翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Neptune の IAM 管理ポリシーステートメントの作成
## 一般的な管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可を付与する Neptune 管理ポリシーを作成する方法を示しています。
### IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシー
以下は、IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:{{us-west-2}}:{{123456789012}}:db:{{my-instance-name}}"
}
]
}
```
------
### 新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが指定された Neptune DB クラスターに DB インスタンスを作成できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:{{us-west-2}}:{{123456789012}}:cluster:{{my-cluster}}"
}
]
}
```
------
### 特定の DB パラメータグループを使用する新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが、指定された DB パラメータグループのみを使用して、指定された Neptune DB クラスター内の指定された DB クラスター (ここでは `us-west-2`) に DB インスタンスを作成することを許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:{{us-west-2}}:{{123456789012}}:cluster:{{my-cluster}}",
"arn:aws:rds:{{us-west-2}}:{{123456789012}}:pg:{{my-instance-pg}}"
]
}
]
}
```
------
### リソースを記述するアクセス許可を付与するポリシー
以下は、IAM ユーザーが任意の Neptune リソースを記述できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## タグベースの管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可をフィルタリングするタグを付ける Neptune 管理ポリシーを作成する方法を示しています。
### 例 1: 複数の値を取ることができるカスタムタグを使用して、リソースに対するアクションにアクセス許可を付与する
以下のポリシーでは、`ModifyDBInstance`、`CreateDBInstance`または`DeleteDBInstance` API を `dev` または `test` どちらかに設定した`env` タグを持つある DB インスタンスで使用できます。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 2: リソースにタグを付けるために使用できるタグキーと値のセットを制限する
このポリシーでは、`Condition` キーを使って、キー `env` を持つタグと、リソースに追加する `test`、`qa`、または `dev` の値の使用を許可します。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 3: `aws:ResourceTag` に基づいて Neptune リソースへのフルアクセスを許可する
以下のポリシーは、上記の最初の例と似ていますが、代わりに `aws:ResourceTag` を使います。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------