翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM ポリシーを使用した Amazon Neptune データベースへのアクセスの管理
[IAM ポリシーは](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)、アクションとリソースを使用するアクセス許可を定義する JSON オブジェクトです。
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
## アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
## AWS 組織でのサービスコントロールポリシー (SCP) の使用
サービスコントロールポリシー (SCPs) は、 の組織または組織単位 (OU) の最大アクセス許可を指定する JSON ポリシー[AWS Organizations](https://aws.amazon.com/organizations/)です。 AWS Organizations は、ビジネスが所有する複数の AWS アカウントをグループ化して一元管理するためのサービスです。組織内のすべての機能を有効にすると、サービスコントロールポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP は、各アカウントのルートユーザーを含む、メンバー AWS アカウントのエンティティのアクセス許可を制限します。Organizations と SCPs[SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html)」を参照してください。 AWS Organizations
Amazon Neptune を AWS 組織内の AWS アカウントにデプロイするお客様はSCPs を活用して、Neptune を使用できるアカウントを制御できます。メンバーアカウント内の Neptune へのアクセスを確保するには、次の点に注意してください。
+ Neptune データベースオペレーションの `rds:*` および `neptune-db:*` へのアクセスを許可します。Neptune データベースに対して Amazon RDS のアクセス許可が必要な理由の詳細については、「[Neptune データベースを使用するために Amazon RDS のアクセス許可とリソースが必要な理由](https://aws.amazon.com/neptune/faqs/)」を参照してください。
+ Neptune Analytics オペレーションの `neptune-graph:*` へのアクセスを許可します。
## Amazon Neptune コンソールを使用するために必要なアクセス許可
Amazon Neptune コンソールを使用するユーザーには、最小限のアクセス権限のセットが必要です。これらのアクセス許可により、ユーザーは AWS アカウントの Neptune リソースを記述し、Amazon EC2 セキュリティやネットワーク情報など、その他の関連情報を提供できます。
これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。それらのユーザーが Neptune コンソールを引き続き使用するためには、`NeptuneReadOnlyAccess` で説明しているように、[AWS マネージドポリシーを使用した Amazon Neptune データベースへのアクセス](security-iam-access-managed-policies.md) 管理ポリシーをユーザーにもアタッチします。
AWS CLI または Amazon Neptune API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。
## IAM ポリシーを IAM ユーザーにアタッチする
管理ポリシーまたはカスタムポリシーを適用するには、IAM ユーザーにアタッチします。このトピックに関するチュートリアルについては、*IAM ユーザーガイド*の[はじめてのカスタマー管理ポリシーの作成とアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html)を参照してください。
チュートリアルを進める際に、このセクションに記載されているいずれかのポリシー例をスタート点として使用し、ニーズに合わせて調整することができます。チュートリアルを完了すると、`neptune-db:*` アクションの使用を許可するポリシーが IAM ユーザーにアタッチされます。
**重要**
IAM ポリシーへの変更は、指定された Neptune リソースへの適用に最大で 10 分かかります。
Neptune DB クラスターに適用された IAM ポリシーは、そのクラスター内のすべてのインスタンスに適用されます。
## Neptune へのアクセスを制御するためのさまざまな種類の IAM ポリシーの使用
Neptune の管理アクションまたは Neptune DB クラスター内のデータへのアクセスを提供するには、IAM ユーザーまたはロールにポリシーをアタッチします。IAM ポリシーをユーザーにアタッチする方法については、「[IAM ポリシーを IAM ユーザーにアタッチする](#iam-auth-policy-attaching)」を参照してください。ロールにポリシーをアタッチする方法については、[IAM ポリシーの追加と削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)の*IAM ユーザーガイド*を参照してください。
Neptune への一般的なアクセスには、Neptune の[管理ポリシー](security-iam-access-managed-policies.md)のいずれかを使用できます。アクセスをさらに制限したい場合は、Neptune がサポートする[管理アクション](neptune-iam-admin-actions.md)と[リソース](iam-admin-resources.md)を使用して独自のカスタムポリシーを作成できます。
カスタム IAM ポリシーでは、Neptune DB クラスターへのさまざまなアクセスモードを制御する 2 種類のポリシーステートメントを使用できます。
+ [管理ポリシーステートメント](iam-admin-policies.md) — 管理ポリシーステートメントは、DB クラスターとそのインスタンスの作成、設定、管理に使用する [Neptune 管理 API](api.md) へのアクセスを提供します。
Neptune は Amazon RDS と機能を共有しているため、Neptune ポリシーの管理アクション、リソース、および条件キーは設計により `rds:` プレフィックスを使用します。
+ [データアクセスポリシーステートメント](iam-data-access-policies.md) — データアクセスポリシーステートメントは、[データアクセスアクション](iam-dp-actions.md)、[リソース](iam-data-resources.md)、および[条件キー](iam-data-condition-keys.md#iam-neptune-condition-keys)を使用して、DB クラスターに含まれるデータへのアクセスを制御します。
Neptune データアクセスアクション、リソース、および条件キーは、`neptune-db:` プレフィックスを使用します。
## Amazon Neptune での IAM 条件コンテキストキーの使用
Neptune へのアクセスを制御する IAM ポリシーステートメントで条件を指定できます。ポリシーステートメントは、条件が true の場合にのみ有効です。
例えば、特定の日付の後にのみ適用されるポリシーステートメントや、リクエストに特定の値が存在する場合のみアクセスが許可されるポリシーステートメントが必要になる場合があります。
条件を表すには、「等しい」や「より小さい」などの [IAM 条件ポリシー演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) とともに、ポリシーステートメントの [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) 要素であらかじめ定義された条件キーを使用します。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、*「IAM ユーザーガイド」*の[「IAM Policy Elements: Variables and Tags」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)(IAM ポリシーの要素: 変数およびタグ) を参照してください。
条件キーのデータ型によって、リクエスト内の値とポリシーステートメント内の値の比較に使用できる条件演算子が決まります。そのデータ型と互換性のない条件演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。
Neptune は、管理ポリシーステートメントについて、データアクセスポリシーステートメントとは異なる条件キーのセットをサポートしています。
+ [管理ポリシーステートメントの条件キー](iam-admin-condition-keys.md)
+ [データアクセスポリシーステートメントの条件キー](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Amazon Neptune での IAM ポリシーとアクセスコントロール機能のサポート
次の表は、Neptune が管理ポリシーステートメントとデータアクセスポリシーステートメントについてサポートする IAM 機能を示しています。
**Neptune で使用できる IAM 機能**
| IAM 機能 | 管理 | データアクセス |
| --- | --- | --- |
| [アイデンティティベースのポリシー](#security_iam_access-manage-id-based-policies) | はい | はい |
| [リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | いいえ | いいえ |
| [ポリシーアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | はい | はい |
| [ポリシーリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | はい | はい |
| [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | はい | (サブセット) |
| [タグベースの条件キー](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | はい | なし |
| [アクセスコントロールリスト (ACL) ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | いいえ | いいえ |
| [サービスコントロールポリシー (SCP)](#security_iam_access-manage-scp) | はい | はい |
| [サービスリンクロール](security-iam-service-linked-roles.md) | はい | なし |
## IAM ポリシーの制限
IAM ポリシーへの変更は、指定された Neptune リソースへの適用に最大で 10 分かかります。
Neptune DB クラスターに適用された IAM ポリシーは、そのクラスター内のすべてのインスタンスに適用されます。
Neptune は現在、データプレーンレベルでのクロスアカウントアクセスコントロールをサポートしていません。クロスアカウントアクセスコントロールは、一括ロード時とロールチェーンの使用時にのみサポートされます。詳細については、「[一括ロードのチュートリアル](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account)」を参照してください。
# AWS マネージドポリシーを使用した Amazon Neptune データベースへのアクセス
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、Amazon Neptune 管理 APIsを使用するためのものです。
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)** — ルート AWS アカウントの管理目的とデータアクセス目的の両方で、すべての Neptune リソースへの読み取り専用アクセスを許可します。
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)** — ルート AWS アカウントの管理目的とデータアクセス目的の両方で、すべての Neptune リソースへのフルアクセスを許可します。これは、 AWS CLI または SDK からの完全な Neptune アクセスが必要な場合に推奨されますが、 AWS マネジメントコンソール アクセスには推奨されません。
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)** — ルート AWS アカウントのフルアクセスを、すべての Neptune 管理アクションとリソースに許可しますが、データアクセスアクションやリソースには許可しません。これには、IAM と Amazon EC2 (VPC) の制限されたアクセス許可を含め、コンソールからの Neptune アクセスを簡素化する追加のアクセス許可も含まれます。
+ **[NeptuneGraphReadOnlyAccess](graph-read-only-access-iam-managed-policy.md)** — Amazon Neptune Analytics のすべてのリソースへの読み取り専用アクセスと、依存サービスの読み取り専用アクセス許可を付与します。
+ **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)** — Neptune Analytics グラフで CloudWatch の運用と使用状況のメトリクスとログを公開できるようにします。
Neptune は特定の管理機能のために Amazon RDS とオペレーション技術を共有するため、Neptune IAM のロールおよびポリシーで Amazon RDS リソースへのアクセスを許可します。これには管理 API アクセス許可が含まれるため、Neptune 管理アクションには `rds:` プレフィックスが付いています。
## Neptune AWS 管理ポリシーの更新
次の表は、Neptune がこれらの変更の追跡を開始した時点以降の Neptune 管理ポリシーの更新状況を示しています。
| ポリシー | 説明 | 日付 |
| --- | --- | --- |
| AWS Amazon Neptune の マネージドポリシー - 既存のポリシーの更新 | `NeptuneReadOnlyAcess` および`NeptuneFullAccess` のマネージドポリシーには、`Sid` (ステートメント ID) がポリシーステートメントの識別子として配置されるようになりました。 | 2024-01-22 |
| [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md) (リリース済み) | Neptune Analytics のグラフとリソースへの読み取り専用アクセスを提供するためにリリースされました。 | 2023-11-29 |
| [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md) (リリース済み) | Neptune Analytics のグラフから CloudWatch にアクセスして、運用および使用状況のメトリクスとログを公開できるようにするためにリリースされました。「[Neptune Analytics でのサービスリンクロール (SLR) の使用](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html)」を参照してください。 | 2023-11-29 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md) (追加されたアクセス許可) | Neptune Analytics グラフを操作するために必要なすべてのアクセス権を付与するアクセス許可を追加しました。 | 2023 年 11 月 29 日 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md) (追加されたアクセス許可) | データアクセス用のアクセス許可と新しいグローバルデータベース API 用のアクセス許可を追加しました。 | 2022-07-28 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md) (追加されたアクセス許可) | 新しいグローバルデータベース API のアクセス許可を追加しました。 | 2022-07-21 |
| Neptune は変更の追跡を開始しました | Neptune は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2022-07-21 |
# AWS マネージドポリシーを使用した Amazon Neptune データベース`NeptuneReadOnlyAccess`への の付与
下記の [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess) 管理ポリシーは、管理目的とデータアクセス目的の両方で、すべての Neptune アクションおよびリソースへの読み取り専用アクセスを付与します。
**注記**
このポリシーは 2022 年 7 月 21 日に更新され、読み取り専用のデータアクセスアクセス許可と読み取り専用の管理アクセス許可、およびグローバルデータベースアクションのアクセス許可が含まれるようになりました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
},
{
"Sid": "AllowReadOnlyPermissionsForNeptuneDB",
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
# AWS マネージドポリシーを使用した Amazon Neptune データベース`NeptuneFullAccess`への の付与
下記の [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess) 管理ポリシーは、管理目的とデータアクセス目的の両方で、すべての Neptune アクションおよびリソースへのフルアクセスを付与します。 AWS CLI または SDK からのフルアクセスが必要な場合は推奨されますが、 からのフルアクセスは推奨されません AWS マネジメントコンソール。
**注記**
このポリシーは 2022 年 7 月 21 日に更新され、フルデータアクセスアクセス許可とフル管理アクセス許可、およびグローバルデータベースアクションのアクセス許可が含まれるようになりました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterEndpoint",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterEndpoint",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeDBClusterEndpoints",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:FailoverGlobalCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterEndpoint",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime",
"rds:StartDBCluster",
"rds:StopDBCluster"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowDataAccessForNeptune",
"Effect": "Allow",
"Action": [
"neptune-db:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# AWS 管理ポリシー`NeptuneConsoleFullAccess`を使用した の付与
下記の [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess) 管理ポリシーは、管理目的では、すべての Neptune アクションおよびリソースへのフルアクセスを付与しますが、データアクセス目的では付与しません。これには、IAM と Amazon EC2 (VPC) の制限されたアクセス許可を含め、コンソールからの Neptune アクセスを簡素化する追加のアクセス許可も含まれます。
**注記**
このポリシーは 2023 年 11 月 29 日に更新され、Neptune Analytics グラフを操作するために必要なアクセス許可が含まれるようになりました。
このポリシーは 2022 年 7 月 21 日に更新され、グローバルデータベースアクションのアクセス許可が含まれるようになりました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowManagementPermissionsForNeptuneAnalytics",
"Effect": "Allow",
"Action": [
"neptune-graph:CreateGraph",
"neptune-graph:DeleteGraph",
"neptune-graph:GetGraph",
"neptune-graph:ListGraphs",
"neptune-graph:UpdateGraph",
"neptune-graph:ResetGraph",
"neptune-graph:CreateGraphSnapshot",
"neptune-graph:DeleteGraphSnapshot",
"neptune-graph:GetGraphSnapshot",
"neptune-graph:ListGraphSnapshots",
"neptune-graph:RestoreGraphFromSnapshot",
"neptune-graph:CreatePrivateGraphEndpoint",
"neptune-graph:GetPrivateGraphEndpoint",
"neptune-graph:ListPrivateGraphEndpoints",
"neptune-graph:DeletePrivateGraphEndpoint",
"neptune-graph:CreateGraphUsingImportTask",
"neptune-graph:GetImportTask",
"neptune-graph:ListImportTasks",
"neptune-graph:CancelImportTask"
],
"Resource": [
"arn:aws:neptune-graph:*:*:*"
]
},
{
"Sid": "AllowPassRoleForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "neptune-graph.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "neptune-graph.amazonaws.com"
}
}
}
]
}
```
------
# AWS 管理ポリシー`NeptuneGraphReadOnlyAccess`を使用した の付与
次の [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess) マネージドポリシーは、Amazon Neptune Analytics のすべてのリソースへの読み取り専用アクセスと、依存サービスの読み取り専用アクセス許可を付与します。
このポリシーには以下を実行するための許可が含まれます。
+ **Amazon EC2 の場合** — VPC、サブネット、セキュリティグループ、アベイラビリティーゾーンに関する情報を取得します。
+ **対象 AWS KMS** — KMS キーとエイリアスに関する情報を取得します。
+ **CloudWatch の場合** — CloudWatch メトリクスに関する情報を取得します。
+ **CloudWatch Logs の場合** — CloudWatch のログストリームとイベントに関する情報を取得します。
**注記**
このポリシーは 2023 年 11 月 29 日にリリースされました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForNeptuneGraph",
"Effect": "Allow",
"Action": [
"neptune-graph:Get*",
"neptune-graph:List*",
"neptune-graph:Read*"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
}
]
}
```
------
# `AWSServiceRoleForNeptuneGraphPolicy` を使用することによる Neptune グラフへのアクセス権の付与
次の [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy) マネージドポリシーは、CloudWatch にアクセスして運用および使用状況のメトリクスとログを公開することをグラフに許可します。「[nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html)」を参照してください。
**注記**
このポリシーは 2023 年 11 月 29 日にリリースされました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GraphMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Neptune",
"AWS/Usage"
]
}
}
},
{
"Sid": "GraphLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GraphLogEvents",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# IAM 条件コンテキストキーを使用することによる Amazon Neptune リソースへのアクセス権のカスタマイズ
Neptune 管理アクションおよびリソースへのアクセスを制御する条件を IAM ポリシーで指定できます。ポリシーステートメントは、条件が true の場合にのみ有効です。
例えば、特定の日付の後にのみ適用されるポリシーステートメントや、API リクエストに特定の値が存在する場合のみアクセスが許可されるポリシーステートメントが必要になる場合があります。
条件を表すには、「等しい」や「より小さい」などの [IAM 条件ポリシー演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) とともに、ポリシーステートメントの [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) 要素であらかじめ定義された条件キーを使用します。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、*「IAM ユーザーガイド」*の[「IAM Policy Elements: Variables and Tags」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)(IAM ポリシーの要素: 変数およびタグ) を参照してください。
条件キーのデータ型によって、リクエスト内の値とポリシーステートメント内の値の比較に使用できる条件演算子が決まります。そのデータ型と互換性のない条件演算子を使用した場合、条件は一致しないため、ポリシーステートメントは適用されません。
**Neptune 管理ポリシーステートメントの IAM 条件キー**
+ [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) – Neptune 管理ポリシーステートメントでは、ほとんどの AWS グローバル条件キーを使用できます。
+ [サービス固有の条件キー](iam-admin-condition-keys.md) – 特定の AWS サービス用に定義されたキーです。Neptune が管理ポリシーステートメントでサポートしているものは、[Amazon Neptune を管理するための IAM 条件キー](iam-admin-condition-keys.md) に記載されています。
**データアクセスポリシーステートメントの IAM 条件キー**
+ [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Neptune がデータアクセスポリシーステートメントでサポートするこれらのキーのサブセットは、[AWS データアクセスポリシーステートメントで Neptune がサポートするグローバル条件コンテキストキー](iam-data-condition-keys.md#iam-data-global-condition-keys) に記載されています。
+ Neptune がデータアクセスポリシーステートメント用に定義するサービス固有の条件キーは、[条件キー](iam-data-condition-keys.md) に記載されています。
# Amazon Neptune を管理するためのカスタム IAM ポリシーステートメントの作成
管理ポリシーステートメントを使用すると、IAM ユーザーが Neptune データベースを管理するために実行できる操作を制御できます。
Neptune 管理ポリシーステートメントは、Neptune がサポートする 1 つ以上の[管理アクション](neptune-iam-admin-actions.md)と[管理リソース](iam-admin-resources.md)へのアクセスを付与します。[条件キー](iam-admin-condition-keys.md) を使用して、管理アクセス許可をより具体的にすることもできます。
**注記**
Neptune は Amazon RDS と機能を共有しているため、管理ポリシーステートメントの管理アクション、リソース、およびサービス固有の条件キーは、設計により `rds:` プレフィックスを使用します。
**Topics**
+ [Amazon Neptune を管理するための IAM アクション](neptune-iam-admin-actions.md)
+ [Amazon Neptune を管理するための IAM リソースタイプ](iam-admin-resources.md)
+ [Amazon Neptune を管理するための IAM 条件キー](iam-admin-condition-keys.md)
+ [Amazon Neptune の IAM 管理ポリシーステートメントの作成](iam-admin-policy-examples.md)
# Amazon Neptune を管理するための IAM アクション
IAM ポリシーステートメントの `Action` 要素で以下に示す管理アクションを使用して、[Neptune 管理 API](api.md) へのアクセスを制御できます。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
以下のリストの `Resource type` フィールドは、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。このフィールドに値がない場合は、ポリシーステートメントの `Resource` 要素ですべてのリソース (「\$1」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。Neptune 管理リソースタイプは、[このページ](iam-admin-resources.md)に記載されています。
必須リソースは、下記のリストでアスタリスク (\$1) で示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (つまり、アスタリスクが付いていない) であれば、含める必要はありません。
ここにリストされているフィールドの詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)」の「[アクションテーブル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table)」を参照してください。
## rds:AddRoleToDBCluster
`AddRoleToDBCluster` IAM ロールを Neptune DB クラスターに関連付けるには
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` 既存の Neptune イベント通知サブスクリプションにソース識別子を追加します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:AddTagsToResource
`AddTagsToResource` IAM ロールを Neptune DB クラスターに関連付けるには
*アクセスレベル:* `Write`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` 保留中のメンテナンスアクションをリソースに適用します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:CopyDBClusterParameterGroup
`CopyDBClusterParameterGroup` 指定された DB クラスターパラメータグループをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:CopyDBClusterSnapshot
`CopyDBClusterSnapshot` DB クラスターのスナップショットをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:CopyDBParameterGroup
`CopyDBParameterGroup` 指定された DB パラメータグループをコピーします。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:CreateDBCluster
`CreateDBCluster` 新しい Amazon Neptune DB クラスターを作成します。
*アクセスレベル:* `Tagging`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [neptune-rds\$1DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## rds:CreateDBClusterParameterGroup
`CreateDBClusterParameterGroup`新しい DB クラスターのパラメータグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBClusterSnapshot
`CreateDBClusterSnapshot`DB クラスターのスナップショットを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBInstance
`CreateDBInstance`新しい DB インスタンスを作成します。
*アクセスレベル:* `Tagging`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必須)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBParameterGroup
`CreateDBParameterGroup` は 新しい DB パラメータグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBSubnetGroup
`CreateDBSubnetGroup`新しい DB サブネットグループを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateEventSubscription
`CreateEventSubscription` RDS イベント通知サブスクリプションを作成します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:DeleteDBCluster
`DeleteDBCluster` 既存の Neptune DB クラスターを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DeleteDBClusterParameterGroup
`DeleteDBClusterParameterGroup` 指定された DB クラスターパラメータグループを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DeleteDBClusterSnapshot
`DeleteDBClusterSnapshot` DB クラスタースナップショットを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DeleteDBInstance
`DeleteDBInstance` 指定された DB インスタンスを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:DeleteDBParameterGroup
`DeleteDBParameterGroup` 指定された DBParameterGroup を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DeleteDBSubnetGroup
`DeleteDBSubnetGroup` DB サブネットグループを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:DeleteEventSubscription
`DeleteEventSubscription` イベント通知サブスクリプションを削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeDBClusterParameterGroups
`DescribeDBClusterParameterGroups` DBClusterParameterGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DescribeDBClusterParameters
`DescribeDBClusterParameters` 特定の DB クラスターパラメータグループの詳細なパラメータリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:DescribeDBClusterSnapshotAttributes
`DescribeDBClusterSnapshotAttributes` 手動の DB クラスタースナップショットの DB クラスタースナップショットの属性名と値のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:DescribeDBClusterSnapshots
`DescribeDBClusterSnapshots` DB クラスタースナップショットに関する情報を返します。
*アクセスレベル:* `Read`。
## rds:DescribeDBClusters
`DescribeDBClusters` プロビジョニングされた Neptune DB クラスターに関する情報を返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:DescribeDBEngineVersions
`DescribeDBEngineVersions` 利用可能な DB エンジンのリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBInstances
`DescribeDBInstances` すべての DB インスタンスに関する情報を返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeDBParameterGroups
`DescribeDBParameterGroups` DBParameterGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBParameters
`DescribeDBParameters` 特定の DB パラメータグループの詳細なパラメータリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:DescribeDBSubnetGroups
`DescribeDBSubnetGroups` DBSubnetGroup の説明のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:DescribeEventCategories
`DescribeEventCategories` すべてのイベントソースタイプか、指定されている場合は、指定されたソースタイプのイベントカテゴリのリストを返します。
*アクセスレベル:* `List`。
## rds:DescribeEventSubscriptions
`DescribeEventSubscriptions`顧客アカウントのサブスクリプションの説明をすべて表示します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeEvents
`DescribeEvents` DB インスタンス、DB セキュリティグループ、DB スナップショット、DB パラメータグループに関連する過去 14 日間のイベントを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:DescribeOrderableDBInstanceOptions
`DescribeOrderableDBInstanceOptions` 指定されたエンジンの注文可能な DB インスタンスオプションのリストを返します。
*アクセスレベル:* `List`。
## rds:DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` 少なくとも 1 つの保留中のメンテナンスアクションを含むリソース (例: DB インスタンス) のリストを返します。
*アクセスレベル:* `List`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:DescribeValidDBInstanceModifications
`DescribeValidDBInstanceModifications` DB インスタンスに加えることができる変更を一覧表示します。
*アクセスレベル:* `List`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:FailoverDBCluster
`FailoverDBCluster` DB クラスターのフェイルオーバーを強制実行します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:ListTagsForResource
`ListTagsForResource` Amazon Neptune リソースのすべてのタグを一覧表示します。
*アクセスレベル:* `Read`。
*リソースタイプ:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## rds:ModifyDBCluster
`ModifyDBCluster`
Neptune DB クラスターの設定を変更します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ModifyDBClusterParameterGroup
`ModifyDBClusterParameterGroup` DB クラスターパラメータグループのパラメータを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ModifyDBClusterSnapshotAttribute
`ModifyDBClusterSnapshotAttribute` 属性および値を、手動 DB クラスタースナップショットに追加するか、ここから属性および値を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
## rds:ModifyDBInstance
`ModifyDBInstance` DB インスタンスの設定を変更します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必須)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:ModifyDBParameterGroup
`ModifyDBParameterGroup` DB パラメータグループのパラメータを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:ModifyDBSubnetGroup
`ModifyDBSubnetGroup` 既存の DB サブネットグループを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
## rds:ModifyEventSubscription
`ModifyEventSubscription` 既存の RDS イベント通知サブスクリプションを変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## RDS:RebootDBInstance
`RebootDBInstance` インスタンスを再起動すると、データベースエンジンサービスが再起動されます。
*アクセスレベル:* `Write`。
*リソースタイプ:* [db](iam-admin-resources.md#neptune-db-resource) (必須)。
## rds:RemoveRoleFromDBCluster
`RemoveRoleFromDBCluster` は、Amazon Neptune DB クラスターから AWS Identity and Access Management (IAM) ロールの関連付けを解除します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` 既存のイベント通知サブスクリプションからソース識別子を削除します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [es](iam-admin-resources.md#neptune-es-resource) (必須)。
## rds:RemoveTagsFromResource
`RemoveTagsFromResource` Neptune リソースからメタデータタグを削除します。
*アクセスレベル:* `Tagging`。
*リソースタイプ:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ResetDBClusterParameterGroup
`ResetDBClusterParameterGroup` DB クラスターパラメータグループのパラメータをデフォルト値に変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必須)。
## rds:ResetDBParameterGroup
`ResetDBParameterGroup` はDB パラメータグループのパラメータをエンジン/システムのデフォルト値に変更します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [pg](iam-admin-resources.md#neptune-pg-resource) (必須)。
## rds:RestoreDBClusterFromSnapshot
`RestoreDBClusterFromSnapshot` DB クラスタースナップショットから新しい DB クラスターを作成します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [クラスタースナップショット](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:RestoreDBClusterToPointInTime
`RestoreDBClusterToPointInTime` DB クラスターを任意の時点に復元します。
*アクセスレベル:* `Write`。
*依存アクション* `iam:PassRole`。
*リソースタイプ:*
+ [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必須)。
*条件キー:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:StartDBCluster
`StartDBCluster`指定された DB クラスターを起動します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
## rds:StopDBCluster
`StopDBCluster`指定された DB クラスターを停止します。
*アクセスレベル:* `Write`。
*リソースタイプ:* [クラスター](iam-admin-resources.md#neptune-cluster-resource) (必須)。
# Amazon Neptune を管理するための IAM リソースタイプ
Neptune は、次の表のリソースタイプをサポートしており、IAM 管理ポリシーステートメントの `Resource` 要素で使うことができます。`Resource` 要素の詳細については、「[IAM JSON ポリシーの要素: リソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)」を参照してください。
[Neptune 管理アクションのリスト](neptune-iam-admin-actions.md)は、各アクションで指定できるリソースタイプを示しています。リソースタイプは、次の表最後の列で指定されているように、ポリシーに含めることができる条件キーを決定します。
下の表の `ARN` 列は、このタイプのリソースの参照に使用する必要がある Amazon リソースネーム (ARN) の形式を指定しています。` $ ` で始まる部分は、お客様の状況で実際の値に置き換える必要があります。例えば、ARN に `$user-name` と表示されている場合は、その文字列を実際の IAM ユーザー名か、IAM ユーザー名を含むポリシー変数に置き換える必要があります。ARN の詳細については、「[IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)」と「[Amazon Neptune で ARN を使用する](tagging-arns.md)」を参照してください。
` Condition Keys ` 列では、このリソースとサポートするアクションの両方がステートメントに含まれている場合にのみ IAM ポリシーステートメントに含むことができる条件コンテキストキーを指定します。
****
| リソースタイプ | ARN | 条件キー |
| --- | --- | --- |
| `cluster` (DB クラスター) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (DB クラスターのパラメータグループ) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (DB クラスタースナップショット) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-snapshot-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (DB インスタンス) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds:DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (イベントサブスクリプション) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: es-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (DB パラメータグループを編集する) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (DB サブネットグループ) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Amazon Neptune を管理するための IAM 条件キー
[条件キーを使用すると](security-iam-access-manage.md#iam-using-condition-keys)、IAM ポリシーステートメントで条件を指定して、条件が満たされた場合にのみステートメントが有効になるようにすることができます。Neptune 管理ポリシーステートメントで使用できる条件キーは、次のカテゴリに分類されます。
+ [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) – これらは、 AWS サービスでの一般的な使用 AWS のために で定義されます。ほとんどは Neptune 管理ポリシーステートメントで使用できます。
+ [管理リソースプロパティ条件キー](#iam-rds-property-condition-keys) — [以下に](#iam-rds-property-condition-keys)示すこれらのキーは、管理リソースのプロパティに基づいています。
+ [タグベースのアクセス条件キー](#iam-rds-tag-based-condition-keys) — [以下に](#iam-rds-tag-based-condition-keys)示すこれらのキーは、管理リソースに付けられた [AWS タグ](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)に基づいています。
## Neptune 管理リソースプロパティの条件キー
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| rds:DatabaseClass | DB インスタンスクラスのタイプによってアクセスをフィルタリングします。 | String |
| rds:DatabaseEngine | データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 | 文字列 |
| rds:DatabaseName | DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 | 文字列 |
| rds:EndpointType | エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 | String |
| rds:Vpc | DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 | ブール値 |
## 管理タグベースの条件キー
Amazon Neptune では、カスタムタグを使用して IAM ポリシーで条件を指定することがサポートされており、[管理 API リファレンス](api.md) を介して Neptune へのアクセスを制御します。
たとえば、DB インスタンスに `environment` という名前のタグを追加するとします。`beta`、`staging`、および `production` のような値を使用します。そのタグの値に基づいてインスタンスへのアクセスを制限するポリシーを作成できます。
**重要**
タグを使用して Neptune リソースへのアクセスを管理する場合は、タグへのアクセスを保護してください。`AddTagsToResource` および `RemoveTagsFromResource` アクションのポリシーを作成することによって、タグへのアクセスを制限できます。
例えば、次のポリシーは、ユーザーがすべてのリソースのタグを追加または削除することを拒否します。次に、特定のユーザーがタグを追加または削除することを許可するポリシーを作成できます。
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
以下のタグベースの条件キーは、管理ポリシーステートメント内の管理リソースでのみ機能します。
**タグベースの管理条件キー**
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | リクエスト内のタグキーと値のペアの有無に基づいてアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | リソースにアタッチされているタグキーと値のペアに基づいてアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | リクエスト内のタグキーの有無に基づいてアクセスをフィルタリングします | String |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | DB クラスターパラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | DB クラスタースナップショットにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:cluster-tag/\$1\$1TagKey\$1 | DB クラスターにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:db-tag/\$1\$1TagKey\$1 | DB インスタンスにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:es-tag/\$1\$1TagKey\$1 | イベントサブスクリプションにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:pg-tag/\$1\$1TagKey\$1 | DB パラメータグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:req-tag/\$1\$1TagKey\$1 | リソースにタグを付けるために使用できるタグキーと値のセットによってアクセスをフィルタリングします。 | String |
| rds:secgrp-tag/\$1\$1TagKey\$1 | DB セキュリティグループにアタッチされたタグによってアクセスをフィルタリングします。 | String |
| rds:snapshot-tag/\$1\$1TagKey\$1 | DB スナップショットにアタッチされたタグによってアクセスをフィルタリングします | String |
| rds:subgrp-tag/\$1\$1TagKey\$1 | DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 | String |
# Amazon Neptune の IAM 管理ポリシーステートメントの作成
## 一般的な管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可を付与する Neptune 管理ポリシーを作成する方法を示しています。
### IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシー
以下は、IAM ユーザーが指定した DB インスタンスを削除できないようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### 新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが指定された Neptune DB クラスターに DB インスタンスを作成できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### 特定の DB パラメータグループを使用する新しい DB インスタンスを作成するアクセス許可を付与するポリシー
以下は、IAM ユーザーが、指定された DB パラメータグループのみを使用して、指定された Neptune DB クラスター内の指定された DB クラスター (ここでは `us-west-2`) に DB インスタンスを作成することを許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### リソースを記述するアクセス許可を付与するポリシー
以下は、IAM ユーザーが任意の Neptune リソースを記述できるようにするポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## タグベースの管理ポリシーの例
以下の例は、DB クラスターに対してさまざまな管理アクションを実行するためのアクセス許可をフィルタリングするタグを付ける Neptune 管理ポリシーを作成する方法を示しています。
### 例 1: 複数の値を取ることができるカスタムタグを使用して、リソースに対するアクションにアクセス許可を付与する
以下のポリシーでは、`ModifyDBInstance`、`CreateDBInstance`または`DeleteDBInstance` API を `dev` または `test` どちらかに設定した`env` タグを持つある DB インスタンスで使用できます。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 2: リソースにタグを付けるために使用できるタグキーと値のセットを制限する
このポリシーでは、`Condition` キーを使って、キー `env` を持つタグと、リソースに追加する `test`、`qa`、または `dev` の値の使用を許可します。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 例 3: `aws:ResourceTag` に基づいて Neptune リソースへのフルアクセスを許可する
以下のポリシーは、上記の最初の例と似ていますが、代わりに `aws:ResourceTag` を使います。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
# Amazon Neptune のデータにアクセスするためのカスタム IAM ポリシーステートメントの作成
Neptune データアクセスポリシーステートメントは、[データアクセスアクション](iam-dp-actions.md)、[リソース](iam-data-resources.md)、および[条件キー](iam-data-condition-keys.md#iam-neptune-condition-keys)を使用し、これらはすべて `neptune-db:` プレフィックスが付きます。
**Topics**
+ [Neptune データアクセスポリシーステートメントでのクエリアクションの使用](#iam-data-query-actions)
+ [Amazon Neptune でのデータアクセスのための IAM アクション](iam-dp-actions.md)
+ [Amazon Neptune のデータにアクセスするための IAM リソースタイプ](iam-data-resources.md)
+ [Amazon Neptune のデータにアクセスするための IAM 条件キー](iam-data-condition-keys.md)
+ [Amazon Neptune での IAM データアクセスポリシーの作成](iam-data-access-examples.md)
## Neptune データアクセスポリシーステートメントでのクエリアクションの使用
データアクセスポリシーステートメントで使用できる Neptune クエリアクションには、`ReadDataViaQuery`、`WriteDataViaQuery`、`DeleteDataViaQuery` の 3 つがあります。特定のクエリには、これらのアクションを複数実行するためのアクセス許可が必要な場合があり、クエリを実行するためにこれらのアクションのどの組み合わせを許可する必要があるかが常に明確であるとは限りません。
クエリを実行する前に、Neptune はクエリの各ステップを実行するのに必要なアクセス許可を決定し、それらを組み合わせてクエリに必要なアクセス許可のフルセットにします。このフルセットのアクセス許可には、クエリが実行する*可能性のある*すべてのアクションが含まれますが、必ずしもクエリがデータに対して実際に実行するアクションのセットではないことに注意してください。
つまり、特定のクエリの実行を許可するには、そのクエリが実際に実行するかどうかにかかわらず、そのクエリが実行する可能性のあるすべてのアクションにアクセス許可を与える必要があります。
以下に、Gremlin クエリの例をいくつか示します。これについてさらに詳しく説明しています。
+
```
g.V().count()
```
`g.V()` および `count()` は読み取りアクセスだけを必要とするため、クエリ全体として必要なのは `ReadDataViaQuery` アクセスのみです。
+
```
g.addV()
```
`addV()` は、新しい ID の頂点を挿入する前に、特定の ID の頂点が存在するかどうかを確認する必要があります。つまり、`ReadDataViaQuery` と `WriteDataViaQuery` の両方のアクセスが必要です。
+
```
g.V('1').as('a').out('created').addE('createdBy').to('a')
```
`g.V('1').as('a')` と `out('created')` は読み取りアクセスのみを必要としますが、`addE().from('a')` は読み取りと書き込みの両方のアクセスを必要とします。`addE()` は `from` を読み取る必要があり、`to` は新しい ID のエッジを追加する前に、同じ ID のエッジが既に存在するかどうかを確認する必要があるためです。そのため、クエリ全体としては、`ReadDataViaQuery` と `WriteDataViaQuery` の両方のアクセスが必要です。
+
```
g.V().drop()
```
`g.V()` は読み取りアクセスのみを必要とします。`drop()` は頂点またはエッジを削除する前にそれらを読み取る必要があるため、読み取りアクセスと削除アクセスの両方が必要です。そのため、クエリ全体としては `ReadDataViaQuery` と `DeleteDataViaQuery` の両方のアクセスが必要です。
+
```
g.V('1').property(single, 'key1', 'value1')
```
`g.V('1')` は読み取りアクセスのみを必要としますが、`property(single, 'key1', 'value1')` は読み取り、書き込み、および削除アクセスを必要とします。ここでは、`property()` ステップは、頂点にまだ存在しない場合はキーと値を挿入しますが、既に存在する場合は、既存のプロパティ値を削除し、代わりに新しい値を挿入します。したがって、クエリ全体としては、`ReadDataViaQuery`、`WriteDataViaQuery`、および `DeleteDataViaQuery` アクセスが必要です。
`property()` ステップを含むクエリには、`ReadDataViaQuery`、`WriteDataViaQuery`、および `DeleteDataViaQuery` アクセス許可が必要です。
openCypher の例をいくつか示します。
+
```
MATCH (n)
RETURN n
```
このクエリはデータベース内のすべてのノードを読み込んで返します。必要なのは `ReadDataViaQuery` アクセスだけです。
+
```
MATCH (n:Person)
SET n.dept = 'AWS'
```
このクエリには、`ReadDataViaQuery`、`WriteDataViaQuery`、および `DeleteDataViaQuery` アクセスが必要です。「Person」というラベルの付いたすべてのノードを読み取り、キー `dept` と値 `AWS` を持つ新しいプロパティを追加するか、`dept` プロパティが既に存在する場合は、古い値を削除して、代わりに `AWS` を挿入します。また、設定する値が `null` の場合、`SET` はプロパティをすべて削除します。
`SET` 句は既存の値を削除しなければならない場合があるため、**常に** `DeleteDataViaQuery` アクセス許可だけでなく `ReadDataViaQuery` および `WriteDataViaQuery` アクセス許可も必要です。
+
```
MATCH (n:Person)
DETACH DELETE n
```
このクエリには `ReadDataViaQuery` および `DeleteDataViaQuery` アクセス許可が必要です。ラベル `Person` の付いたノードをすべrて検索し、それらのノードに接続されているエッジや関連するラベルやプロパティとともに削除します。
+
```
MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'})
RETURN n
```
このクエリには `ReadDataViaQuery` および `WriteDataViaQuery` アクセス許可が必要です。`MERGE` 句は、指定されたパターンと一致するか、それを作成します。パターンが一致しないと書き込みが発生する可能性があるため、読み取りアクセス許可だけでなく書き込みアクセス許可も必要です。
# Amazon Neptune でのデータアクセスのための IAM アクション
Neptune データアクセスアクションにはプレフィックス `neptune-db:` が付いていますが、Neptune の管理アクションにはプレフィックス `rds:` が付いていることに注意してください。
IAM でのデータの Amazon リソースネーム (ARN) は、作成時にクラスターに割り当てられた ARN とは異なります。「[データリソースの指定](iam-data-resources.md)」に示されているように ARN を構築する必要があります。このようなデータリソース ARN では、ワイルドカードを使用して複数のリソースを含めることができます。
データアクセスポリシーステートメントには、クエリ言語によってアクセスを制限するための [neptune-db:QueryLanguage](iam-data-condition-keys.md#iam-neptune-condition-keys) 条件キーを含めることもできます。
[リリース: 1.2.0.0 (2022-07-21)](engine-releases-1.2.0.0.md) 以降、Neptune は 1 つ以上の[特定の Neptune アクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html)へのアクセス許可の制限をサポートしています。これにより、以前よりもきめ細かなアクセスコントロールが可能になります。
**重要**
IAM ポリシーへの変更は、指定された Neptune リソースへの適用に最大で 10 分かかります。
Neptune DB クラスターに適用された IAM ポリシーは、そのクラスター内のすべてのインスタンスに適用されます。
## *クエリベースのデータアクセスアクション*
**注記**
クエリは、処理するデータによっては複数のアクションを実行することがあるため、特定のクエリを実行するためにどのようなアクセス許可が必要かが常に明確であるとは限りません。詳細については「[クエリアクションの使用](iam-data-access-policies.md#iam-data-query-actions)」を参照してください。
## `neptune-db:ReadDataViaQuery`
`ReadDataViaQuery` を使用すると、ユーザーは、クエリを送信して Neptune データベースからデータを読み取ることができます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*アクションコンテキストキー*: `neptune-db:QueryLanguage`。
*必要なリソース:* データベース。
## `neptune-db:WriteDataViaQuery`
`WriteDataViaQuery` を使用すると、ユーザーは、クエリを送信して Neptune データベースにデータを書き込むことができます。
*アクショングループ:* 読み取り/書き込み。
*アクションコンテキストキー*: `neptune-db:QueryLanguage`。
*必要なリソース:* データベース。
## `neptune-db:DeleteDataViaQuery`
`DeleteDataViaQuery` を使用すると、ユーザーは、クエリを送信して Neptune データベースからデータを削除できます。
*アクショングループ:* 読み取り/書き込み。
*アクションコンテキストキー*: `neptune-db:QueryLanguage`。
*必要なリソース:* データベース。
## `neptune-db:GetQueryStatus`
`GetQueryStatus` を使用すると、ユーザーは、すべてのアクティブなクエリのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*アクションコンテキストキー*: `neptune-db:QueryLanguage`。
*必要なリソース:* データベース。
## `neptune-db:GetStreamRecords`
`GetStreamRecords` を使用すると、ユーザーは、Neptune からストリームレコードを取得できます。
*アクショングループ:* 読み取り/書き込み。
*アクションコンテキストキー*: `neptune-db:QueryLanguage`。
*必要なリソース:* データベース。
## `neptune-db:CancelQuery`
`CancelQuery` を使用すると、ユーザーは、クエリをキャンセルできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## *一般的なデータアクセスアクション*
## `neptune-db:GetEngineStatus`
`GetEngineStatus` を使用すると、ユーザーは、Neptune エンジンのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetStatisticsStatus`
`GetStatisticsStatus` を使用すると、ユーザーは、データベースについて収集されている統計のステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetGraphSummary`
`GetGraphSummary` グラフサマリー API では、グラフの読み取り専用サマリーを取得できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ManageStatistics`
`ManageStatistics` では、ユーザーは、データベースの統計収集を管理できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:DeleteStatistics`
`DeleteStatistics` では、ユーザーは、データベースのすべての統計を削除できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ResetDatabase`
`ResetDatabase` では、ユーザーは、リセットに必要なトークンを取得し、Neptune データベースをリセットできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## *バルクローダーのデータアクセスアクション*
## `neptune-db:StartLoaderJob`
`StartLoaderJob` では、ユーザーは、バルクローダージョブを開始できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetLoaderJobStatus`
`GetLoaderJobStatus` では、ユーザーは、バルクローダージョブのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ListLoaderJobs`
`ListLoaderJobs` では、ユーザーは、すべてのバルクローダージョブを一覧表示できます。
*アクショングループ:* リスト専用、読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:CancelLoaderJob`
`CancelLoaderJob` では、ユーザーは、ローダージョブをキャンセルできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## *機械学習データアクセスアクション*
## `neptune-db:StartMLDataProcessingJob`
`StartMLDataProcessingJob` では、ユーザーは、Neptune ML データ処理ジョブを開始できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:StartMLModelTrainingJob`
`StartMLModelTrainingJob` では、ユーザーは、ML モデルトレーニングジョブを開始できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:StartMLModelTransformJob`
`StartMLModelTransformJob` では、ユーザーは、ML モデル変換ジョブを開始できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:CreateMLEndpoint`
`CreateMLEndpoint` では、ユーザーは、Neptune ML エンドポイントを作成できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetMLDataProcessingJobStatus`
`GetMLDataProcessingJobStatus` では、ユーザーは、Neptune ML データ処理ジョブのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetMLModelTrainingJobStatus`
`GetMLModelTrainingJobStatus` では、ユーザーは、Neptune ML モデルトレーニングジョブのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetMLModelTransformJobStatus`
`GetMLModelTransformJobStatus` では、ユーザーは、Neptune ML モデル変換ジョブのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:GetMLEndpointStatus`
`GetMLEndpointStatus` では、ユーザーは、Neptune ML エンドポイントのステータスを確認できます。
*アクショングループ:* 読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ListMLDataProcessingJobs`
`ListMLDataProcessingJobs` では、ユーザーは、Neptune ML データ処理ジョブをすべて一覧表示できます。
*アクショングループ:* リスト専用、読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ListMLModelTrainingJobs`
`ListMLModelTrainingJobs` では、ユーザーは、Neptune ML モデルトレーニングジョブをすべて一覧表示できます。
*アクショングループ:* リスト専用、読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ListMLModelTransformJobs`
`ListMLModelTransformJobs` では、ユーザーは、すべての ML モデルの変換ジョブを一覧表示できます。
*アクショングループ:* リスト専用、読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:ListMLEndpoints`
`ListMLEndpoints` では、ユーザーは、すべての Neptune ML エンドポイントを一覧表示できます。
*アクショングループ:* リスト専用、読み取り専用、読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:CancelMLDataProcessingJob`
`CancelMLDataProcessingJob` では、ユーザーは、Neptune ML データ処理ジョブをキャンセルできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:CancelMLModelTrainingJob`
`CancelMLModelTrainingJob` では、ユーザーは、Neptune ML モデルトレーニングジョブをキャンセルできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:CancelMLModelTransformJob`
`CancelMLModelTransformJob` では、ユーザーは、Neptune ML モデル変換ジョブをキャンセルできます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
## `neptune-db:DeleteMLEndpoint`
`DeleteMLEndpoint` では、ユーザーは、Neptune ML エンドポイントを削除できます。
*アクショングループ:* 読み取り/書き込み。
*必要なリソース:* データベース。
# Amazon Neptune のデータにアクセスするための IAM リソースタイプ
データリソースには、データアクションと同様に、`neptune-db:` プレフィックスがあります。
Neptune データアクセスポリシーでは、アクセスを許可する DB クラスターを次の形式で ARN で指定します。
```
arn:aws:neptune-db:region:account-id:cluster-resource-id/*
```
このようなリソース ARN には次のパートが含まれます。
+ `region` は Amazon Neptune DB クラスターの AWS リージョンです。
+ `account-id` は DB クラスターの A AWS アカウント番号です。
+ `cluster-resource-id` は DB クラスターのリソース ID です。
**重要**
`cluster-resource-id` はクラスター識別子とは異なります。Neptune でクラスターリソース ID を検索するには AWS マネジメントコンソール、該当する DB クラスター**の設定**セクションを参照してください。
# Amazon Neptune のデータにアクセスするための IAM 条件キー
[条件キーを使用すると](security-iam-access-manage.md#iam-using-condition-keys)、IAM ポリシーステートメントで条件を指定して、条件が満たされた場合にのみステートメントが有効になるようにすることができます。
Neptune データアクセスポリシーステートメントで使用できる条件キーは、次のカテゴリに分類されます。
+ [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) – Neptune がデータアクセスポリシーステートメントでサポートする AWS グローバル条件キーのサブセットを[以下](#iam-data-global-condition-keys)に示します。
+ [サービス固有の条件キー](#iam-neptune-condition-keys) — これらは Neptune がデータアクセスポリシーステートメントで使用するために特別に定義したキーです。現在は [neptune-db:QueryLanguage](#neptune-db-query-language) の 1 つだけであり、特定のクエリ言語が使用されている場合にのみアクセスを許可します。
## AWS データアクセスポリシーステートメントで Neptune がサポートするグローバル条件コンテキストキー
次の表は、Amazon Neptune がデータアクセスポリシーステートメントでの使用をサポートしている [AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)のサブセットを示しています。
**データアクセスポリシーステートメントで使用できるグローバル条件キー**
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | リクエストの現在日時によってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | UNIX エポック値として表されるリクエストの日付と時刻によってアクセスをフィルタリングします。 | Numeric |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | リクエスト元のプリンシパルが属するアカウントによってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | リクエストを実行したプリンシパルの ARN によってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | 呼び出しが AWS サービスプリンシパルによって直接行われている場合にのみアクセスを許可します。 | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | リクエスト元のプリンシパルが属する AWS Organizations 内の組織の識別子でアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | リクエストを行うプリンシパルの AWS Organizations パスでアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | リクエストを行っているプリンシパルに付けられたタグによってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | リクエストを行っているプリンシパルのタイプによってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | リクエストで呼び出された AWS リージョンでアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | リクエストが SSL を使用して送信された場合にのみアクセスを許可します。 | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | リクエスタの IP アドレスによってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | 一時的セキュリティ認証情報が発行された日付と時刻によってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | リクエスタのクライアントアプリケーションによってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | リクエスタのプリンシパル識別子によってアクセスをフィルタリングします。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | AWS サービスがユーザーに代わってリクエストを行った場合にのみアクセスを許可します。 | Boolean |
## Neptune サービス固有の条件キー
Neptune は IAM ポリシーについて、以下のサービス固有の条件キーをサポートします。
**Neptune サービス固有の条件キー**
| 条件キー | 説明 | タイプ |
| --- | --- | --- |
| neptune-db:QueryLanguage | 使用されているクエリ言語によってアクセスをフィルタリングします。 有効な値は、`Gremlin`、`OpenCypher`、`Sparql` です。 サポートされるアクションは、`ReadDataViaQuery`、`WriteDataViaQuery`、`DeleteDataViaQuery`、`GetQueryStatus`、および `CancelQuery` です。 | String |
# Amazon Neptune での IAM データアクセスポリシーの作成
以下の例は、Neptune [エンジンリリースバージョン 1.2.0.0](engine-releases-1.2.0.0.md) で導入された、データプレーン API とアクションのきめ細かいアクセスコントロールを使用するカスタム IAM ポリシーを作成する方法を示しています。
## Neptune DB クラスター内のデータへの無制限アクセスを許可するポリシーの例
次のサンプルポリシーは、IAM ユーザーが IAM データベース認証を使用して Neptune DB クラスターに接続し、「`*`」文字を使用して使用可能なすべてのアクションに一致するのを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
上記のリソースセクションには、Neptune の IAM 認証に固有の形式であるリソース ARN が含まれます。ARN を作成するには、「[データリソースの指定](iam-data-resources.md)」を参照してください。IAM 承認 `Resource` に使用される ARN は、クラスターの作成時に割り当てられる ARN とは異なることに注意してください。
## Neptune DB クラスターへの読み取り専用アクセスを許可するポリシーの例
以下のポリシーは、Neptune DB クラスター内のデータへの完全な読み取り専用アクセスのためのアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Neptune DB クラスターへのすべてのアクセスを拒否するポリシーの例
デフォルトの IAM アクションでは、`Allow` *Effect* が付与されない限り、DB クラスターへのアクセスが拒否されます。ただし、次のポリシーでは、特定の AWS アカウントとリージョンの DB クラスターへのすべてのアクセスを拒否します。このアクセスは、`Allow`効果よりも優先されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## クエリを通じて読み取りアクセスを許可するポリシーの例
次のポリシーは、クエリを使用して Neptune DB クラスターから読み取るアクセス許可のみを付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:ReadDataViaQuery",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Gremlin クエリのみを許可するポリシーの例
次のポリシーは、`neptune-db:QueryLanguage` 条件キーを使用して、Gremlin クエリ言語のみを使用して Neptune をクエリするアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage": "Gremlin"
}
}
}
]
}
```
------
## Neptune ML モデル管理を除くすべてのアクセスを許可するポリシーの例
次のポリシーは、Neptune ML モデル管理機能を除く Neptune グラフ操作へのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelLoaderJob",
"neptune-db:CancelQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:DeleteStatistics",
"neptune-db:GetEngineStatus",
"neptune-db:GetLoaderJobStatus",
"neptune-db:GetQueryStatus",
"neptune-db:GetStatisticsStatus",
"neptune-db:GetStreamRecords",
"neptune-db:ListLoaderJobs",
"neptune-db:ManageStatistics",
"neptune-db:ReadDataViaQuery",
"neptune-db:ResetDatabase",
"neptune-db:StartLoaderJob",
"neptune-db:WriteDataViaQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Neptune ML モデル管理へのアクセスを許可するポリシーの例
このポリシーは、Neptune ML モデル管理機能へのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelMLDataProcessingJob",
"neptune-db:CancelMLModelTrainingJob",
"neptune-db:CancelMLModelTransformJob",
"neptune-db:CreateMLEndpoint",
"neptune-db:DeleteMLEndpoint",
"neptune-db:GetMLDataProcessingJobStatus",
"neptune-db:GetMLEndpointStatus",
"neptune-db:GetMLModelTrainingJobStatus",
"neptune-db:GetMLModelTransformJobStatus",
"neptune-db:ListMLDataProcessingJobs",
"neptune-db:ListMLEndpoints",
"neptune-db:ListMLModelTrainingJobs",
"neptune-db:ListMLModelTransformJobs",
"neptune-db:StartMLDataProcessingJob",
"neptune-db:StartMLModelTrainingJob",
"neptune-db:StartMLModelTransformJob"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## クエリのフルアクセスを許可するポリシーの例
次のポリシーは、Neptune グラフクエリ操作へのフルアクセスを許可しますが、高速リセット、ストリーム、バルクローダー、Neptune ML モデル管理などの機能へのアクセスは許可しません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Gremlin クエリにのみフルアクセスを許可するポリシーの例
次のポリシーは、Gremlin クエリ言語を使用した Neptune グラフクエリ操作へのフルアクセスを許可しますが、他の言語でのアクセスや、高速リセット、ストリーム、バルクローダー、Neptune ML モデル管理などの機能へのアクセスは許可しません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": [
"arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
],
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage":"Gremlin"
}
}
}
]
}
```
------
## 高速リセット以外のフルアクセスを許可するポリシーの例
次のポリシーは、高速リセットの使用を除き、Neptune DB クラスターへのフルアクセスを付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
},
{
"Effect": "Deny",
"Action": "neptune-db:ResetDatabase",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------