Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración del acceso a las bases de datos de Amazon Neptune mediante políticas de IAM
Las [políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) son objetos JSON que definen los permisos para usar acciones y recursos.
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a las AWS identidades o los recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
## Políticas basadas en identidad
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
## Uso de políticas de control de servicios (SCP) con AWS las organizaciones
Las políticas de control de servicios (SCPs) son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations es un servicio para agrupar y administrar de forma centralizada varias AWS cuentas que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluido cada usuario raíz de la AWS cuenta. Para obtener más información sobre Organizations SCPs, consulte [Cómo SCPs trabajar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) en la Guía del AWS Organizations usuario.
Los clientes que implementen Amazon Neptune en una AWS cuenta de una AWS organización pueden aprovechar SCPs para controlar qué cuentas pueden usar Neptune. Para garantizar el acceso a Neptune desde una cuenta de miembro, asegúrese de:
+ Permitir el acceso a `rds:*` y `neptune-db:*` para las operaciones de la base de datos de Neptune. Consulte [¿Por qué se necesitan los permisos y recursos de Amazon RDS para utilizar la base de datos de Neptune?](https://aws.amazon.com/neptune/faqs/) para obtener más información sobre por qué se necesitan los permisos de Amazon RDS para la base de datos de Neptune.
+ Permitir el acceso a `neptune-graph:*` para las operaciones de Neptune Analytics.
## Permisos necesarios para usar la consola de Amazon Neptune
Para que un usuario pueda trabajar con la consola de Amazon Neptune, debe tener un conjunto mínimo de permisos. Estos permisos dejan al usuario describir los recursos de Neptune de su cuenta de AWS y proporcionar otra información relacionada, incluida información de red y seguridad de Amazon EC2.
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de Neptune, asocie también la política administrada `NeptuneReadOnlyAccess` al usuario, según se explica en [Uso de políticas AWS administradas para acceder a las bases de datos de Amazon Neptune](security-iam-access-managed-policies.md).
No es necesario permitir permisos mínimos de consola a los usuarios que solo realizan llamadas a la API de Amazon Neptune AWS CLI o a la misma.
## Asociación de una política de IAM a un usuario de IAM
Para aplicar una política administrada o personalizada, debe asociarla a un usuario de IAM. Para ver un tutorial acerca de este tema, consulte [ Crear y asociar su primera política administrada por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) en la *Guía del usuario de IAM*.
Mientras realiza el tutorial, puede usar uno de los ejemplos de política mostrados en esta sección como punto de partida y adaptarlo a sus necesidades. Al final del tutorial, tendrá un usuario de IAM con una política asociada que puede utilizar la acción `neptune-db:*`.
**importante**
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
## Uso de diferentes tipos de políticas de IAM para controlar el acceso a Neptune
Para proporcionar acceso a las acciones administrativas de Neptune o a los datos de un clúster de base de datos de Neptune, debe asociar políticas a un rol o usuario de IAM. Para obtener información sobre cómo asociar una política de IAM a un usuario, consulte [Asociación de una política de IAM a un usuario de IAM](#iam-auth-policy-attaching). Para obtener información sobre cómo asociar una política a un rol, consulte [Adición y eliminación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.
Para el acceso general a Neptune, puede utilizar una de las [políticas administradas](security-iam-access-managed-policies.md) de Neptune. Para que el acceso sea más restringido, puede crear su propia política personalizada utilizando las [acciones administrativas](neptune-iam-admin-actions.md) y [recursos](iam-admin-resources.md) que admite Neptune.
En una política de IAM personalizada, puede utilizar dos tipos diferentes de declaraciones de políticas que controlan los distintos modos de acceso a un clúster de base de datos de Neptune:
+ [Declaraciones de política administrativa](iam-admin-policies.md): las declaraciones de política administrativa proporcionan acceso a la [administración de Neptune APIs](api.md) que se utiliza para crear, configurar y administrar un clúster de base de datos y sus instancias.
Dado que Neptune comparte funcionalidades con Amazon RDS, las acciones administrativas, los recursos y las claves de condición de las políticas de Neptune utilizan un prefijo `rds:` por diseño.
+ [Declaraciones de políticas de acceso a los datos](iam-data-access-policies.md): las declaraciones de políticas de acceso a los datos utilizan [acciones de acceso a los datos](iam-dp-actions.md), [recursos](iam-data-resources.md) y [claves de condición](iam-data-condition-keys.md#iam-neptune-condition-keys) para controlar el acceso a los datos que contiene un clúster de base de datos.
Las acciones de acceso a los datos, recursos y claves de condición de Neptune usan un prefijo. `neptune-db:`
## Uso de claves de contexto de condición de IAM en Amazon Neptune
Puede especificar las condiciones en una declaración de la política de IAM que controle el acceso a Neptune. La declaración de la política solo se aplica si se cumplen las condiciones.
Por ejemplo, es posible que desee que una declaración de política entre en vigor solo después de una fecha específica o que permita el acceso solo cuando la solicitud contenga un valor específico.
Para expresar condiciones, se utilizan claves de condición predefinidas en el elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una declaración de política, junto con [operadores de política de condiciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como igual o menor que.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una operación lógica`OR`. Se deben cumplir todas las condiciones antes de conceder los permisos de la declaración.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para obtener más información, consulte [Elementos de la política de IAM: Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
El tipo de datos de una clave de condición determina qué operadores de condición puede utilizar para comparar los valores de la solicitud con los valores de la declaración de política. Si utiliza un operador de condición que no es compatible con ese tipo de datos, la coincidencia siempre falla y la declaración de política nunca se aplica.
Neptune admite diferentes conjuntos de claves de condición para las declaraciones de políticas administrativas que para las declaraciones de políticas de acceso a datos:
+ [Claves de condición para las declaraciones de políticas administrativas](iam-admin-condition-keys.md)
+ [Claves de condición para las declaraciones de políticas de acceso a los datos](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Compatibilidad con la política de IAM y las características de control de acceso en Amazon Neptune
La siguiente tabla muestra qué características de IAM admite Neptune para las declaraciones de políticas administrativas y las declaraciones de políticas de acceso a datos:
**Características de IAM que puede utilizar con Neptune**
| Característica de IAM | Administración | Acceso a los datos |
| --- | --- | --- |
| [Políticas basadas en identidades](#security_iam_access-manage-id-based-policies) | Sí | Sí |
| [Políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | No | No |
| [Acciones de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sí | Sí |
| [Recursos de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sí | Sí |
| [Claves de condición global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sí | (un subconjunto) |
| [Claves de condición basadas en etiquetas](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sí | No |
| [Listas de control de acceso (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | No | No |
| [Políticas de control de servicios (SCPs)](#security_iam_access-manage-scp) | Sí | Sí |
| [Roles vinculados a servicios](security-iam-service-linked-roles.md) | Sí | No |
## Limitaciones de las políticas de IAM
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM aplicadas a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
Neptune no admite actualmente el control de acceso entre cuentas en el plano de datos. El control de acceso entre cuentas solo se admite cuando se realizan cargas masivas y se utiliza el encadenamiento de roles. Para obtener más información, consulte [el tutorial sobre carga masiva](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).
# Uso de políticas AWS administradas para acceder a las bases de datos de Amazon Neptune
AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son para utilizar la administración de Amazon Neptune: APIs
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)**— Otorga acceso de solo lectura a todos los recursos de Neptune con fines administrativos y de acceso a los datos en la cuenta raíz. AWS
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)**— Otorga acceso completo a todos los recursos de Neptune para fines administrativos y de acceso a los datos en la cuenta raíz. AWS Esto se recomienda si necesita acceso completo a Neptune desde el SDK AWS CLI o el SDK, pero no para Consola de administración de AWS acceder.
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)**— Otorga acceso completo en la AWS cuenta raíz a todas las acciones y recursos administrativos de Neptune, pero no a ninguna acción o recurso de acceso a datos. También incluye permisos adicionales para simplificar el acceso a Neptune desde la consola, incluidos permisos limitados de IAM y Amazon EC2 (VPC).
+ **[NeptuneGraphReadOnlyAccess ](graph-read-only-access-iam-managed-policy.md)**— Proporciona acceso de solo lectura a todos los recursos de Amazon Neptune Analytics junto con permisos de solo lectura para los servicios dependientes
+ **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)**— Permite que los gráficos de Neptune Analytics publiquen métricas y CloudWatch registros operativos y de uso.
Las políticas y roles de IAM de Neptune conceden cierto acceso a los recursos de Amazon RDS, ya que Neptune comparte tecnología operativa con Amazon RDS para determinadas características de administración. Esto incluye los permisos administrativos de la API, por lo que las acciones administrativas de Neptune tienen un prefijo `rds:`.
## Actualizaciones de las políticas gestionadas por Neptune AWS
La siguiente tabla hace un seguimiento de las actualizaciones de las políticas administradas de Neptune a partir del momento en que Neptune comenzó a realizar el seguimiento de estos cambios:
| Política | Description (Descripción) | Fecha |
| --- | --- | --- |
| AWS políticas gestionadas para Amazon Neptune: actualización a las políticas existentes | Las políticas administradas `NeptuneReadOnlyAcess` y `NeptuneFullAccess` incluyen ahora `Sid` (ID de instrucción) como identificador en las instrucciones de la política. | 22-01-2022 |
| [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md)(publicado) | Se ha publicado para brindar acceso de solo lectura a gráficos y recursos de Neptune Analytics. | 29-11-2023 |
| [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)(publicado) | Se lanzó para permitir el acceso a los gráficos de Neptune Analytics CloudWatch para publicar métricas y registros operativos y de uso. Consulte [Uso de funciones vinculadas a servicios (SLRs) en Neptune Analytics](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html). | 29-11-2020 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(permisos añadidos) | Se han añadido permisos para brindar todo el acceso necesario para interactuar con los gráficos de Neptune Analytics. | 29/11/2023 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md)(permisos añadidos) | Se agregaron permisos de acceso a los datos y permisos para la nueva base de datos APIs global. | 28 de julio de 2022 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(permisos añadidos) | Se agregaron permisos para la nueva base de datos global APIs. | 21 de julio de 2022 |
| Se comenzó a realizar un seguimiento de los cambios en Neptune | Neptune comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 2022-07-21 |
# Concesión `NeptuneReadOnlyAccess` a bases de datos de Amazon Neptune mediante AWS una política gestionada
La política [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess)gestionada que aparece a continuación otorga acceso de solo lectura a todas las acciones y recursos de Neptune con fines administrativos y de acceso a los datos.
**nota**
Esta política se actualizó el 21 de julio de 2022 para incluir permisos de acceso a los datos y permisos administrativos de solo lectura, e incluir permisos para acciones de bases de datos globales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
},
{
"Sid": "AllowReadOnlyPermissionsForNeptuneDB",
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concesión `NeptuneFullAccess` a bases de datos de Amazon Neptune mediante AWS una política gestionada
La siguiente política [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess)gestionada otorga acceso total a todas las acciones y recursos de Neptune con fines administrativos y de acceso a los datos. Se recomienda si necesita acceso total desde AWS CLI o desde un SDK, pero no desde. Consola de administración de AWS
**nota**
Esta política se actualizó el 21 de julio de 2022 para incluir todos los permisos de acceso a los datos, así como los permisos administrativos completos, y para incluir permisos para acciones en bases de datos globales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterEndpoint",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterEndpoint",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeDBClusterEndpoints",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:FailoverGlobalCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterEndpoint",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime",
"rds:StartDBCluster",
"rds:StopDBCluster"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowDataAccessForNeptune",
"Effect": "Allow",
"Action": [
"neptune-db:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concesión `NeptuneConsoleFullAccess` mediante una política AWS gestionada
La siguiente política [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess)gestionada otorga acceso total a todas las acciones y recursos de Neptune con fines administrativos, pero no con fines de acceso a los datos. También incluye permisos adicionales para simplificar el acceso a Neptune desde la consola, incluidos permisos limitados de IAM y Amazon EC2 (VPC).
**nota**
Esta política se actualizó el 29 de noviembre de 2023 para incluir los permisos necesarios para interactuar con los gráficos de Neptune Analytics.
Se actualizó el 21 de julio de 2022 para incluir permisos para acciones en bases de datos globales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowManagementPermissionsForNeptuneAnalytics",
"Effect": "Allow",
"Action": [
"neptune-graph:CreateGraph",
"neptune-graph:DeleteGraph",
"neptune-graph:GetGraph",
"neptune-graph:ListGraphs",
"neptune-graph:UpdateGraph",
"neptune-graph:ResetGraph",
"neptune-graph:CreateGraphSnapshot",
"neptune-graph:DeleteGraphSnapshot",
"neptune-graph:GetGraphSnapshot",
"neptune-graph:ListGraphSnapshots",
"neptune-graph:RestoreGraphFromSnapshot",
"neptune-graph:CreatePrivateGraphEndpoint",
"neptune-graph:GetPrivateGraphEndpoint",
"neptune-graph:ListPrivateGraphEndpoints",
"neptune-graph:DeletePrivateGraphEndpoint",
"neptune-graph:CreateGraphUsingImportTask",
"neptune-graph:GetImportTask",
"neptune-graph:ListImportTasks",
"neptune-graph:CancelImportTask"
],
"Resource": [
"arn:aws:neptune-graph:*:*:*"
]
},
{
"Sid": "AllowPassRoleForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "neptune-graph.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "neptune-graph.amazonaws.com"
}
}
}
]
}
```
------
# La concesión se realiza `NeptuneGraphReadOnlyAccess` mediante AWS una política gestionada
La siguiente política [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess)gestionada proporciona acceso de solo lectura a todos los recursos de Amazon Neptune Analytics junto con permisos de solo lectura para los servicios dependientes.
Esta política incluye permisos para hacer lo siguiente:
+ **Para Amazon EC2**: recupere información sobre subredes VPCs, grupos de seguridad y zonas de disponibilidad.
+ **Para AWS KMS**: recuperar información sobre las claves y los alias de KMS.
+ **Para CloudWatch**: recuperar información sobre CloudWatch las métricas.
+ **Para CloudWatch registros**: recupera información sobre eventos y secuencias de CloudWatch registros.
**nota**
Esta política se publicó el 29 de noviembre de 2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForNeptuneGraph",
"Effect": "Allow",
"Action": [
"neptune-graph:Get*",
"neptune-graph:List*",
"neptune-graph:Read*"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
}
]
}
```
------
# Concesión de acceso al gráfico de Neptune mediante `AWSServiceRoleForNeptuneGraphPolicy`
La política [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy)administrada que aparece a continuación permite acceder a los gráficos CloudWatch para publicar registros y métricas operativas y de uso. Consulte [nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html).
**nota**
Esta política se publicó el 29 de noviembre de 2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GraphMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Neptune",
"AWS/Usage"
]
}
}
},
{
"Sid": "GraphLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GraphLogEvents",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# Personalización del acceso a los recursos de Amazon Neptune mediante claves de contexto de condición de IAM
Puede especificar condiciones en las políticas de IAM que controlan el acceso a las acciones de administración y recursos de Neptune. La declaración de la política solo se aplica si se cumplen las condiciones.
Por ejemplo, es posible que desee que una declaración de política entre en vigor solo después de una fecha específica o que permita el acceso solo cuando la solicitud a la API contenga un valor específico.
Para expresar condiciones, se utilizan claves de condición predefinidas en el elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una declaración de política, junto con [operadores de política de condiciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como igual o menor que.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una `OR` operación lógica. Se deben cumplir todas las condiciones antes de conceder los permisos de la declaración.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para obtener más información, consulte [Elementos de la política de IAM: Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
El tipo de datos de una clave de condición determina qué operadores de condición puede utilizar para comparar los valores de la solicitud con los valores de la declaración de política. Si utiliza un operador de condición que no es compatible con ese tipo de datos, la coincidencia siempre falla y la declaración de política nunca se aplica.
**Claves de condición de IAM para las declaraciones de políticas administrativas de Neptune**
+ [Claves de condición globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): puede utilizar la mayoría de las claves de condición AWS globales en las declaraciones de política administrativa de Neptune.
+ [Claves de condición específicas del servicio](iam-admin-condition-keys.md): son claves que se definen para servicios específicos. AWS Las que Neptune admite para las declaraciones de políticas administrativas se enumeran en [Claves de condición de IAM para administrar Amazon Neptune](iam-admin-condition-keys.md).
**Claves de condición de IAM para las declaraciones de políticas de acceso a datos de Neptune**
+ [Claves de condición globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): el subconjunto de estas claves que admite Neptune en las declaraciones de políticas de acceso a los datos aparece en [AWS claves de contexto de condiciones globales respaldadas por Neptune en las declaraciones de política de acceso a datos](iam-data-condition-keys.md#iam-data-global-condition-keys).
+ Las claves de condición específicas del servicio que Neptune define para las declaraciones de políticas de acceso a los datos se enumeran en [Claves de condición](iam-data-condition-keys.md).
# Creación de instrucciones de políticas de IAM personalizadas para administrar Amazon Neptune
Las declaraciones de políticas administrativas le permiten controlar lo que un usuario de IAM puede hacer para administrar una base de datos de Neptune.
Una declaración de política administrativa de Neptune otorga acceso a una o más [acciones administrativas](neptune-iam-admin-actions.md) y [recursos administrativos](iam-admin-resources.md) que admite Neptune. También puede utilizar [Claves de condición](iam-admin-condition-keys.md) para hacer que los permisos administrativos sean más específicos.
**nota**
Dado que Neptune comparte funcionalidades con Amazon RDS, las acciones administrativas, los recursos y las claves de condición específicas del servicio en las declaraciones de políticas administrativa sutilizan el `rds:` prefijo por diseño.
**Topics**
+ [Acciones de IAM para administrar Amazon Neptune](neptune-iam-admin-actions.md)
+ [Tipos de recursos de IAM para administrar Amazon Neptune](iam-admin-resources.md)
+ [Claves de condición de IAM para administrar Amazon Neptune](iam-admin-condition-keys.md)
+ [Creación de instrucciones de políticas administrativas de IAM para Amazon Neptune](iam-admin-policy-examples.md)
# Acciones de IAM para administrar Amazon Neptune
Puede utilizar las acciones administrativas que se enumeran a continuación en el `Action` elemento de una declaración de política de IAM para controlar el acceso a la administración de [ APIsNeptune](api.md). Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
El campo `Resource type` de la siguiente lista indica si cada acción admite permisos de nivel de recurso. Si no hay ningún valor en este campo, debe especificar todos los recursos ("\$1") en el elemento `Resource` de la declaración de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de recurso en una instrucción con dicha acción. Los tipos de recursos administrativos de Neptune se muestran en [esta página](iam-admin-resources.md).
Los recursos necesarios se indican en la lista siguiente con un asterisco (\$1). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si un tipo de recurso es opcional (es decir, no está marcado con un asterisco), no es necesario que lo incluya.
Para obtener más información sobre los campos que se muestran aquí, consulte la [tabla de acciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table) de la [Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
## Varillas: AddRoleTo DBCluster
`AddRoleToDBCluster` asocia un rol de IAM a un clúster de base de datos de Neptune.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
## Varillas: AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` añade un identificador de origen a una suscripción de notificación de eventos existente de Neptune.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## Varillas: AddTagsToResource
`AddTagsToResource` asocia un rol de IAM a un clúster de base de datos de Neptune.
*Nivel de acceso:* `Write`.
*Tipos de recursos:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Claves de condición:*
+ [leyes:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## Ards: ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` aplica una acción de mantenimiento pendiente a un recurso.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
## RDS: copiar DBCluster ParameterGroup
`CopyDBClusterParameterGroup` copia el grupo de parámetros de clúster de base de datos especificado.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: DBCluster Copy Snapshot
`CopyDBClusterSnapshot` copia una instantánea de un clúster de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
## RDS: grupo de DBParameter copias
`CopyDBParameterGroup` copia el grupo de parámetros de base de datos especificado.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: Crear DBCluster
`CreateDBCluster` crea un nuevo clúster de base de datos de Neptune.
*Nivel de acceso:* `Tagging`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [neptune-rds\$1 DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## RDS: crear DBCluster ParameterGroup
`CreateDBClusterParameterGroup` crea un nuevo grupo de parámetros del clúster de base de datos.
*Nivel de acceso:* `Tagging`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBCluster: crear una instantánea
`CreateDBClusterSnapshot` crea una instantánea de un clúster de base de datos.
*Nivel de acceso:* `Tagging`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: crear DBInstance
`CreateDBInstance` crea una nueva instancia de base de datos.
*Nivel de acceso:* `Tagging`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBParameter: crear grupo
`CreateDBParameterGroup` crea un nuevo grupo de parámetros de base de datos.
*Nivel de acceso:* `Tagging`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBSubnet: crear grupo
`CreateDBSubnetGroup` crea un nuevo grupo de subred de base de datos.
*Nivel de acceso:* `Tagging`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## Ards: CreateEventSubscription
`CreateEventSubscription` crea una suscripción de notificación de eventos de Neptune.
*Nivel de acceso:* `Tagging`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
*Claves de condición:*
+ [leyes:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: eliminar DBCluster
`DeleteDBCluster` elimina un clúster de base de datos de Neptune existente.
*Nivel de acceso:* `Write`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
## RDS: eliminar DBCluster ParameterGroup
`DeleteDBClusterParameterGroup` elimina un determinado grupo de parámetros del clúster de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: eliminar instantánea DBCluster
`DeleteDBClusterSnapshot` elimina una instantánea de clúster de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
## RDS: eliminar DBInstance
`DeleteDBInstance` elimina una instancia de base de datos especificada.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
## RDS: eliminar grupo DBParameter
`DeleteDBParameterGroup`elimina un grupo especificado. DBParameter
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## DBSubnetRDS: eliminar grupo
`DeleteDBSubnetGroup` elimina un grupo de subred de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
## RDS: DeleteEventSubscription
`DeleteEventSubscription` elimina una suscripción a notificaciones de eventos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## RDS: describe DBCluster ParameterGroups
`DescribeDBClusterParameterGroups`devuelve una lista de descripciones. DBCluster ParameterGroup
*Nivel de acceso:* `List`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDSDBCluster: Describa los parámetros
`DescribeDBClusterParameters` devuelve la lista detallada de parámetros para un grupo de parámetros de clúster de base de datos en particular.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: describe DBCluster SnapshotAttributes
`DescribeDBClusterSnapshotAttributes` devuelve una lista de nombres y valores de atributos de instantáneas de clúster de base de datos y valores para una instantánea manual del clúster de base de datos.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
## RDS: describe DBCluster las instantáneas
`DescribeDBClusterSnapshots` devuelve información acerca de instantáneas del clúster de base de datos.
*Nivel de acceso:* `Read`.
## RDS: describe DBClusters
`DescribeDBClusters` devuelve información acerca de un clúster de base de datos aprovisionado de Neptune.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
## RDS: describa DBEngine las versiones
`DescribeDBEngineVersions` devuelve una lista con los motores de base de datos disponibles.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: Describa DBInstances
`DescribeDBInstances` devuelve información acerca de las instancias de base de datos.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## RDS: Describa DBParameter los grupos
`DescribeDBParameterGroups`devuelve una lista de descripciones de grupos. DBParameter
*Nivel de acceso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: describe DBParameters
`DescribeDBParameters` devuelve la lista detallada de parámetros para un grupo de parámetros de base de datos determinado.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: Describa DBSubnet los grupos
`DescribeDBSubnetGroups`devuelve una lista de descripciones de grupos. DBSubnet
*Nivel de acceso:* `List`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
## Varillas: DescribeEventCategories
`DescribeEventCategories` devuelve una lista de categorías de todos los tipos de origen de eventos o, si se especifica, para un tipo de origen especificado.
*Nivel de acceso:* `List`.
## Varillas: DescribeEventSubscriptions
`DescribeEventSubscriptions` muestra todas las descripciones de la suscripción para una cuenta de cliente.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## Varillas: DescribeEvents
`DescribeEvents` devuelve eventos relacionados con las instancias de base de datos, grupos de seguridad de base de datos y grupos de parámetros de base de datos de los últimos 14 días.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## rds: Opciones DescribeOrderable DBInstance
`DescribeOrderableDBInstanceOptions` devuelve una lista de opciones de instancia de base de datos ordenable para el motor especificado.
*Nivel de acceso:* `List`.
## RDS: DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` devuelve una lista de recursos (por ejemplo, instancias de base de datos) que tienen al menos una acción de mantenimiento pendiente.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
## rds: Modificaciones DescribeValid DBInstance
`DescribeValidDBInstanceModifications` muestra las modificaciones disponibles que puede realizar en su instancia de base de datos.
*Nivel de acceso:* `List`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
## RDS: conmutación por error DBCluster
`FailoverDBCluster` fuerza una conmutación por error para un clúster de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
## RDS: ListTagsForResource
`ListTagsForResource` muestra todas las etiquetas en un recurso de Neptune.
*Nivel de acceso:* `Read`.
*Tipos de recursos:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## RDS: modificar DBCluster
`ModifyDBCluster`
Modifica la configuración de un clúster de base de datos de Neptune.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: modificar DBCluster ParameterGroup
`ModifyDBClusterParameterGroup` modifica los parámetros de un grupo de parámetros del clúster de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: modificar DBCluster SnapshotAttribute
`ModifyDBClusterSnapshotAttribute` añade un atributo y valores a una instantánea manual del clúster de base de datos o los elimina.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
## RDS: modificar DBInstance
`ModifyDBInstance` modifica la configuración de una instancia de base de datos.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: modificar grupo DBParameter
`ModifyDBParameterGroup` modifica los parámetros de un grupo de parámetros de base de datos.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: modificar DBSubnet grupo
`ModifyDBSubnetGroup` modifica un grupo de subred de base de datos existente.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
## RDS: ModifyEventSubscription
`ModifyEventSubscription` modifica una suscripción a notificaciones de eventos de Neptune existente.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## RDS: reiniciar DBInstance
`RebootDBInstance` reinicia el servicio del motor de base de datos para la instancia.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obligatorio).
## RDS: RemoveRoleFrom DBCluster
`RemoveRoleFromDBCluster`disocia una función de AWS Identity and Access Management (IAM) de un clúster de base de datos de Amazon Neptune.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
## Ards: RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` elimina un identificador de origen de una suscripción a notificaciones de eventos de Neptune existente.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obligatorio)
## Varillas: RemoveTagsFromResource
`RemoveTagsFromResource` elimina etiquetas de metadatos de un recurso de Neptune.
*Nivel de acceso:* `Tagging`.
*Tipos de recursos:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Claves de condición:*
+ [leyes:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: restablecer DBCluster ParameterGroup
`ResetDBClusterParameterGroup` modifica los parámetros de un grupo de parámetros del clúster de base de datos al valor predeterminado.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obligatorio).
## RDS: restablecer grupo DBParameter
`ResetDBParameterGroup`modifica los parámetros de un grupo de parámetros de base de datos al valor predeterminado. engine/system
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obligatorio).
## RDS: restaurar DBCluster FromSnapshot
`RestoreDBClusterFromSnapshot` crea un nuevo clúster de base de datos desde una instantánea de clúster de base de datos.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: restaurar DBCluster ToPointInTime
`RestoreDBClusterToPointInTime` restaura un clúster de base de datos a un punto arbitrario en el tiempo.
*Nivel de acceso:* `Write`.
*Acciones dependientes:* `iam:PassRole`.
*Tipos de recursos:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obligatorio).
*Claves de condición:*
+ [fue:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leyes: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: iniciar DBCluster
`StartDBCluster` inicia el clúster de base de datos especificado.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
## RDS: parada DBCluster
`StopDBCluster` detiene el clúster de base de datos especificado.
*Nivel de acceso:* `Write`.
*Tipo de recurso:* [clúster](iam-admin-resources.md#neptune-cluster-resource) (obligatorio).
# Tipos de recursos de IAM para administrar Amazon Neptune
Neptune admite los tipos de recursos de la siguiente tabla para su uso en el elemento `Resource` de las declaraciones de políticas de administración de IAM. Para obtener más información sobre el elemento `Resource`, consulte [Elementos de la política de JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
La [lista de acciones de administración de Neptune](neptune-iam-admin-actions.md) identifica los tipos de recursos que se pueden especificar con cada acción. Un tipo de recurso también determina qué claves de condición se pueden incluir en una política, tal y como se especifica en la última columna de la tabla de abajo.
En la columna `ARN`, se especifica el formato de nombre de recurso de Amazon (ARN) que debe utilizar para hacer referencia a los recursos de este tipo. Las partes precedidas por ` $ ` deben sustituirse por los valores reales de su escenario. Por ejemplo, si ve `$user-name` en un ARN, debe sustituir esa cadena por el nombre de usuario real de IAM o una variable de política que contenga un nombre de usuario de IAM. Para obtener más información sobre ARNs, consulte [ ARNsIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) y. [Trabajar con tareas administrativas ARNs en Amazon Neptune](tagging-arns.md)
En la columna ` Condition Keys `, se especifican las claves de contexto de condiciones que puede incluir en una declaración de política de IAM cuando se incluyen en la declaración este recurso y una acción de apoyo compatible.
****
| Tipos de recursos | ARN | Claves de condición |
| --- | --- | --- |
| `cluster` (un clúster de base de datos) | arn:partition:rds:region:account-id:cluster:instance-name | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (un grupo de parámetros de clúster de base de datos) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (una instantánea de clúster de base de datos) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [leyes:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [Ards:/cluster-snapshot-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (una instancia de base de datos) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [Ards: DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [Varillas: DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (una suscripción a eventos) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:es-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (un grupo de parámetros de base de datos) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (un grupo de subred de base de datos) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [leyes:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Claves de condición de IAM para administrar Amazon Neptune
[Con las claves de condición](security-iam-access-manage.md#iam-using-condition-keys), puede especificar condiciones en una declaración de política de IAM para que la declaración se aplique solo cuando se aplican las condiciones. Las claves de condición que puede utilizar en las declaraciones de políticas administrativas de Neptune se clasifican en las siguientes categorías:
+ [Claves de condición globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): están definidas para su uso general con los servicios. AWS AWS La mayoría se puede utilizar en las declaraciones de políticas administrativas de Neptune.
+ [Claves de condición de las propiedades de recursos administrativos](#iam-rds-property-condition-keys): estas claves, que se enumeran [a continuación](#iam-rds-property-condition-keys), se basan en las propiedades de los recursos administrativos.
+ [Claves de condición de acceso basadas en etiquetas](#iam-rds-tag-based-condition-keys): estas claves, que se enumeran [a continuación](#iam-rds-tag-based-condition-keys), se basan en las [etiquetas de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) asociadas a los recursos administrativos.
## Claves de condición de las propiedades de recursos administrativos de Neptune
| Claves de condición | Descripción | Tipo |
| --- | --- | --- |
| rds:DatabaseClass | Filtra el acceso por el tipo de clase de instancia de base de datos | Cadena |
| rds:DatabaseEngine | Filtra el acceso por el motor de la base de datos. Para ver los posibles valores, consulte el parámetro del motor en Create DBInstance API | Cadena |
| rds:DatabaseName | Filtra el acceso por el nombre definido por el usuario de la base de datos en la instancia de base de datos | Cadena |
| rds:EndpointType | Filtra el acceso según el tipo de punto de enlace Puede ser: READER, WRITER, CUSTOM (lectura, escritura, personalizado) | Cadena |
| rds:Vpc | Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en una Amazon Virtual Private Cloud (Amazon VPC) Para indicar que la instancia de base de datos se ejecuta en una Amazon VPC; especifique true. | Booleano |
## Claves de condición administrativas basadas en etiquetas
Amazon Neptune permite especificar condiciones en una política de IAM que utiliza etiquetas personalizadas para controlar el acceso a Neptune a través de [Referencia de la API de administración](api.md).
Por ejemplo, si añade una etiqueta denominada `environment` a sus instancias de base de datos, con valores como `beta`, `staging` y `production`, puede crear una política que restrinja el acceso a las instancias en función del valor de esa etiqueta.
**importante**
Si administra el acceso a sus recursos de Neptune mediante el etiquetado, asegúrese de proteger el acceso a las etiquetas. Puede restringir el acceso a las etiquetas creando políticas para las acciones `AddTagsToResource` y `RemoveTagsFromResource`.
Por ejemplo, podría utilizar la siguiente política para denegar a los usuarios la posibilidad de añadir o eliminar etiquetas para todos los recursos. A continuación, podría crear políticas para permitir que usuarios específicos añadan o quiten etiquetas.
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
Las siguientes claves de condición basadas en etiquetas solo funcionan con los recursos administrativos en declaraciones de políticas administrativas.
**Claves de condición administrativas basadas en etiquetas**
| Claves de condición | Descripción | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. | Cadena |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Filtra el acceso en función de pares de clave-valor asociados al recurso. | Cadena |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud. | Cadena |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a un grupo de parámetros de clúster de base de datos. | Cadena |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a una instantánea de clúster de base de datos. | Cadena |
| rds:cluster-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a un clúster de base de datos. | Cadena |
| rds:db-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a una instancia de base de datos. | Cadena |
| rds:es-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a una suscripción de evento. | Cadena |
| rds:pg-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a un grupo de parámetros de base de datos. | Cadena |
| rds:req-tag/\$1\$1TagKey\$1 | Filtra el acceso por el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso. | Cadena |
| rds:secgrp-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a un grupo de seguridad de base de datos. | Cadena |
| rds:snapshot-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta asociada a una instantánea de base de datos. | Cadena |
| rds:subgrp-tag/\$1\$1TagKey\$1 | Filtra el acceso por la etiqueta adjunta a un grupo de subred de base de datos | Cadena |
# Creación de instrucciones de políticas administrativas de IAM para Amazon Neptune
## Ejemplos de políticas administrativas generales
En los siguientes ejemplos, se muestra cómo crear políticas administrativas de Neptune que concedan permisos para realizar diversas acciones de administración en un clúster de base de datos.
### Política que impide que un usuario de IAM elimine una instancia de base de datos específica
A continuación, se muestra un ejemplo de política que impide que un usuario de IAM elimine una instancia de base de datos de Neptune específica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### La política concede permiso para crear nuevas instancias de base de datos
A continuación, se muestra un ejemplo de una política que permite a un usuario de IAM crear instancias de base de datos en un clúster de base de datos de Neptune específico:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### Política que concede permiso para crear nuevas instancias de base de datos que usen un grupo de parámetros de base de datos específico
A continuación, tenemos un ejemplo de política que permite a un usuario de IAM crear instancias de base de datos en un clúster de base de datos específico (aquí `us-west-2`) en un clúster de base de datos de Neptune específico utilizando solo un grupo de parámetros de base de datos específico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### Política que concede permiso para describir cualquier recurso
A continuación, tenemos un ejemplo de política que permite a un usuario de IAM describir cualquier recurso de Neptune.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## Ejemplos de políticas administrativas basadas en etiquetas
En los siguientes ejemplos, se muestra cómo crear políticas administrativas de Neptune que se etiquetan para filtrar permisos para varias acciones de administración en un cluster de base de datos.
### Ejemplo 1: conceder permiso para acciones en un recurso mediante una etiqueta personalizada que puede tomar varios valores
La política siguiente permite el uso de la API `ModifyDBInstance`, `CreateDBInstance` o `DeleteDBInstance` en cualquier instancia de base de datos que tenga la etiqueta `env` establecida en `dev` o `test`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Ejemplo 3: limitar el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso
En esta política, se usa una clave `Condition` para permitir que una etiqueta que tiene la clave `env` y un valor de `test`, `qa` o `dev` se añada a un recurso:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Ejemplo 3: permitir el acceso completo a los recursos de Neptune en función de `aws:ResourceTag`
La siguiente política es similar al primer ejemplo anterior, pero utiliza en su lugar `aws:ResourceTag`.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
# Creación de instrucciones de políticas de IAM personalizadas para acceder a datos en Amazon Neptune
Las instrucciones de políticas de acceso a datos de Neptune utilizan [acciones](iam-dp-actions.md), [recursos](iam-data-resources.md) y [claves de condición](iam-data-condition-keys.md#iam-neptune-condition-keys) de acceso a los datos, todos ellos precedidos por el prefijo `neptune-db:`.
**Topics**
+ [Uso de acciones de consulta en las declaraciones de políticas de acceso a datos de Neptune](#iam-data-query-actions)
+ [Acciones de IAM para el acceso a los datos en Amazon Neptune](iam-dp-actions.md)
+ [Tipos de recursos de IAM para acceder a los datos en Amazon Neptune](iam-data-resources.md)
+ [Claves de condición de IAM para acceder a los datos en Amazon Neptune](iam-data-condition-keys.md)
+ [Creación de políticas de acceso a datos de IAM en Amazon Neptune](iam-data-access-examples.md)
## Uso de acciones de consulta en las declaraciones de políticas de acceso a datos de Neptune
Hay tres acciones de consulta de Neptune que se pueden utilizar en las declaraciones de políticas de acceso a los datos: `ReadDataViaQuery`, `WriteDataViaQuery` y `DeleteDataViaQuery`. Es posible que una consulta en particular necesite permisos para realizar varias de estas acciones, y puede que no siempre sea evidente qué combinación de estas acciones debe permitirse para ejecutar una consulta.
Antes de ejecutar una consulta, Neptune determina los permisos necesarios para ejecutar cada paso de la consulta y los combina en el conjunto completo de permisos que requiere la consulta. Tenga en cuenta que este conjunto completo de permisos incluye todas las acciones que *puede* realizar la consulta, que no es necesariamente el conjunto de acciones que la consulta realizará realmente cuando se ejecute en sus datos.
Esto significa que, para permitir que se ejecute una consulta determinada, debe proporcionar permisos para todas las acciones que la consulta pueda realizar, tanto si las acaba realizando como si no.
Estos son algunos ejemplos de consultas de Gremlin en las que esto se explica con más detalle:
+
```
g.V().count()
```
`g.V()` y `count()` solo requieren acceso de lectura, por lo que la consulta en su conjunto solo requiere acceso `ReadDataViaQuery`.
+
```
g.addV()
```
`addV()` necesita comprobar si existe o no un vértice con un identificador determinado antes de insertar uno nuevo. Esto significa que requiere tanto acceso `ReadDataViaQuery` como `WriteDataViaQuery`.
+
```
g.V('1').as('a').out('created').addE('createdBy').to('a')
```
`g.V('1').as('a')` y `out('created')` solo requieren acceso de lectura, pero `addE().from('a')` requiere acceso de lectura y escritura, ya que `addE()` necesita leer los vértices `from` y `to` y comprobar si ya existe un borde con el mismo identificador antes de añadir uno nuevo. Por lo tanto, la consulta en su conjunto necesita tanto el acceso `ReadDataViaQuery` como `WriteDataViaQuery`.
+
```
g.V().drop()
```
`g.V()` solo requiere acceso de lectura. `drop()` necesita acceso de lectura y eliminación porque tiene que leer un vértice o borde antes de eliminarlo, por lo que la consulta en su conjunto requiere tanto acceso `ReadDataViaQuery` como `DeleteDataViaQuery`.
+
```
g.V('1').property(single, 'key1', 'value1')
```
`g.V('1')` solo requiere acceso de lectura, pero `property(single, 'key1', 'value1')` requiere acceso de lectura, escritura y eliminación. En este caso, en el paso `property()`, se inserta la clave y el valor si aún no existen en el vértice, pero si ya existen, se elimina el valor de la propiedad existente y se inserta un nuevo valor en su lugar. Por lo tanto, la consulta en su conjunto requiere acceso `ReadDataViaQuery`, `WriteDataViaQuery` y `DeleteDataViaQuery`.
Cualquier consulta que contenga un paso `property()` necesitará permisos `ReadDataViaQuery`, `WriteDataViaQuery` y `DeleteDataViaQuery`.
Estos son algunos ejemplos de openCypher:
+
```
MATCH (n)
RETURN n
```
Esta consulta lee todos los nodos de la base de datos y los devuelve, lo que solo requiere acceso `ReadDataViaQuery`.
+
```
MATCH (n:Person)
SET n.dept = 'AWS'
```
Esta consulta requiere acceso `ReadDataViaQuery`, `WriteDataViaQuery` y `DeleteDataViaQuery`. Lee todos los nodos con la etiqueta 'Person' y añade una nueva propiedad con la clave `dept` y el valor `AWS` o, si la propiedad `dept` ya existe, elimina el valor anterior e inserta `AWS` en su lugar. Además, si el valor que se va a establecer es `null`, `SET` elimina la propiedad por completo.
Como en algunos casos es posible que la cláusula `SET` necesite eliminar un valor existente, **siempre** necesitará permisos `DeleteDataViaQuery` y permisos `ReadDataViaQuery` y `WriteDataViaQuery`.
+
```
MATCH (n:Person)
DETACH DELETE n
```
Esta consulta necesita permisos `ReadDataViaQuery` y `DeleteDataViaQuery`. Busca todos los nodos con la etiqueta `Person` y los elimina junto con los bordes conectados a esos nodos y las etiquetas y propiedades asociadas.
+
```
MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'})
RETURN n
```
Esta consulta necesita permisos `ReadDataViaQuery` y `WriteDataViaQuery`. La cláusula `MERGE` coincide con un patrón específico o lo crea. Dado que puede producirse una escritura si el patrón no coincide, se necesitan permisos de escritura además de permisos de lectura.
# Acciones de IAM para el acceso a los datos en Amazon Neptune
Tenga en cuenta que las acciones de acceso a datos de Neptune tienen el prefijo `neptune-db:`, mientras que las acciones administrativas de Neptune tienen el prefijo `rds:`.
El nombre de recurso de Amazon (ARN) para un recurso de datos en IAM no es el mismo que el ARN asignado a un clúster en el momento de su creación. Debe crear el ARN como se muestra en [Specifying data resources](iam-data-resources.md). Este recurso de datos ARNs puede utilizar caracteres comodín para incluir varios recursos.
Las declaraciones de política de acceso a los datos también pueden incluir la clave de QueryLanguage condición [neptune-db:](iam-data-condition-keys.md#iam-neptune-condition-keys) para restringir el acceso mediante el lenguaje de consulta.
A partir de [Versión: 1.2.0.0 (21/07/2022)](engine-releases-1.2.0.0.md), Neptune permite restringir los permisos a una o más [acciones específicas de Neptune](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html). Esto proporciona un control de acceso más detallado de lo que era posible anteriormente.
**importante**
Los cambios realizados en una política de IAM pueden tardar hasta 10 minutos en aplicarse a los recursos de Neptune especificados.
Las políticas de IAM que se aplican a un clúster de base de datos de Neptune se aplican a todas las instancias incluidas en dicho clúster.
## *Acciones de acceso a los datos basadas en consultas*
**nota**
No siempre es obvio qué permisos se necesitan para ejecutar una consulta determinada, ya que las consultas pueden realizar más de una acción en función de los datos que procesen. Para obtener más información, consulte [Uso de acciones de consulta](iam-data-access-policies.md#iam-data-query-actions).
## `neptune-db:ReadDataViaQuery`
`ReadDataViaQuery` permite al usuario leer datos de la base de datos de Neptune mediante el envío de consultas.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Claves de contexto de acción*: `neptune-db:QueryLanguage`.
*Recursos necesarios:* base de datos.
## `neptune-db:WriteDataViaQuery`
`WriteDataViaQuery` permite al usuario escribir datos en la base de datos de Neptune mediante el envío de consultas.
*Grupos de acciones*: lectura-escritura.
*Claves de contexto de acción*: `neptune-db:QueryLanguage`.
*Recursos necesarios:* base de datos.
## `neptune-db:DeleteDataViaQuery`
`DeleteDataViaQuery` permite al usuario eliminar datos de la base de datos de Neptune mediante el envío de consultas.
*Grupos de acciones*: lectura-escritura.
*Claves de contexto de acción*: `neptune-db:QueryLanguage`.
*Recursos necesarios:* base de datos.
## `neptune-db:GetQueryStatus`
`GetQueryStatus` permite al usuario verificar el estado de todas las consultas activas.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Claves de contexto de acción*: `neptune-db:QueryLanguage`.
*Recursos necesarios:* base de datos.
## `neptune-db:GetStreamRecords`
`GetStreamRecords` permite al usuario obtener registros de flujo de Neptune.
*Grupos de acciones*: lectura-escritura.
*Claves de contexto de acción*: `neptune-db:QueryLanguage`.
*Recursos necesarios:* base de datos.
## `neptune-db:CancelQuery`
`CancelQuery` permite al usuario cancelar una consulta.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## *Acciones generales de acceso a los datos*
## `neptune-db:GetEngineStatus`
`GetEngineStatus` permite al usuario verificar el estado del motor de Neptune.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetStatisticsStatus`
`GetStatisticsStatus` permite al usuario comprobar el estado de las estadísticas que se recopilan para la base de datos.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetGraphSummary`
`GetGraphSummary` La API de resumen de gráficos le permite recuperar un resumen de solo lectura de su gráfico.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ManageStatistics`
`ManageStatistics` permite al usuario administrar la recopilación de estadísticas de la base de datos.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:DeleteStatistics`
`DeleteStatistics` permite al usuario eliminar todas las estadísticas de la base de datos.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ResetDatabase`
`ResetDatabase` permite al usuario obtener el token necesario para el restablecimiento y restablecer la base de datos de Neptune.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## *Acciones de acceso a datos del programa de carga masiva*
## `neptune-db:StartLoaderJob`
`StartLoaderJob` permite al usuario iniciar un trabajo del programa de carga masiva.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetLoaderJobStatus`
`GetLoaderJobStatus` permite al usuario verificar el estado de un trabajo del programa de carga masiva.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ListLoaderJobs`
`ListLoaderJobs` permite al usuario enumerar todos los trabajos del programa de carga masiva.
*Grupos de acciones:* solo enumeración, solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:CancelLoaderJob`
`CancelLoaderJob` permite al usuario cancelar un trabajo del programa de carga.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## *Acciones de acceso a los datos mediante machine learning*
## `neptune-db:StartMLDataProcessingJob`
`StartMLDataProcessingJob` permite al usuario iniciar un trabajo de procesamiento de datos de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:StartMLModelTrainingJob`
`StartMLModelTrainingJob` permite a un usuario comenzar un trabajo de entrenamiento de modelos de ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:StartMLModelTransformJob`
`StartMLModelTransformJob` permite que un usuario comience un trabajo de transformación de modelos de ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:CreateMLEndpoint`
`CreateMLEndpoint` permite al usuario crear un punto de conexión de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetMLDataProcessingJobStatus`
`GetMLDataProcessingJobStatus` permite a un usuario comprobar el estado de un trabajo de procesamiento de datos de Neptune ML.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetMLModelTrainingJobStatus`
`GetMLModelTrainingJobStatus` permite a un usuario comprobar el estado de un trabajo de entrenamiento de modelos de Neptune ML.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetMLModelTransformJobStatus`
`GetMLModelTransformJobStatus` permite a un usuario comprobar el estado de un trabajo de transformación de modelos de Neptune ML.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:GetMLEndpointStatus`
`GetMLEndpointStatus` permite a un usuario comprobar el estado de un punto de conexión de Neptune ML.
*Grupos de acciones:* solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ListMLDataProcessingJobs`
`ListMLDataProcessingJobs` permite a un usuario enumerar todos los trabajos de procesamiento de datos de Neptune ML.
*Grupos de acciones:* solo enumeración, solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ListMLModelTrainingJobs`
`ListMLModelTrainingJobs` permite a un usuario enumerar todos los trabajos de entrenamiento de modelos de Neptune ML.
*Grupos de acciones:* solo enumeración, solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ListMLModelTransformJobs`
`ListMLModelTransformJobs` permite a un usuario generar una lista de todos los trabajos de transformación de modelos de ML.
*Grupos de acciones:* solo enumeración, solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:ListMLEndpoints`
`ListMLEndpoints` permite a un usuario enumerar todos los puntos de conexión de Neptune ML.
*Grupos de acciones:* solo enumeración, solo lectura, lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:CancelMLDataProcessingJob`
`CancelMLDataProcessingJob` permite a un usuario cancelar un trabajo de procesamiento de datos de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:CancelMLModelTrainingJob`
`CancelMLModelTrainingJob` permite a un usuario cancelar un trabajo de entrenamiento de modelos de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:CancelMLModelTransformJob`
`CancelMLModelTransformJob` permite a un usuario cancelar un trabajo de transformación de modelos de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
## `neptune-db:DeleteMLEndpoint`
`DeleteMLEndpoint` permite al usuario eliminar un punto de conexión de Neptune ML.
*Grupos de acciones*: lectura-escritura.
*Recursos necesarios:* base de datos.
# Tipos de recursos de IAM para acceder a los datos en Amazon Neptune
Los recursos de datos, como las acciones de datos, tienen un prefijo `neptune-db:`.
En una política de acceso a datos de Neptune, se especifica el clúster de base de datos al que se va a dar acceso en un ARN con el siguiente formato:
```
arn:aws:neptune-db:region:account-id:cluster-resource-id/*
```
Dicho ARN de recurso contiene las siguientes partes:
+ `region`es la AWS región del clúster de base de datos Amazon Neptune.
+ `account-id` es el número de cuenta de AWS para el clúster de base de datos.
+ `cluster-resource-id` es un ID de recurso del clúster de base de datos.
**importante**
El `cluster-resource-id` es diferente al identificador del clúster. Para encontrar un ID de recurso de clúster en Neptune Consola de administración de AWS, busque el clúster de base de datos en cuestión en la sección **Configuración**.
# Claves de condición de IAM para acceder a los datos en Amazon Neptune
[Con las claves de condición](security-iam-access-manage.md#iam-using-condition-keys), puede especificar condiciones en una declaración de política de IAM para que la declaración se aplique solo cuando se aplican las condiciones.
Las claves de condición que puede usar en las declaraciones de políticas de acceso a los datos de Neptune se clasifican en las siguientes categorías:
+ [Claves de [condición globales: el subconjunto de claves](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de condición AWS globales que Neptune admite en las declaraciones de política de acceso a los datos se detalla a continuación.](#iam-data-global-condition-keys)
+ [Claves de condición específicas del servicio](#iam-neptune-condition-keys): son claves definidas por Neptune específicamente para su uso en las declaraciones de políticas de acceso a los datos. En la actualidad, solo hay una, [neptune-db: QueryLanguage](#neptune-db-query-language), que solo permite el acceso si se utiliza un lenguaje de consulta específico.
## AWS claves de contexto de condiciones globales respaldadas por Neptune en las declaraciones de política de acceso a datos
En la siguiente tabla se muestra el subconjunto de [claves de contexto de condición global de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) que Amazon Neptune admite para su uso en las declaraciones de políticas de acceso a los datos:
**Claves de condición globales que puede utilizar en las declaraciones de políticas de acceso a los datos**
| Claves de condición | Descripción | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | Filtra el acceso por la fecha y hora actual de la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | Filtra el acceso por fecha y hora de la solicitud expresadas como un valor de época de UNIX. | Numeric |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | Filtra el acceso por la cuenta a la que pertenece la entidad principal solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | Filtra el acceso por el ARN de la entidad principal que realizó la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | Permite el acceso solo si la llamada la realiza directamente un director de AWS servicio. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | Filtra el acceso por el identificador de la organización en AWS Organizations a la que pertenece el principal solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | Filtra el acceso por la AWS ruta Organizations para el director que realiza la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | Filtra el acceso por una etiqueta asociada a la entidad principal que realiza la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | Filtra el acceso por el tipo de la entidad principal que realiza la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | Filtra el acceso por la AWS región a la que se llamó en la solicitud. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | Permite el acceso solo si la solicitud se envió mediante SSL. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | Filtra el acceso por la dirección IP del solicitante | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | Filtra el acceso por la fecha y hora en que se emitieron las credenciales de seguridad temporales. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | Filtra el acceso por aplicación cliente del solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | Filtra el acceso mediante el identificador de la entidad principal del solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | Permite el acceso solo si un AWS servicio ha realizado la solicitud en tu nombre. | Boolean |
## Claves de condición específicas del servicio de Neptune
Neptune admite la siguiente clave de condición específica del servicio para las políticas de IAM:
**Claves de condición específicas del servicio de Neptune**
| Claves de condición | Descripción | Tipo |
| --- | --- | --- |
| neptune-db:QueryLanguage | Filtra el acceso a los datos según el lenguaje de consulta que se utilice. Los valores válidos son `Gremlin`, `OpenCypher` y `Sparql`. Las acciones admitidas son `ReadDataViaQuery`, `WriteDataViaQuery`, `DeleteDataViaQuery`, `GetQueryStatus` y `CancelQuery`. | String |
# Creación de políticas de acceso a datos de IAM en Amazon Neptune
[Los siguientes ejemplos muestran cómo crear políticas de IAM personalizadas que utilizan un control de acceso detallado del plano de datos APIs y las acciones, introducido en la versión 1.2.0.0 del motor Neptune.](engine-releases-1.2.0.0.md)
## Ejemplo de política que permite el acceso sin restricciones a los datos de un clúster de base de datos de Neptune
En la siguiente política de ejemplo, se permite a un usuario de IAM conectarse a un clúster de base de datos de Neptune utilizando la autenticación de base de datos de IAM, y se utiliza el carácter "`*`" para hacer corresponder todas las acciones disponibles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
La sección de recursos anterior incluye un ARN de recurso en un formato específico de la autenticación de IAM de Neptune. Para crear el ARN, consulte [Specifying data resources](iam-data-resources.md). Tenga en cuenta que el ARN que se utiliza para una autorización de IAM `Resource` no es el mismo que el ARN asignado al clúster en el momento de su creación.
## Ejemplo de política que permite acceso de solo lectura a un clúster de base de datos de Neptune
La siguiente política concede permiso para el acceso completo de solo lectura a los datos de un clúster de base de datos de Neptune:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que deniega todo acceso a un clúster de base de datos de Neptune
La acción predeterminada de IAM es denegar el acceso a un clúster de base de datos, a menos que se conceda un *efecto* de `Allow`. Sin embargo, la siguiente política deniega todo acceso a un clúster de base de datos para una AWS cuenta y una región determinadas, lo que, en ese caso, prevalece sobre cualquier efecto. `Allow`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que concede acceso de lectura a través de consultas
La siguiente política solo concede permiso para leer desde un clúster de base de datos de Neptune utilizando una consulta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:ReadDataViaQuery",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que solo permite consultas de Gremlin
La siguiente política usa la clave de condición `neptune-db:QueryLanguage` para conceder permiso para consultar Neptune únicamente con el lenguaje de consulta Gremlin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage": "Gremlin"
}
}
}
]
}
```
------
## Ejemplo de política que permite todos los accesos excepto a la administración de modelos de Neptune ML
La siguiente política concede acceso completo a las operaciones de gráficos de Neptune, excepto a las características de administración de modelos de Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelLoaderJob",
"neptune-db:CancelQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:DeleteStatistics",
"neptune-db:GetEngineStatus",
"neptune-db:GetLoaderJobStatus",
"neptune-db:GetQueryStatus",
"neptune-db:GetStatisticsStatus",
"neptune-db:GetStreamRecords",
"neptune-db:ListLoaderJobs",
"neptune-db:ManageStatistics",
"neptune-db:ReadDataViaQuery",
"neptune-db:ResetDatabase",
"neptune-db:StartLoaderJob",
"neptune-db:WriteDataViaQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que permite el acceso a la administración de modelos de Neptune ML
Esta política concede acceso a las características de administración de modelos de Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelMLDataProcessingJob",
"neptune-db:CancelMLModelTrainingJob",
"neptune-db:CancelMLModelTransformJob",
"neptune-db:CreateMLEndpoint",
"neptune-db:DeleteMLEndpoint",
"neptune-db:GetMLDataProcessingJobStatus",
"neptune-db:GetMLEndpointStatus",
"neptune-db:GetMLModelTrainingJobStatus",
"neptune-db:GetMLModelTransformJobStatus",
"neptune-db:ListMLDataProcessingJobs",
"neptune-db:ListMLEndpoints",
"neptune-db:ListMLModelTrainingJobs",
"neptune-db:ListMLModelTransformJobs",
"neptune-db:StartMLDataProcessingJob",
"neptune-db:StartMLModelTrainingJob",
"neptune-db:StartMLModelTransformJob"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que otorga acceso completo a las consultas
La siguiente política concede acceso completo a las operaciones de consulta de gráficos de Neptune, pero no a características como el restablecimiento rápido, los flujos, el programa de carga masiva, la administración de modelos de Neptune ML, etc.:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Ejemplo de política que concede acceso completo únicamente a las consultas de Gremlin
La siguiente política concede acceso completo a las operaciones de consulta de gráficos de Neptune utilizando el lenguaje de consulta Gremlin, pero no a las consultas en otros lenguajes, ni a características como el restablecimiento rápido, los flujos, el programa de carga masiva, la administración de modelos de Neptune ML, etc.:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": [
"arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
],
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage":"Gremlin"
}
}
}
]
}
```
------
## Ejemplo de política que permite el acceso total excepto el restablecimiento rápido
La siguiente política concede acceso completo a un clúster de base de datos de Neptune, excepto para el restablecimiento rápido:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
},
{
"Effect": "Deny",
"Action": "neptune-db:ResetDatabase",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------