Mengelola izin untuk neptune.read () - Amazon Neptune
Kebijakan IAM yang DiperlukanPrasyarat penting

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin untuk neptune.read ()

Kebijakan IAM yang Diperlukan

Untuk menjalankan kueri OpenCypher yang digunakanneptune.read(), Anda harus memiliki izin yang sesuai untuk mengakses data dalam database Neptunus Anda. Kueri hanya-baca memerlukan tindakan. ReadDataViaQuery Kueri yang memodifikasi data memerlukan WriteDataViaQuery penyisipan atau penghapusanDeleteDataViaQuery. Contoh di bawah ini memberikan ketiga tindakan pada cluster yang ditentukan.

Selain itu, Anda memerlukan izin untuk mengakses bucket S3 yang berisi file data Anda. Pernyataan kebijakan NepTunes3Access memberikan izin S3 yang diperlukan:

  • s3:ListBucket: Diperlukan untuk memverifikasi keberadaan bucket dan daftar konten.

  • s3:GetObject: Diperlukan untuk mengakses objek yang ditentukan sehingga kontennya dapat dibaca untuk integrasi ke dalam kueri OpenCypher.

Jika bucket S3 Anda menggunakan enkripsi sisi server AWS KMS, Anda juga harus memberikan izin KMS. KMSAccess Pernyataan kebijakan Neptunes3 memungkinkan Neptunus untuk mendekripsi data dan menghasilkan kunci data saat mengakses objek S3 terenkripsi. Kondisi ini membatasi operasi KMS untuk permintaan yang berasal dari layanan S3 dan RDS di wilayah Anda.

  • kms:Decrypt: Diperlukan untuk melakukan dekripsi objek terenkripsi sehingga datanya dapat dibaca oleh Neptunus.

  • kms:GenerateDataKey: Juga diperlukan oleh S3 API yang digunakan untuk mengambil objek yang akan dibaca.

{
  "Sid": "NeptuneQueryAccess",
  "Effect": "Allow",
  "Action": [
      "neptune-db:ReadDataViaQuery",
      "neptune-db:WriteDataViaQuery",
      "neptune-db:DeleteDataViaQuery"
  ],
  "Resource": "arn:aws:neptune-db:<REGION>:<AWS_ACCOUNT_ID>:<CLUSTER_RESOURCE_ID>/*"
},
{
  "Sid": "NeptuneS3Access",
  "Effect": "Allow",
  "Action": [
      "s3:ListBucket",
      "s3:GetObject"
  ],
  "Resource": [
      "arn:aws:s3:::neptune-read-bucket",
      "arn:aws:s3:::neptune-read-bucket/*"
  ]
},
{
  "Sid": "NeptuneS3KMSAccess",
  "Effect": "Allow",
  "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
  ],
  "Resource": "arn:aws:kms:<REGION>:<AWS_ACCOUNT_ID>:key/<KEY_ID>",
  "Condition": {
      "StringEquals": {
        "kms:ViaService": [
            "s3.<REGION>.amazonaws.com",
            "rds.<REGION>.amazonaws.com"
        ]
      }
  }
}

Prasyarat penting

Izin dan prasyarat ini memastikan integrasi data S3 yang aman dan andal ke dalam kueri OpenCypher, sambil mempertahankan kontrol akses yang tepat dan langkah-langkah perlindungan data.

  • Autentikasi IAM: Fitur ini hanya didukung untuk cluster Neptunus dengan otentikasi IAM diaktifkan. Lihat Mengamankan database Amazon Neptunus untuk petunjuk terperinci tentang cara membuat dan menyambung ke kluster berkemampuan autentikasi IAM.

  • Titik akhir VPC:

    • Titik akhir VPC tipe Gateway untuk Amazon S3 diperlukan untuk memungkinkan Neptunus berkomunikasi dengan Amazon S3.

    • Untuk menggunakan AWS KMS enkripsi kustom dalam kueri, titik akhir VPC tipe antarmuka untuk diperlukan agar AWS KMS Neptunus dapat berkomunikasi dengannya. AWS KMS

    • Untuk petunjuk mendetail tentang cara mengonfigurasi titik akhir ini, lihat Membuat Titik Akhir VPC Amazon S3.