Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengelola akses ke database Amazon Neptunus menggunakan kebijakan IAM
[Kebijakan IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) adalah objek JSON yang menentukan izin untuk menggunakan tindakan dan sumber daya.
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
## Kebijakan Berbasis Identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
## Menggunakan Kebijakan Kontrol Layanan (SCP) dengan organisasi AWS
Kebijakan kontrol layanan (SCPs) adalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di. [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations adalah layanan untuk mengelompokkan dan mengelola beberapa AWS akun secara terpusat yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam suatu organisasi, maka Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCP membatasi izin untuk entitas di akun anggota, termasuk setiap pengguna root AWS akun. Untuk informasi selengkapnya tentang Organizations dan SCPs, lihat [Cara SCPs kerja](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) di Panduan AWS Organizations Pengguna.
Pelanggan yang menggunakan Amazon Neptunus di Akun AWS dalam Organisasi SCPs dapat memanfaatkan untuk mengontrol akun AWS mana yang dapat menggunakan Neptunus. Untuk memastikan akses ke Neptunus dalam akun anggota, pastikan untuk:
+ Izinkan akses ke `rds:*` dan `neptune-db:*` untuk operasi basis data Neptunus. Lihat [Mengapa izin dan sumber daya Amazon RDS diperlukan untuk menggunakan Database Neptunus](https://aws.amazon.com/neptune/faqs/)? untuk detail tentang mengapa izin Amazon RDS diperlukan untuk database Neptunus.
+ Izinkan akses `neptune-graph:*` untuk operasi Neptune Analytics.
## Izin Diperlukan untuk Menggunakan Konsol Amazon Neptune
Agar pengguna dapat bekerja dengan konsol Amazon Neptune, pengguna tersebut harus memiliki set izin minimum. Izin ini memungkinkan pengguna untuk menjelaskan sumber daya Neptune untuk akun AWS mereka dan untuk menyediakan informasi terkait lainnya, termasuk informasi keamanan dan jaringan Amazon EC2.
Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Neptune, lampirkan juga kebijakan `NeptuneReadOnlyAccess` yang dikelola kepada pengguna, sebagaimana dijelaskan dalam [Menggunakan kebijakan AWS terkelola untuk mengakses database Amazon Neptunus](security-iam-access-managed-policies.md).
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke API Amazon Neptunus AWS CLI atau Amazon Neptunus.
## Melampirkan Kebijakan IAM ke pengguna IAM
Untuk menerapkan kebijakan terkelola atau kustom, Anda melampirkannya ke pengguna IAM. Untuk tutorial tentang topik ini, lihat [ Buat dan Lampirkan Kebijakan Pengelolaan Pelanggan Pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) dalam *Panduan Pengguna IAM*.
Saat mengikuti tutorial ini, Anda dapat menggunakan salah satu contoh kebijakan yang ditunjukkan dalam bagian ini sebagai titik awal dan menyesuaikannya dengan kebutuhan Anda. Di akhir tutorial, Anda memiliki seorang pengguna IAM dengan kebijakan terlampir yang dapat menggunakan tindakan `neptune-db:*`.
**penting**
Perubahan kebijakan IAM memakan waktu hingga 10 menit untuk diterapkan ke sumber daya Neptune yang ditentukan.
Kebijakan IAM diterapkan ke klaster DB Neptune berlaku untuk semua instans dalam klaster itu.
## Menggunakan berbagai jenis kebijakan IAM untuk mengontrol akses ke Neptunus
Untuk menyediakan akses ke tindakan administratif Neptunus atau ke data dalam klaster DB Neptunus, Anda melampirkan kebijakan ke pengguna atau peran IAM. Untuk informasi tentang cara melampirkan kebijakan IAM ke pengguna, lihat[Melampirkan Kebijakan IAM ke pengguna IAM](#iam-auth-policy-attaching). Untuk informasi tentang melampirkan kebijakan ke peran, lihat [Menambahkan dan Menghapus Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.
[Untuk akses umum ke Neptunus, Anda dapat menggunakan salah satu kebijakan terkelola Neptunus.](security-iam-access-managed-policies.md) Untuk akses yang lebih terbatas, Anda dapat membuat kebijakan kustom Anda sendiri menggunakan [tindakan administratif](neptune-iam-admin-actions.md) dan [sumber daya yang didukung](iam-admin-resources.md) Neptunus..
Dalam kebijakan IAM kustom, Anda dapat menggunakan dua jenis pernyataan kebijakan berbeda yang mengontrol mode akses yang berbeda ke kluster DB Neptunus:
+ [Pernyataan kebijakan administratif — Pernyataan](iam-admin-policies.md) kebijakan administratif menyediakan akses ke APIs manajemen [Neptunus](api.md) yang Anda gunakan untuk membuat, mengonfigurasi, dan mengelola klaster DB dan instance-instance-nya.
Karena Neptunus berbagi fungsionalitas dengan Amazon RDS, tindakan administratif, sumber daya, dan kunci kondisi dalam kebijakan Neptunus menggunakan awalan berdasarkan desain. `rds:`
+ [Pernyataan kebijakan akses data — Pernyataan](iam-data-access-policies.md) kebijakan akses data menggunakan [tindakan akses data](iam-dp-actions.md), [sumber daya](iam-data-resources.md), dan [kunci kondisi](iam-data-condition-keys.md#iam-neptune-condition-keys) untuk mengontrol akses data yang berisi kluster DB.
Tindakan akses data Neptunus, sumber daya, dan kunci kondisi menggunakan awalan. `neptune-db:`
## Menggunakan kunci konteks kondisi IAM di Amazon Neptunus
Anda dapat menentukan kondisi dalam pernyataan kebijakan IAM yang mengontrol akses ke Neptunus. Pernyataan kebijakan kemudian berlaku hanya jika kondisinya benar.
Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku hanya setelah tanggal tertentu, atau mengizinkan akses hanya jika nilai tertentu ada dalam permintaan.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan dalam [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)elemen pernyataan kebijakan, bersama dengan [operator kebijakan kondisi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) seperti sama atau kurang dari.
Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM: Variabel dan Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
Tipe data dari kunci kondisi menentukan operator kondisi yang dapat Anda gunakan untuk membandingkan nilai dalam permintaan dengan nilai dalam pernyataan kebijakan. Jika Anda menggunakan operator kondisi yang tidak kompatibel dengan tipe data tersebut, kecocokan selalu gagal dan pernyataan kebijakan tidak pernah berlaku.
Neptunus mendukung kumpulan kunci kondisi yang berbeda untuk pernyataan kebijakan administratif daripada untuk pernyataan kebijakan akses data:
+ [Kunci kondisi untuk pernyataan kebijakan administratif](iam-admin-condition-keys.md)
+ [Kunci kondisi untuk pernyataan kebijakan akses data](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Dukungan untuk kebijakan IAM dan fitur kontrol akses di Amazon Neptunus
Tabel berikut menunjukkan fitur IAM yang didukung Neptunus untuk pernyataan kebijakan administratif dan pernyataan kebijakan akses data:
**Fitur IAM yang dapat Anda gunakan dengan Neptunus**
| Fitur IAM | Administratif | Akses data |
| --- | --- | --- |
| [Kebijakan berbasis identitas](#security_iam_access-manage-id-based-policies) | Ya | Ya |
| [Kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | Tidak | Tidak |
| [Tindakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Ya | Ya |
| [Sumber daya kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Ya | Ya |
| [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Ya | (subset) |
| [Kunci kondisi berbasis tag](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Ya | Tidak |
| [Daftar Kontrol Akses (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | Tidak | Tidak |
| [Kebijakan kontrol layanan (SCPs)](#security_iam_access-manage-scp) | Ya | Ya |
| [Peran terkait layanan](security-iam-service-linked-roles.md) | Ya | Tidak |
## Keterbatasan Kebijakan IAM
Perubahan kebijakan IAM memakan waktu hingga 10 menit untuk diterapkan ke sumber daya Neptune yang ditentukan.
Kebijakan IAM diterapkan ke klaster DB Neptune berlaku untuk semua instans dalam klaster itu.
Neptunus saat ini tidak mendukung kontrol akses lintas akun di tingkat bidang data. Kontrol akses lintas akun hanya didukung saat pemuatan massal dan dengan menggunakan rantai peran. Untuk informasi lebih lanjut, lihat [Tutorial pemuatan massal](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).
# Menggunakan kebijakan AWS terkelola untuk mengakses database Amazon Neptunus
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, adalah untuk menggunakan manajemen Amazon Neptunus APIs:
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)**— Memberikan akses hanya-baca ke semua sumber daya Neptunus untuk tujuan administratif dan akses data di akun root. AWS
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)**— Memberikan akses penuh ke semua sumber daya Neptunus untuk tujuan administratif dan akses data di akun root. AWS Ini disarankan jika Anda memerlukan akses Neptunus penuh dari atau SDK, AWS CLI tetapi tidak untuk akses. Konsol Manajemen AWS
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)**— Memberikan akses penuh di AWS akun root ke semua tindakan dan sumber daya administratif Neptunus, tetapi tidak untuk tindakan atau sumber daya akses data apa pun. Ini juga mencakup izin tambahan untuk menyederhanakan akses Neptunus dari konsol, termasuk izin IAM dan Amazon EC2 (VPC) terbatas.
+ **[NeptuneGraphReadOnlyAccess ](graph-read-only-access-iam-managed-policy.md)**— Menyediakan akses hanya-baca ke semua sumber daya Amazon Neptunus Analytics bersama dengan izin hanya-baca untuk layanan dependen
+ **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)**— Memungkinkan grafik Neptunus Analytics untuk CloudWatch mempublikasikan metrik dan log operasional dan penggunaan.
Peran dan kebijakan IAM Neptune memberikan beberapa akses ke sumber daya Amazon RDS, karena Neptune berbagi teknologi operasional dengan Amazon RDS untuk fitur manajemen tertentu. Ini termasuk izin API administratif, itulah sebabnya tindakan administratif Neptunus memiliki awalan. `rds:`
## Pembaruan kebijakan terkelola AWS Neptunus
Tabel berikut melacak pembaruan kebijakan terkelola Neptunus mulai dari saat Neptunus mulai melacak perubahan ini:
| Kebijakan | Deskripsi | Date |
| --- | --- | --- |
| AWS kebijakan terkelola untuk Amazon Neptunus - perbarui ke kebijakan yang ada | Kebijakan `NeptuneReadOnlyAcess` dan `NeptuneFullAccess` terkelola sekarang menyertakan `Sid` (ID pernyataan) sebagai pengenal dalam pernyataan kebijakan. | 2024-01-22 |
| [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md)(dirilis) | Dirilis untuk menyediakan akses hanya-baca ke grafik dan sumber daya Neptunus Analytics. | 2023-11-29 |
| [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)(dirilis) | Dirilis untuk memungkinkan akses grafik Neptunus Analytics CloudWatch untuk mempublikasikan metrik dan log operasional dan penggunaan. Lihat [Menggunakan peran terkait layanan (SLRs) di Neptunus](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html) Analytics. | 2023-11-29 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(izin tambahan) | Izin tambahan menyediakan semua akses yang diperlukan untuk berinteraksi dengan grafik Neptunus Analytics. | 2023-11/29 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md)(izin tambahan) | Menambahkan izin akses data, dan izin untuk database global baru. APIs | 2022-07-28 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(izin tambahan) | Menambahkan izin untuk database APIs global baru. | 2022-07-21 |
| Neptunus mulai melacak perubahan | Neptunus mulai melacak perubahan kebijakan yang dikelola. AWS | 2022-07-21 |
# Pemberian database `NeptuneReadOnlyAccess` Amazon Neptunus menggunakan kebijakan terkelola AWS
Kebijakan [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess)terkelola di bawah ini memberikan akses hanya-baca ke semua tindakan dan sumber daya Neptunus untuk tujuan administratif dan akses data.
**catatan**
Kebijakan ini diperbarui pada 2022-07-21 untuk menyertakan izin akses data hanya-baca serta izin administratif hanya-baca dan menyertakan izin untuk tindakan database global.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
},
{
"Sid": "AllowReadOnlyPermissionsForNeptuneDB",
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Pemberian database `NeptuneFullAccess` Amazon Neptunus menggunakan kebijakan terkelola AWS
Kebijakan [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess)terkelola di bawah ini memberikan akses penuh ke semua tindakan dan sumber daya Neptunus untuk tujuan administratif dan akses data. Disarankan jika Anda memerlukan akses penuh dari AWS CLI atau dari SDK, tetapi tidak dari Konsol Manajemen AWS.
**catatan**
Kebijakan ini diperbarui pada 2022-07-21 untuk menyertakan izin akses data lengkap serta izin administratif penuh dan untuk menyertakan izin untuk tindakan database global.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterEndpoint",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterEndpoint",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeDBClusterEndpoints",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:FailoverGlobalCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterEndpoint",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime",
"rds:StartDBCluster",
"rds:StopDBCluster"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowDataAccessForNeptune",
"Effect": "Allow",
"Action": [
"neptune-db:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Pemberian `NeptuneConsoleFullAccess` menggunakan kebijakan AWS terkelola
Kebijakan [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess)terkelola di bawah ini memberikan akses penuh ke semua tindakan dan sumber daya Neptunus untuk tujuan administratif, tetapi tidak untuk tujuan akses data. Ini juga mencakup izin tambahan untuk menyederhanakan akses Neptunus dari konsol, termasuk izin IAM dan Amazon EC2 (VPC) terbatas.
**catatan**
Kebijakan ini diperbarui pada 2023-11-29 untuk menyertakan izin yang diperlukan untuk berinteraksi dengan grafik Neptunus Analytics.
Itu diperbarui pada 2022-07-21 untuk menyertakan izin untuk tindakan database global.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowManagementPermissionsForNeptuneAnalytics",
"Effect": "Allow",
"Action": [
"neptune-graph:CreateGraph",
"neptune-graph:DeleteGraph",
"neptune-graph:GetGraph",
"neptune-graph:ListGraphs",
"neptune-graph:UpdateGraph",
"neptune-graph:ResetGraph",
"neptune-graph:CreateGraphSnapshot",
"neptune-graph:DeleteGraphSnapshot",
"neptune-graph:GetGraphSnapshot",
"neptune-graph:ListGraphSnapshots",
"neptune-graph:RestoreGraphFromSnapshot",
"neptune-graph:CreatePrivateGraphEndpoint",
"neptune-graph:GetPrivateGraphEndpoint",
"neptune-graph:ListPrivateGraphEndpoints",
"neptune-graph:DeletePrivateGraphEndpoint",
"neptune-graph:CreateGraphUsingImportTask",
"neptune-graph:GetImportTask",
"neptune-graph:ListImportTasks",
"neptune-graph:CancelImportTask"
],
"Resource": [
"arn:aws:neptune-graph:*:*:*"
]
},
{
"Sid": "AllowPassRoleForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "neptune-graph.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "neptune-graph.amazonaws.com"
}
}
}
]
}
```
------
# Pemberian `NeptuneGraphReadOnlyAccess` menggunakan kebijakan AWS terkelola
Kebijakan [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess)terkelola di bawah ini menyediakan akses hanya baca ke semua sumber daya Amazon Neptunus Analytics bersama dengan izin baca saja untuk layanan dependen.
Kebijakan ini mencakup izin untuk melakukan hal berikut:
+ **Untuk Amazon EC2** — Ambil informasi tentang VPCs, subnet, grup keamanan, dan zona ketersediaan.
+ **Untuk AWS KMS** - Ambil informasi tentang kunci dan alias KMS.
+ **Untuk CloudWatch** — Ambil informasi tentang CloudWatch metrik.
+ **Untuk CloudWatch Log** - Ambil informasi tentang aliran CloudWatch log dan peristiwa.
**catatan**
Kebijakan ini dirilis pada 2023-11-29.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForNeptuneGraph",
"Effect": "Allow",
"Action": [
"neptune-graph:Get*",
"neptune-graph:List*",
"neptune-graph:Read*"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
}
]
}
```
------
# Memberikan akses ke grafik Neptunus menggunakan `AWSServiceRoleForNeptuneGraphPolicy`
Kebijakan [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy)terkelola di bawah ini memberikan akses grafik CloudWatch untuk mempublikasikan metrik dan log operasional dan penggunaan. Lihat [nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html).
**catatan**
Kebijakan ini dirilis pada 2023-11-29.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GraphMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Neptune",
"AWS/Usage"
]
}
}
},
{
"Sid": "GraphLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GraphLogEvents",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# Menyesuaikan akses ke sumber daya Amazon Neptunus menggunakan kunci konteks kondisi IAM
Anda dapat menentukan kondisi dalam kebijakan IAM yang mengontrol akses ke tindakan dan sumber daya manajemen Neptunus. Pernyataan kebijakan kemudian berlaku hanya jika kondisinya benar.
Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku hanya setelah tanggal tertentu, atau mengizinkan akses hanya jika nilai tertentu ada dalam permintaan API.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan dalam [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)elemen pernyataan kebijakan, bersama dengan [operator kebijakan kondisi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) seperti sama atau kurang dari.
Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM: Variabel dan Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
Tipe data dari kunci kondisi menentukan operator kondisi yang dapat Anda gunakan untuk membandingkan nilai dalam permintaan dengan nilai dalam pernyataan kebijakan. Jika Anda menggunakan operator kondisi yang tidak kompatibel dengan tipe data tersebut, kecocokan selalu gagal dan pernyataan kebijakan tidak pernah berlaku.
**Kunci kondisi IAM untuk pernyataan kebijakan administratif Neptunus**
+ [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) - Anda dapat menggunakan sebagian besar kunci kondisi AWS global dalam pernyataan kebijakan administratif Neptunus.
+ [Kunci kondisi khusus layanan](iam-admin-condition-keys.md) — Ini adalah kunci yang ditentukan untuk layanan tertentu AWS . Yang didukung Neptunus untuk pernyataan kebijakan administratif tercantum dalam. [Kunci kondisi IAM untuk mengelola Amazon Neptunus](iam-admin-condition-keys.md)
**Kunci kondisi IAM untuk pernyataan kebijakan akses data Neptunus**
+ [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) - Subset dari kunci ini yang didukung Neptunus dalam pernyataan kebijakan akses data tercantum dalam. [AWS kunci konteks kondisi global yang didukung oleh Neptunus dalam pernyataan kebijakan akses data](iam-data-condition-keys.md#iam-data-global-condition-keys)
+ Kunci kondisi khusus layanan yang didefinisikan Neptunus untuk pernyataan kebijakan akses data dicantumkan di dalamnya. [Kunci kondisi](iam-data-condition-keys.md)
# Membuat pernyataan kebijakan IAM khusus untuk mengelola Amazon Neptunus
Pernyataan kebijakan administratif memungkinkan Anda mengontrol apa yang dapat dilakukan pengguna IAM untuk mengelola database Neptunus.
Pernyataan kebijakan administratif Neptunus memberikan akses ke satu atau [lebih tindakan administratif dan [sumber daya administratif](iam-admin-resources.md)](neptune-iam-admin-actions.md) yang didukung Neptunus. Anda juga dapat menggunakan [Kunci kondisi](iam-admin-condition-keys.md) untuk membuat izin administratif lebih spesifik.
**catatan**
Karena Neptunus berbagi fungsionalitas dengan Amazon RDS, tindakan administratif, sumber daya, dan kunci kondisi khusus layanan dalam pernyataan kebijakan administratif menggunakan awalan berdasarkan desain. `rds:`
**Topics**
+ [Tindakan IAM untuk mengelola Amazon Neptunus](neptune-iam-admin-actions.md)
+ [Jenis sumber daya IAM untuk mengelola Amazon Neptunus](iam-admin-resources.md)
+ [Kunci kondisi IAM untuk mengelola Amazon Neptunus](iam-admin-condition-keys.md)
+ [Membuat pernyataan kebijakan administratif IAM untuk Amazon Neptunus](iam-admin-policy-examples.md)
# Tindakan IAM untuk mengelola Amazon Neptunus
Anda dapat menggunakan tindakan administratif yang tercantum di bawah ini dalam `Action` elemen pernyataan kebijakan IAM untuk mengontrol akses ke manajemen [Neptunus](api.md). APIs Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
`Resource type`Bidang dalam daftar di bawah ini menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai di bidang ini, Anda harus menentukan semua sumber daya (“\$1”) dalam `Resource` elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN sumber daya dari jenis itu dalam pernyataan dengan tindakan itu. [Jenis sumber daya administratif Neptunus tercantum di halaman ini.](iam-admin-resources.md)
Sumber daya yang diperlukan ditunjukkan dalam daftar di bawah ini dengan tanda bintang (\$1). Jika Anda menentukan ARN izin tingkat sumber daya dalam pernyataan dengan menggunakan tindakan ini, maka izinnya harus jenis ini. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya adalah opsional (dengan kata lain, tidak ditandai dengan tanda bintang), maka Anda tidak perlu memasukkannya.
Untuk informasi selengkapnya tentang bidang yang tercantum di sini, lihat [tabel tindakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table) di [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
## rds: AddRoleTo DBCluster
`AddRoleToDBCluster` mengaitkan IAM role dengan klaster DB Neptune.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
## rds: AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` menambahkan pengidentifikasi sumber ke langganan notifikasi Neptune yang ada.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## rds: AddTagsToResource
`AddTagsToResource` mengaitkan IAM role dengan klaster DB Neptune.
*Tingkat akses:* `Write`.
*Jenis sumber daya:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cuplikan cluster](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds: ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` menerapkan tindakan pemeliharaan tertunda ke sumber daya.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [db](iam-admin-resources.md#neptune-db-resource) (wajib).
## RDS: Salin DBCluster ParameterGroup
`Salin DBCluster ParameterGroup` menyalin grup parameter klaster DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDSDBCluster: Salin Snapshot
`Salin DBCluster Snapshot` menyalin snapshot dari klaster DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
## RDSDBParameter: Grup Salin
`Salin DBParameter Grup` menyalin grup parameter DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDS: Buat DBCluster
`Buat DBCluster` menciptakan sebuah klaster DB Neptune baru.
*Tingkat akses:* `Tagging`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [neptunus-rds\$1 DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## RDS: Buat DBCluster ParameterGroup
`Buat DBCluster ParameterGroup` membuat grup parameter klaster DB baru.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBCluster: Buat Snapshot
`Buat DBCluster Snapshot` membuat snapshot klaster DB.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Buat DBInstance
`Buat DBInstance` menciptakan instans DB baru.
*Tingkat akses:* `Tagging`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [db](iam-admin-resources.md#neptune-db-resource) (wajib).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBParameter: Buat Grup
`Buat DBParameter Grup` membuat grup parameter DB baru.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDSDBSubnet: Buat Grup
`Buat DBSubnet Grup` membuat grup subnet DB baru.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds: CreateEventSubscription
`CreateEventSubscription` menciptakan langganan notifikasi peristiwa Neptune.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Hapus DBCluster
`Hapus DBCluster` menghapus klaster DB Neptune yang ada.
*Tingkat akses:* `Write`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
## RDS: Hapus DBCluster ParameterGroup
`Hapus DBCluster ParameterGroup` menghapus grup parameter klaster DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDSDBCluster: Hapus Snapshot
`Hapus DBCluster Snapshot` menghapus snapshot klaster DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
## RDS: Hapus DBInstance
`Hapus DBInstance` menghapus instans DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [db](iam-admin-resources.md#neptune-db-resource) (wajib).
## RDSDBParameter: Hapus Grup
`Hapus DBParameter Grup`menghapus DBParameter Grup tertentu.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDSDBSubnet: Hapus Grup
`Hapus DBSubnet Grup` menghapus grup subnet DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
## rds: DeleteEventSubscription
`DeleteEventSubscription` menghapus langganan pemberitahuan kejadian.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## RDS: jelaskan DBCluster ParameterGroups
`Jelaskan DBCluster ParameterGroups`mengembalikan daftar DBCluster ParameterGroup deskripsi.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDSDBCluster: Jelaskan Parameter
`Jelaskan DBCluster Parameter` mengembalikan daftar parameter detail untuk grup parameter kluster DB tertentu.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDS: jelaskan DBCluster SnapshotAttributes
`Jelaskan DBCluster SnapshotAttributes` mengembalikan daftar nama atribut dan nilao snapshot klaster DB untuk snapshot klaster DB manual.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
## RDSDBCluster: Jelaskan Snapshots
`Jelaskan DBCluster Snapshots` mengembalikan informasi tentang snapshot klaster DB.
*Tingkat akses:* `Read`.
## RDS: jelaskan DBClusters
`Jelaskan DBClusters` mengembalikan informasi tentang klaster DB Neptune yang disediakan.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
## RDSDBEngine: Jelaskan Versi
`Jelaskan DBEngine Versi` mengembalikan daftar mesin DB yang tersedia.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDS: jelaskan DBInstances
`Jelaskan DBInstances` mengembalikan informasi tentang instans DB.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## RDSDBParameter: Jelaskan Grup
`Jelaskan DBParameter Grup`mengembalikan daftar deskripsi DBParameter Grup.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDS: jelaskan DBParameters
`Jelaskan DBParameters` mengembalikan daftar parameter detail untuk grup parameter DB tertentu.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDSDBSubnet: Jelaskan Grup
`Jelaskan DBSubnet Grup`mengembalikan daftar deskripsi DBSubnet Grup.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
## rds: DescribeEventCategories
`DescribeEventCategories` mengembalikan daftar kategori untuk semua jenis sumber peristiwa, atau, jika ditentukan, untuk jenis sumber yang tertentu.
*Tingkat akses:* `List`.
## rds: DescribeEventSubscriptions
`DescribeEventSubscriptions` mencantumkan semua deskripsi langganan untuk akun pelanggan.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## rds: DescribeEvents
`DescribeEvents` mengembalikan peristiwa yang terkait dengan instans DB, grup keamanan DB, dan grup parameter DB selama 14 hari terakhir.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## rds: Pilihan DescribeOrderable DBInstance
`DescribeOrderableDBInstancePilihan` mengembalikan daftar opsi instans DB yang dapat diurutkan untuk mesin yang ditentukan.
*Tingkat akses:* `List`.
## rds: DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` mengembalikan daftar sumber daya (misalnya, instans DB) yang memiliki setidaknya satu tindakan pemeliharaan tertunda.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [db](iam-admin-resources.md#neptune-db-resource) (wajib).
## rds: DescribeValid DBInstance Modifikasi
`DescribeValidDBInstanceModifikasi` mencantumkan modifikasi yang tersedia yang dapat Anda buat pada instans DB Anda.
*Tingkat akses:* `List`.
*Jenis sumber daya:* [db](iam-admin-resources.md#neptune-db-resource) (wajib).
## RDS: Failover DBCluster
`Kegagalan DBCluster` memaksakan failover untuk klaster DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
## rds: ListTagsForResource
`ListTagsForResource` mencantumkan semua tanda pada sumber daya Neptune.
*Tingkat akses:* `Read`.
*Jenis sumber daya:*
+ [cuplikan cluster](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## RDS: memodifikasi DBCluster
`Memodifikasi DBCluster`
Memodifikasi pengaturan untuk klaster DB Neptune.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDS: memodifikasi DBCluster ParameterGroup
`Memodifikasi DBCluster ParameterGroup` mengubah parameter grup parameter klaster DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDS: memodifikasi DBCluster SnapshotAttribute
`Memodifikasi DBCluster SnapshotAttribute` menambahkan atribut dan nilai-nilai ke, atau menghapus atribut dan nilai-nilai dari, snapshot klaster DB manual.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
## RDS: memodifikasi DBInstance
`Memodifikasi DBInstance` mengubah pengaturan untuk instans DB.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [db](iam-admin-resources.md#neptune-db-resource) (wajib).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDSDBParameter: Modifikasi Grup
`Ubah DBParameter Grup` mengubah parameter dari grup parameter DB.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDSDBSubnet: Modifikasi Grup
`Ubah DBSubnet Grup` mengubah grup subnet DB yang ada.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
## rds: ModifyEventSubscription
`ModifyEventSubscription` memodifikasi langganan notifikasi peristiwa Neptune yang ada.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## RDS: Reboot DBInstance
`Reboot DBInstance` memulai ulang layanan mesin basis data untuk instans.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [db](iam-admin-resources.md#neptune-db-resource) (wajib).
## rds: RemoveRoleFrom DBCluster
`RemoveRoleFromDBCluster`memisahkan peran AWS Identity and Access Management (IAM) and Access Management (IAM) dari kluster Amazon Neptune DB.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
## rds: RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` menghapus pengidentifikasi sumber dari langganan notifikasi peristiwa Neptune yang ada.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [es](iam-admin-resources.md#neptune-es-resource) (wajib).
## rds: RemoveTagsFromResource
`RemoveTagsFromResource` menghapus tanda metadata dari sumber daya Neptune.
*Tingkat akses:* `Tagging`.
*Jenis sumber daya:*
+ [cuplikan cluster](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Atur ulang DBCluster ParameterGroup
`Setel ulang DBCluster ParameterGroup` memodifikasi parameter dari grup parameter klaster DB ke nilai default.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (wajib).
## RDSDBParameter: Atur Ulang Grup
`Setel Ulang DBParameter Grup`memodifikasi parameter grup parameter DB ke nilai engine/system default.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [pg](iam-admin-resources.md#neptune-pg-resource) (wajib).
## RDS: Kembalikan DBCluster FromSnapshot
`Kembalikan DBCluster FromSnapshot` membuat klaster DB baru dari snapshot klaster DB.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Kembalikan DBCluster ToPointInTime
`Kembalikan DBCluster ToPointInTime` memulihkan klaster DB ke titik waktu yang arbitrer.
*Tingkat akses:* `Write`.
*Tindakan bergantung:* `iam:PassRole`.
*Jenis sumber daya:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (wajib).
*Kunci Kondisi:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Mulai DBCluster
`Mulai DBCluster` memulai klaster DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
## RDS: berhenti DBCluster
`Berhenti DBCluster` menghentikan klaster DB yang ditentukan.
*Tingkat akses:* `Write`.
*Jenis sumber daya:* [klaster](iam-admin-resources.md#neptune-cluster-resource) (wajib).
# Jenis sumber daya IAM untuk mengelola Amazon Neptunus
Neptunus mendukung jenis sumber daya dalam tabel berikut untuk digunakan dalam elemen pernyataan kebijakan `Resource` administrasi IAM. Untuk informasi selengkapnya tentang elemen `Resource`, lihat [Elemen Kebijakan IAM JSON: Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
[Daftar tindakan administrasi Neptunus](neptune-iam-admin-actions.md) mengidentifikasi jenis sumber daya yang dapat ditentukan dengan setiap tindakan. Jenis sumber daya juga menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan, sebagaimana ditentukan dalam kolom terakhir tabel di bawah.
`ARN`Kolom dalam tabel di bawah ini menentukan format Amazon Resource Name (ARN) yang harus Anda gunakan untuk referensi sumber daya jenis ini. Bagian yang didahului oleh a ` $ ` harus diganti dengan nilai aktual untuk skenario Anda. Misalnya, jika Anda melihat `$user-name` di ARN, Anda harus mengganti string itu baik dengan nama pengguna IAM yang sebenarnya atau dengan variabel kebijakan yang berisi nama pengguna IAM. Untuk informasi lebih lanjut tentang ARNs, lihat [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns), dan[Bekerja dengan administrasi ARNs di Amazon Neptunus](tagging-arns.md).
Kolom ` Condition Keys ` menentukan kunci konteks kondisi yang dapat Anda sertakan dalam pernyataan kebijakan IAM hanya ketika kedua sumber daya ini dan tindakan pendukung yang kompatibel disertakan dalam pernyataan.
****
| Jenis Sumber Daya | ARN | Kunci kondisi |
| --- | --- | --- |
| `cluster` (klaster DB) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: tag-klaster/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (Grup parameter klaster DB) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (snapshot klaster DB) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:/cluster-snapshot-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (instans DB) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds: DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds:db-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (langganan peristiwa) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:es-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (Grup parameter DB) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (grup subnet DB) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:subgrp-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Kunci kondisi IAM untuk mengelola Amazon Neptunus
[Menggunakan kunci kondisi](security-iam-access-manage.md#iam-using-condition-keys), Anda dapat menentukan kondisi dalam pernyataan kebijakan IAM sehingga pernyataan hanya berlaku ketika kondisi benar. Kunci kondisi yang dapat Anda gunakan dalam pernyataan kebijakan administratif Neptunus termasuk dalam kategori berikut:
+ [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Ini didefinisikan oleh AWS untuk penggunaan umum dengan AWS layanan. Sebagian besar dapat digunakan dalam pernyataan kebijakan administratif Neptunus.
+ [Kunci kondisi properti sumber daya administratif](#iam-rds-property-condition-keys) — Kunci ini, tercantum [di bawah ini](#iam-rds-property-condition-keys), didasarkan pada properti sumber daya administratif.
+ [Kunci kondisi akses berbasis tag — Kunci](#iam-rds-tag-based-condition-keys) ini, tercantum [di bawah](#iam-rds-tag-based-condition-keys) ini, didasarkan pada [AWS tag](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) yang dilampirkan ke sumber daya administratif.
## Kunci kondisi properti sumber daya administratif Neptunus
| Kunci syarat | Deskripsi | Tipe |
| --- | --- | --- |
| rds:DatabaseClass | Memfilter akses berdasarkan jenis kelas instans DB. | String |
| rds:DatabaseEngine | Memfilter akses oleh mesin database. Untuk nilai yang mungkin, lihat parameter engine di Create DBInstance API | String |
| rds:DatabaseName | Memfilter akses dengan nama database yang ditentukan pengguna pada instans DB | String |
| rds:EndpointType | Memfilter akses berdasarkan jenis titik akhir. Salah satu dari: PEMBACA, PENULIS, CUSTOM | String |
| rds:Vpc | Memfilter akses berdasarkan nilai yang menentukan apakah instans DB berjalan di Amazon Virtual Private Cloud (Amazon VPC). Untuk menunjukkan bahwa instans DB berjalan di VPC Amazon, tentukan. true | Boolean |
## Kunci kondisi berbasis tag administratif
Amazon Neptune mendukung ketentuan yang menentukan dalam kebijakan IAM menggunakan tanda khusus, untuk mengontrol akses ke Neptune melalui [Referensi API Manajemen](api.md).
Misalnya, jika Anda menambahkan tanda bernama `environment` ke instans DB Anda, dengan nilai-nilai seperti `beta`, `staging`, dan `production`, Anda kemudian dapat membuat kebijakan yang membatasi akses ke instans berdasarkan nilai tanda tersebut.
**penting**
Jika Anda mengelola akses ke sumber daya Neptune Anda menggunakan penandaan, pastikan untuk mengamankan akses ke tanda tersebut. Anda dapat membatasi akses untuk tag dengan membuat kebijakan untuk tindakan `AddTagsToResource` dan `RemoveTagsFromResource`.
Misalnya, Anda bisa menggunakan kebijakan berikut untuk menolak daftar tugas pengguna untuk menambah atau menghapus tag semua sumber daya. Anda kemudian dapat membuat kebijakan untuk memungkinkan pengguna tertentu untuk menambahkan atau menghapus tag.
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
Kunci kondisi berbasis tag berikut hanya bekerja dengan sumber daya administratif dalam pernyataan kebijakan administratif.
**Kunci kondisi administratif berbasis tag**
| Kunci syarat | Deskripsi | Tipe |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Memfilter akses berdasarkan keberadaan pasangan nilai kunci tag dalam permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Memfilter akses berdasarkan pasangan nilai kunci tag yang dilampirkan ke sumber daya. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | Memfilter akses berdasarkan keberadaan kunci tag dalam permintaan. | String |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke grup parameter cluster DB. | String |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke snapshot cluster DB. | String |
| rds:cluster-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke cluster DB. | String |
| rds:db-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke instance DB. | String |
| rds:es-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke langganan acara. | String |
| rds:pg-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke grup parameter DB. | String |
| rds:req-tag/\$1\$1TagKey\$1 | Memfilter akses dengan kumpulan kunci tag dan nilai yang dapat digunakan untuk menandai sumber daya. | String |
| rds:secgrp-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke grup keamanan DB. | String |
| rds:snapshot-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke snapshot DB. | String |
| rds:subgrp-tag/\$1\$1TagKey\$1 | Memfilter akses dengan tag yang dilampirkan ke grup subnet DB | String |
# Membuat pernyataan kebijakan administratif IAM untuk Amazon Neptunus
## Contoh kebijakan administrasi umum
Contoh berikut menunjukkan cara membuat kebijakan administratif Neptunus yang memberikan izin untuk mengambil berbagai tindakan manajemen pada cluster DB.
### Kebijakan yang mencegah pengguna IAM menghapus instans DB tertentu
Berikut ini adalah contoh kebijakan yang mencegah pengguna IAM menghapus instance DB Neptunus tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### Kebijakan yang memberikan izin untuk membuat instans DB baru
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna IAM untuk membuat instance DB di cluster DB Neptunus tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### Kebijakan yang memberikan izin untuk membuat instance DB baru yang menggunakan grup parameter DB tertentu
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna IAM untuk membuat instance DB dalam cluster DB tertentu (di sini`us-west-2`) di cluster DB Neptunus tertentu hanya menggunakan grup parameter DB tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### Kebijakan yang memberikan izin untuk mendeskripsikan sumber daya apa pun
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna IAM untuk menggambarkan sumber daya Neptunus apa pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## Contoh kebijakan administratif berbasis tag
Contoh berikut menunjukkan cara membuat kebijakan administratif Neptunus yang memberi tag untuk memfilter izin untuk berbagai tindakan manajemen pada cluster DB.
### Contoh 1: Berikan izin untuk tindakan atas sumber daya menggunakan tanda kustom yang dapat mengambil beberapa nilai
Kebijakan di bawah ini memungkinkan penggunaan `ModifyDBInstance`, `CreateDBInstance` atau API `DeleteDBInstance` pada setiap instans DB yang memiliki tanda `env` diatur ke salah satu dari `dev` atau `test`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Contoh 2: Batasan set kunci dan nilai tag yang dapat digunakan untuk menandai suatu sumber daya
Kebijakan ini menggunakan kunci `Condition` untuk mengizinkan tanda yang memiliki kunci `env` dan nilai `test`, `qa`, atau `dev` yang akan ditambahkan ke sumber daya:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Contoh 3: Izinkan akses penuh ke sumber daya Neptunus berdasarkan `aws:ResourceTag`
Kebijakan berikut ini mirip dengan contoh pertama di atas, tetapi menggunakan `aws:ResourceTag` sebagai gantinya:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
# Membuat pernyataan kebijakan IAM khusus untuk mengakses data di Amazon Neptunus
Pernyataan kebijakan akses data Neptunus [menggunakan tindakan akses data](iam-dp-actions.md)[, sumber daya, [dan kunci kondisi](iam-data-condition-keys.md#iam-neptune-condition-keys),](iam-data-resources.md) yang semuanya didahului oleh awalan. `neptune-db:`
**Topics**
+ [Menggunakan tindakan kueri dalam pernyataan kebijakan akses data Neptunus](#iam-data-query-actions)
+ [Tindakan IAM untuk akses data di Amazon Neptunus](iam-dp-actions.md)
+ [Jenis sumber daya IAM untuk mengakses data di Amazon Neptunus](iam-data-resources.md)
+ [Kunci kondisi IAM untuk mengakses data di Amazon Neptunus](iam-data-condition-keys.md)
+ [Membuat kebijakan akses data IAM di Amazon Neptunus](iam-data-access-examples.md)
## Menggunakan tindakan kueri dalam pernyataan kebijakan akses data Neptunus
Ada tiga tindakan kueri Neptunus yang dapat digunakan dalam pernyataan kebijakan akses data, yaitu,, dan. `ReadDataViaQuery` `WriteDataViaQuery` `DeleteDataViaQuery` Kueri tertentu mungkin memerlukan izin untuk melakukan lebih dari satu tindakan ini, dan mungkin tidak selalu jelas kombinasi tindakan apa yang harus diizinkan untuk menjalankan kueri.
Sebelum menjalankan kueri, Neptunus menentukan izin yang diperlukan untuk menjalankan setiap langkah kueri, dan menggabungkannya ke dalam set lengkap izin yang dibutuhkan kueri. Perhatikan bahwa set lengkap izin ini mencakup semua tindakan yang *mungkin* dilakukan kueri, yang belum tentu merupakan kumpulan tindakan yang sebenarnya akan dilakukan kueri saat dijalankan di atas data Anda.
Ini berarti bahwa untuk mengizinkan kueri tertentu dijalankan, Anda harus memberikan izin untuk setiap tindakan yang mungkin dilakukan kueri, apakah itu benar-benar melakukannya atau tidak.
Berikut adalah beberapa contoh pertanyaan Gremlin di mana ini dijelaskan secara lebih rinci:
+
```
g.V().count()
```
`g.V()`dan `count()` hanya memerlukan akses baca, jadi kueri secara keseluruhan hanya membutuhkan `ReadDataViaQuery` akses.
+
```
g.addV()
```
`addV()`perlu memeriksa apakah simpul dengan ID yang diberikan ada atau tidak sebelum memasukkan yang baru. Ini berarti membutuhkan keduanya `ReadDataViaQuery` dan `WriteDataViaQuery` akses.
+
```
g.V('1').as('a').out('created').addE('createdBy').to('a')
```
`g.V('1').as('a')`dan `out('created')` hanya memerlukan akses baca, tetapi `addE().from('a')` memerlukan akses baca dan tulis karena `addE()` perlu membaca `from` dan `to` simpul dan memeriksa apakah tepi dengan ID yang sama sudah ada sebelum menambahkan yang baru. Oleh karena itu, kueri secara keseluruhan membutuhkan keduanya `ReadDataViaQuery` dan `WriteDataViaQuery` akses.
+
```
g.V().drop()
```
`g.V()`hanya membutuhkan akses baca. `drop()`membutuhkan akses baca dan hapus karena perlu membaca simpul atau tepi sebelum menghapusnya, sehingga kueri secara keseluruhan membutuhkan keduanya `ReadDataViaQuery` dan `DeleteDataViaQuery` akses.
+
```
g.V('1').property(single, 'key1', 'value1')
```
`g.V('1')`hanya membutuhkan akses baca, tetapi `property(single, 'key1', 'value1')` membutuhkan akses baca, tulis, dan hapus. Di sini, `property()` langkah menyisipkan kunci dan nilai jika mereka belum ada di simpul, tetapi jika mereka sudah ada, itu menghapus nilai properti yang ada dan menyisipkan nilai baru di tempatnya. Oleh karena itu, query secara keseluruhan membutuhkan`ReadDataViaQuery`,`WriteDataViaQuery`, dan `DeleteDataViaQuery` akses.
Setiap kueri yang berisi `property()` langkah akan membutuhkan`ReadDataViaQuery`,`WriteDataViaQuery`, dan `DeleteDataViaQuery` izin.
Berikut adalah beberapa contoh OpenCypher:
+
```
MATCH (n)
RETURN n
```
Kueri ini membaca semua node dalam database dan mengembalikannya, yang hanya membutuhkan `ReadDataViaQuery` akses.
+
```
MATCH (n:Person)
SET n.dept = 'AWS'
```
Kueri ini membutuhkan`ReadDataViaQuery`,`WriteDataViaQuery`, dan `DeleteDataViaQuery` akses. Ia membaca semua node dengan label 'Orang' dan menambahkan properti baru dengan kunci `dept` dan nilai `AWS` untuk mereka, atau jika `dept` properti sudah ada, itu menghapus nilai lama dan menyisipkan `AWS` sebagai gantinya. Juga, jika nilai yang akan ditetapkan adalah`null`, `SET` menghapus properti sama sekali.
Karena `SET` klausa mungkin dalam beberapa kasus perlu menghapus nilai yang ada, klausa **selalu** membutuhkan `DeleteDataViaQuery` izin serta `ReadDataViaQuery` dan `WriteDataViaQuery` izin.
+
```
MATCH (n:Person)
DETACH DELETE n
```
Kebutuhan `ReadDataViaQuery` dan `DeleteDataViaQuery` izin kueri ini. Ia menemukan semua node dengan label `Person` dan menghapusnya bersama dengan tepi yang terhubung ke node tersebut dan label dan properti terkait.
+
```
MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'})
RETURN n
```
Kebutuhan `ReadDataViaQuery` dan `WriteDataViaQuery` izin kueri ini. `MERGE`Klausa cocok dengan pola tertentu atau membuatnya. Karena, penulisan dapat terjadi jika pola tidak cocok, izin menulis diperlukan serta izin baca.
# Tindakan IAM untuk akses data di Amazon Neptunus
Perhatikan bahwa tindakan akses data Neptunus memiliki awalan, sedangkan tindakan administratif di Neptunus memiliki `neptune-db:` awalan. `rds:`
Nama Sumber Daya Amazon (ARN) untuk sumber daya data di IAM tidak sama dengan ARN yang ditetapkan ke cluster saat pembuatan. Anda harus membangun ARN seperti yang ditunjukkan [dalam Menentukan](iam-data-resources.md) sumber daya data. Sumber daya data tersebut ARNs dapat menggunakan wildcard untuk menyertakan beberapa sumber daya.
Pernyataan kebijakan akses data juga dapat menyertakan kunci QueryLanguage kondisi [neptune-db:](iam-data-condition-keys.md#iam-neptune-condition-keys) untuk membatasi akses menurut bahasa kueri.
[Dimulai dengan[Rilis: 1.2.0.0 (2022-07-21)](engine-releases-1.2.0.0.md), Neptunus mendukung pembatasan izin untuk satu atau lebih tindakan Neptunus tertentu.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html) Ini memberikan kontrol akses yang lebih terperinci daripada yang mungkin sebelumnya.
**penting**
Perubahan kebijakan IAM memakan waktu hingga 10 menit untuk diterapkan ke sumber daya Neptune yang ditentukan.
Kebijakan IAM yang diterapkan ke klaster DB Neptune berlaku untuk semua contoh dalam klaster itu.
## *Tindakan akses data berbasis kueri*
**catatan**
Tidak selalu jelas izin apa yang diperlukan untuk menjalankan kueri tertentu, karena kueri berpotensi mengambil lebih dari satu tindakan tergantung pada data yang mereka proses. Untuk informasi selengkapnya, lihat [Menggunakan tindakan kueri](iam-data-access-policies.md#iam-data-query-actions).
## `neptune-db:ReadDataViaQuery`
`ReadDataViaQuery`memungkinkan pengguna untuk membaca data dari database Neptunus dengan mengirimkan kueri.
*Grup tindakan:* baca-saja, baca-tulis.
*Kunci konteks tindakan:*`neptune-db:QueryLanguage`.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:WriteDataViaQuery`
`WriteDataViaQuery`memungkinkan pengguna untuk menulis data ke database Neptunus dengan mengirimkan kueri.
*Grup aksi:* baca-tulis.
*Kunci konteks tindakan:*`neptune-db:QueryLanguage`.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:DeleteDataViaQuery`
`DeleteDataViaQuery`memungkinkan pengguna untuk menghapus data dari database Neptunus dengan mengirimkan kueri.
*Grup aksi:* baca-tulis.
*Kunci konteks tindakan:*`neptune-db:QueryLanguage`.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetQueryStatus`
`GetQueryStatus`memungkinkan pengguna untuk memeriksa status semua kueri aktif.
*Grup tindakan:* baca-saja, baca-tulis.
*Kunci konteks tindakan:*`neptune-db:QueryLanguage`.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetStreamRecords`
`GetStreamRecords`memungkinkan pengguna untuk mengambil catatan aliran dari Neptunus.
*Grup aksi:* baca-tulis.
*Kunci konteks tindakan:*`neptune-db:QueryLanguage`.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CancelQuery`
`CancelQuery`memungkinkan pengguna untuk membatalkan kueri.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## *Tindakan akses data umum*
## `neptune-db:GetEngineStatus`
`GetEngineStatus`memungkinkan pengguna untuk memeriksa status mesin Neptunus.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetStatisticsStatus`
`GetStatisticsStatus`memungkinkan pengguna untuk memeriksa status statistik yang dikumpulkan untuk database.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetGraphSummary`
`GetGraphSummary`API ringkasan grafik memungkinkan Anda untuk mengambil ringkasan hanya-baca dari grafik Anda.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ManageStatistics`
`ManageStatistics`memungkinkan pengguna untuk mengelola pengumpulan statistik untuk database.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:DeleteStatistics`
`DeleteStatistics`memungkinkan pengguna untuk menghapus semua statistik dalam database.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ResetDatabase`
`ResetDatabase`memungkinkan pengguna untuk mendapatkan token yang diperlukan untuk reset dan mengatur ulang database Neptunus.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## *Tindakan akses data pemuat massal*
## `neptune-db:StartLoaderJob`
`StartLoaderJob`memungkinkan pengguna untuk memulai pekerjaan bulk-loader.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetLoaderJobStatus`
`GetLoaderJobStatus`memungkinkan pengguna untuk memeriksa status pekerjaan bulk-loader.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ListLoaderJobs`
`ListLoaderJobs`memungkinkan pengguna untuk membuat daftar semua pekerjaan bulk-loader.
*Grup tindakan:* hanya daftar, hanya-baca, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CancelLoaderJob`
`CancelLoaderJob`memungkinkan pengguna untuk membatalkan pekerjaan loader.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## *Tindakan akses data pembelajaran mesin*
## `neptune-db:StartMLDataProcessingJob`
`StartMLDataProcessingJob`memungkinkan pengguna untuk memulai pekerjaan pemrosesan data Neptunus Neptunus.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:StartMLModelTrainingJob`
`StartMLModelTrainingJob`memungkinkan pengguna untuk memulai pekerjaan pelatihan model ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:StartMLModelTransformJob`
`StartMLModelTransformJob`memungkinkan pengguna untuk memulai pekerjaan transformasi model ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CreateMLEndpoint`
`CreateMLEndpoint`memungkinkan pengguna untuk membuat titik akhir Neptunus ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetMLDataProcessingJobStatus`
`GetMLDataProcessingJobStatus`memungkinkan pengguna untuk memeriksa status pekerjaan pemrosesan data Neptunus ML.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetMLModelTrainingJobStatus`
`GetMLModelTrainingJobStatus`memungkinkan pengguna untuk memeriksa status pekerjaan pelatihan model Neptunus ML.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetMLModelTransformJobStatus`
`GetMLModelTransformJobStatus`memungkinkan pengguna untuk memeriksa status pekerjaan transformasi model Neptunus ML.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:GetMLEndpointStatus`
`GetMLEndpointStatus`memungkinkan pengguna untuk memeriksa status titik akhir Neptunus ML.
*Grup tindakan:* baca-saja, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ListMLDataProcessingJobs`
`ListMLDataProcessingJobs`memungkinkan pengguna untuk membuat daftar semua pekerjaan pemrosesan data Neptunus Neptunus.
*Grup tindakan:* hanya daftar, hanya-baca, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ListMLModelTrainingJobs`
`ListMLModelTrainingJobs`memungkinkan pengguna untuk membuat daftar semua pekerjaan pelatihan model Neptunus ML.
*Grup tindakan:* hanya daftar, hanya-baca, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ListMLModelTransformJobs`
`ListMLModelTransformJobs`memungkinkan pengguna untuk membuat daftar semua pekerjaan transformasi model ML.
*Grup tindakan:* hanya daftar, hanya-baca, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:ListMLEndpoints`
`ListMLEndpoints`memungkinkan pengguna untuk membuat daftar semua titik akhir Neptunus ML.
*Grup tindakan:* hanya daftar, hanya-baca, baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CancelMLDataProcessingJob`
`CancelMLDataProcessingJob`memungkinkan pengguna untuk membatalkan pekerjaan pemrosesan data Neptunus Neptunus.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CancelMLModelTrainingJob`
`CancelMLModelTrainingJob`memungkinkan pengguna untuk membatalkan pekerjaan pelatihan model Neptunus ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:CancelMLModelTransformJob`
`CancelMLModelTransformJob`memungkinkan pengguna untuk membatalkan pekerjaan transformasi model Neptunus ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
## `neptune-db:DeleteMLEndpoint`
`DeleteMLEndpoint`memungkinkan pengguna untuk menghapus titik akhir Neptunus ML.
*Grup aksi:* baca-tulis.
*Sumber daya yang dibutuhkan:* database.
# Jenis sumber daya IAM untuk mengakses data di Amazon Neptunus
Sumber daya data, seperti tindakan data, memiliki `neptune-db:` awalan.
Dalam kebijakan akses data Neptunus, Anda menentukan cluster DB yang Anda berikan akses ke dalam ARN dengan format berikut:
```
arn:aws:neptune-db:region:account-id:cluster-resource-id/*
```
Sumber daya seperti ARN berisi bagian-bagian berikut:
+ `region`adalah AWS Wilayah untuk cluster DB Amazon Neptunus.
+ `account-id` adalah nomor rekening AWS untuk klaster DB.
+ `cluster-resource-id` adalah id sumber daya untuk klaster DB.
**penting**
`cluster-resource-id` berbeda dari pengidentifikasi klaster. Untuk menemukan ID sumber daya cluster di Konsol Manajemen AWS Neptunus, lihat di bagian **Konfigurasi** untuk cluster DB yang dimaksud.
# Kunci kondisi IAM untuk mengakses data di Amazon Neptunus
[Menggunakan kunci kondisi](security-iam-access-manage.md#iam-using-condition-keys), Anda dapat menentukan kondisi dalam pernyataan kebijakan IAM sehingga pernyataan hanya berlaku ketika kondisi benar.
Kunci kondisi yang dapat Anda gunakan dalam pernyataan kebijakan akses data Neptunus termasuk dalam kategori berikut:
+ [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) [- Subset kunci kondisi AWS global yang didukung Neptunus dalam pernyataan kebijakan akses data tercantum di bawah ini.](#iam-data-global-condition-keys)
+ [Kunci kondisi khusus layanan — Ini adalah kunci](#iam-neptune-condition-keys) yang ditentukan oleh Neptunus khusus untuk digunakan dalam pernyataan kebijakan akses data. Saat ini hanya ada satu, [neptune-db: QueryLanguage](#neptune-db-query-language), yang memberikan akses hanya jika bahasa kueri tertentu sedang digunakan.
## AWS kunci konteks kondisi global yang didukung oleh Neptunus dalam pernyataan kebijakan akses data
Tabel berikut mencantumkan subset [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) yang didukung Amazon Neptunus untuk digunakan dalam pernyataan kebijakan akses data:
**Kunci kondisi global yang dapat Anda gunakan dalam pernyataan kebijakan akses data**
| Kunci kondisi | Deskripsi | Tipe |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | Memfilter akses berdasarkan tanggal dan waktu permintaan saat ini. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | Memfilter akses berdasarkan tanggal dan waktu permintaan dinyatakan sebagai nilai epoch UNIX. | Numeric |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | Memfilter akses oleh akun tempat kepala sekolah yang meminta berada. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | Memfilter akses oleh ARN dari kepala sekolah yang membuat permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | Memungkinkan akses hanya jika panggilan dilakukan langsung oleh kepala AWS layanan. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | Memfilter akses oleh pengenal AWS organisasi dalam Organizations yang menjadi milik prinsipal yang meminta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | Memfilter akses oleh jalur AWS Organizations untuk kepala sekolah yang membuat permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | Memfilter akses dengan tag yang dilampirkan pada prinsipal yang membuat permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | Memfilter akses berdasarkan jenis prinsipal yang membuat permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | Memfilter akses oleh AWS Wilayah yang dipanggil dalam permintaan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | Mengizinkan akses hanya jika permintaan dikirim menggunakan SSL. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | Memfilter akses dengan alamat IP pemohon. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | Memfilter akses berdasarkan tanggal dan waktu kredensyal keamanan sementara dikeluarkan. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | Filter mengakses oleh aplikasi klien pemohon. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | Memfilter akses oleh pengenal utama pemohon. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | Memungkinkan akses hanya jika AWS layanan membuat permintaan atas nama Anda. | Boolean |
## Kunci kondisi khusus layanan Neptunus
Neptunus mendukung kunci kondisi khusus layanan berikut untuk kebijakan IAM:
**Kunci kondisi khusus layanan Neptunus**
| Kunci kondisi | Deskripsi | Tipe |
| --- | --- | --- |
| neptune-db:QueryLanguage | Memfilter akses data dengan bahasa kueri yang digunakan. Nilai yang valid adalah:`Gremlin`,`OpenCypher`, dan`Sparql`. Tindakan yang didukung adalah`ReadDataViaQuery`,`WriteDataViaQuery`,`DeleteDataViaQuery`,`GetQueryStatus`, dan`CancelQuery`. | String |
# Membuat kebijakan akses data IAM di Amazon Neptunus
[Contoh berikut menunjukkan cara membuat kebijakan IAM khusus yang menggunakan kontrol akses berbutir halus bidang data dan APIs tindakan, yang diperkenalkan dalam rilis mesin Neptunus versi 1.2.0.0.](engine-releases-1.2.0.0.md)
## Contoh kebijakan yang memungkinkan akses tidak terbatas ke data dalam cluster DB Neptunus
Contoh kebijakan berikut memungkinkan pengguna IAM untuk terhubung ke cluster DB Neptunus menggunakan otentikasi database IAM, dan menggunakan `*` "" karakter untuk mencocokkan semua tindakan yang tersedia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
Contoh sebelumnya mencakup ARN sumber daya dalam format yang khusus untuk autentikasi IAM Neptune. Untuk membangun ARN, [lihat Menentukan](iam-data-resources.md) sumber daya data. Perhatikan bahwa ARN yang digunakan untuk otorisasi `Resource` IAM tidak sama dengan ARN yang ditetapkan ke cluster pada pembuatan.
## Contoh kebijakan yang memungkinkan akses hanya-baca ke cluster DB Neptunus
Kebijakan berikut memberikan izin untuk akses hanya-baca penuh ke data dalam klaster DB Neptunus:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang menolak semua akses ke cluster DB Neptunus
Tindakan IAM default adalah menolak akses ke klaster DB kecuali *Efek* `Allow` diberikan. Namun, kebijakan berikut menolak semua akses ke klaster DB untuk AWS akun dan Wilayah tertentu, yang kemudian diutamakan daripada efek apa pun. `Allow`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang memberikan akses baca melalui kueri
Kebijakan berikut hanya memberikan izin untuk membaca dari klaster DB Neptunus menggunakan kueri:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:ReadDataViaQuery",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang hanya mengizinkan kueri Gremlin
Kebijakan berikut menggunakan kunci `neptune-db:QueryLanguage` kondisi untuk memberikan izin untuk menanyakan Neptunus hanya menggunakan bahasa kueri Gremlin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage": "Gremlin"
}
}
}
]
}
```
------
## Contoh kebijakan yang memungkinkan semua akses kecuali ke manajemen model Neptunus Neptunus
Kebijakan berikut memberikan akses penuh ke operasi grafik Neptunus kecuali untuk fitur manajemen model Neptunus ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelLoaderJob",
"neptune-db:CancelQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:DeleteStatistics",
"neptune-db:GetEngineStatus",
"neptune-db:GetLoaderJobStatus",
"neptune-db:GetQueryStatus",
"neptune-db:GetStatisticsStatus",
"neptune-db:GetStreamRecords",
"neptune-db:ListLoaderJobs",
"neptune-db:ManageStatistics",
"neptune-db:ReadDataViaQuery",
"neptune-db:ResetDatabase",
"neptune-db:StartLoaderJob",
"neptune-db:WriteDataViaQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang memungkinkan akses ke manajemen model Neptunus ML
Kebijakan ini memberikan akses ke fitur manajemen model Neptunus ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelMLDataProcessingJob",
"neptune-db:CancelMLModelTrainingJob",
"neptune-db:CancelMLModelTransformJob",
"neptune-db:CreateMLEndpoint",
"neptune-db:DeleteMLEndpoint",
"neptune-db:GetMLDataProcessingJobStatus",
"neptune-db:GetMLEndpointStatus",
"neptune-db:GetMLModelTrainingJobStatus",
"neptune-db:GetMLModelTransformJobStatus",
"neptune-db:ListMLDataProcessingJobs",
"neptune-db:ListMLEndpoints",
"neptune-db:ListMLModelTrainingJobs",
"neptune-db:ListMLModelTransformJobs",
"neptune-db:StartMLDataProcessingJob",
"neptune-db:StartMLModelTrainingJob",
"neptune-db:StartMLModelTransformJob"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang memberikan akses kueri penuh
Kebijakan berikut memberikan akses penuh ke operasi kueri grafik Neptunus, tetapi tidak ke fitur seperti reset cepat, aliran, pemuat massal, manajemen model Neptunus, dan sebagainya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Contoh kebijakan yang memberikan akses penuh untuk kueri Gremlin saja
Kebijakan berikut memberikan akses penuh ke operasi kueri grafik Neptunus menggunakan bahasa kueri Gremlin, tetapi tidak ke kueri dalam bahasa lain, dan bukan ke fitur seperti reset cepat, aliran, pemuat massal, manajemen model Neptunus, dan sebagainya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": [
"arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
],
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage":"Gremlin"
}
}
}
]
}
```
------
## Contoh kebijakan yang memberikan akses penuh kecuali untuk reset cepat
Kebijakan berikut memberikan akses penuh ke klaster DB Neptunus kecuali untuk menggunakan reset cepat:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
},
{
"Effect": "Deny",
"Action": "neptune-db:ResetDatabase",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------