As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciar o acesso aos bancos de dados do Amazon Neptune usando políticas do IAM
As [políticas do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) são objetos JSON que definem permissões para usar ações e recursos.
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
## Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
## Usando políticas de controle de serviços (SCP) com organizações AWS
As políticas de controle de serviço (SCPs) são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em [AWS Organizations](https://aws.amazon.com/organizations/). AWS Organizations é um serviço para agrupar e gerenciar centralmente várias AWS contas que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. O SCP limita as permissões para entidades nas contas dos membros, incluindo cada usuário raiz AWS da conta. Para obter mais informações sobre Organizations e SCPs, consulte [Como SCPs trabalhar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) no Guia AWS Organizations do Usuário.
Os clientes que implantam o Amazon Neptune AWS em uma conta AWS dentro de uma organização SCPs podem usar o Amazon Neptune para controlar quais contas podem usar o Neptune. Para garantir o acesso ao Neptune em uma conta de membro:
+ Permita o acesso a `rds:*` e `neptune-db:*` para as operações de banco de dados do Neptune. Consulte [Why are Amazon RDS permissions and resources required to use Neptune Database?](https://aws.amazon.com/neptune/faqs/) para obter detalhes sobre por que as permissões do Amazon RDS são necessárias para o banco de dados do Neptune.
+ Permita o acesso a `neptune-graph:*` para operações do Neptune Analytics.
## Permissões necessárias para usar o console do Amazon Neptune
Para um usuário trabalhar com o console do Amazon Neptune, esse usuário deve ter um conjunto mínimo de permissões. Essas permissões possibilitam que o usuário descreva os recursos do Neptune para a conta da AWS e forneça outras informações relacionadas, inclusive informações de segurança e rede do Amazon EC2.
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console do Neptune, associe também a política gerenciada `NeptuneReadOnlyAccess` ao usuário, conforme descrito em [Usando políticas AWS gerenciadas para acessar bancos de dados do Amazon Neptune](security-iam-access-managed-policies.md).
Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon Neptune AWS CLI ou para a Amazon Neptune.
## Como associar uma política do IAM a um usuário do IAM
Para aplicar uma política gerenciada ou personalizada, associe-a a um usuário do IAM. Para obter um tutorial sobre esse tópico, consulte [ Criar e anexar sua primeira política gerenciada pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) no *Guia do usuário do IAM*.
À medida que avança pelo tutorial, você pode usar um dos exemplos de política mostrados nessa seção como um ponto de partida e adequá-lo às suas necessidades. No fim do tutorial, você terá um usuário do IAM com uma política anexada que pode usar a ação `neptune-db:*`.
**Importante**
As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.
As políticas do IAM aplicadas a um cluster de banco de dados do Neptune aplicam-se a todas as instâncias desse cluster.
## Usar diferentes tipos de política do IAM para controle de acesso ao Neptune
Para conceder acesso às ações administrativas do Neptune ou aos dados em um cluster de banco de dados do Neptune, associe políticas a um usuário ou um perfil do IAM. Para obter informações sobre como anexar uma política do IAM, consulte [Como associar uma política do IAM a um usuário do IAM](#iam-auth-policy-attaching). Para obter informações sobre como associar uma política a um perfil, consulte [Adding and Removing IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*
Para ter acesso geral ao Neptune, é possível usar uma das [políticas gerenciadas](security-iam-access-managed-policies.md) do Neptune. Para ter um acesso mais restrito, você pode criar a própria política personalizada usando as [ações administrativas](neptune-iam-admin-actions.md) e os [recursos](iam-admin-resources.md) compatíveis com o Neptune.
Em uma política personalizada do IAM, é possível usar dois tipos diferentes de declaração de política que controlam diferentes modos de acesso a um cluster de banco de dados do Neptune:
+ [Declarações de política administrativa](iam-admin-policies.md) — As declarações de política administrativa fornecem acesso ao APIs gerenciamento do [Neptune](api.md) que você usa para criar, configurar e gerenciar um cluster de banco de dados e suas instâncias.
Como o Neptune compartilha a funcionalidade com o Amazon RDS, as ações administrativas, os recursos e as chaves de condição nas políticas do Neptune usam um prefixo `rds:` por design.
+ [Declarações de política de acesso a dados](iam-data-access-policies.md): as declarações de política de acesso a dados usam [ações de acesso a dados](iam-dp-actions.md), [recursos](iam-data-resources.md) e [chaves de condição](iam-data-condition-keys.md#iam-neptune-condition-keys) para controlar o acesso aos dados contidos em um cluster de banco de dados.
As ações de acesso a dados, os recursos e as chaves de condição do Neptune usam um prefixo `neptune-db:`.
## Usar chaves de contexto de condição do IAM no Amazon Neptune
É possível especificar condições em uma declaração de política do IAM que controle o acesso ao Neptune. A declaração de política terá efeito apenas quando as condições forem verdadeiras.
Por exemplo, é recomendável que uma declaração de política só entre em vigor após uma data específica ou viabilize o acesso apenas quando um valor específico estiver presente na solicitação.
Para expressar condições, use chaves de condição predefinidas no elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma declaração de política com [operadores de política de condição do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menos do que”.
Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma `OR` operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
O tipo de dados de uma chave de condição determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Se você usar um operador de condição que não seja compatível com esse tipo de dados, a correspondência sempre falhará, e a declaração da política nunca será aplicada.
O Neptune aceita conjuntos de chaves de condição para declarações de política administrativa diferentes dos aceitos para declarações de política de acesso a dados:
+ [Chaves de condição para declarações de política administrativa](iam-admin-condition-keys.md)
+ [Chaves de condição para declarações de política de acesso a dados](iam-data-condition-keys.md#iam-neptune-condition-keys)
## Suporte para políticas do IAM e recursos de controle de acesso no Amazon Neptune
A tabela a seguir mostra quais atributos do IAM o Neptune aceita para declarações de política administrativa e declarações de política de acesso a dados:
**Atributos do IAM que você pode usar com o Neptune**
| Recurso do IAM | Administração | Acesso aos dados |
| --- | --- | --- |
| [Políticas baseadas em identidade](#security_iam_access-manage-id-based-policies) | Sim | Sim |
| [Políticas baseadas em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) | Não | Não |
| [Ações de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) | Sim | Sim |
| [Recursos de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) | Sim | Sim |
| [Chaves de condições globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) | Sim | (um subconjunto) |
| [Chaves de condição baseadas em tags](iam-admin-condition-keys.md#iam-rds-tag-based-condition-keys) | Sim | Não |
| [Listas de controle de acesso (ACLs)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) | Não | Não |
| [Políticas de controle de serviços (SCPs)](#security_iam_access-manage-scp) | Sim | Sim |
| [Funções vinculadas ao serviço](security-iam-service-linked-roles.md) | Sim | Não |
## Limitações da política do IAM
As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.
As políticas do IAM aplicadas a um cluster de banco de dados do Neptune aplicam-se a todas as instâncias desse cluster.
Atualmente, o Neptune não é compatível com o controle de acesso entre contas no nível de plano de dados. O controle de acesso entre contas só é compatível durante o carregamento em massa e usando o encadeamento de perfis. Para obter mais informações, consulte o [Tutorial de carregamento em massa](https://docs.aws.amazon.com//neptune/latest/userguide/bulk-load-tutorial-chain-roles.html#bulk-load-tutorial-chain-cross-account).
# Usando políticas AWS gerenciadas para acessar bancos de dados do Amazon Neptune
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são para usar o gerenciamento do Amazon APIs Neptune:
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)**— Concede acesso somente de leitura a todos os recursos do Neptune para fins administrativos e de acesso a dados na conta raiz. AWS
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)**— Concede acesso total a todos os recursos do Neptune para fins administrativos e de acesso a dados na conta raiz. AWS Isso é recomendado se você precisar de acesso total ao Neptune a partir AWS CLI do SDK ou, mas não para acesso. Console de gerenciamento da AWS
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)**— Concede acesso total na AWS conta raiz a todas as ações e recursos administrativos do Neptune, mas não a quaisquer ações ou recursos de acesso a dados. Também inclui permissões adicionais para simplificar o acesso ao Neptune pelo console, inclusive permissões limitadas do IAM e do Amazon EC2 (VPC).
+ **[NeptuneGraphReadOnlyAccess ](graph-read-only-access-iam-managed-policy.md)**— Fornece acesso somente de leitura a todos os recursos do Amazon Neptune Analytics, além de permissões somente de leitura para serviços dependentes
+ **[AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)**— Permite que o Neptune Analytics crie gráficos para CloudWatch publicar métricas e registros operacionais e de uso.
As políticas e os perfis do IAM no Neptune concedem algum acesso aos recursos do Amazon RDS, pois o Neptune compartilha tecnologia operacional com o Amazon RDS para determinados atributos de gerenciamento. Isso inclui permissões administrativas da API, e é por isso que as ações administrativas do Neptune têm um prefixo `rds:`.
## Atualizações nas políticas gerenciadas do AWS Neptune
A seguinte tabela monitora as atualizações das políticas gerenciadas do Neptune a partir do momento em que o Neptune começou a monitorar essas alterações:
| Política | Description | Data |
| --- | --- | --- |
| AWS políticas gerenciadas para o Amazon Neptune — atualização das políticas existentes | As políticas gerenciadas `NeptuneReadOnlyAcess` e `NeptuneFullAccess` agora incluem `Sid` (ID da instrução) como identificador na declaração de política. | 2024-01-22 |
| [NeptuneGraphReadOnlyAccess](read-only-access-iam-managed-policy.md)(lançado) | Lançado para fornecer acesso somente leitura aos grafos e recursos do Neptune Analytics. | 2023-11-29 |
| [AWSServiceRoleForNeptuneGraphPolicy](aws-service-role-for-neptune-graph-policy.md)(lançado) | Lançado para permitir o acesso aos gráficos do Neptune Analytics CloudWatch para publicar métricas e registros operacionais e de uso. Consulte [Uso de funções vinculadas ao serviço (SLRs) no Neptune Analytics](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html). | 2023-11-29 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(permissões adicionadas) | As permissões adicionadas dão todo o acesso necessário para interagir com os grafos do Neptune Analytics. | 2023-11/29 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md)(permissões adicionadas) | Foram adicionadas permissões de acesso a dados e permissões para o novo banco de dados global. APIs | 2022-07-28 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)(permissões adicionadas) | Permissões adicionadas para o novo banco de dados global APIs. | 2022-07-21 |
| O Neptune iniciou o rastreamento das alterações | A Neptune começou a monitorar as mudanças em suas políticas gerenciadas AWS . | 2022-07-21 |
# Concessão `NeptuneReadOnlyAccess` aos bancos de dados Amazon Neptune usando política gerenciada AWS
A política [NeptuneReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneReadOnlyAccess)gerenciada abaixo concede acesso somente de leitura a todas as ações e recursos do Neptune para fins administrativos e de acesso a dados.
**nota**
Essa política foi atualizada em 21/07/2022 para incluir permissões de acesso a dados somente leitura, bem como permissões administrativas somente leitura, além de incluir permissões para ações globais do banco de dados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
},
{
"Sid": "AllowReadOnlyPermissionsForNeptuneDB",
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concessão `NeptuneFullAccess` aos bancos de dados Amazon Neptune usando política gerenciada AWS
A política [NeptuneFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneFullAccess)gerenciada abaixo concede acesso total a todas as ações e recursos do Neptune para fins administrativos e de acesso a dados. É recomendável se você precisar de acesso total do AWS CLI ou de um SDK, mas não do Console de gerenciamento da AWS.
**nota**
Essa política foi atualizada em 21/07/2022 para incluir permissões de acesso a dados total, bem como permissões administrativas totais, além de incluir permissões para ações globais do banco de dados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Effect": "Allow",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterEndpoint",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterEndpoint",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeDBClusterEndpoints",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:FailoverGlobalCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterEndpoint",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime",
"rds:StartDBCluster",
"rds:StopDBCluster"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowDataAccessForNeptune",
"Effect": "Allow",
"Action": [
"neptune-db:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Concessão `NeptuneConsoleFullAccess` usando política AWS gerenciada
A política [NeptuneConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneConsoleFullAccess)gerenciada abaixo concede acesso total a todas as ações e recursos do Neptune para fins administrativos, mas não para fins de acesso a dados. Também inclui permissões adicionais para simplificar o acesso ao Neptune pelo console, inclusive permissões limitadas do IAM e do Amazon EC2 (VPC).
**nota**
Esta política foi atualizada em 29/11/2023 para incluir as permissões necessárias para interagir com os grafos do Neptune Analytics.
Atualizada em 21/07/2022 para incluir permissões para ações globais do banco de dados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowNeptuneCreate",
"Effect": "Allow",
"Action": [
"rds:CreateDBCluster",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:*:*"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": [
"graphdb",
"neptune"
]
}
}
},
{
"Sid": "AllowManagementPermissionsForRDS",
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowOtherDepedentPermissions",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "AllowPassRoleForNeptune",
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptune",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "AllowManagementPermissionsForNeptuneAnalytics",
"Effect": "Allow",
"Action": [
"neptune-graph:CreateGraph",
"neptune-graph:DeleteGraph",
"neptune-graph:GetGraph",
"neptune-graph:ListGraphs",
"neptune-graph:UpdateGraph",
"neptune-graph:ResetGraph",
"neptune-graph:CreateGraphSnapshot",
"neptune-graph:DeleteGraphSnapshot",
"neptune-graph:GetGraphSnapshot",
"neptune-graph:ListGraphSnapshots",
"neptune-graph:RestoreGraphFromSnapshot",
"neptune-graph:CreatePrivateGraphEndpoint",
"neptune-graph:GetPrivateGraphEndpoint",
"neptune-graph:ListPrivateGraphEndpoints",
"neptune-graph:DeletePrivateGraphEndpoint",
"neptune-graph:CreateGraphUsingImportTask",
"neptune-graph:GetImportTask",
"neptune-graph:ListImportTasks",
"neptune-graph:CancelImportTask"
],
"Resource": [
"arn:aws:neptune-graph:*:*:*"
]
},
{
"Sid": "AllowPassRoleForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "neptune-graph.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateSLRForNeptuneAnalytics",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/neptune-graph.amazonaws.com/AWSServiceRoleForNeptuneGraph",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "neptune-graph.amazonaws.com"
}
}
}
]
}
```
------
# Concessão `NeptuneGraphReadOnlyAccess` usando política AWS gerenciada
A política [NeptuneGraphReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/NeptuneGraphReadOnlyAccess)gerenciada abaixo fornece acesso somente de leitura a todos os recursos do Amazon Neptune Analytics, além de permissões somente de leitura para serviços dependentes.
Esta política inclui permissões para fazer o seguinte:
+ **Para Amazon EC2** — Recupere informações sobre sub-redes VPCs, grupos de segurança e zonas de disponibilidade.
+ **Para AWS KMS** — Recupere informações sobre chaves e aliases do KMS.
+ **Para CloudWatch** — Recupere informações sobre CloudWatch métricas.
+ **Para CloudWatch registros** — recupere informações sobre fluxos de CloudWatch registros e eventos.
**nota**
Esta política foi lançada em 29/11/2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyPermissionsForNeptuneGraph",
"Effect": "Allow",
"Action": [
"neptune-graph:Get*",
"neptune-graph:List*",
"neptune-graph:Read*"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForEC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForKMS",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForCloudwatch",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnlyPermissionsForLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
]
}
]
}
```
------
# Conceder acesso ao grafo do Netuno usando `AWSServiceRoleForNeptuneGraphPolicy`
A política [AWSServiceRoleForNeptuneGraphPolicy](https://console.aws.amazon.com/iam/home#policies/AWSServiceRoleForNeptuneGraphPolicy)gerenciada abaixo fornece acesso a gráficos CloudWatch para publicar métricas e registros operacionais e de uso. Consulte [nan-service-linked-roles](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html).
**nota**
Esta política foi lançada em 29/11/2023.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GraphMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/Neptune",
"AWS/Usage"
]
}
}
},
{
"Sid": "GraphLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GraphLogEvents",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/neptune/*:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# Personalizar o acesso aos recursos do Amazon Neptune usando chaves de contexto de condição do IAM
É possível especificar as condições nas políticas do IAM que controlam às ações de gerenciamento e aos recursos do Neptune. A declaração de política terá efeito apenas quando as condições forem verdadeiras.
Por exemplo, é recomendável que uma declaração de política só entre em vigor após uma data específica ou viabilize o acesso apenas quando um valor específico estiver presente na solicitação da API.
Para expressar condições, use chaves de condição predefinidas no elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma declaração de política com [operadores de política de condição do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menos do que”.
Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma `OR` operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
O tipo de dados de uma chave de condição determina quais operadores de condição você pode usar para comparar valores na solicitação com os valores na declaração de política. Se você usar um operador de condição que não seja compatível com esse tipo de dados, a correspondência sempre falhará, e a declaração da política nunca será aplicada.
**Chaves de condição do IAM para declarações de política administrativa do Neptune**
+ [Chaves de condição globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Você pode usar a maioria das chaves de condição AWS globais nas declarações de política administrativa do Neptune.
+ [Chaves de condição específicas do serviço](iam-admin-condition-keys.md) — são chaves definidas para serviços específicos AWS . Aquelas compatíveis com o Neptune para declarações de política administrativa estão listadas em [Chaves de condição do IAM para administrar o Amazon Neptune](iam-admin-condition-keys.md).
**Chaves de condição do IAM para declarações de política de acesso a dados do Neptune**
+ [Chaves de condição globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html): o subconjunto dessas chaves aceitas pelo Neptune nas declarações de política de acesso a dados está listado em [AWS chaves de contexto de condição global suportadas pelo Neptune em declarações de política de acesso a dados](iam-data-condition-keys.md#iam-data-global-condition-keys).
+ As chaves de condição específicas do serviço que o Neptune define para declarações de política de acesso a dados estão listadas em [Chaves de condição](iam-data-condition-keys.md).
# Criar declarações personalizadas de políticas do IAM para administrar o Amazon Neptune
As declarações de política administrativa permitem controlar o que um usuário do IAM pode fazer para gerenciar um banco de dados Neptune.
Uma declaração de política administrativa do Neptune concede acesso a uma ou [ações administrativas](neptune-iam-admin-actions.md) e [recursos administrativos](iam-admin-resources.md) aceitos pelo Neptune. Você também pode usar [Chaves de condição](iam-admin-condition-keys.md) para tornar as permissões administrativas mais específicas.
**nota**
Como o Neptune compartilha a funcionalidade com o Amazon RDS, as ações administrativas, os recursos e as chaves de condição específicas do serviço em declarações de política administrativa usam um prefixo `rds:` por design.
**Topics**
+ [Ações do IAM para administrar o Amazon Neptune](neptune-iam-admin-actions.md)
+ [Tipos de recursos do IAM para administrar o Amazon Neptune](iam-admin-resources.md)
+ [Chaves de condição do IAM para administrar o Amazon Neptune](iam-admin-condition-keys.md)
+ [Criar declarações de política administrativa do IAM para o Amazon Neptune](iam-admin-policy-examples.md)
# Ações do IAM para administrar o Amazon Neptune
Você pode usar as ações administrativas listadas abaixo no `Action` elemento de uma declaração de política do IAM para controlar o acesso ao gerenciamento do [ APIsNeptune](api.md). Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
O campo `Resource type` na lista abaixo indica se cada ação é compatível com permissões em nível de recurso. Se não houver valor para esse campo, você deverá especificar todos os recursos ("\$1") no elemento `Resource` de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN de recurso desse tipo em uma declaração com essa ação. Os tipos de recurso administrativo do Neptune estão listados [nesta página](iam-admin-resources.md).
Os recursos obrigatórios são indicados na lista abaixo com um asterisco (\$1). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se um tipo de recurso for opcional (em outras palavras, não estiver marcado com um asterisco), não será necessário incluí-lo.
Para obter mais informações sobre os campos listados aqui, consulte [action table](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table) no [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
## vermelhos: AddRoleTo DBCluster
`AddRoleToDBCluster` associa um perfil do IAM a um cluster de banco de dados do Neptune.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
## vermelhos: AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` adiciona um identificador de origem a uma assinatura de notificações de eventos existente do Neptune.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## vermelhos: AddTagsToResource
`AddTagsToResource` associa um perfil do IAM a um cluster de banco de dados do Neptune.
*Nível de acesso:* `Write`.
*Tipos de recurso:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## vermelhos: ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` aplica uma ação de manutenção pendente a um recurso.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
## RDS: copiar DBCluster ParameterGroup
`CopyDBClusterParameterGroup` copia o grupo de parâmetros de cluster de banco de dados especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS:Copiar instantâneo DBCluster
`CopyDBClusterSnapshot` copia um snapshot de um cluster de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
## RDS: Grupo DBParameter de cópias
`CopyDBParameterGroup` copia o grupo de parâmetros de banco de dados especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: criar DBCluster
`CreateDBCluster` cria um cluster de banco de dados do Neptune.
*Nível de acesso:* `Tagging`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [netuno-rds\$1 DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## RDS: criar DBCluster ParameterGroup
`CreateDBClusterParameterGroup` cria um grupo de parâmetros de cluster de banco de dados.
*Nível de acesso:* `Tagging`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Criar instantâneo DBCluster
`CreateDBClusterSnapshot` cria um snapshot de um cluster de banco de dados.
*Nível de acesso:* `Tagging`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: criar DBInstance
`CreateDBInstance` cria uma instância de banco de dados.
*Nível de acesso:* `Tagging`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Criar grupo DBParameter
`CreateDBParameterGroup` cria um novo grupo de parâmetros de banco de dados.
*Nível de acesso:* `Tagging`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Criar grupo DBSubnet
`CreateDBSubnetGroup` cria um grupo de sub-redes de banco de dados.
*Nível de acesso:* `Tagging`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## vermelhos: CreateEventSubscription
`CreateEventSubscription` cria uma assinatura de notificação de eventos do Neptune.
*Nível de acesso:* `Tagging`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: excluir DBCluster
`DeleteDBCluster` exclui um cluster de banco de dados do Neptune existente.
*Nível de acesso:* `Write`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
## RDS: excluir DBCluster ParameterGroup
`DeleteDBClusterParameterGroup` exclui um grupo de parâmetros de cluster de banco de dados especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: excluir instantâneo DBCluster
`DeleteDBClusterSnapshot` exclui um snapshot do cluster de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
## RDS: excluir DBInstance
`DeleteDBInstance` exclui uma instância de banco de dados especificada.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
## RDS: Excluir grupo DBParameter
`DeleteDBParameterGroup`exclui um DBParameter grupo especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: Excluir grupo DBSubnet
`DeleteDBSubnetGroup` exclui um grupo de sub-redes de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
## vermelhos: DeleteEventSubscription
`DeleteEventSubscription` exclui uma assinatura de notificações de eventos.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## RDS: descrever DBCluster ParameterGroups
`DescribeDBClusterParameterGroups`retorna uma lista de DBCluster ParameterGroup descrições.
*Nível de acesso:* `List`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: Descreva DBCluster os parâmetros
`DescribeDBClusterParameters` gera a lista de parâmetros detalhada de um grupo de parâmetros de cluster de banco de dados.
*Nível de acesso:* `List`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: descrever DBCluster SnapshotAttributes
`DescribeDBClusterSnapshotAttributes` gera uma lista de nomes e valores de atributos de snapshot do cluster de banco de dados de um snapshot manual do cluster de banco de dados.
*Nível de acesso:* `List`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
## RDS:Descreva DBCluster os instantâneos
`DescribeDBClusterSnapshots` gera informações sobre snapshots do cluster banco de dados.
*Nível de acesso:* `Read`.
## RDS: descrever DBClusters
`DescribeDBClusters` gera informações sobre um cluster de banco de dados provisionados do Neptune.
*Nível de acesso:* `List`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
## RDS:Descreva DBEngine as versões
`DescribeDBEngineVersions` gera uma lista dos mecanismos de banco de dados disponíveis.
*Nível de acesso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: descrever DBInstances
`DescribeDBInstances` gera informações sobre instâncias de banco de dados.
*Nível de acesso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## RDS: Descrever grupos DBParameter
`DescribeDBParameterGroups`retorna uma lista de descrições de DBParameter grupos.
*Nível de acesso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: descrever DBParameters
`DescribeDBParameters` exibe a lista de parâmetros detalhada de um grupo de parâmetros de banco de dados específico.
*Nível de acesso:* `List`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: Descrever grupos DBSubnet
`DescribeDBSubnetGroups`retorna uma lista de descrições de DBSubnet grupos.
*Nível de acesso:* `List`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
## vermelhos: DescribeEventCategories
`DescribeEventCategories` exibe uma lista de categorias de todos os tipos de origem de eventos ou, se especificado, de um determinado tipo de origem.
*Nível de acesso:* `List`.
## vermelhos: DescribeEventSubscriptions
`DescribeEventSubscriptions` lista todas as descrições de assinaturas de uma conta de cliente.
*Nível de acesso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## vermelhos: DescribeEvents
`DescribeEvents` exibe os eventos relacionados a instâncias de bancos de dados, grupos de segurança de banco de dados e grupos de parâmetros de banco de dados dos últimos 14 dias.
*Nível de acesso:* `List`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## rds: Opções DescribeOrderable DBInstance
`DescribeOrderableDBInstanceOptions` gera uma lista de opções de instância de banco de dados que podem ser solicitadas para o mecanismo especificado.
*Nível de acesso:* `List`.
## vermelhos: DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` gera uma lista de recursos (por exemplo, instâncias de banco de dados) que têm pelo menos uma ação de manutenção pendente.
*Nível de acesso:* `List`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
## rds: DescribeValid DBInstance Modificações
`DescribeValidDBInstanceModifications` lista as modificações disponíveis que podem ser realizadas na instância de banco de dados.
*Nível de acesso:* `List`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
## RDS: Failover DBCluster
`FailoverDBCluster` força um failover para um cluster de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
## vermelhos: ListTagsForResource
`ListTagsForResource` lista todas as tags em um recurso do Neptune.
*Nível de acesso:* `Read`.
*Tipos de recurso:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## RDS: modificar DBCluster
`ModifyDBCluster`
Modifica uma configuração de um cluster de banco de dados do Neptune.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: modificar DBCluster ParameterGroup
`ModifyDBClusterParameterGroup` modifica os parâmetros de um grupo de parâmetros de cluster de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: modificar DBCluster SnapshotAttribute
`ModifyDBClusterSnapshotAttribute` adiciona um atributo e os valores ou remove um atributo e os valores de um snapshot do cluster de banco de dados manual.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
## RDS: modificar DBInstance
`ModifyDBInstance` modifica as configurações de uma instância de banco de dados.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
+ [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: Modificar grupo DBParameter
`ModifyDBParameterGroup` modifica os parâmetros de um grupo de parâmetros de banco de dados.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: Modificar grupo DBSubnet
`ModifyDBSubnetGroup` modifica um grupo de sub-redes de banco de dados existente.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
## vermelhos: ModifyEventSubscription
`ModifyEventSubscription` modifica uma assinatura de notificações de eventos existente do Neptune.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## RDS: reinicialização DBInstance
`RebootDBInstance` reinicia o serviço de mecanismo de banco de dados para a instância.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [db](iam-admin-resources.md#neptune-db-resource) (obrigatório).
## vermelhos: RemoveRoleFrom DBCluster
`RemoveRoleFromDBCluster`dissocia uma função de AWS Identity and Access Management (IAM) de um cluster de banco de dados Amazon Neptune.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
## vermelhos: RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` remove um identificador de origem de uma assinatura de notificações de eventos existente do Neptune.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [es](iam-admin-resources.md#neptune-es-resource) (obrigatório).
## vermelhos: RemoveTagsFromResource
`RemoveTagsFromResource` remove as tags de metadados de um recurso do Neptune.
*Nível de acesso:* `Tagging`.
*Tipos de recurso:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: redefinir DBCluster ParameterGroup
`ResetDBClusterParameterGroup` modifica os parâmetros de um grupo de parâmetros de cluster de banco de dados para o valor padrão.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (obrigatório).
## RDS: Redefinir grupo DBParameter
`ResetDBParameterGroup`modifica os parâmetros de um grupo de parâmetros do banco de dados para o valor engine/system padrão.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [pg](iam-admin-resources.md#neptune-pg-resource) (obrigatório).
## RDS: restaurar DBCluster FromSnapshot
`RestoreDBClusterFromSnapshot` cria um cluster de banco de dados a partir de um snapshot de cluster de banco de dados.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: restaurar DBCluster ToPointInTime
`RestoreDBClusterToPointInTime` restaura um cluster de banco de dados para um momento arbitrário.
*Nível de acesso:* `Write`.
*Ações dependentes:* `iam:PassRole`.
*Tipos de recurso:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (obrigatório).
*Chaves de condição:*
+ [leis:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [leis: TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## RDS: Iniciar DBCluster
`StartDBCluster` inicia o cluster de banco de dados especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
## RDS: parar DBCluster
`StopDBCluster` interrompe o cluster de banco de dados especificado.
*Nível de acesso:* `Write`.
*Tipo de recurso:* [cluster](iam-admin-resources.md#neptune-cluster-resource) (obrigatório).
# Tipos de recursos do IAM para administrar o Amazon Neptune
O Neptune é compatível com os tipos de recurso na tabela a seguir para uso no elemento `Resource` das declarações de política de administração do IAM. Para obter mais informações sobre o elemento `Resource`, consulte [Elementos de políticas JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
A [list of Neptune administration actions](neptune-iam-admin-actions.md) identifica os tipos de recurso que podem ser especificados com cada ação. Um tipo de recurso também determina quais chaves de condição você pode incluir em uma política, como especificado na última coluna da tabela abaixo.
A coluna `ARN` na tabela abaixo especifica o nome do recurso da Amazon (ARN) que você deve usar para fazer referência a recursos desse tipo. As partes precedidas por um ` $ ` devem ser substituídas pelos valores reais do cenário. Por exemplo, se você vir `$user-name` em um ARN, deverá substituir essa string pelo nome do usuário real do IAM ou por uma variável de política que contenha um nome do usuário do IAM. Para obter mais informações sobre ARNs ARNs, consulte [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) [Trabalhando com administrativos ARNs no Amazon Neptune](tagging-arns.md) e.
A coluna ` Condition Keys ` especifica chaves de contexto de condição que você pode incluir em uma declaração de política do IAM apenas quando esse recurso e uma ação de apoio compatível estão incluídos na declaração.
****
| Tipos de recursos | ARN | Chaves de condição |
| --- | --- | --- |
| `cluster` (um cluster de banco de dados) | arn:partition:rds:region:account-id:cluster:instance-name | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: cluster-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (um grupo de parâmetros do cluster de banco de dados) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (um snapshot de cluster de banco de dados) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [Vermelhos:/cluster-snapshot-tag*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (uma instância de banco de dados) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [vermelhos: DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [vermelhos: DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds: db-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (uma assinatura de eventos) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: es-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (um grupo de parâmetros de banco de dados) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: pg-tag/ *tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (um grupo de sub-redes de banco de dados) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [leis:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds: subgrp-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# Chaves de condição do IAM para administrar o Amazon Neptune
[Usando chaves de condição](security-iam-access-manage.md#iam-using-condition-keys), é possível especificar as condições em uma declaração de política do IAM para que a declaração só entre em vigor quando as condições forem verdadeiras. As chaves de condição que você pode usar nas declarações de política administrativa do Neptune se enquadram nas seguintes categorias:
+ [Chaves de condição globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) — Elas são definidas por AWS para uso geral com AWS serviços. A maioria pode ser usada em declarações de política administrativa do Neptune.
+ [Chaves de condição de propriedades de recursos administrativos](#iam-rds-property-condition-keys): essas chaves, listadas [abaixo](#iam-rds-property-condition-keys), são baseadas nas propriedades de recursos administrativos.
+ [Chaves de condição de acesso baseadas em tags](#iam-rds-tag-based-condition-keys): essas chaves, listadas [abaixo](#iam-rds-tag-based-condition-keys), são baseadas em [tags da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) associadas aos recursos administrativos.
## Chaves de condição de propriedades de recursos administrativos do Neptune
| Chaves de condição | Descrição | Tipo |
| --- | --- | --- |
| rds:DatabaseClass | Filtra o acesso pelo tipo de classe da instância de banco de dados. | String |
| rds:DatabaseEngine | Filtra o acesso pelo mecanismo do banco de dados Para valores possíveis, consulte o parâmetro do mecanismo em Create DBInstance API | String |
| rds:DatabaseName | Filtra o acesso pelo nome definido pelo usuário do banco de dados na instância de banco de dados | String |
| rds:EndpointType | Filtra o acesso pelo tipo de endpoint Um dos seguintes: READER, WRITER, CUSTOM | String |
| rds:Vpc | Filtra o acesso pelo valor que especifica se a instância de banco de dados é executada em uma Amazon Virtual Private Cloud (Amazon VPC). Para indicar que a instância de banco de dados é executada em uma Amazon VPC, especifique true. | Booleano |
## Chaves de condição administrativas baseadas em tag
O Amazon Neptune é compatível com a especificação de condições em uma política do IAM usando tags personalizadas, para controlar o acesso ao Neptune por meio da [Referência da API de gerenciamento](api.md).
Por exemplo, se você adicionar uma tag denominada `environment` às instâncias de banco de dados, com valores, como `beta`, `staging`, `production` e , depois, você poderá criar uma política que restrinja o acesso às instâncias com base no valor dessa tag.
**Importante**
Se você gerenciar o acesso aos recursos do Neptune usando marcação, proteja o acesso às tags. Você pode restringir o acesso às tags criando políticas para as ações `AddTagsToResource` e `RemoveTagsFromResource`.
Por exemplo, você pode usar a política a seguir para negar aos usuários a capacidade de adicionar ou remover tags para todos os recursos. Depois, você pode criar políticas para permitir que usuários específicos adicionem ou removam tags.
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
As chaves de condição baseadas em tags a seguir só funcionam com recursos administrativos em declarações de política administrativa.
**Chaves de condição administrativas baseadas em tag**
| Chaves de condição | Descrição | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | Filtra o acesso com base na presença de pares de chave-valor da tag na solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | Filtra o acesso com base nos pares de chave-valor da tag anexados ao recurso. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | Filtra o acesso com base na presença de chaves da tag na solicitação. | String |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um grupo de parâmetros do cluster de banco de dados. | String |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um snapshot do cluster de banco de dados. | String |
| rds:cluster-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um cluster de banco de dados. | String |
| rds:db-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a uma instância de banco de dados. | String |
| rds:es-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a uma assinatura de evento. | String |
| rds:pg-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um grupo de parâmetros de banco de dados. | String |
| rds:req-tag/\$1\$1TagKey\$1 | Filtra o acesso pelo conjunto de chaves da tag e valores que podem ser usados para marcar um recurso. | String |
| rds:secgrp-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um grupo de segurança de banco de dados. | String |
| rds:snapshot-tag/\$1\$1TagKey\$1 | Filtra o acesso pela tag anexada a um snapshot de banco de dados. | String |
| rds:subgrp-tag/\$1\$1TagKey\$1 | Filtra o acesso pela etiqueta anexada a um grupo de sub-redes de banco de dados | String |
# Criar declarações de política administrativa do IAM para o Amazon Neptune
## Exemplos de política administrativa geral
Os exemplos a seguir mostram como criar políticas administrativas do Neptune que concedem permissões para realizar várias ações de gerenciamento em um cluster de banco de dados.
### Política que impede que um usuário do IAM exclua uma instância de banco de dados especificada
Veja a seguir um exemplo de política que impede que um usuário do IAM exclua uma instância especificada do banco de dados Neptune:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### Política que concede permissão para criar instâncias de banco de dados
Veja a seguir um exemplo de política que permite a um usuário do IAM criar instâncias de bancos de dados em um cluster de banco de dados especificado do Neptune:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### Política que concede permissão para criar instâncias de banco de dados que usem um grupo de parâmetros de banco de dados específico
Veja a seguir um exemplo de política que permite a um usuário do IAM criar instâncias de banco de dados em um cluster de banco de dados especificado (aqui, `us-west-2`) em um cluster de banco de dados especificado do Neptune usando somente um grupo de parâmetros de banco de dados especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### Política que concede permissão para descrever qualquer recurso
Veja a seguir um exemplo de política que permite a um usuário do IAM descrever qualquer recurso do Neptune.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## Exemplos de política administrativa baseada em tag
Os exemplos a seguir mostram como criar políticas administrativas do Neptune que concedam permissões para realizar várias ações de gerenciamento em um cluster de banco de dados.
### Exemplo 1: conceder permissão para ações em um recurso usando uma tag personalizada que pode ter vários valores
A política abaixo permite o uso da API `ModifyDBInstance`, `CreateDBInstance` ou `DeleteDBInstance` em qualquer instância de banco de dados que tenha a tag `env` definida como `dev` ou `test`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Exemplo 2: Limitar o conjunto de chaves de tag e valores que podem ser usados para identificar um recurso
Esta política usa uma chave `Condition` para permitir que uma tag com a chave `env` e o valor `test`, `qa` ou `dev` seja adicionada a um recurso:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### Exemplo 3: permitir acesso total aos recursos do Neptune com base em `aws:ResourceTag`
A seguinte política é semelhante ao primeiro exemplo acima, mas usa `aws:ResourceTag`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
# Criar declarações personalizadas de políticas do IAM para acessar dados no Amazon Neptune
As declarações de política de acesso a dados do Neptune usam [ações de acesso a dados](iam-dp-actions.md), [recursos](iam-data-resources.md) e [chaves de condição](iam-data-condition-keys.md#iam-neptune-condition-keys), todos precedidos por um prefixo `neptune-db:`.
**Topics**
+ [Usar ações de consulta nas declarações de política de acesso a dados do Neptune](#iam-data-query-actions)
+ [Ações do IAM para acesso a dados no Amazon Neptune](iam-dp-actions.md)
+ [Tipos de recursos do IAM para acessar dados no Amazon Neptune](iam-data-resources.md)
+ [Chaves de condição do IAM para acessar dados no Amazon Neptune](iam-data-condition-keys.md)
+ [Criar políticas de acesso a dados do IAM no Amazon Neptune](iam-data-access-examples.md)
## Usar ações de consulta nas declarações de política de acesso a dados do Neptune
Há três ações de consulta do Neptune que podem ser usadas em declarações de política de acesso a dados, a saber, `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`. Uma consulta específica pode precisar de permissões para realizar mais de uma dessas ações e nem sempre é óbvio qual combinação dessas ações deve ser permitida para executar uma consulta.
Antes de executar uma consulta, o Neptune determina as permissões necessárias para executar cada etapa da consulta e as combina no conjunto completo de permissões que a consulta exige. Observe que esse conjunto completo de permissões inclui todas as ações que a consulta *pode* realizar, o que não é necessariamente o conjunto de ações que a consulta realmente executará quando for realizada em seus dados.
Isso significa que, para permitir que uma consulta específica seja executada, é necessário conceder permissões para cada ação que a consulta possa realizar, independentemente de ela realmente as executar ou não.
Veja alguns exemplos de consulta do Gremlin em que isso é explicado com mais detalhes:
+
```
g.V().count()
```
`g.V()` e `count()` exigem apenas acesso de leitura, portanto, a consulta como um todo exige apenas acesso `ReadDataViaQuery`.
+
```
g.addV()
```
`addV()` precisa conferir se um vértice com um ID específico existe ou não antes de inserir um novo. Isso significa que ele exige acesso `ReadDataViaQuery` e `WriteDataViaQuery`.
+
```
g.V('1').as('a').out('created').addE('createdBy').to('a')
```
`g.V('1').as('a')` e `out('created')` exigem apenas acesso de leitura, mas `addE().from('a')` requer acesso de leitura e gravação porque `addE()` precisa ler os vértices `from` e `to` e conferir se uma borda com o mesmo ID já existe antes de adicionar uma nova. A consulta como um todo, portanto, precisa de acesso `ReadDataViaQuery` e `WriteDataViaQuery`.
+
```
g.V().drop()
```
`g.V()` exige apenas acesso de leitura. `drop()` requer acesso de leitura e exclusão porque precisa ler um vértice ou uma borda antes de excluí-lo, portanto, a consulta como um todo exige acesso `ReadDataViaQuery` e `DeleteDataViaQuery`.
+
```
g.V('1').property(single, 'key1', 'value1')
```
`g.V('1')` requer apenas acesso de leitura, mas `property(single, 'key1', 'value1')` exige acesso de leitura, gravação e exclusão. Aqui, a etapa `property()` vai inserir a chave e o valor se eles ainda não existirem no vértice, mas se já existirem, ela vai excluir o valor da propriedade existente e inserir um novo valor em seu lugar. Portanto, a consulta como um todo exige acesso `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`.
Qualquer consulta que contenha uma etapa `property()` precisará de permissões `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`.
Veja a seguir alguns exemplos do openCypher:
+
```
MATCH (n)
RETURN n
```
Essa consulta lê todos os nós no banco de dados e os gera, o que exige apenas acesso `ReadDataViaQuery`.
+
```
MATCH (n:Person)
SET n.dept = 'AWS'
```
Essa consulta exige acesso `ReadDataViaQuery`, `WriteDataViaQuery` e `DeleteDataViaQuery`. Ela lê todos os nós com o rótulo “Pessoa” e adiciona uma nova propriedade com a chave `dept` e o valor `AWS` a eles ou, se a propriedade `dept` já existir, vai excluir o valor antigo e inserir `AWS` em seu lugar. Além disso, se o valor a ser definido for `null`, `SET` excluirá completamente a propriedade.
Como, em alguns casos, a cláusula `SET` talvez precise excluir um valor existente, ela **sempre** precisará de permissões `DeleteDataViaQuery`, além de permissões `ReadDataViaQuery` e `WriteDataViaQuery`.
+
```
MATCH (n:Person)
DETACH DELETE n
```
Essa consulta precisa das permissões `ReadDataViaQuery` e `DeleteDataViaQuery`. Ela encontra todos os nós com o rótulo `Person` e os exclui junto com as bordas conectadas a esses nós e todas as propriedades e os rótulos associados.
+
```
MERGE (n:Person {name: 'John'})-[:knows]->(:Person {name: 'Peter'})
RETURN n
```
Essa consulta precisa das permissões `ReadDataViaQuery` e `WriteDataViaQuery`. A cláusula `MERGE` corresponde a um padrão especificado ou o cria. Como uma gravação poderá ocorrer se não houver correspondência ao padrão, são necessárias permissões de gravação e leitura.
# Ações do IAM para acesso a dados no Amazon Neptune
Observe que as ações de acesso a dados do Neptune têm o prefixo `neptune-db:`, enquanto as ações administrativas no Neptune têm o prefixo `rds:`.
O nome do recurso da Amazon (ARN) de um recursos de dados no IAM não é o mesmo ARN atribuído ao cluster na criação. Você deve criar o ARN, conforme mostrado em [Specifying data resources](iam-data-resources.md). Esse recurso de dados ARNs pode usar curingas para incluir vários recursos.
As declarações de política de acesso a dados também podem incluir a chave de QueryLanguage condição [neptune-db:](iam-data-condition-keys.md#iam-neptune-condition-keys) para restringir o acesso por linguagem de consulta.
A partir da [Versão: 1.2.0.0 (21/07/2022)](engine-releases-1.2.0.0.md), o Neptune é compatível com a restrição de permissões a uma ou mais [ações específicas do Neptune](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptune.html). Isso oferece um controle de acesso mais detalhado do que era possível anteriormente.
**Importante**
As alterações em uma política do IAM demoram até dez minutos para ser aplicadas aos recursos do Neptune especificados.
As políticas do IAM aplicadas a um cluster de banco de dados do Neptune são aplicadas a todas as instâncias desse cluster.
## *Ações de acesso a dados baseadas em consulta*
**nota**
Nem sempre é óbvio quais permissões são necessárias para executar uma consulta específica, porque as consultas podem realizar mais de uma ação, dependendo dos dados processados. Consulte [Usar ações de consulta](iam-data-access-policies.md#iam-data-query-actions) para obter mais informações.
## `neptune-db:ReadDataViaQuery`
`ReadDataViaQuery` possibilita ao usuário ler dados do banco de dados Neptune enviando consultas.
*Grupos de ações:* somente leitura, leitura e gravação.
*Chaves de contexto de ação:* `neptune-db:QueryLanguage`.
*Recursos necessários:* banco de dados.
## `neptune-db:WriteDataViaQuery`
`WriteDataViaQuery` possibilita ao usuário gravar dados no banco de dados Neptune enviando consultas.
*Grupos de ações:* leitura e gravação.
*Chaves de contexto de ação:* `neptune-db:QueryLanguage`.
*Recursos necessários:* banco de dados.
## `neptune-db:DeleteDataViaQuery`
`DeleteDataViaQuery` possibilita ao usuário excluir dados do banco de dados Neptune enviando consultas.
*Grupos de ações:* leitura e gravação.
*Chaves de contexto de ação:* `neptune-db:QueryLanguage`.
*Recursos necessários:* banco de dados.
## `neptune-db:GetQueryStatus`
`GetQueryStatus` possibilita ao usuário conferir o status de todas as consultas ativas.
*Grupos de ações:* somente leitura, leitura e gravação.
*Chaves de contexto de ação:* `neptune-db:QueryLanguage`.
*Recursos necessários:* banco de dados.
## `neptune-db:GetStreamRecords`
`GetStreamRecords` possibilita ao usuário buscar registros de fluxo do Neptune.
*Grupos de ações:* leitura e gravação.
*Chaves de contexto de ação:* `neptune-db:QueryLanguage`.
*Recursos necessários:* banco de dados.
## `neptune-db:CancelQuery`
`CancelQuery` possibilita ao usuário cancelar uma consulta.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## *Ações gerais de acesso a dados*
## `neptune-db:GetEngineStatus`
`GetEngineStatus` possibilita ao usuário conferir o status do mecanismo do Neptune.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetStatisticsStatus`
`GetStatisticsStatus` possibilita ao usuário conferir o status das estatísticas que estão sendo coletadas para o banco de dados.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetGraphSummary`
`GetGraphSummary` A API de resumo do grafo possibilita a você recuperar um resumo somente leitura do grafo.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:ManageStatistics`
`ManageStatistics` possibilita ao usuário gerenciar a coleta de estatísticas para o banco de dados.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:DeleteStatistics`
`DeleteStatistics` permite ao usuário excluir todas as estatísticas no banco de dados.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:ResetDatabase`
`ResetDatabase` possibilita ao usuário obter o token necessário para uma redefinição e redefinir o banco de dados Neptune.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## *Ações de acesso a dados do carregador em massa*
## `neptune-db:StartLoaderJob`
`StartLoaderJob` possibilita ao usuário iniciar um trabalho de carregador em massa.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetLoaderJobStatus`
`GetLoaderJobStatus` possibilita ao usuário conferir o status de um trabalho de carregador em massa.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:ListLoaderJobs`
`ListLoaderJobs` possibilita ao usuário listar todos os trabalhos de carregador em massa.
*Grupos de ações:* somente lista, somente leitura e gravação e leitura.
*Recursos necessários:* banco de dados.
## `neptune-db:CancelLoaderJob`
`CancelLoaderJob` possibilita ao usuário cancelar um trabalho de carregador.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## *Ações de acesso a dados de machine learning*
## `neptune-db:StartMLDataProcessingJob`
`StartMLDataProcessingJob` possibilita a um usuário iniciar um trabalho de processamento de dados do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:StartMLModelTrainingJob`
`StartMLModelTrainingJob` possibilita a um usuário iniciar um trabalho de treinamento de modelo de ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:StartMLModelTransformJob`
`StartMLModelTransformJob` possibilita a um usuário iniciar um trabalho de transformação de modelo de ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:CreateMLEndpoint`
`CreateMLEndpoint` possibilita a um usuário criar um endpoint do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetMLDataProcessingJobStatus`
`GetMLDataProcessingJobStatus` possibilita a um usuário conferir o status de um trabalho de processamento de dados do Neptune ML.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetMLModelTrainingJobStatus`
`GetMLModelTrainingJobStatus` possibilita a um usuário conferir o status de um trabalho de treinamento de modelos do Neptune ML.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetMLModelTransformJobStatus`
`GetMLModelTransformJobStatus` possibilita a um usuário conferir o status de um trabalho de transformação de modelos do Neptune ML.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:GetMLEndpointStatus`
`GetMLEndpointStatus` possibilita a um usuário conferir o status de um endpoint do Neptune ML.
*Grupos de ações:* somente leitura, leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:ListMLDataProcessingJobs`
`ListMLDataProcessingJobs` possibilita a um usuário listar trabalhos de processamento de dados do Neptune ML.
*Grupos de ações:* somente lista, somente leitura e gravação e leitura.
*Recursos necessários:* banco de dados.
## `neptune-db:ListMLModelTrainingJobs`
`ListMLModelTrainingJobs` possibilita a um usuário listar todos os trabalhos de treinamento de modelos do Neptune ML.
*Grupos de ações:* somente lista, somente leitura e gravação e leitura.
*Recursos necessários:* banco de dados.
## `neptune-db:ListMLModelTransformJobs`
`ListMLModelTransformJobs` possibilita a um usuário listar todos os trabalhos de transformação de modelos de ML.
*Grupos de ações:* somente lista, somente leitura e gravação e leitura.
*Recursos necessários:* banco de dados.
## `neptune-db:ListMLEndpoints`
`ListMLEndpoints` possibilita a um usuário listar todos os endpoints do Neptune ML.
*Grupos de ações:* somente lista, somente leitura e gravação e leitura.
*Recursos necessários:* banco de dados.
## `neptune-db:CancelMLDataProcessingJob`
`CancelMLDataProcessingJob` possibilita a um usuário cancelar um trabalho de processamento de dados do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:CancelMLModelTrainingJob`
`CancelMLModelTrainingJob` possibilita a um usuário cancelar um trabalho de treinamento de modelos do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:CancelMLModelTransformJob`
`CancelMLModelTransformJob` possibilita a um usuário cancelar um trabalho de transformação de modelos do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
## `neptune-db:DeleteMLEndpoint`
`DeleteMLEndpoint` possibilita a um usuário excluir um endpoint do Neptune ML.
*Grupos de ações:* leitura e gravação.
*Recursos necessários:* banco de dados.
# Tipos de recursos do IAM para acessar dados no Amazon Neptune
Recursos de dados, como ações de dados, têm um prefixo `neptune-db:`.
Em uma política de acesso a dados do Neptune, você especifica o cluster de banco de dados ao qual está concedendo acesso a um ARN com o seguinte formato:
```
arn:aws:neptune-db:region:account-id:cluster-resource-id/*
```
Esse ARN de recurso contém as seguintes partes:
+ `region`é a AWS região do cluster de banco de dados Amazon Neptune.
+ `account-id` é o número da conta da AWS do cluster de banco de dados.
+ `cluster-resource-id` é um ID de recurso do cluster de banco de dados.
**Importante**
O `cluster-resource-id` é diferente do identificador do cluster. Para encontrar um ID de recurso de cluster no Console de gerenciamento da AWS Neptune, procure na seção Configuração **o** cluster de banco de dados em questão.
# Chaves de condição do IAM para acessar dados no Amazon Neptune
[Usando chaves de condição](security-iam-access-manage.md#iam-using-condition-keys), é possível especificar as condições em uma declaração de política do IAM para que a declaração só entre em vigor quando as condições forem verdadeiras.
As chaves de condição que você pode usar em declarações de política de acesso a dados do Neptune se enquadram nas seguintes categorias:
+ [Chaves de [condição globais — O subconjunto de chaves](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de condição AWS globais que o Neptune suporta nas declarações de política de acesso a dados está listado abaixo.](#iam-data-global-condition-keys)
+ [Chaves de condição específicas do serviço](#iam-neptune-condition-keys): são chaves definidas pelo Neptune especificamente para uso em declarações de política de acesso a dados. No momento, há apenas um, [neptune-db: QueryLanguage](#neptune-db-query-language), que concede acesso somente se uma linguagem de consulta específica estiver sendo usada.
## AWS chaves de contexto de condição global suportadas pelo Neptune em declarações de política de acesso a dados
A seguinte tabela lista o subconjunto de [chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) aceitas pelo Amazon Neptune para uso em declarações de política de acesso a dados:
**Chaves de condição globais que você pode usar em declarações de política de acesso a dados**
| Chaves de condição | Descrição | Tipo |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-currenttime) | Filtra o acesso pela data e hora atuais da solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-epochtime) | Filtra o acesso pela data e hora da solicitação expressa como um valor de época do UNIX. | Numeric |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) | Filtra o acesso pela conta à qual a entidade principal solicitante pertence. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) | Filtra o acesso pelo ARN da entidade principal que faz a solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice) | Permite acesso somente se a chamada estiver sendo feita diretamente por um responsável pelo AWS serviço. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) | Filtra o acesso pelo identificador da organização em AWS Organizations à qual o principal solicitante pertence. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) | Filtra o acesso pelo caminho AWS Organizations para o diretor que está fazendo a solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) | Filtra o acesso por uma tag associada à entidade principal que faz a solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltype) | Filtra o acesso pelo tipo de entidade principal que faz a solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) | Filtra o acesso pela AWS região que foi chamada na solicitação. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) | Viabilizará o acesso somente se a solicitação tiver sido enviada usando SSL. | Boolean |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) | Filtra o acesso pelo endereço IP do solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tokenissuetime) | Filtra o acesso pela data e a hora em que as credenciais de segurança temporárias foram emitidas. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-useragent) | Filtra o acesso pelo aplicativo cliente do solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-userid) | Filtra o acesso pelo identificador da entidade principal do solicitante. | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) | Permite acesso somente se um AWS serviço tiver feito a solicitação em seu nome. | Boolean |
## Chaves de condição específicas do serviço do Neptune
O Neptune é compatível com a seguinte chave de condição específica do serviço para políticas do IAM:
**Chaves de condição específicas do serviço do Neptune**
| Chaves de condição | Descrição | Tipo |
| --- | --- | --- |
| neptune-db:QueryLanguage | Filtra o acesso aos dados pela linguagem de consulta que está sendo usada. Os valores válidos são: `Gremlin`, `OpenCypher` e `Sparql`. As ações compatíveis são `ReadDataViaQuery`, `WriteDataViaQuery`, `DeleteDataViaQuery`, `GetQueryStatus` e `CancelQuery`. | String |
# Criar políticas de acesso a dados do IAM no Amazon Neptune
[Os exemplos a seguir mostram como criar políticas personalizadas do IAM que usam controle de acesso refinado do plano de dados APIs e das ações, introduzidas na versão 1.2.0.0 do Neptune Engine.](engine-releases-1.2.0.0.md)
## Exemplo de política que viabiliza acesso irrestrito aos dados em um cluster de banco de dados do Neptune
O exemplo de política a seguir permite que um usuário do IAM se conecte a um cluster de banco de dados do Neptune usando a autenticação de banco de dados do IAM e usa o caractere “`*`“ para corresponder a todas as ações disponíveis.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
O exemplo anterior inclui um ARN de recurso em um formato específico da autenticação do IAM no Neptune. Para criar o ARN, consulte [Specifying data resources](iam-data-resources.md). Observe que o ARN usando para um `Resource` de autorização do IAM não é o mesmo ARN atribuído ao cluster na criação.
## Exemplo de política que viabiliza acesso somente leitura a um cluster de banco de dados do Neptune
A política a seguir concede permissão para acesso total somente leitura aos dados em um cluster de banco de dados do Neptune:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:Read*",
"neptune-db:Get*",
"neptune-db:List*"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que nega acesso todo o acesso a um cluster de banco de dados do Neptune
A ação padrão do IAM é negar o acesso a um cluster de banco de dados a menos que um *Effect* `Allow` seja concedido. No entanto, a política a seguir nega todo o acesso a um cluster de banco de dados para uma determinada AWS conta e região, que então tem precedência sobre qualquer `Allow` efeito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que concede acesso de leitura por meio de consultas
A seguinte política apenas concede permissão para leitura de um cluster de banco de dados do Neptune usando uma consulta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:ReadDataViaQuery",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que só permite consultas do Gremlin
A seguinte política usa a chave de condição `neptune-db:QueryLanguage` para conceder permissão para consultar o Neptune somente usando a linguagem de consulta Gremlin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage": "Gremlin"
}
}
}
]
}
```
------
## Exemplo de política que permite todo o acesso, exceto ao gerenciamento de modelos do Neptune ML
A seguinte política concede acesso total às operações de grafo do Neptune, exceto os atributos de gerenciamento de modelos do Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelLoaderJob",
"neptune-db:CancelQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:DeleteStatistics",
"neptune-db:GetEngineStatus",
"neptune-db:GetLoaderJobStatus",
"neptune-db:GetQueryStatus",
"neptune-db:GetStatisticsStatus",
"neptune-db:GetStreamRecords",
"neptune-db:ListLoaderJobs",
"neptune-db:ManageStatistics",
"neptune-db:ReadDataViaQuery",
"neptune-db:ResetDatabase",
"neptune-db:StartLoaderJob",
"neptune-db:WriteDataViaQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que permite acesso ao gerenciamento de modelos do Neptune ML
Essa política concede acesso aos atributos de gerenciamento de modelos do Neptune ML:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:CancelMLDataProcessingJob",
"neptune-db:CancelMLModelTrainingJob",
"neptune-db:CancelMLModelTransformJob",
"neptune-db:CreateMLEndpoint",
"neptune-db:DeleteMLEndpoint",
"neptune-db:GetMLDataProcessingJobStatus",
"neptune-db:GetMLEndpointStatus",
"neptune-db:GetMLModelTrainingJobStatus",
"neptune-db:GetMLModelTransformJobStatus",
"neptune-db:ListMLDataProcessingJobs",
"neptune-db:ListMLEndpoints",
"neptune-db:ListMLModelTrainingJobs",
"neptune-db:ListMLModelTransformJobs",
"neptune-db:StartMLDataProcessingJob",
"neptune-db:StartMLModelTrainingJob",
"neptune-db:StartMLModelTransformJob"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que concede acesso total por consulta
A seguinte política concede acesso total às operações de consulta de grafo do Neptune, mas não a atributos, como redefinição rápida, fluxos, carregador em massa, gerenciamento de modelos do Neptune ML, etc.:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------
## Exemplo de política que concede acesso total somente para consultas do Gremlin
A seguinte política concede acesso total às operações de consulta de grafo do Neptune usando a linguagem de consulta Gremlin, mas não a consultas em outras linguagens e não a atributos, como redefinição rápida, fluxos, carregador em massa, gerenciamento de modelos do Neptune ML, etc.:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"neptune-db:ReadDataViaQuery",
"neptune-db:WriteDataViaQuery",
"neptune-db:DeleteDataViaQuery",
"neptune-db:GetEngineStatus",
"neptune-db:GetQueryStatus",
"neptune-db:CancelQuery"
],
"Resource": [
"arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
],
"Condition": {
"StringEquals": {
"neptune-db:QueryLanguage":"Gremlin"
}
}
}
]
}
```
------
## Exemplo de política que concede acesso total, exceto para redefinição rápida
A seguinte política concede acesso total a um cluster de banco de dados do Neptune, exceto para uso de redefinição rápida:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "neptune-db:*",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
},
{
"Effect": "Deny",
"Action": "neptune-db:ResetDatabase",
"Resource": "arn:aws:neptune-db:us-east-1:123456789012:cluster-ABCD1234EFGH5678IJKL90MNOP/*"
}
]
}
```
------