `GetEngineStatus` ermöglicht Benutzern die Prüfung des Status der Neptune-Engine. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetStatisticsStatus` `GetStatisticsStatus` `GetStatisticsStatus` ermöglicht Benutzern die Prüfung des Status der Statistiken, die für die Datenbank gesammelt werden. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetGraphSummary` `GetGraphSummary` `GetGraphSummary` Die Diagrammübersichts-API ermöglicht Benutzern das Abrufen einer schreibgeschützten Übersicht über ein Diagramm. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ManageStatistics` `ManageStatistics` `ManageStatistics` ermöglicht Benutzern die Verwaltung der Erfassung von Statistiken für die Datenbank. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:DeleteStatistics` `DeleteStatistics` `DeleteStatistics` ermöglicht Benutzern das Löschen aller Statistiken in der Datenbank. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ResetDatabase` `ResetDatabase` `ResetDatabase` ermöglicht Benutzern das Abrufen des für eine Zurücksetzung benötigten Tokens und das Zurücksetzen der Neptune-Datenbank. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## *Massen-Loader-Datenzugriffsaktionen* \$1 \$1 \$1 Loader-Aktionen \$1 \$1 \$1 ## `neptune-db:StartLoaderJob` StartLoaderJob `StartLoaderJob` ermöglicht Benutzern das Starten eines Massen-Loader-Auftrags. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetLoaderJobStatus` `GetLoaderJobStatus` `GetLoaderJobStatus` ermöglicht Benutzern das Prüfen des Status eines Massen-Loader-Auftrags. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ListLoaderJobs` `ListLoaderJobs` `ListLoaderJobs` ermöglicht Benutzern das Auflisten aller Massen-Loader-Aufträge. *Aktionsgruppen:* Nur Auflistung, Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CancelLoaderJob` `CancelLoaderJob` `CancelLoaderJob` ermöglicht Benutzern das Abbrechen von Loader-Aufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## *Machine-Learning-Datenzugriffsaktionen* \$1 \$1 \$1 Machine Learning \$1 \$1 \$1 ## `neptune-db:StartMLDataProcessingJob` `StartMLDataProcessingJob` `StartMLDataProcessingJob` ermöglicht Benutzern das Starten von Neptune-ML-Datenverarbeitungsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:StartMLModelTrainingJob` `StartMLModelTrainingJob` `StartMLModelTrainingJob` ermöglicht Benutzern das Starten von ML-Modelltrainingsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:StartMLModelTransformJob` `StartMLModelTransformJob` `StartMLModelTransformJob` ermöglicht Benutzern das Starten von ML-Modelltransformierungsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CreateMLEndpoint` `CreateMLEndpoint` `CreateMLEndpoint` ermöglicht Benutzer das Erstellen von Neptune-ML-Endpunkten. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetMLDataProcessingJobStatus` `GetMLDataProcessingJobStatus` `GetMLDataProcessingJobStatus` ermöglicht Benutzern das Prüfen von Neptune-ML-Datenverarbeitungsaufträgen. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetMLModelTrainingJobStatus` `GetMLModelTrainingJobStatus` `GetMLModelTrainingJobStatus` ermöglicht Benutzern das Prüfen des Status von Neptune-ML-Modelltrainingsaufträgen. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetMLModelTransformJobStatus` `GetMLModelTransformJobStatus` `GetMLModelTransformJobStatus` ermöglicht Benutzern das Prüfen des Status von Neptune-ML-Modelltransformierungsaufträgen. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:GetMLEndpointStatus` `GetMLEndpointStatus` `GetMLEndpointStatus` ermöglicht Benutzern das Prüfen des Status von Neptune-ML-Endpunkten. *Aktionsgruppen:* Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ListMLDataProcessingJobs` `ListMLDataProcessingJobs` `ListMLDataProcessingJobs` ermöglicht Benutzern das Auflisten aller Neptune-ML-Datenverarbeitungsaufträge. *Aktionsgruppen:* Nur Auflistung, Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ListMLModelTrainingJobs` `ListMLModelTrainingJobs` `ListMLModelTrainingJobs` ermöglicht Benutzern das Auflisten aller Neptune-ML-Modelltrainingsaufträge. *Aktionsgruppen:* Nur Auflistung, Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ListMLModelTransformJobs` `ListMLModelTransformJobs` `ListMLModelTransformJobs` ermöglicht Benutzern das Auflisten aller Neptune-ML-Modelltransformierungsaufträge. *Aktionsgruppen:* Nur Auflistung, Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:ListMLEndpoints` `ListMLEndpoints` `ListMLEndpoints` ermöglicht Benutzern das Auflisten aller Neptune-ML-Endpunkte. *Aktionsgruppen:* Nur Auflistung, Schreibgeschützt, Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CancelMLDataProcessingJob` `CancelMLDataProcessingJob` `CancelMLDataProcessingJob` ermöglicht Benutzern das Abbrechen von Neptune-ML-Datenverarbeitungsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CancelMLModelTrainingJob` `CancelMLModelTrainingJob` `CancelMLModelTrainingJob` ermöglicht Benutzern das Abbrechen von Neptune-ML-Modelltrainingsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:CancelMLModelTransformJob` `CancelMLModelTransformJob` `CancelMLModelTransformJob` ermöglicht Benutzern das Abbrechen von Neptune-ML-Modelltransformierungsaufträgen. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. ## `neptune-db:DeleteMLEndpoint` `DeleteMLEndpoint` `DeleteMLEndpoint` ermöglicht Benutzer das Löschen von Neptune-ML-Endpunkten. *Aktionsgruppen:* Lesen und Schreiben. *Erforderliche Ressourcen:* Datenbank. # IAM-Ressourcentypen für den Zugriff auf Daten in Amazon Neptune Ressourcen für den Datenzugriff Datenressourcen besitzen wie Datenaktionen das Präfix `neptune-db:`. In einer Neptune-Datenzugriffsrichtlinie geben Sie den DB-Cluster an, auf den Sie Zugriff gewähren, im ARN im folgenden Format an: ``` arn:aws:neptune-db:region:account-id:cluster-resource-id/* ``` Dieser Ressourcen-ARN enthält die folgenden Teile: + `region`ist die AWS Region für den Amazon Neptune DB-Cluster. + `account-id` ist die Nummer des AWS -Kontos für den DB-Cluster. + `cluster-resource-id` ist eine Ressourcen-ID für den DB-Cluster. **Wichtig** Die `cluster-resource-id` unterscheidet sich von der Cluster-ID. Um eine Cluster-Ressourcen-ID im Neptune zu finden AWS-Managementkonsole, suchen Sie im Abschnitt **Konfiguration** nach dem betreffenden DB-Cluster. # IAM-Bedingungsschlüssel für den Zugriff auf Daten in Amazon Neptune Bedingungsschlüssel [Mithilfe von Bedingungsschlüsseln](security-iam-access-manage.md#iam-using-condition-keys) können Sie Bedingungen in einer IAM-Richtlinienanweisung angeben, damit die Anweisung nur dann wirksam wird, wenn die Bedingungen erfüllt werden. Die Bedingungsschlüssel, die Sie in Datenzugriff-Richtlinienanweisungen in Neptune verwenden können, gehören den folgenden Kategorien an: + [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) [— Die Teilmenge der AWS globalen Bedingungsschlüssel, die Neptune in Richtlinienerklärungen für den Datenzugriff unterstützt, ist unten aufgeführt.](#iam-data-global-condition-keys) + [Servicespezifische Bedingungsschlüssel](#iam-neptune-condition-keys)   –   Dies sind Schlüssel, die von Neptune speziell für die Verwendung in Datenzugriffs-Richtlinienanweisungen definiert werden. Derzeit gibt es nur eine Option, [neptune-db:](#neptune-db-query-language), die Zugriff nur gewährtQueryLanguage, wenn eine bestimmte Abfragesprache verwendet wird. ## AWS Globale Bedingungskontextschlüssel, die von Neptune in Datenzugriffspolitikanweisungen unterstützt werden Globale Datenzugriff-Bedingungsschlüssel Die folgende Tabelle listet die Teilmenge der [globalen AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) auf, die Amazon Neptune für die Verwendung in Datenzugriff-Richtlinienanweisungen unterstützt: **Globale Bedingungsschlüssel, die Sie in Datenzugriff-Richtlinienanweisungen verwenden können** | Bedingungsschlüssel | Beschreibung | Typ | | --- | --- | --- | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | Filtert den Zugriff nach aktuellen Datum und aktueller Uhrzeit der Anforderung. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | Filtert den Zugriff nach Datum und Uhrzeit der Anforderung ausgedrückt als UNIX-Epochenwert. | Numeric | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | Filtert den Zugriff nach dem Konto, zu dem der anfordernde Prinzipal gehört. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | Filtert den Zugriff nach dem ARN des Prinzipals, der die Anforderung gesendet hat. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | Erlaubt den Zugriff nur, wenn der Anruf direkt von einem AWS Dienstprinzipal getätigt wird. | Boolean | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | Filtert den Zugriff nach der ID der Organisation in AWS Organizations, zu denen der anfragende Principal gehört. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | Filtert den Zugriff nach dem AWS Organisationspfad für den Prinzipal, der die Anfrage stellt. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | Filtert den Zugriff nach einem Tag, das dem anfordernden Prinzipal angefügt ist. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | Filtert den Zugriff nach dem Typ des Prinzipals, der die Anforderung sendet. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | Filtert den Zugriff nach der AWS Region, die in der Anfrage aufgerufen wurde. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | Gewährt den Zugriff nur, wenn die Anforderung über SSL gesendet wurde. | Boolean | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | Filtert den Zugriff nach der IP-Adresse des Anforderers. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | Filtert den Zugriff nach Datum und Uhrzeit der Ausgabe temporärer Sicherheitsanmeldeinformationen. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | Filtert den Zugriff nach der Client-Anwendung des Anforderers. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | Filtert den Zugriff nach der Prinzipal–ID des Anforderers. | String | | [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | Ermöglicht den Zugriff nur, wenn ein AWS Dienst die Anfrage in Ihrem Namen gestellt hat. | Boolean | ## Servicespezifische Neptune-Bedingungsschlüssel Servicespezifische Schlüssel Neptune unterstützt den folgenden servicespezifischen Bedingungsschlüssel für IAM-Richtlinien: **Servicespezifische Neptune-Bedingungsschlüssel** | Bedingungsschlüssel | Beschreibung | Typ | | --- | --- | --- | | neptune-db:QueryLanguage | Filtert den Datenzugriff nach der verwendeten Abfragesprache. Gültige Werte sind: `Gremlin`, `OpenCypher` und `Sparql`. Unterstützte Aktionen sind `ReadDataViaQuery`, `WriteDataViaQuery`, `DeleteDataViaQuery`, `GetQueryStatus` und `CancelQuery`. | String | # Erstellen von IAM-Datenzugriffsrichtlinien in Amazon Neptune Beispiele für Datenzugriffsrichtlinien [Die folgenden Beispiele zeigen, wie benutzerdefinierte IAM-Richtlinien erstellt werden, die eine differenzierte Zugriffskontrolle für Datenebene APIs und Aktionen verwenden, die in der Neptune Engine-Version 1.2.0.0 eingeführt wurde.](engine-releases-1.2.0.0.md) ## Beispiel für eine Richtlinie, die den uneingeschränkten Zugriff auf die Daten in einem Neptune-DB-Cluster ermöglicht Beispiel für uneingeschränkten Zugriff Das folgende Beispiel für eine Richtlinie ermöglicht IAM-Benutzern die Herstellung von Verbindungen mit Neptune-DB-Clustern mittels IAM-Datenbank-Authentifizierung und verwendet das Zeichen „`*`“, um alle verfügbaren Aktionen abzugleichen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "neptune-db:*", "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ Das vorhergehende Beispiel enthält einen Ressourcen-ARN in einem Format, das für die Neptune-IAM-Authentifizierung spezifisch ist. Informationen zum Konstruieren des ARN finden Sie unter [Angeben von Datenressourcen](iam-data-resources.md). Beachten Sie, dass der ARN für eine IAM-Autorisierung `Resource` nicht mit dem ARN identisch ist, der dem Cluster bei Erstellung zugewiesen wurde. ## Beispiel für eine Richtlinie, die einen schreibgeschützten Zugriff auf ein Neptune-DB-Cluster gewährt Beispiel für einen schreibgeschützten Vollzugriff Die folgende Richtlinie gewährt die Berechtigung für einen schreibgeschützten Vollzugriff auf Daten in einem Neptune-DB-Cluster: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "neptune-db:Read*", "neptune-db:Get*", "neptune-db:List*" ], "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die jede Art von Zugriff auf ein Neptune-DB-Cluster ablehnt Beispiel für die Ablehnung des Zugriffs Die IAM-Standardaktion ist die Ablehnung des Zugriffs auf einen DB-Cluster, wenn der *Effekt* `Allow` nicht gewährt wird. Die folgende Richtlinie verweigert jedoch jeglichen Zugriff auf einen DB-Cluster für ein bestimmtes AWS Konto und eine bestimmte Region, was dann Vorrang vor allen Auswirkungen hat. `Allow` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "neptune-db:*", "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die Lesezugriff über Abfragen gewährt Beispiel für Lesezugriff über Abfragen Die folgende Richtlinie gewährt nur die Berechtigung zum Lesen aus einem Neptune-DB-Cluster über eine Abfrage: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "neptune-db:ReadDataViaQuery", "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die nur Gremlin-Abfragen zulässt Beispiel für Nur-Gremlin-Abfragen Die folgende Richtlinie verwendet den Bedingungsschlüssel `neptune-db:QueryLanguage`, um die Berechtigung zu gewähren, Neptune nur mit der Gremlin-Abfragesprache abzufragen: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "neptune-db:ReadDataViaQuery", "neptune-db:WriteDataViaQuery", "neptune-db:DeleteDataViaQuery" ], "Resource": "*", "Condition": { "StringEquals": { "neptune-db:QueryLanguage": "Gremlin" } } } ] } ``` ------ ## Beispiel für eine Richtlinie, die jeden Zugriff außer dem Zugriff auf die Neptune-ML-Modellverwaltung gewährt Beispiel für jeden Zugriff außer Neptune ML Die folgende Richtlinie gewährt Vollzugriff auf alle Neptune-Diagrammoperationen außer Neptune-ML-Modellverwaltungs-Features: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "neptune-db:CancelLoaderJob", "neptune-db:CancelQuery", "neptune-db:DeleteDataViaQuery", "neptune-db:DeleteStatistics", "neptune-db:GetEngineStatus", "neptune-db:GetLoaderJobStatus", "neptune-db:GetQueryStatus", "neptune-db:GetStatisticsStatus", "neptune-db:GetStreamRecords", "neptune-db:ListLoaderJobs", "neptune-db:ManageStatistics", "neptune-db:ReadDataViaQuery", "neptune-db:ResetDatabase", "neptune-db:StartLoaderJob", "neptune-db:WriteDataViaQuery" ], "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die Zugriff auf die Neptune-ML-Modellverwaltung gewährt Beispiel für Neptune ML Diese Richtlinie gewährt Zugriff auf die Neptune-ML-Modellverwaltungs-Features: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "neptune-db:CancelMLDataProcessingJob", "neptune-db:CancelMLModelTrainingJob", "neptune-db:CancelMLModelTransformJob", "neptune-db:CreateMLEndpoint", "neptune-db:DeleteMLEndpoint", "neptune-db:GetMLDataProcessingJobStatus", "neptune-db:GetMLEndpointStatus", "neptune-db:GetMLModelTrainingJobStatus", "neptune-db:GetMLModelTransformJobStatus", "neptune-db:ListMLDataProcessingJobs", "neptune-db:ListMLEndpoints", "neptune-db:ListMLModelTrainingJobs", "neptune-db:ListMLModelTransformJobs", "neptune-db:StartMLDataProcessingJob", "neptune-db:StartMLModelTrainingJob", "neptune-db:StartMLModelTransformJob" ], "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die vollständigen Abfragezugriff gewährt Beispiel für vollständigen Abfragezugriff Die folgende Richtlinie gewährt Vollzugriff auf Neptune-Diagramm-Abfrageoperationen, jedoch nicht auf Features wie Fast Reset, Streams, Massen-Loader, Neptune-ML-Modellverwaltung usw.: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "neptune-db:ReadDataViaQuery", "neptune-db:WriteDataViaQuery", "neptune-db:DeleteDataViaQuery", "neptune-db:GetEngineStatus", "neptune-db:GetQueryStatus", "neptune-db:CancelQuery" ], "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------ ## Beispiel für eine Richtlinie, die nur für Gremlin-Abfragen Vollzugriff gewährt Gremlin-Vollzugriff Die folgende Richtlinie gewährt Vollzugriff auf Neptune-Diagramm-Abfrageoperationen über die Gremlin-Abfragesprache, jedoch nicht auf Abfragen über andere Sprachen oder auf Features wie Fast Reset, Streams, Massen-Loader, Neptune-ML-Modellverwaltung usw.: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "neptune-db:ReadDataViaQuery", "neptune-db:WriteDataViaQuery", "neptune-db:DeleteDataViaQuery", "neptune-db:GetEngineStatus", "neptune-db:GetQueryStatus", "neptune-db:CancelQuery" ], "Resource": [ "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" ], "Condition": { "StringEquals": { "neptune-db:QueryLanguage":"Gremlin" } } } ] } ``` ------ ## Beispiel für eine Richtlinie, die Vollzugriff gewährt, ausgenommen Fast Reset Vollzugriff, ausgenommen Fast Reset Die folgende Richtlinie gewährt Vollzugriff auf einen Neptune-DB-Cluster, ausgenommen bei Verwendung von Fast Reset: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "neptune-db:*", "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" }, { "Effect": "Deny", "Action": "neptune-db:ResetDatabase", "Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*" } ] } ``` ------