View a markdown version of this page

Gestione delle autorizzazioni per neptune.read () - Amazon Neptune
Politiche IAM richiestePrerequisiti importanti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle autorizzazioni per neptune.read ()

Politiche IAM richieste

Per eseguire le query OpenCypher che utilizzanoneptune.read(), è necessario disporre delle autorizzazioni appropriate per accedere ai dati nel database Neptune. Le ReadDataViaQuery interrogazioni di sola lettura richiedono l'azione. Le interrogazioni che modificano i dati richiedono l'inserimento o WriteDataViaQuery l'eliminazione. DeleteDataViaQuery L'esempio seguente concede tutte e tre le azioni sul cluster specificato.

Inoltre, sono necessarie le autorizzazioni per accedere al bucket S3 contenente i file di dati. L'informativa sulla politica di Neptunes3Access concede le autorizzazioni S3 richieste:

  • s3:ListBucket: necessario per verificare l'esistenza del bucket e il contenuto dell'elenco.

  • s3:GetObject: necessario per accedere all'oggetto specificato in modo che il suo contenuto possa essere letto per l'integrazione nelle query OpenCypher.

Se il tuo bucket S3 utilizza la crittografia lato server con, devi anche concedere le autorizzazioni KMS. AWS KMS L'KMSAccess informativa sulla politica di Neptunes3 consente a Neptune di decrittografare i dati e generare chiavi dati quando si accede a oggetti S3 crittografati. La condizione limita le operazioni KMS alle richieste provenienti dai servizi S3 e RDS nella tua regione.

  • kms:Decrypt: necessario per eseguire la decrittografia dell'oggetto crittografato in modo che i relativi dati possano essere letti da Neptune.

  • kms:GenerateDataKey: Richiesto anche dall'API S3 utilizzata per recuperare gli oggetti da leggere.

{
  "Sid": "NeptuneQueryAccess",
  "Effect": "Allow",
  "Action": [
      "neptune-db:ReadDataViaQuery",
      "neptune-db:WriteDataViaQuery",
      "neptune-db:DeleteDataViaQuery"
  ],
  "Resource": "arn:aws:neptune-db:<REGION>:<AWS_ACCOUNT_ID>:<CLUSTER_RESOURCE_ID>/*"
},
{
  "Sid": "NeptuneS3Access",
  "Effect": "Allow",
  "Action": [
      "s3:ListBucket",
      "s3:GetObject"
  ],
  "Resource": [
      "arn:aws:s3:::neptune-read-bucket",
      "arn:aws:s3:::neptune-read-bucket/*"
  ]
},
{
  "Sid": "NeptuneS3KMSAccess",
  "Effect": "Allow",
  "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
  ],
  "Resource": "arn:aws:kms:<REGION>:<AWS_ACCOUNT_ID>:key/<KEY_ID>",
  "Condition": {
      "StringEquals": {
        "kms:ViaService": [
            "s3.<REGION>.amazonaws.com",
            "rds.<REGION>.amazonaws.com"
        ]
      }
  }
}

Prerequisiti importanti

Queste autorizzazioni e prerequisiti garantiscono l'integrazione sicura e affidabile dei dati S3 nelle query OpenCypher, mantenendo al contempo controlli di accesso e misure di protezione dei dati adeguati.

  • Autenticazione IAM: questa funzionalità è supportata solo per i cluster Neptune con autenticazione IAM abilitata. Consulta la sezione Protezione del database Amazon Neptune per istruzioni dettagliate su come creare e connettersi a cluster abilitati all'autenticazione IAM.

  • Endpoint VPC:

    • È necessario un endpoint VPC di tipo gateway per Amazon S3 per consentire a Neptune di comunicare con Amazon S3.

    • Per utilizzare la AWS KMS crittografia personalizzata nella query, AWS KMS è necessario un endpoint VPC di tipo interfaccia per cui consentire a Neptune di comunicare con. AWS KMS

    • Per istruzioni dettagliate su come configurare questo endpoint, consulta Creazione dell'endpoint VPC Amazon S3.