翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Neptune を管理するためのカスタム IAM ポリシーステートメントの作成
管理ポリシーステートメントを使用すると、IAM ユーザーが Neptune データベースを管理するために実行できる操作を制御できます。
Neptune 管理ポリシーステートメントは、Neptune がサポートする 1 つ以上の[管理アクション](neptune-iam-admin-actions.md)と[管理リソース](iam-admin-resources.md)へのアクセスを付与します。[条件キー](iam-admin-condition-keys.md) を使用して、管理アクセス許可をより具体的にすることもできます。
**注記**
Neptune は Amazon RDS と機能を共有しているため、管理ポリシーステートメントの管理アクション、リソース、およびサービス固有の条件キーは、設計により `rds:` プレフィックスを使用します。
**Topics**
+ [Amazon Neptune を管理するための IAM アクション](neptune-iam-admin-actions.md)
+ [Amazon Neptune を管理するための IAM リソースタイプ](iam-admin-resources.md)
+ [Amazon Neptune を管理するための IAM 条件キー](iam-admin-condition-keys.md)
+ [Amazon Neptune の IAM 管理ポリシーステートメントの作成](iam-admin-policy-examples.md)
# Amazon Neptune を管理するための IAM アクション
IAM ポリシーステートメントの `Action` 要素で以下に示す管理アクションを使用して、[Neptune 管理 API](api.md) へのアクセスを制御できます。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
以下のリストの `Resource type` フィールドは、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。このフィールドに値がない場合は、ポリシーステートメントの `Resource` 要素ですべてのリソース (「\$1」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。Neptune 管理リソースタイプは、[このページ](iam-admin-resources.md)に記載されています。
必須リソースは、下記のリストでアスタリスク (\$1) で示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (つまり、アスタリスクが付いていない) であれば、含める必要はありません。
ここにリストされているフィールドの詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)」の「[アクションテーブル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table)」を参照してください。
## rds:AddRoleToDBCluster
`AddRoleToDBCluster` IAM ロールを Neptune DB クラスターに関連付けるには
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` 既存の Neptune イベント通知サブスクリプションにソース識別子を追加します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:AddTagsToResource
`AddTagsToResource` IAM ロールを Neptune DB クラスターに関連付けるには
*アクセスレベル:* `Write`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` 保留中のメンテナンスアクションをリソースに適用します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:CopyDBClusterParameterGroup
`CopyDBClusterParameterGroup` 指定された DB クラスターパラメータグループをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:CopyDBClusterSnapshot
`CopyDBClusterSnapshot` DB クラスターのスナップショットをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:CopyDBParameterGroup
`CopyDBParameterGroup` 指定された DB パラメータグループをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:CreateDBCluster
`CreateDBCluster` 新しい Amazon Neptune DB クラスターを作成します。
*アクセスレベル:* `Tagging`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [neptune-rds\$1DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## rds:CreateDBClusterParameterGroup
`CreateDBClusterParameterGroup`新しい DB クラスターのパラメータグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBClusterSnapshot
`CreateDBClusterSnapshot`DB クラスターのスナップショットを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBInstance
`CreateDBInstance`新しい DB インスタンスを作成します。
*アクセスレベル:* `Tagging`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必須)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBParameterGroup
`CreateDBParameterGroup` は 新しい DB パラメータグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBSubnetGroup
`CreateDBSubnetGroup`新しい DB サブネットグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateEventSubscription
`CreateEventSubscription` RDS イベント通知サブスクリプションを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:DeleteDBCluster
`DeleteDBCluster` 既存の Neptune DB クラスターを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DeleteDBClusterParameterGroup
`DeleteDBClusterParameterGroup` 指定された DB クラスターパラメータグループを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DeleteDBClusterSnapshot
`DeleteDBClusterSnapshot` DB クラスタースナップショットを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DeleteDBInstance
`DeleteDBInstance` 指定された DB インスタンスを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:DeleteDBParameterGroup
`DeleteDBParameterGroup` 指定された DBParameterGroup を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DeleteDBSubnetGroup
`DeleteDBSubnetGroup` DB サブネットグループを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:DeleteEventSubscription
`DeleteEventSubscription` イベント通知サブスクリプションを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeDBClusterParameterGroups
`DescribeDBClusterParameterGroups` DBClusterParameterGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DescribeDBClusterParameters
`DescribeDBClusterParameters` 特定の DB クラスターパラメータグループの詳細なパラメータリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DescribeDBClusterSnapshotAttributes
`DescribeDBClusterSnapshotAttributes` 手動の DB クラスタースナップショットの DB クラスタースナップショットの属性名と値のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DescribeDBClusterSnapshots
`DescribeDBClusterSnapshots` DB クラスタースナップショットに関する情報を返します。
*アクセスレベル:* `Read`。
## rds:DescribeDBClusters
`DescribeDBClusters` プロビジョニングされた Neptune DB クラスターに関する情報を返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:DescribeDBEngineVersions
`DescribeDBEngineVersions` 利用可能な DB エンジンのリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBInstances
`DescribeDBInstances` すべての DB インスタンスに関する情報を返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeDBParameterGroups
`DescribeDBParameterGroups` DBParameterGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBParameters
`DescribeDBParameters` 特定の DB パラメータグループの詳細なパラメータリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBSubnetGroups
`DescribeDBSubnetGroups` DBSubnetGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:DescribeEventCategories
`DescribeEventCategories` すべてのイベントソースタイプか、指定されている場合は、指定されたソースタイプのイベントカテゴリのリストを返します。
*アクセスレベル:* `List`。
## rds:DescribeEventSubscriptions
`DescribeEventSubscriptions`顧客アカウントのサブスクリプションの説明をすべて表示します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeEvents
`DescribeEvents` DB インスタンス、DB セキュリティグループ、DB スナップショット、DB パラメータグループに関連する過去 14 日間のイベントを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeOrderableDBInstanceOptions
`DescribeOrderableDBInstanceOptions` 指定されたエンジンの注文可能な DB インスタンスオプションのリストを返します。
*アクセスレベル:* `List`。
## rds:DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` 少なくとも 1 つの保留中のメンテナンスアクションを含むリソース (例: DB インスタンス) のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:DescribeValidDBInstanceModifications
`DescribeValidDBInstanceModifications` DB インスタンスに加えることができる変更を一覧表示します。
*アクセスレベル:* `List`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:FailoverDBCluster
`FailoverDBCluster` DB クラスターのフェイルオーバーを強制実行します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:ListTagsForResource
`ListTagsForResource` Amazon Neptune リソースのすべてのタグを一覧表示します。
*アクセスレベル:* `Read`。
*リソースタイプ:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## rds:ModifyDBCluster
`ModifyDBCluster`
Neptune DB クラスターの設定を変更します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ModifyDBClusterParameterGroup
`ModifyDBClusterParameterGroup` DB クラスターパラメータグループのパラメータを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ModifyDBClusterSnapshotAttribute
`ModifyDBClusterSnapshotAttribute` 属性および値を、手動 DB クラスタースナップショットに追加するか、ここから属性および値を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:ModifyDBInstance
`ModifyDBInstance` DB インスタンスの設定を変更します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必須)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:ModifyDBParameterGroup
`ModifyDBParameterGroup` DB パラメータグループのパラメータを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:ModifyDBSubnetGroup
`ModifyDBSubnetGroup` 既存の DB サブネットグループを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:ModifyEventSubscription
`ModifyEventSubscription` 既存の RDS イベント通知サブスクリプションを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## RDS:RebootDBInstance
`RebootDBInstance` インスタンスを再起動すると、データベースエンジンサービスが再起動されます。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:RemoveRoleFromDBCluster
`RemoveRoleFromDBCluster` は、Amazon Neptune DB クラスターから AWS Identity and Access Management (IAM) ロールの関連付けを解除します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` 既存のイベント通知サブスクリプションからソース識別子を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:RemoveTagsFromResource
`RemoveTagsFromResource` Neptune リソースからメタデータタグを削除します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ResetDBClusterParameterGroup
`ResetDBClusterParameterGroup` DB クラスターパラメータグループのパラメータをデフォルト値に変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ResetDBParameterGroup
`ResetDBParameterGroup` はDB パラメータグループのパラメータをエンジン/システムのデフォルト値に変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:RestoreDBClusterFromSnapshot
`RestoreDBClusterFromSnapshot` DB クラスタースナップショットから新しい DB クラスターを作成します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:RestoreDBClusterToPointInTime
`RestoreDBClusterToPointInTime` DB クラスターを任意の時点に復元します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:StartDBCluster
`StartDBCluster`指定された DB クラスターを起動します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:StopDBCluster
`StopDBCluster`指定された DB クラスターを停止します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
# Amazon Neptune を管理するための IAM リソースタイプ
Neptune は、次の表のリソースタイプをサポートしており、IAM 管理ポリシーステートメントの `Resource` 要素で使うことができます。`Resource` 要素の詳細については、「[IAM JSON ポリシーの要素: リソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)」を参照してください。
[Neptune 管理アクションのリスト](neptune-iam-admin-actions.md)は、各アクションで指定できるリソースタイプを示しています。リソースタイプは、次の表最後の列で指定されているように、ポリシーに含めることができる条件キーを決定します。
下の表の `ARN` 列は、このタイプのリソースの参照に使用する必要がある Amazon リソースネーム (ARN) の形式を指定しています。` $ ` で始まる部分は、お客様の状況で実際の値に置き換える必要があります。例えば、ARN に `$user-name` と表示されている場合は、その文字列を実際の IAM ユーザー名か、IAM ユーザー名を含むポリシー変数に置き換える必要があります。ARN の詳細については、「[IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)」と「[Amazon Neptune で ARN を使用する](tagging-arns.md)」を参照してください。
` Condition Keys ` 列では、このリソースとサポートするアクションの両方がステートメントに含まれている場合にのみ IAM ポリシーステートメントに含むことができる条件コンテキストキーを指定します。
****
| リソースタイプ | ARN | 条件キー |
| --- | --- | --- |
| `cluster` (DB クラスター) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (DB クラスターのパラメータグループ) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (DB クラスタースナップショット) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-snapshot-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (DB インスタンス) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds:DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (イベントサブスクリプション) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: es-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (DB パラメータグループを編集する) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (DB サブネットグループ) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Amazon Neptune を管理するための IAM 条件キー
[条件キーを使用すると](security-iam-access-manage.md#iam-using-condition-keys)、IAM ポリシーステートメントで条件を指定して、条件が満たされた場合にのみステートメントが有効になるようにすることができます。Neptune 管理ポリシーステートメントで使用できる条件キーは、次のカテゴリに分類されます。
+ [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) – これらは、 AWS サービスでの一般的な使用 AWS のために で定義されます。ほとんどは Neptune 管理ポリシーステートメントで使用できます。
+ [管理リソースプロパティ条件キー](#iam-rds-property-condition-keys) — [以下に](#iam-rds-property-condition-keys)示すこれらのキーは、管理リソースのプロパティに基づいています。
+ [タグベースのアクセス条件キー](#iam-rds-tag-based-condition-keys) — [以下に](#iam-rds-tag-based-condition-keys)示すこれらのキーは、管理リソースに付けられた [AWS タグ](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)に基づいています。
## Neptune 管理リソースプロパティの条件キー
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| rds:DatabaseClass | DB インスタンスクラスのタイプによってアクセスをフィルタリングします。 | String |
| rds:DatabaseEngine | データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 | 文字列 |
| rds:DatabaseName | DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 | 文字列 |
| rds:EndpointType | エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 | String |
| rds:Vpc | DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 | ブール値 |
## 管理タグベースの条件キー
Amazon Neptune では、カスタムタグを使用して IAM ポリシーで条件を指定することがサポートされており、[管理 API リファレンス](api.md) を介して Neptune へのアクセスを制御します。
たとえば、DB インスタンスに `environment` という名前のタグを追加するとします。`beta`、`staging`、および `production` のような値を使用します。そのタグの値に基づいてインスタンスへのアクセスを制限するポリシーを作成できます。
**重要**
タグを使用して Neptune リソースへのアクセスを管理する場合は、タグへのアクセスを保護してください。`AddTagsToResource` および `RemoveTagsFromResource` アクションのポリシーを作成することによって、タグへのアクセスを制限できます。
例えば、次のポリシーは、ユーザーがすべてのリソースのタグを追加または削除することを拒否します。次に、特定のユーザーがタグを追加または削除することを許可するポリシーを作成できます。
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
以下のタグベースの条件キーは、管理ポリシーステートメント内の管理リソースでのみ機能します。
**タグベースの管理条件キー**
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | リクエスト内のタグキーと値のペアの有無に基づいてアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | リソースにアタッチされているタグキーと値のペアに基づいてアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | リクエスト内のタグキーの有無に基づいてアクセスをフィルタリングします | String |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | DB クラスターパラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | DB クラスタースナップショットにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:cluster-tag/\$1\$1TagKey\$1 | DB クラスターにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:db-tag/\$1\$1TagKey\$1 | DB インスタンスにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:es-tag/\$1\$1TagKey\$1 | イベントサブスクリプションにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:pg-tag/\$1\$1TagKey\$1 | DB パラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:req-tag/\$1\$1TagKey\$1 | リソースにタグを付けるために使用できるタグキーと値のセットによってアクセスをフィルタリングします。 | String |
| rds:secgrp-tag/\$1\$1TagKey\$1 | DB セキュリティグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:snapshot-tag/\$1\$1TagKey\$1 | DB スナップショットにアタッチされたタグによってアクセスをフィルタリングします | String |
| rds:subgrp-tag/\$1\$1TagKey\$1 | DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 | String |
# Amazon Neptune の IAM 管理ポリシーステートメントの作成
## 一般的な管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可を付与する Neptune 管理ポリシーを作成する方法を示しています。
### IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシー
以下は、IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### 新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが指定された Neptune DB クラスターに DB インスタンスを作成できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### 特定の DB パラメータグループを使用する新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが、指定された DB パラメータグループのみを使用して、指定された Neptune DB クラスター内の指定された DB クラスター (ここでは `us-west-2`) に DB インスタンスを作成することを許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### リソースを記述するアクセス許可を付与するポリシー
以下は、IAM ユーザーが任意の Neptune リソースを記述できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## タグベースの管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可をフィルタリングするタグを付ける Neptune 管理ポリシーを作成する方法を示しています。
### 例 1: 複数の値を取ることができるカスタムタグを使用して、リソースに対するアクションにアクセス許可を付与する
以下のポリシーでは、`ModifyDBInstance`、`CreateDBInstance`または`DeleteDBInstance` API を `dev` または `test` どちらかに設定した`env` タグを持つある DB インスタンスで使用できます。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 2: リソースにタグを付けるために使用できるタグキーと値のセットを制限する
このポリシーでは、`Condition` キーを使って、キー `env` を持つタグと、リソースに追加する `test`、`qa`、または `dev` の値の使用を許可します。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 3: `aws:ResourceTag` に基づいて Neptune リソースへのフルアクセスを許可する
以下のポリシーは、上記の最初の例と似ていますが、代わりに `aws:ResourceTag` を使います。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------