View a markdown version of this page

AWS マネージドポリシーを使用した Amazon Neptune データベースへのアクセス - Amazon Neptune
カスタムポリシーポリシーの検証更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージドポリシーを使用した Amazon Neptune データベースへのアクセス

AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、Amazon Neptune 管理 APIsを使用するためのものです。

  • NeptuneReadOnlyAccess — すべての Neptune リソースに対して、読み取り専用の管理アクション ( rds:Describe* や などrds:ListTagsForResource) と読み取り専用のデータアクセスアクション (neptune-db:Read*neptune-db:Get*neptune-db:List*) を付与します。このポリシーは、クラスター設定を表示し、変更を加えずにデータをクエリする必要があるユーザーに使用します。

  • NeptuneFullAccess — すべての管理アクション (rds:*Neptune リソース) とすべてのデータアクセスアクション () を付与しますneptune-db:*。このポリシーは、 AWS CLI または SDK を介して Neptune クラスターを管理するが、 AWS マネジメントコンソール アクセスを必要としない管理者に適しています。

  • NeptuneConsoleFullAccess — Neptune リソースに対するすべての管理アクションに加えて、 AWS マネジメントコンソール ワークフローに必要な Amazon EC2 (VPC)、IAM、Neptune Analytics に対する追加のアクセス許可を付与します。このポリシーには、データアクセスアクション () は含まれませんneptune-db:*。 AWS マネジメントコンソールを使用して Neptune を管理するユーザーには、このポリシーを使用します。

  • NeptuneGraphReadOnlyAccess — このポリシーは Neptune Analytics 用です。詳細については、NeptuneGraphReadOnlyAccess」を参照してください。

  • AWSServiceRoleForNeptuneGraphPolicy — このポリシーは Neptune Analytics 用です。詳細については、NepAWSServiceRoleForNeptuneGraphPolicy」を参照してください。

Neptune は特定の管理機能のために Amazon RDS とオペレーション技術を共有するため、Neptune IAM のロールおよびポリシーで Amazon RDS リソースへのアクセスを許可します。これには管理 API アクセス許可が含まれるため、Neptune 管理アクションには rds: プレフィックスが付いています。

カスタムポリシーの作成

AWS マネージドポリシーがユースケースに対して広すぎる場合は、必要な特定のアクセス許可のみを付与するカスタム IAM ポリシーを作成できます。Neptune は 2 つのカテゴリのカスタムポリシーをサポートしています。

  • 管理ポリシー — クラスターやインスタンスの作成、変更、削除などの Neptune 管理オペレーションへのアクセスを制御します。これらのアクションでは、 rds: プレフィックスを使用します。例については、Amazon Neptune の IAM 管理ポリシーステートメントの作成 を参照してください。

  • データアクセスポリシー — 読み取り、書き込み、削除オペレーションなど、Neptune グラフデータベース内のデータへのアクセスを制御します。これらのアクションでは、 neptune-db: プレフィックスを使用します。例については、Amazon Neptune での IAM データアクセスポリシーの作成 を参照してください。

管理ポリシーステートメントとデータアクセスポリシーステートメントを組み合わせることで、組織内の各ユーザーまたはロールに合わせたきめ細かなアクセス許可を付与できます。

IAM ポリシーの検証

カスタム IAM ポリシーを作成または編集するときは、ユーザー、グループ、またはロールに適用する前に検証することをお勧めします。

IAM Access Analyzer ポリシーの検証 — IAM Access Analyzer は、IAM ポリシーの文法と AWS ベストプラクティスに照らして IAM ポリシーを検証するポリシーチェックを提供します。機能し、セキュリティのベストプラクティスに準拠するポリシーの作成に役立つエラー、セキュリティ警告、提案を特定します。詳細については、IAM ユーザーガイドの「IAM Access Analyzer を使用したポリシーの検証」を参照してください。

IAM Policy Simulator — IAM Policy Simulator を使用すると、IAM ポリシーの効果を本番環境にコミットする前にテストできます。 AWS サービスへの API コールをシミュレートして、ポリシーが期待されるアクセスを許可または拒否することを確認できます。詳細については、IAM ユーザーガイドの「IAM Policy Simulator を使用した IAM ポリシーのテスト」を参照してください。

Neptune AWS 管理ポリシーの更新

次の表は、Neptune がこれらの変更の追跡を開始した時点以降の Neptune 管理ポリシーの更新状況を示しています。

ポリシー 説明 日付

AWS Amazon Neptune の マネージドポリシー - 既存のポリシーの更新

NeptuneReadOnlyAcess およびNeptuneFullAccess のマネージドポリシーには、Sid (ステートメント ID) がポリシーステートメントの識別子として配置されるようになりました。

2024-01-22

NeptuneGraphReadOnlyAccess (リリース済み)

Neptune Analytics のグラフとリソースへの読み取り専用アクセスを提供するためにリリースされました。

2023-11-29

AWSServiceRoleForNeptuneGraphPolicy (リリース済み)

Neptune Analytics のグラフから CloudWatch にアクセスして、運用および使用状況のメトリクスとログを公開できるようにするためにリリースされました。「Neptune Analytics でのサービスリンクロール (SLR) の使用」を参照してください。

2023-11-29

NeptuneConsoleFullAccess (追加されたアクセス許可)

Neptune Analytics グラフを操作するために必要なすべてのアクセス権を付与するアクセス許可を追加しました。

2023 年 11 月 29 日

NeptuneFullAccess (追加されたアクセス許可)

データアクセス用のアクセス許可と新しいグローバルデータベース API 用のアクセス許可を追加しました。

2022-07-28

NeptuneConsoleFullAccess (追加されたアクセス許可)

新しいグローバルデータベース API のアクセス許可を追加しました。

2022-07-21

Neptune は変更の追跡を開始しました

Neptune は、 AWS 管理ポリシーの変更の追跡を開始しました。

2022-07-21