Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'accesso ai database Amazon Neptune utilizzando le policy IAM
Le [policy IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) sono oggetti JSON che definiscono le autorizzazioni per utilizzare azioni e risorse.
Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
## Policy basate sulle identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
## Utilizzo delle politiche di controllo dei servizi (SCP) con le organizzazioni AWS
Le politiche di controllo del servizio (SCPs) sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. [AWS Organizations](https://aws.amazon.com/organizations/) AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più AWS account di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta [How SCPs work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) nella AWS Organizations User Guide.
I clienti che implementano Amazon Neptune AWS in un account AWS all'interno di un'organizzazione SCPs possono sfruttare per controllare quali account possono utilizzare Neptune. Per garantire l'accesso a Neptune all'interno di un account membro, assicurati di:
+ Consenti l'accesso a `rds:*` e `neptune-db:*` per le operazioni del database Neptune. Consulta [Perché sono necessarie le autorizzazioni e le risorse di Amazon RDS per utilizzare il database Neptune](https://aws.amazon.com/neptune/faqs/)? per informazioni dettagliate sul motivo per cui sono necessarie le autorizzazioni Amazon RDS per il database Neptune.
+ Consenti l'accesso alle `neptune-graph:*` operazioni di Neptune Analytics.
## Autorizzazioni necessarie per utilizzare la console Amazon Neptune
Affinché un utente possa utilizzare la console Amazon Neptune, è necessario che disponga di un set minimo di autorizzazioni. Queste autorizzazioni permettono all'utente di descrivere le risorse Neptune per il proprio account AWS e di fornire altre informazioni correlate, tra cui informazioni sulla sicurezza e sulla rete di Amazon EC2.
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che gli utenti possano continuare a utilizzare la console Neptune, collega anche la policy gestita `NeptuneReadOnlyAccess` all'utente, come descritto in [Utilizzo di policy AWS gestite per accedere ai database Amazon Neptune](security-iam-access-managed-policies.md).
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l' AWS CLI API Amazon Neptune.
## Collegamento di una policy IAM a un utente IAM
Per applicare una policy gestita o personalizzata, collegarla a un utente IAM. Per un tutorial su questo argomento, consulta [ Creare e collegare la tua prima policy gestita dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) nella *Guida per l'utente IAM*.
Durante il tutorial, puoi utilizzare uno degli esempi di policy indicati in questa sezione come punto di partenza e personalizzarli in base alle tue esigenze. Al termine del tutorial, avrai un utente IAM con una policy collegata che potrà utilizzare l'operazione `neptune-db:*`.
**Importante**
Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.
Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.
## Utilizzo di diversi tipi di policy IAM per controllare l'accesso a Neptune
Per fornire l'accesso alle azioni amministrative di Neptune o ai dati in un cluster database Neptune, collegare le policy a un utente o un ruolo IAM. Per informazioni sul collegamento di una policy IAM a un utente, consulta [Collegamento di una policy IAM a un utente IAM](#iam-auth-policy-attaching). Per informazioni su come collegare una policy a un ruolo, consulta [Aggiunta e rimozione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*.
Per l'accesso generale a Neptune, puoi utilizzare una delle [policy gestite](security-iam-access-managed-policies.md) di Neptune. Per un accesso più limitato, puoi creare la tua policy personalizzata utilizzando le [azioni e le [risorse](iam-admin-resources.md) amministrative](neptune-iam-admin-actions.md) supportate da Neptune.
In una policy IAM personalizzata, puoi utilizzare due diversi tipi di dichiarazioni di policy che controllano diverse modalità di accesso a un cluster database Neptune:
+ [Dichiarazioni sui criteri amministrativi](iam-admin-policies.md): le dichiarazioni dei criteri amministrativi forniscono l'accesso alla APIs gestione di [Neptune](api.md) utilizzata per creare, configurare e gestire un cluster DB e le relative istanze.
Poiché Neptune condivide funzionalità con Amazon RDS, le azioni amministrative, le risorse e le chiavi di condizione nelle policy Neptune utilizzano un prefisso `rds:` per impostazione predefinita.
+ [Dichiarazioni di policy di accesso ai dati](iam-data-access-policies.md): le dichiarazioni di policy di accesso ai dati utilizzano [azioni di accesso ai dati](iam-dp-actions.md), [risorse](iam-data-resources.md) e [chiavi di condizione](iam-data-condition-keys.md#iam-neptune-condition-keys) per controllare l'accesso ai dati contenuti in un cluster database.
Le azioni di accesso ai dati, le risorse e le chiavi di condizione di Neptune utilizzano un prefisso `neptune-db:`.
## Utilizzo delle chiavi di contesto delle condizioni IAM in Amazon Neptune
È possibile specificare le condizioni in una dichiarazione di policy IAM che controlla l'accesso a Neptune. La dichiarazione di policy diventa effettiva solo quando le condizioni sono true.
Ad esempio, potresti volere che una dichiarazione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta è presente un valore specifico.
Per specificare le condizioni, è possibile utilizzare le chiavi di condizione predefinite nell'elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una dichiarazione di policy insieme agli [operatori della policy della condizione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) come uguale a o minore di.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. `OR` Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
Il tipo di dati di una chiave di condizione determina quali operatori di condizione è possibile utilizzare per confrontare i valori nella richiesta con i valori della dichiarazione di policy. Se si utilizza un operatore di condizione che non è compatibile con tale tipo di dati, la corrispondenza ha sempre esito negativo e la dichiarazione di policy non viene mai applicata.
Neptune supporta diversi set di chiavi di condizione per le dichiarazioni di policy amministrative rispetto alle dichiarazioni di policy di accesso ai dati:
+ [Chiavi di condizione per le dichiarazioni di policy amministrative](iam-admin-condition-keys.md)
+ [Chiavi di condizione per le dichiarazioni di policy di accesso ai dati](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Supporto delle funzionalità delle policy IAM e di controllo degli accessi in Amazon Neptune
La tabella seguente mostra le funzionalità IAM supportate da Neptune per le dichiarazioni di policy amministrative e le dichiarazioni di policy di accesso ai dati:
**Funzionalità IAM che è possibile utilizzare con Neptune**
| Funzionalità IAM | Amministrativa | Accesso ai dati |
| --- | --- | --- |
| [Policy basate sull’identità](#security_iam_access-manage-id-based-policies) | Sì | Sì |
| [Policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | No | No |
| [Operazioni di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sì | Sì |
| [Risorse relative alle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sì | Sì |
| [Chiavi della condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sì | (un sottoinsieme) |
| [Chiavi di condizione basate su tag](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sì | No |
| [Liste di controllo degli accessi () ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | No | No |
| [Politiche di controllo del servizio (SCPs)](#security_iam_access-manage-scp) | Sì | Sì |
| [Ruoli collegati ai servizi](security-iam-service-linked-roles.md) | Sì | No |
## Limitazioni della policy IAM
Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.
Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.
Neptune attualmente non supporta il controllo degli accessi tra account a livello di piano dati. Il controllo degli accessi tra account è supportato solo in caso di caricamento in blocco e utilizzando il concatenamento dei ruoli. [Per ulteriori informazioni, consulta il tutorial sul caricamento in blocco.](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account)
# Utilizzo di policy AWS gestite per accedere ai database Amazon Neptune
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti policy AWS gestite, che puoi allegare agli utenti del tuo account, sono destinate all'utilizzo della gestione di Amazon APIs Neptune:
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)**— Garantisce l'accesso in sola lettura a tutte le risorse di Neptune per scopi amministrativi e di accesso ai dati nell'account root. AWS
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)**— Garantisce l'accesso completo a tutte le risorse di Neptune per scopi amministrativi e di accesso ai dati nell'account root. AWS Questa opzione è consigliata se è necessario l'accesso completo a Neptune dall'SDK o, ma non per AWS CLI l'accesso. Console di gestione AWS
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)**— Concede l'accesso completo nell' AWS account root a tutte le azioni e risorse amministrative di Neptune, ma non a tutte le azioni o risorse di accesso ai dati. Include inoltre autorizzazioni aggiuntive per semplificare l'accesso a Neptune dalla console, comprese autorizzazioni IAM e Amazon EC2 (VPC) limitate.
+ **[NeptuneGraphReadOnlyAccess ](graph-read-only-access-iam-managed-policy.md)**— Fornisce accesso in sola lettura a tutte le risorse di Amazon Neptune Analytics insieme a autorizzazioni di sola lettura per i servizi dipendenti
+ **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)**— Consente ai grafici di Neptune Analytics di CloudWatch pubblicare metriche e registri operativi e di utilizzo.
Le policy e i ruoli IAM Neptune concedono l'accesso alle risorse Amazon RDS, perché Neptune condivide tecnologia operativa con Amazon RDS per determinate funzionalità di gestione. Ciò include le autorizzazioni API amministrative, motivo per cui le azioni amministrative di Neptune hanno un prefisso `rds:`.
## Aggiornamenti alle politiche gestite da AWS Neptune
La tabella seguente tiene traccia degli aggiornamenti alle policy gestite da Neptune a partire dal momento in cui Neptune ha iniziato a tenere traccia di queste modifiche:
| Policy | Description | Data |
| --- | --- | --- |
| AWS politiche gestite per Amazon Neptune: aggiornamento delle politiche esistenti | Le `NeptuneReadOnlyAcess` politiche `NeptuneFullAccess` gestite ora includono `Sid` (statement ID) come identificatore nella dichiarazione politica. | 22/01/2024 |
| [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md)(rilasciato) | Rilasciato per fornire accesso in sola lettura ai grafici e alle risorse di Analisi Neptune. | 29/11/23 |
| [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)(rilasciato) | Rilasciato per consentire ai grafici di Neptune Analytics di accedere CloudWatch alla pubblicazione di metriche e registri operativi e di utilizzo. Vedi [Utilizzo dei ruoli collegati ai servizi (SLRs) in Neptune Analytics](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html). | 2023-11-29 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(autorizzazioni aggiunte) | Le autorizzazioni aggiunte forniscono l'accesso necessario per interagire con i grafici di Analisi Neptune. | 29/11/2023 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md)(autorizzazioni aggiunte) | Sono state aggiunte le autorizzazioni di accesso ai dati e le autorizzazioni per il nuovo database globale. APIs | 28/07/2022 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(autorizzazioni aggiunte) | Sono state aggiunte le autorizzazioni per il nuovo database globale. APIs | 21/07/2022 |
| Neptune ha iniziato a tenere traccia delle modifiche | Neptune ha iniziato a tenere traccia delle modifiche alle AWS sue politiche gestite. | 2022-07-21 |
# Concessione `NeptuneReadOnlyAccess` ai database Amazon Neptune tramite policy AWS gestite
La politica [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess)gestita di seguito garantisce l'accesso in sola lettura a tutte le azioni e le risorse di Neptune per scopi amministrativi e di accesso ai dati.
**Nota**
Questa policy è stata aggiornata il 21 luglio 2022 per includere le autorizzazioni di accesso ai dati di sola lettura e le autorizzazioni amministrative di sola lettura e per includere le autorizzazioni per le azioni del database globale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
},
{
"Sid": "AllowReadOnlyPermissionsForNeptuneDB",
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concessione `NeptuneFullAccess` ai database Amazon Neptune tramite policy AWS gestite
La politica [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess)gestita di seguito garantisce l'accesso completo a tutte le azioni e le risorse di Neptune per scopi amministrativi e di accesso ai dati. È consigliato se è necessario l'accesso completo da AWS CLI o da un SDK, ma non da. Console di gestione AWS
**Nota**
Questa policy è stata aggiornata il 21 luglio 2022 per includere le autorizzazioni di accesso ai dati complete e le autorizzazioni amministrative complete e per includere le autorizzazioni per le azioni del database globale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterEndpoint",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterEndpoint",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeDBClusterEndpoints",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:FailoverGlobalCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterEndpoint",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime",
"rds:StartDBCluster",
"rds:StopDBCluster"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowDataAccessForNeptune",
"Effect": "Allow",
"Action": [
"neptune-db:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concessione `NeptuneConsoleFullAccess` tramite policy AWS gestita
La politica [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess)gestita di seguito garantisce l'accesso completo a tutte le azioni e le risorse di Neptune per scopi amministrativi, ma non per scopi di accesso ai dati. Include inoltre autorizzazioni aggiuntive per semplificare l'accesso a Neptune dalla console, comprese autorizzazioni IAM e Amazon EC2 (VPC) limitate.
**Nota**
Questa policy è stata aggiornata il 29 novembre 2023 per includere le autorizzazioni necessarie per interagire con i grafici di Analisi Neptune.
È stata aggiornata il 21 luglio 2022 per includere le autorizzazioni per le azioni del database globale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowManagementPermissionsForNeptuneAnalytics",
"Effect": "Allow",
"Action": [
"neptune-graph:CreateGraph",
"neptune-graph:DeleteGraph",
"neptune-graph:GetGraph",
"neptune-graph:ListGraphs",
"neptune-graph:UpdateGraph",
"neptune-graph:ResetGraph",
"neptune-graph:CreateGraphSnapshot",
"neptune-graph:DeleteGraphSnapshot",
"neptune-graph:GetGraphSnapshot",
"neptune-graph:ListGraphSnapshots",
"neptune-graph:RestoreGraphFromSnapshot",
"neptune-graph:CreatePrivateGraphEndpoint",
"neptune-graph:GetPrivateGraphEndpoint",
"neptune-graph:ListPrivateGraphEndpoints",
"neptune-graph:DeletePrivateGraphEndpoint",
"neptune-graph:CreateGraphUsingImportTask",
"neptune-graph:GetImportTask",
"neptune-graph:ListImportTasks",
"neptune-graph:CancelImportTask"
],
"Resource": [
"arn:aws:neptune-graph:*:*:*"
]
},
{
"Sid": "AllowPassRoleForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "neptune-graph.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "neptune-graph.amazonaws.com"
}
}
}
]
}
```
------
# Concessione mediante AWS policy `NeptuneGraphReadOnlyAccess` gestite
La politica [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess)gestita riportata di seguito fornisce l'accesso in sola lettura a tutte le risorse di Amazon Neptune Analytics insieme alle autorizzazioni di sola lettura per i servizi dipendenti.
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
+ **Per Amazon EC2**: recupera informazioni su sottoreti VPCs, gruppi di sicurezza e zone di disponibilità.
+ **Per AWS KMS**: recupera informazioni su chiavi e alias KMS.
+ **Per CloudWatch**: recupera informazioni sulle metriche. CloudWatch
+ **Per CloudWatch i log**: recupera informazioni sui flussi di CloudWatch log e sugli eventi.
**Nota**
Questa policy è stata rilasciata il 29 novembre 2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForNeptuneGraph",
"Effect": "Allow",
"Action": [
"neptune-graph:Get*",
"neptune-graph:List*",
"neptune-graph:Read*"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
}
]
}
```
------
# Concessione dell'accesso al grafico di Neptune utilizzando `AWSServiceRoleForNeptuneGraphPolicy`
La politica [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy)gestita riportata di seguito fornisce ai grafici l'accesso alla pubblicazione di metriche e log operativi e CloudWatch di utilizzo. Per informazioni, consulta [nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html).
**Nota**
Questa policy è stata rilasciata il 29 novembre 2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GraphMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Neptune",
"AWS/Usage"
]
}
}
},
{
"Sid": "GraphLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GraphLogEvents",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# Personalizzazione dell'accesso alle risorse di Amazon Neptune utilizzando le chiavi contestuali delle condizioni IAM
Puoi specificare le condizioni nelle policy IAM che controllano l'accesso alle azioni e alle risorse di gestione di Neptune. La dichiarazione di policy diventa effettiva solo quando le condizioni sono true.
Ad esempio, potresti volere che una dichiarazione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta API è presente un valore specifico.
Per specificare le condizioni, è possibile utilizzare le chiavi di condizione predefinite nell'elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una dichiarazione di policy insieme agli [operatori della policy della condizione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) come uguale a o minore di.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. `OR` Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
Il tipo di dati di una chiave di condizione determina quali operatori di condizione è possibile utilizzare per confrontare i valori nella richiesta con i valori della dichiarazione di policy. Se si utilizza un operatore di condizione che non è compatibile con tale tipo di dati, la corrispondenza ha sempre esito negativo e la dichiarazione di policy non viene mai applicata.
**Chiavi di condizione IAM per le dichiarazioni di policy amministrative di Neptune**
+ [Chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): è possibile utilizzare la maggior parte delle chiavi di condizione AWS globali nelle dichiarazioni delle politiche amministrative di Neptune.
+ [Chiavi di condizione specifiche del servizio](iam-admin-condition-keys.md): si tratta di chiavi definite per servizi specifici. AWS Quelle supportate da Neptune per le dichiarazioni di policy amministrative sono elencate in [Chiavi delle condizioni IAM per l'amministrazione di Amazon Neptune](iam-admin-condition-keys.md).
**Chiavi di condizione IAM per le dichiarazioni di policy di accesso ai dati**
+ [Chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): il sottoinsieme di queste chiavi supportate da Neptune nelle dichiarazioni di policy di accesso ai dati è elencato in [AWS chiavi di contesto delle condizioni globali supportate da Neptune nelle dichiarazioni sulle politiche di accesso ai dati](iam-data-condition-keys.md#iam-data-global-condition-keys).
+ Le chiavi di condizione specifiche del servizio che Neptune definisce per le dichiarazioni di policy di accesso ai dati sono elencate in [Chiavi di condizione](iam-data-condition-keys.md).
# Creazione di dichiarazioni di policy IAM personalizzate per amministrare Amazon Neptune
Le dichiarazioni di policy amministrative consentono di controllare cosa può fare un utente IAM per gestire un database Neptune.
Una dichiarazione di policy amministrativa di Neptune garantisce l'accesso a una o più [azioni amministrative](neptune-iam-admin-actions.md) e [risorse amministrative](iam-admin-resources.md) supportate da Neptune. È inoltre possibile utilizzare le [Chiavi di condizione](iam-admin-condition-keys.md) per rendere più specifiche le autorizzazioni amministrative.
**Nota**
Poiché Neptune condivide funzionalità con Amazon RDS, le azioni amministrative, le risorse e le chiavi di condizione specifiche del servizio nelle dichiarazioni di policy amministrative utilizzano un prefisso `rds:` per impostazione predefinita.
**Topics**
+ [Azioni IAM per l'amministrazione di Amazon Neptune](neptune-iam-admin-actions.md)
+ [Tipi di risorse IAM per l'amministrazione di Amazon Neptune](iam-admin-resources.md)
+ [Chiavi delle condizioni IAM per l'amministrazione di Amazon Neptune](iam-admin-condition-keys.md)
+ [Creazione di dichiarazioni di policy amministrative IAM per Amazon Neptune](iam-admin-policy-examples.md)
# Azioni IAM per l'amministrazione di Amazon Neptune
È possibile utilizzare le azioni amministrative elencate di seguito nell'`Action`elemento di una dichiarazione di policy IAM per controllare l'accesso alla gestione di [ APIsNeptune](api.md). Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
Il campo `Resource type` nell'elenco seguente indica se ogni azione supporta le autorizzazioni a livello di risorsa. Se questo campo non contiene alcun valore, è necessario specificare tutte le risorse ("\$1") nell'elemento `Resource` della dichiarazione di policy. Se la colonna include un tipo di risorsa, è possibile specificare un ARN della risorsa di quel tipo in una dichiarazione con tale azione. I tipi di risorse amministrative di Neptune sono elencati in [questa pagina](iam-admin-resources.md).
Le risorse necessarie sono indicate nell'elenco sottostante con un asterisco (\$1). Se specifichi un ARN di autorizzazione a livello di risorsa in una dichiarazione utilizzando questa operazione, allora deve essere di questo tipo. Alcune operazioni supportano più tipi di risorse. Se un tipo di risorsa è facoltativo (in altre parole, non è contrassegnato da un asterisco), non è necessario includerlo.
Per ulteriori informazioni sui campi elencati qui, consulta la [tabella delle azioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table) nella [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
## rds: AddRoleTo DBCluster
`AddRoleToDBCluster` associa un ruolo IAM a un cluster database Neptune.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
## rds: AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` aggiunge un identificatore di origine a una sottoscrizione alle notifiche di eventi Neptune esistente.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## rds: AddTagsToResource
`AddTagsToResource` associa un ruolo IAM a un cluster database Neptune.
*Livello di accesso:* `Write`.
*Tipi di risorsa:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds: ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` applica un'azione di manutenzione in sospeso a una risorsa.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
## RDS: copia DBCluster ParameterGroup
`Copia DBCluster ParameterGroup` copia il gruppo di parametri del cluster database specificato.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: copia istantanea DBCluster
`Copia istantanea DBCluster` copia uno snapshot di un cluster database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
## RDS: Copy DBParameter Group
`Copia DBParameter gruppo` copia il gruppo di parametri database specificato.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Crea DBCluster
`Crea DBCluster` crea un nuovo cluster database Neptune.
*Livello di accesso:* `Tagging`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [nettuno-rds\$1 DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## RDS: crea DBCluster ParameterGroup
`Crea DBCluster ParameterGroup` crea un nuovo gruppo di parametri del cluster database.
*Livello di accesso:* `Tagging`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: crea DBCluster un'istantanea
`Crea istantanea DBCluster` crea uno snapshot di un cluster database.
*Livello di accesso:* `Tagging`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
*Chiavi di condizione:*
+ [aws:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: crea DBInstance
`Crea DBInstance`: crea una nuova istanza database.
*Livello di accesso:* `Tagging`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Crea gruppo DBParameter
`Crea DBParameter gruppo` crea un nuovo gruppo di parametri database.
*Livello di accesso:* `Tagging`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Crea gruppo DBSubnet
`Crea DBSubnet gruppo` crea un nuovo gruppo di sottoreti del database.
*Livello di accesso:* `Tagging`.
*Tipo di risorsa:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds: CreateEventSubscription
`CreateEventSubscription` crea una sottoscrizione alle notifiche di eventi Neptune.
*Livello di accesso:* `Tagging`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: elimina DBCluster
`Elimina DBCluster` elimina un cluster database Neptune esistente.
*Livello di accesso:* `Write`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
## RDS: elimina DBCluster ParameterGroup
`Elimina DBCluster ParameterGroup` elimina un gruppo di parametri del cluster database specificato.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: elimina istantanea DBCluster
`Elimina istantanea DBCluster` elimina uno snapshot del cluster database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
## RDS: elimina DBInstance
`Elimina DBInstance` elimina un'istanza database specificata.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
## RDS: Elimina gruppo DBParameter
`Elimina DBParameter gruppo`elimina un gruppo specificato. DBParameter
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## DBSubnetRDS: Elimina gruppo
`Elimina DBSubnet gruppo` elimina un gruppo di sottoreti del database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
## rds: DeleteEventSubscription
`DeleteEventSubscription` elimina una sottoscrizione alle notifiche di eventi.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## RDS: descrivi DBCluster ParameterGroups
`Descriva DBCluster ParameterGroups`restituisce un elenco di descrizioni. DBCluster ParameterGroup
*Livello di accesso:* `List`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: DBCluster Descrivi i parametri
`DBClusterDescrivi parametri` restituisce l'elenco dettagliato di parametri per un determinato gruppo di parametri del cluster database.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: Descrivi DBCluster SnapshotAttributes
`Descriva DBCluster SnapshotAttributes` restituisce un elenco di nomi e valori degli attributi dello snapshot del cluster database per uno snapshot del cluster database manuale.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
## RDS: Descrivi DBCluster le istantanee
`Descrivi le istantanee DBCluster` restituisce informazioni sugli snapshot del cluster database.
*Livello di accesso:* `Read`.
## RDS: Descrivi DBClusters
`Descriva DBClusters` restituisce informazioni su un cluster database Neptune di cui è stato effettuato il provisioning.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
## RDS: descrizione DBEngine delle versioni
`Descrivi DBEngine versioni` restituisce un elenco dei motori di database disponibili.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Descrivi DBInstances
`Descriva DBInstances` restituisce informazioni sulle istanze database.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## RDS: Descrivi i gruppi DBParameter
`DBParameterDescrivi gruppi`restituisce un elenco di descrizioni dei gruppi DBParameter.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Descrivi DBParameters
`Descriva DBParameters` restituisce un elenco dettagliato di parametri per un determinato gruppo di parametri database.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Descrivi i gruppi DBSubnet
`DBSubnetDescrivi gruppi`restituisce un elenco di descrizioni dei gruppi DBSubnet.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
## rds: DescribeEventCategories
`DescribeEventCategories` restituisce un elenco di categorie per tutti i tipi di origine eventi oppure, se specificato, per un determinato tipo di origine.
*Livello di accesso:* `List`.
## rds: DescribeEventSubscriptions
`DescribeEventSubscriptions` elenca tutte le descrizioni di sottoscrizioni per un account cliente.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## rds: DescribeEvents
`DescribeEvents` restituisce eventi relativi a istanze database, gruppi di sicurezza del database e gruppi di parametri database degli ultimi 14 giorni.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## rds: Opzioni DescribeOrderable DBInstance
`DescribeOrderableDBInstanceOpzioni` restituisce un elenco delle opzioni delle istanze database ordinabili per il motore specificato.
*Livello di accesso:* `List`.
## rds: DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` restituisce un elenco di risorse (ad esempio, istanze database) che hanno almeno un'operazione di manutenzione in sospeso.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
## rds: Modifiche DescribeValid DBInstance
`DescribeValidDBInstanceModifiche` elenca le modifiche disponibili che è possibile apportare all'istanza database.
*Livello di accesso:* `List`.
*Tipo di risorsa:* [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
## RDS: failover DBCluster
`Failover DBCluster` forza un failover per un cluster database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
## rds: ListTagsForResource
`ListTagsForResource` elenca tutti i tag su una risorsa Neptune.
*Livello di accesso:* `Read`.
*Tipi di risorsa:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## RDS: modifica DBCluster
`Modificare DBCluster`
Modifica un'impostazione per un cluster database Neptune.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: modifica DBCluster ParameterGroup
`Modificare DBCluster ParameterGroup` modifica i parametri di un gruppo di parametri del cluster database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: modifica DBCluster SnapshotAttribute
`Modifica DBCluster SnapshotAttribute` aggiunge un attributo e i valori a uno snapshot del cluster database manuale o li rimuove dallo stesso.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
## RDS: modifica DBInstance
`Modificare DBInstance` modifica le impostazioni di un'istanza database.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Modifica gruppo DBParameter
`Modifica DBParameter gruppo` modifica i parametri di un gruppo di parametri database.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: Modifica DBSubnet gruppo
`Modifica DBSubnet gruppo` modifica un gruppo di sottoreti del database esistente.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
## rds: ModifyEventSubscription
`ModifyEventSubscription` modifica una sottoscrizione alle notifiche di eventi Neptune esistente.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## RDS: riavvio DBInstance
`Riavviare DBInstance` riavvia il servizio del motore di database per l'istanza.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [db](iam-admin-resources.md#neptune-db-resource) (obbligatorio).
## rds: RemoveRoleFrom DBCluster
`RemoveRoleFromDBCluster`dissocia un ruolo AWS Identity and Access Management (IAM) da un cluster Amazon Neptune DB.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
## aggiunge: RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` rimuove un identificatore di origine da una sottoscrizione alle notifiche di eventi Neptune esistente.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [es](iam-admin-resources.md#neptune-es-resource) (obbligatorio)
## rds: RemoveTagsFromResource
`RemoveTagsFromResource` rimuove tag di metadati da una risorsa Neptune.
*Livello di accesso:* `Tagging`.
*Tipi di risorsa:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: reset DBCluster ParameterGroup
`Ripristina DBCluster ParameterGroup` modifica i parametri di un gruppo di parametri del cluster database con il valore predefinito.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obbligatorio).
## RDS: Reset Group DBParameter
`Reimposta DBParameter gruppo`modifica i parametri di un gruppo di parametri DB portandoli al valore predefinito. engine/system
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [pg](iam-admin-resources.md#neptune-pg-resource) (obbligatorio).
## RDS: ripristino DBCluster FromSnapshot
`Ripristina DBCluster FromSnapshot` crea un nuovo cluster database da uno snapshot del cluster database.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: ripristino DBCluster ToPointInTime
`Ripristina DBCluster ToPointInTime` ripristina un cluster database a un point-in-time arbitrario.
*Livello di accesso:* `Write`.
*Azioni dipendenti:* `iam:PassRole`.
*Tipi di risorsa:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obbligatorio).
*Chiavi di condizione:*
+ [leggi:/RequestTag*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [seghe: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Avvio DBCluster
`Inizio DBCluster` avvia il cluster database specificato.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
## RDS: Stop DBCluster
`Fermare DBCluster` arresta il cluster database specificato.
*Livello di accesso:* `Write`.
*Tipo di risorsa:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obbligatorio).
# Tipi di risorse IAM per l'amministrazione di Amazon Neptune
Neptune supporta i tipi di risorse riportati nella tabella seguente da utilizzare nell'elemento `Resource` delle dichiarazioni di policy di amministrazione IAM. Per ulteriori informazioni sull'elemento `Resource`, consulta [Elementi JSON della policy IAM: Risorsa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
L'[elenco delle azioni di amministrazione di Neptune](neptune-iam-admin-actions.md) identifica i tipi di risorse che è possibile specificare con ogni azione. Un tipo di risorsa determina anche quali chiavi di condizione è possibile includere in una policy, come specificato nell'ultima colonna della tabella seguente.
La colonna `ARN` della tabella seguente specifica il formato del nome della risorsa Amazon (ARN) che è necessario utilizzare per fare riferimento alle risorse di questo tipo. Le porzioni precedute da un ` $ ` devono essere sostituite con i valori effettivi per il proprio scenario. Ad esempio, se è presente `$user-name` in un ARN, è necessario sostituire tale stringa con l'effettivo nome dell'utente IAM o con una variabile della policy che contiene il nome di un utente IAM. [Per ulteriori informazioni su, consulta IAM e. ARNs ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) [Lavorare con gli amministratori ARNs in Amazon Neptune](tagging-arns.md)
La colonna ` Condition Keys ` specifica le chiavi di contesto delle condizioni che è possibile includere in una dichiarazione di policy IAM solo quando sia questa risorsa che un'azione di supporto compatibile sono incluse nella dichiarazione.
****
| Tipi di risorsa | ARN | Chiavi di condizione |
| --- | --- | --- |
| `cluster` (cluster database) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: cluster-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (gruppo di parametri del cluster database) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [leggi:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (snapshot del cluster database) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [leggi:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:/cluster-snapshot-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (istanza database) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [leggi:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds: DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (sottoscrizione a eventi) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [leggi:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: es-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (gruppo di parametri database) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [leggi:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (gruppo di sottoreti del database) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [leggi:/ResourceTag*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Chiavi delle condizioni IAM per l'amministrazione di Amazon Neptune
[Utilizzando chiavi di condizione](security-iam-access-manage.md#iam-using-condition-keys), è possibile specificare le condizioni in una dichiarazione di policy IAM in modo che la dichiarazione diventi effettiva solo quando le condizioni sono vere. Le chiavi di condizione che è possibile utilizzare nelle dichiarazioni di policy amministrative di Neptune rientrano nelle seguenti categorie:
+ [Chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): sono definite da AWS per l'uso generale con i servizi. AWS La maggior parte può essere utilizzata nelle dichiarazioni di policy amministrative di Neptune.
+ [Chiavi di condizione delle proprietà delle risorse amministrative](#iam-rds-property-condition-keys): queste chiavi, elencate [di seguito](#iam-rds-property-condition-keys), si basano sulle proprietà delle risorse amministrative.
+ [Chiavi di condizione di accesso basate su tag](#iam-rds-tag-based-condition-keys): queste chiavi, elencate [di seguito](#iam-rds-tag-based-condition-keys), si basano sui [tag](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)AWS collegati alle risorse amministrative.
## Chiavi di condizione delle proprietà delle risorse amministrative di Neptune
| Chiavi di condizione | Descrizione | Tipo |
| --- | --- | --- |
| rds:DatabaseClass | Filtra l'accesso in base al tipo di classe di istanza database. | Stringa |
| rds:DatabaseEngine | Filtra l'accesso in base al motore di database. Per i valori possibili, fate riferimento al parametro engine in Create DBInstance API | Stringa |
| rds:DatabaseName | Filtra l'accesso in base al nome definito dall'utente del database nell'istanza database | Stringa |
| rds:EndpointType | Filtra l'accesso in base al tipo di endpoint. Uno di: di LETTURA, di SCRITTURA e PERSONALIZZATO. | Stringa |
| rds:Vpc | Filtra l'accesso in base al valore che specifica se l'istanza database viene eseguita in un Amazon Virtual Private Cloud (Amazon VPC). Per indicare che l'istanza database viene eseguita in Amazon VPC, specifica true. | Booleano |
## Chiavi di condizione amministrative basate su tag
Amazon Neptune permette di specificare le condizioni in una policy IAM utilizzando tag personalizzati per controllare l'accesso a Neptune tramite [Documentazione di riferimento delle API di gestione](api.md).
Ad esempio, se aggiungi un tag denominato `environment` alle tue istanze database, con valori come `beta`, `staging` e `production`, puoi quindi creare una policy che limiti l'accesso alle istanze in base al valore di quel tag.
**Importante**
Se gestisci l'accesso alle risorse Neptune utilizzando i tag, assicurati di proteggere l'accesso ai tag. Puoi limitare l'accesso ai tag creando policy per le azioni `AddTagsToResource` e `RemoveTagsFromResource`.
Ad esempio, potresti usare la policy seguente per negare agli utenti la possibilità di aggiungere o rimuovere tag per tutte le risorse. Potresti quindi creare policy per permettere a utenti specifici di aggiungere o rimuovere tag.
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
Le seguenti chiavi di condizione basate su tag funzionano solo con le risorse amministrative contenute nelle dichiarazioni di policy amministrative.
**Chiavi di condizione amministrative basate su tag**
| Chiavi di condizione | Descrizione | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Filtra l'accesso in base alla presenza di coppie chiave-valore di tag nella richiesta. | Stringa |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Filtra l'accesso in base a coppie chiave/valore di tag collegate alla risorsa. | Stringa |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | Filtra l'accesso in base alla presenza di chiavi di tag nella richiesta. | Stringa |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un gruppo di parametri del cluster database. | Stringa |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a uno snapshot del cluster database. | Stringa |
| rds:cluster-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un cluster database. | Stringa |
| rds:db-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un'istanza database. | Stringa |
| rds:es-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a una sottoscrizione di eventi. | Stringa |
| rds:pg-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un gruppo di parametri database. | Stringa |
| rds:req-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al set di chiavi e valori di tag che possono essere utilizzati per aggiungere tag a una risorsa. | Stringa |
| rds:secgrp-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un gruppo di sicurezza database. | Stringa |
| rds:snapshot-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a uno snapshot del database. | Stringa |
| rds:subgrp-tag/\$1\$1TagKey\$1 | Filtra l'accesso in base al tag collegato a un gruppo di sottoreti DB | Stringa |
# Creazione di dichiarazioni di policy amministrative IAM per Amazon Neptune
## Esempi di policy amministrative generali
Gli esempi seguenti mostrano come creare policy amministrative di Neptune che concedono le autorizzazioni per eseguire varie azioni di gestione su un cluster database.
### Policy che impedisce a un utente IAM di eliminare un'istanza database specificata
Di seguito è riportato un esempio di policy che impedisce a un utente IAM di eliminare un'istanza database Neptune specificata:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### Policy che concede l'autorizzazione per creare nuove istanze database
Di seguito è riportato un esempio di policy che consente a un utente IAM di creare istanze database in un cluster database Neptune specificato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### Policy che concede l'autorizzazione per creare nuove istanze database che utilizzano un gruppo di parametri database specifico
Di seguito è riportato un esempio di policy che consente a un utente IAM di creare istanze database in un cluster database specificato (`us-west-2` in questo esempio) utilizzando solo un gruppo di parametri database specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### Policy che concede l'autorizzazione per descrivere una risorsa
Di seguito è riportato un esempio di policy che consente a un utente IAM di descrivere qualsiasi risorsa Neptune.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## Esempi di policy amministrative basate su tag
Gli esempi seguenti mostrano come creare policy amministrative di Neptune che utilizzano tag per filtrare le autorizzazioni per varie azioni di gestione su un cluster database.
### Esempio 1: Concedere l'autorizzazione per le azioni su una risorsa tramite un tag personalizzato che può assumere più valori
La policy seguente consente l'uso dell'API`ModifyDBInstance`, `CreateDBInstance` o `DeleteDBInstance` su qualsiasi istanza database con il tag `env` impostato su un `dev` o `test`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Esempio 2: Limitare il set di chiavi e valori di tag che possono essere utilizzati per aggiungere tag a una risorsa
Questa policy utilizza una chiave `Condition` per consentire a un tag con la chiave `env` e il valore `test`, `qa` o `dev` di essere aggiunto a una risorsa:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Esempio 3: Consentire l'accesso completo alle risorse Neptune in base a `aws:ResourceTag`
La policy seguente è simile al primo esempio, ma utilizza `aws:ResourceTag`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
# Creazione di istruzioni di policy IAM personalizzate per accedere ai dati in Amazon Neptune
Le dichiarazioni di policy di accesso ai dati di Neptune utilizzano [azioni di accesso ai dati](iam-dp-actions.md), [risorse](iam-data-resources.md) e [chiavi di condizione](iam-data-condition-keys.md#iam-neptune-condition-keys), tutte precedute dal prefisso `neptune-db:`.
**Topics**
+ [Utilizzo delle azioni di query nelle dichiarazioni di policy di accesso ai dati di Neptune](#iam-data-query-actions)
+ [Azioni IAM per l'accesso ai dati in Amazon Neptune](iam-dp-actions.md)
+ [Tipi di risorse IAM per l'accesso ai dati in Amazon Neptune](iam-data-resources.md)
+ [Chiavi di condizione IAM per l'accesso ai dati in Amazon Neptune](iam-data-condition-keys.md)
+ [Creazione di policy di accesso ai dati IAM in Amazon Neptune](iam-data-access-examples.md)
## Utilizzo delle azioni di query nelle dichiarazioni di policy di accesso ai dati di Neptune
Esistono tre azioni di query di Neptune che possono essere utilizzate nelle dichiarazioni di policy di accesso ai dati, vale a dire `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`. Una particolare query può richiedere le autorizzazioni per eseguire più di una di queste azioni e potrebbe non essere sempre ovvio quale combinazione di queste azioni debba essere consentita per eseguire una query.
Prima di eseguire una query, Neptune determina le autorizzazioni necessarie per eseguire ogni passaggio della query e le combina nel set completo di autorizzazioni richieste dalla query. Nota che questo set completo di autorizzazioni include tutte le azioni che la query *potrebbe* eseguire, il che non è necessariamente il set di azioni che la query effettivamente eseguirà quando verrà eseguita sui dati.
Ciò significa che per consentire l'esecuzione di una determinata query, è necessario fornire le autorizzazioni per ogni azione che la query potrebbe eseguire, indipendentemente dal fatto che le esegua effettivamente o meno.
Ecco alcuni esempi di query Gremlin in cui ciò viene spiegato più dettagliatamente:
+
```
g.V().count()
```
`g.V()` e `count()` richiedono solo l'accesso in lettura, quindi la query nel suo complesso richiede solo l'accesso `ReadDataViaQuery`.
+
```
g.addV()
```
`addV()` deve verificare se esiste o meno un vertice con un determinato ID prima di inserirne uno nuovo. Ciò significa che richiede sia l'accesso `ReadDataViaQuery` che `WriteDataViaQuery`.
+
```
g.V('1').as('a').out('created').addE('createdBy').to('a')
```
`g.V('1').as('a')` e `out('created')` richiedono solo l'accesso in lettura, ma `addE().from('a')` richiede sia l'accesso in lettura che in scrittura perché `addE()` deve leggere i vertici `from` e `to` e verificare se esiste già un arco con lo stesso ID prima di aggiungerne uno nuovo. La query nel suo complesso necessita quindi sia dell'accesso `ReadDataViaQuery` che `WriteDataViaQuery`.
+
```
g.V().drop()
```
`g.V()` richiede solo l'accesso in lettura. `drop()` necessita sia dell'accesso in lettura che di quello di eliminazione perché deve leggere un vertice o uno arco prima di eliminarlo, quindi la query nel suo complesso richiede sia l'accesso `ReadDataViaQuery` che `DeleteDataViaQuery`.
+
```
g.V('1').property(single, 'key1', 'value1')
```
`g.V('1')` richiede solo l'accesso in lettura, ma `property(single, 'key1', 'value1')` richiede l'accesso in lettura, scrittura ed eliminazione. In questo caso, il passaggio `property()` inserisce la chiave e il valore se non esistono già nel vertice, ma se esistono già, elimina il valore della proprietà esistente e inserisce un nuovo valore al suo posto. Pertanto, la query nel suo complesso richiede l'accesso `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`.
Qualsiasi query che contenga un passaggio `property()` avrà bisogno delle autorizzazioni `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`.
Ecco alcuni esempi di openCypher:
+
```
MATCH (n)
RETURN n
```
Questa query legge tutti i nodi del database e li restituisce, il che richiede solo l'accesso `ReadDataViaQuery`.
+
```
MATCH (n:Person)
SET n.dept = 'AWS'
```
Questa query richiede l'accesso `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`. Legge tutti i nodi con l'etichetta 'Person' e vi aggiunge una nuova proprietà con la chiave `dept` e il valore `AWS` oppure, se la proprietà `dept` esiste già, elimina il vecchio valore e inserisce `AWS` al suo posto. Inoltre, se il valore da impostare è `null`, `SET` elimina completamente la proprietà.
Poiché in alcuni casi può essere necessario eliminare un valore esistente, la clausola `SET` necessita **sempre** delle autorizzazioni `DeleteDataViaQuery` nonché delle autorizzazioni `ReadDataViaQuery` e `WriteDataViaQuery`.
+
```
MATCH (n:Person)
DETACH DELETE n
```
Questa query richiede le autorizzazioni `ReadDataViaQuery` e `DeleteDataViaQuery`. Trova tutti i nodi con l'etichetta `Person` e li elimina insieme agli archi collegati a tali nodi e alle etichette e proprietà associate.
+
```
MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'})
RETURN n
```
Questa query richiede le autorizzazioni `ReadDataViaQuery` e `WriteDataViaQuery`. La clausola `MERGE` cerca la corrispondenza con un modello specificato o lo crea. Poiché può verificarsi un'operazione di scrittura se non viene trovata una corrispondenza con il modello, sono necessarie le autorizzazioni di scrittura oltre a quelle di lettura.
# Azioni IAM per l'accesso ai dati in Amazon Neptune
Nota che le azioni di accesso ai dati di Neptune hanno il prefisso `neptune-db:`, mentre le azioni amministrative in Neptune hanno il prefisso `rds:`.
Il nome della risorsa Amazon (ARN) per una risorsa dati in IAM non è lo stesso ARN assegnato a un cluster in fase di creazione. È necessario creare l'ARN come mostrato in [Specificare le risorse dati](iam-data-resources.md). Tale risorsa di dati ARNs può utilizzare caratteri jolly per includere più risorse.
Le dichiarazioni sulla politica di accesso ai dati possono includere anche la chiave di QueryLanguage condizione [neptune-db:](iam-data-condition-keys.md#iam-neptune-condition-keys) per limitare l'accesso tramite il linguaggio di interrogazione.
A partire dal [Rilascio: 1.2.0.0 (21/07/2022)](engine-releases-1.2.0.0.md), Neptune supporta la limitazione delle autorizzazioni a una o più [azioni specifiche di Neptune](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html). Ciò fornisce un controllo degli accessi più granulare di quanto fosse possibile in precedenza.
**Importante**
Le modifiche apportate a una policy IAM richiedono fino a 10 minuti per essere applicate alle risorse Neptune specificate.
Le policy IAM applicate a un cluster database Neptune si applicano a tutte le istanze del cluster.
## *Azioni di accesso ai dati basate su query*
**Nota**
Non è sempre ovvio quali autorizzazioni siano necessarie per eseguire una determinata query, poiché le query possono potenzialmente eseguire più di un'azione a seconda dei dati che elaborano. Per ulteriori informazioni, consulta [Utilizzo delle azioni di query](iam-data-access-policies.md#iam-data-query-actions).
## `neptune-db:ReadDataViaQuery`
`ReadDataViaQuery` consente all'utente di leggere i dati dal database Neptune inviando query.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Chiavi di contesto dell'azione:* `neptune-db:QueryLanguage`.
*Risorse necessarie:* database.
## `neptune-db:WriteDataViaQuery`
`WriteDataViaQuery` consente all'utente di scrivere i dati nel database Neptune inviando query.
*Gruppi di azione:* lettura-scrittura.
*Chiavi di contesto dell'azione:* `neptune-db:QueryLanguage`.
*Risorse necessarie:* database.
## `neptune-db:DeleteDataViaQuery`
`DeleteDataViaQuery` consente all'utente di eliminare i dati dal database Neptune inviando query.
*Gruppi di azione:* lettura-scrittura.
*Chiavi di contesto dell'azione:* `neptune-db:QueryLanguage`.
*Risorse necessarie:* database.
## `neptune-db:GetQueryStatus`
`GetQueryStatus` consente all'utente di controllare lo stato di tutte le query attive.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Chiavi di contesto dell'azione:* `neptune-db:QueryLanguage`.
*Risorse necessarie:* database.
## `neptune-db:GetStreamRecords`
`GetStreamRecords` consente all'utente di recuperare i record di flusso da Neptune.
*Gruppi di azione:* lettura-scrittura.
*Chiavi di contesto dell'azione:* `neptune-db:QueryLanguage`.
*Risorse necessarie:* database.
## `neptune-db:CancelQuery`
`CancelQuery` consente all'utente di annullare una query.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## *Azioni generali di accesso ai dati*
## `neptune-db:GetEngineStatus`
`GetEngineStatus` consente all'utente di controllare lo stato del motore Neptune.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetStatisticsStatus`
`GetStatisticsStatus` consente all'utente di controllare lo stato delle statistiche raccolte per il database.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetGraphSummary`
`GetGraphSummary` L'API di riepilogo del grafo consente di recuperare un riepilogo di sola lettura del grafo.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ManageStatistics`
`ManageStatistics` consente all'utente di gestire la raccolta di statistiche per il database.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:DeleteStatistics`
`DeleteStatistics` consente all'utente di eliminare tutte le statistiche del database.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ResetDatabase`
`ResetDatabase` consente all'utente di ottenere il token necessario per una reimpostazione e di reimpostare il database Neptune.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## *Azioni di accesso ai dati dello strumento di caricamento in blocco*
## `neptune-db:StartLoaderJob`
`StartLoaderJob` consente all'utente di avviare un processo dello strumento di caricamento in blocco.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetLoaderJobStatus`
`GetLoaderJobStatus` consente all'utente di controllare lo stato di un processo dello strumento di caricamento in blocco
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ListLoaderJobs`
`ListLoaderJobs` consente all'utente di elencare tutti i processi dello strumento di caricamento in blocco.
*Gruppi di azioni:* solo elenco, sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:CancelLoaderJob`
`CancelLoaderJob` consente all'utente di annullare un processo del loader.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## *Azioni di accesso ai dati di machine learning*
## `neptune-db:StartMLDataProcessingJob`
`StartMLDataProcessingJob` consente a un utente di avviare un processo di elaborazione dati Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:StartMLModelTrainingJob`
`StartMLModelTrainingJob` consente a un utente di avviare un processo di addestramento dei modelli ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:StartMLModelTransformJob`
`StartMLModelTransformJob` consente a un utente di avviare un processo di trasformazione dei modelli ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:CreateMLEndpoint`
`CreateMLEndpoint` consente a un utente di creare un endpoint Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetMLDataProcessingJobStatus`
`GetMLDataProcessingJobStatus` consente a un utente di controllare lo stato di un processo di elaborazione dati Neptune ML.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetMLModelTrainingJobStatus`
`GetMLModelTrainingJobStatus` consente a un utente di controllare lo stato di un processo di addestramento dei modelli Neptune ML.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetMLModelTransformJobStatus`
`GetMLModelTransformJobStatus` consente a un utente di controllare lo stato di un processo di trasformazione dei modelli Neptune ML.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:GetMLEndpointStatus`
`GetMLEndpointStatus` consente a un utente di controllare lo stato di un endpoint Neptune ML.
*Gruppi di azioni:* sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ListMLDataProcessingJobs`
`ListMLDataProcessingJobs` consente a un utente di elencare tutti i processi di elaborazione dati Neptune ML.
*Gruppi di azioni:* solo elenco, sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ListMLModelTrainingJobs`
`ListMLModelTrainingJobs` consente a un utente di elencare tutti i processi di addestramento dei modelli Neptune ML.
*Gruppi di azioni:* solo elenco, sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ListMLModelTransformJobs`
`ListMLModelTransformJobs` consente a un utente di elencare tutti i processi di trasformazione dei modelli ML.
*Gruppi di azioni:* solo elenco, sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:ListMLEndpoints`
`ListMLEndpoints` consente a un utente di elencare tutti gli endpoint Neptune ML.
*Gruppi di azioni:* solo elenco, sola lettura, lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:CancelMLDataProcessingJob`
`CancelMLDataProcessingJob` consente a un utente di annullare un processo di elaborazione dati Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:CancelMLModelTrainingJob`
`CancelMLModelTrainingJob` consente a un utente di annullare un processo di addestramento dei modelli Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:CancelMLModelTransformJob`
`CancelMLModelTransformJob` consente a un utente di annullare un processo di trasformazione dei modelli Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
## `neptune-db:DeleteMLEndpoint`
`DeleteMLEndpoint` consente a un utente di eliminare un endpoint Neptune ML.
*Gruppi di azione:* lettura-scrittura.
*Risorse necessarie:* database.
# Tipi di risorse IAM per l'accesso ai dati in Amazon Neptune
Le risorse dati, come le azioni dati, hanno il prefisso `neptune-db:`.
In una policy di accesso ai dati di Neptune, è possibile specificare il cluster database a cui si concede l'accesso in un ARN con il seguente formato:
```
arn:aws:neptune-db:region:account-id:cluster-resource-id/*
```
Tale ARN della risorsa contiene le seguenti parti:
+ `region`è la AWS regione per il cluster Amazon Neptune DB.
+ `account-id` è il numero dell'account AWS per il cluster database.
+ `cluster-resource-id` è l'ID risorsa per il cluster database.
**Importante**
`cluster-resource-id` è diverso dall'identificatore del cluster. Per trovare un ID di risorsa del cluster in Console di gestione AWS Neptune, cerca nella sezione Configurazione **il** cluster DB in questione.
# Chiavi di condizione IAM per l'accesso ai dati in Amazon Neptune
[Utilizzando chiavi di condizione](security-iam-access-manage.md#iam-using-condition-keys), è possibile specificare le condizioni in una dichiarazione di policy IAM in modo che la dichiarazione diventi effettiva solo quando le condizioni sono vere.
Le chiavi di condizione che è possibile utilizzare nelle dichiarazioni di policy di accesso ai dati di Neptune rientrano nelle seguenti categorie:
+ [Chiavi di [condizione globali: il sottoinsieme di chiavi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di condizione AWS globali supportate da Neptune nelle dichiarazioni sulle politiche di accesso ai dati è elencato di seguito.](#iam-data-global-condition-keys)
+ [Chiavi di condizione specifiche del servizio](#iam-neptune-condition-keys): si tratta di chiavi definite da Neptune specificamente per l'uso nelle dichiarazioni di policy di accesso ai dati. Al momento ce n'è solo una, [neptune-db: QueryLanguage](#neptune-db-query-language), che concede l'accesso solo se viene utilizzato un linguaggio di interrogazione specifico.
## AWS chiavi di contesto delle condizioni globali supportate da Neptune nelle dichiarazioni sulle politiche di accesso ai dati
La tabella seguente elenca il sottoinsieme di [chiavi di contesto di condizione globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) supportate da Amazon Neptune per l'uso nelle dichiarazioni di policy di accesso ai dati:
**Chiavi di condizione globali che è possibile utilizzare nelle dichiarazioni di policy di accesso ai dati**
| Chiavi di condizione | Descrizione | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | Filtra l'accesso in base alla data e all'ora correnti della richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | Filtra l'accesso in base alla data e all'ora della richiesta espresse come valore Unix epoch. | Numeric |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | Filtra l'accesso in base all'account a cui appartiene il principale che effettua la richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | Filtra l'accesso in base all'ARN del principale che ha effettuato la richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | Consente l'accesso solo se la chiamata viene effettuata direttamente da un responsabile del servizio. AWS | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | Filtra l'accesso in base all'identificatore dell'organizzazione in AWS Organizations a cui appartiene il principale richiedente. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | Filtra l'accesso in base al percorso AWS Organizations per il principale che effettua la richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | Filtra l'accesso in base a un tag collegato al principale che effettua la richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | Filtra l'accesso in base al tipo di principale che effettua la richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | Filtra l'accesso in base alla AWS regione chiamata nella richiesta. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | Consente l'accesso solo se la richiesta è stata inviata tramite SSL. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | Filtra l'accesso in base all'indirizzo IP del richiedente. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | Filtra l'accesso in base alla data e all'ora in cui sono state generate le credenziali di sicurezza provvisorie. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | Filtra l'accesso dall'applicazione client del richiedente. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | Filtra l'accesso in base all'identificatore del principale del richiedente. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | Consente l'accesso solo se un AWS servizio ha effettuato la richiesta per tuo conto. | Boolean |
## Chiavi di condizione specifiche del servizio Neptune
Neptune supporta la seguente chiave di condizione specifica del servizio per le policy IAM:
**Chiavi di condizione specifiche del servizio Neptune**
| Chiavi di condizione | Descrizione | Tipo |
| --- | --- | --- |
| neptune-db:QueryLanguage | Filtra l'accesso ai dati in base al linguaggio di query utilizzato. I valori validi sono`Gremlin`, `OpenCypher` e `Sparql`. Le azioni supportate sono `ReadDataViaQuery`, `WriteDataViaQuery`, `DeleteDataViaQuery`, `GetQueryStatus` e `CancelQuery`. | String |
# Creazione di policy di accesso ai dati IAM in Amazon Neptune
[Gli esempi seguenti mostrano come creare policy IAM personalizzate che utilizzano il controllo granulare degli accessi del piano dati APIs e delle azioni, introdotto nella versione 1.2.0.0 del motore Neptune.](engine-releases-1.2.0.0.md)
## Esempio di policy che consente l'accesso illimitato ai dati in un cluster database Neptune
La policy contenuta nell'esempio seguente consente a un utente IAM di connettersi al cluster database Neptune utilizzando l'autenticazione database IAM e utilizza il carattere "`*`" per trovare una corrispondenza con tutte le azioni disponibili.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
L'esempio precedente include un ARN della risorsa in un formato particolare per l'autenticazione IAM di Neptune. Per creare l'ARN, consulta [Specificare le risorse dati](iam-data-resources.md). Nota che l'ARN utilizzato per un'autorizzazione IAM `Resource` non è lo stesso ARN assegnato al cluster in fase di creazione.
## Esempio di policy che consente l'accesso in sola lettura a un cluster database Neptune
La seguente policy concede l'autorizzazione per l'accesso completo in sola lettura ai dati in un cluster database Neptune:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che nega l'accesso a un cluster database Neptune
L'azione IAM predefinita è negare l'accesso a un cluster database a meno che non venga concesso un *effetto* `Allow`. Tuttavia, la seguente politica nega qualsiasi accesso a un cluster DB per un AWS account e una regione particolari, il che ha quindi la precedenza su qualsiasi effetto. `Allow`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che concede l'accesso in lettura tramite query
La seguente policy concede l'autorizzazione per leggere da un cluster database Neptune solo tramite una query:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:ReadDataViaQuery",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che consente solo query Gremlin
La seguente policy utilizza la chiave di condizione `neptune-db:QueryLanguage` per concedere l'autorizzazione a eseguire query su Neptune solo utilizzando il linguaggio di query Gremlin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage": "Gremlin"
}
}
}
]
}
```
------
## Esempio di policy che consente l'accesso completo ad eccezione della gestione dei modelli Neptune ML
La seguente policy concede l'accesso completo alle operazioni del grafo Neptune, ad eccezione delle funzionalità di gestione dei modelli Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelLoaderJob",
"neptune-db:CancelQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:DeleteStatistics",
"neptune-db:GetEngineStatus",
"neptune-db:GetLoaderJobStatus",
"neptune-db:GetQueryStatus",
"neptune-db:GetStatisticsStatus",
"neptune-db:GetStreamRecords",
"neptune-db:ListLoaderJobs",
"neptune-db:ManageStatistics",
"neptune-db:ReadDataViaQuery",
"neptune-db:ResetDatabase",
"neptune-db:StartLoaderJob",
"neptune-db:WriteDataViaQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che consente l'accesso alla gestione dei modelli Neptune ML
Questa policy garantisce l'accesso alle funzionalità di gestione dei modelli Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelMLDataProcessingJob",
"neptune-db:CancelMLModelTrainingJob",
"neptune-db:CancelMLModelTransformJob",
"neptune-db:CreateMLEndpoint",
"neptune-db:DeleteMLEndpoint",
"neptune-db:GetMLDataProcessingJobStatus",
"neptune-db:GetMLEndpointStatus",
"neptune-db:GetMLModelTrainingJobStatus",
"neptune-db:GetMLModelTransformJobStatus",
"neptune-db:ListMLDataProcessingJobs",
"neptune-db:ListMLEndpoints",
"neptune-db:ListMLModelTrainingJobs",
"neptune-db:ListMLModelTransformJobs",
"neptune-db:StartMLDataProcessingJob",
"neptune-db:StartMLModelTrainingJob",
"neptune-db:StartMLModelTransformJob"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che concede l'accesso completo alle query
La seguente policy concede l'accesso completo alle operazioni di query del grafo Neptune, ma non a funzionalità come il ripristino rapido, i flussi, lo strumento di caricamento in blocco, la gestione dei modelli Neptune ML e così via:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Esempio di policy che concede l'accesso completo solo alle query Gremlin
La seguente policy concede l'accesso completo alle operazioni di query del grafo Neptune utilizzando il linguaggio di query Gremlin, ma non alle query in altri linguaggi e non a funzionalità come il ripristino rapido, i flussi, lo strumento di caricamento in blocco, la gestione dei modelli Neptune ML e così via:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": [
"arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
],
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage":"Gremlin"
}
}
}
]
}
```
------
## Esempio di policy che concede l'accesso completo ad eccezione del ripristino rapido
La seguente policy concede l'accesso completo a un cluster database Neptune ad eccezione dell'utilizzo del ripristino rapido:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
},
{
"Effect": "Deny",
"Action": "neptune-db:ResetDatabase",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------