本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立自訂 IAM 政策陳述式以管理 Amazon Neptune
管理政策陳述式可讓您控制 IAM 使用者可以做什麼來管理 Neptune 資料庫。
Neptune 管理政策陳述式會授與 Neptune 支援的一或多個[管理動作](neptune-iam-admin-actions.md)和[管理資源](iam-admin-resources.md)的存取權。您也可以使用 [條件金鑰](iam-admin-condition-keys.md) 讓管理許可更具體。
**注意**
因為 Neptune 與 Amazon RDS 共用功能,所以管理政策陳述式中的管理動作、資源和服務特定條件金鑰會依設計使用 `rds:` 字首。
**Topics**
+ [用於管理 Amazon Neptune 的 IAM 動作](neptune-iam-admin-actions.md)
+ [用於管理 Amazon Neptune 的 IAM 資源類型](iam-admin-resources.md)
+ [用於管理 Amazon Neptune 的 IAM 條件金鑰](iam-admin-condition-keys.md)
+ [建立 Amazon Neptune 的 IAM 管理政策陳述式](iam-admin-policy-examples.md)
# 用於管理 Amazon Neptune 的 IAM 動作
您可以在 IAM 政策陳述式的 `Action` 元素中使用下面列出的管理動作,來控制對 [Neptune 管理 API](api.md) 的存取。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
下列清單中的 `Resource type` 欄位指示每個動作是否支援資源層級許可。如果此欄位沒有值,您必須在政策陳述式的 `Resource` 元素中指定所有資源 ("\$1")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的資源 ARN。[此頁面](iam-admin-resources.md)上列出了 Neptune 管理資源類型。
下列清單中的必要資源會以星號 (\$1) 表示。如果您在使用此動作的陳述式中指定資源層級許可 ARN,則它必須屬於此類型。某些動作支援多種資源類型。如果資源類型是選用的 (換句話說,沒有以星號標記),則您不必包含它。
如需此處所列欄位的詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)》中的[動作表](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html#actions_table)。
## rds:AddRoleToDBCluster
`AddRoleToDBCluster` 會將 IAM 角色與 Neptune 資料庫叢集建立關聯。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
## rds:AddSourceIdentifierToSubscription
`AddSourceIdentifierToSubscription` 會將來源識別符新增至現有的 Neptune 事件通知訂閱。
*存取層級:*`Write`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:AddTagsToResource
`AddTagsToResource` 會將 IAM 角色與 Neptune 資料庫叢集建立關聯。
*存取層級:*`Write`。
*資源類型:*
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ApplyPendingMaintenanceAction
`ApplyPendingMaintenanceAction` 會將待定維護動作套用到資源。
*存取層級:*`Write`。
*資源類型:*[db](iam-admin-resources.md#neptune-db-resource) (必要)。
## rds:CopyDBClusterParameterGroup
`CopyDBClusterParameterGroup` 會複製指定的資料庫叢集參數群組。
*存取層級:*`Write`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:CopyDBClusterSnapshot
`CopyDBClusterSnapshot` 會複製資料庫叢集的快照。
*存取層級:*`Write`。
*資源類型:*[cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
## rds:CopyDBParameterGroup
`CopyDBParameterGroup` 會複製指定的資料庫參數群組。
*存取層級:*`Write`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:CreateDBCluster
`CreateDBCluster` 會建立新的 Neptune 資料庫叢集。
*存取層級:*`Tagging`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
+ [neptune-rds\$1DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine)
## rds:CreateDBClusterParameterGroup
`CreateDBClusterParameterGroup` 會建立新的資料庫叢集參數群組。
*存取層級:*`Tagging`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBClusterSnapshot
`CreateDBClusterSnapshot` 會建立資料庫叢集的快照。
*存取層級:*`Tagging`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBInstance
`CreateDBInstance` 會建立新的資料庫執行個體。
*存取層級:*`Tagging`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必要)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBParameterGroup
`CreateDBParameterGroup` 會建立新的資料庫參數群組。
*存取層級:*`Tagging`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateDBSubnetGroup
`CreateDBSubnetGroup` 會建立新的資料庫子網路群組。
*存取層級:*`Tagging`。
*資源類型:*[subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:CreateEventSubscription
`CreateEventSubscription` 會建立 Neptune 事件通知訂閱。
*存取層級:*`Tagging`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:DeleteDBCluster
`DeleteDBCluster` 會刪除現有的 Neptune 資料庫叢集。
*存取層級:*`Write`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
## rds:DeleteDBClusterParameterGroup
`DeleteDBClusterParameterGroup` 會刪除指定的資料庫叢集參數群組。
*存取層級:*`Write`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:DeleteDBClusterSnapshot
`DeleteDBClusterSnapshot` 會刪除資料庫叢集快照。
*存取層級:*`Write`。
*資源類型:*[cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
## rds:DeleteDBInstance
`DeleteDBInstance` 會刪除指定的資料庫執行個體。
*存取層級:*`Write`。
*資源類型:*[db](iam-admin-resources.md#neptune-db-resource) (必要)。
## rds:DeleteDBParameterGroup
`DeleteDBParameterGroup` 會刪除指定的 DBParameterGroup。
*存取層級:*`Write`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:DeleteDBSubnetGroup
`DeleteDBSubnetGroup` 會刪除資料庫子網路群組。
*存取層級:*`Write`。
*資源類型:*[subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
## rds:DeleteEventSubscription
`DeleteEventSubscription` 會刪除事件通知訂閱。
*存取層級:*`Write`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:DescribeDBClusterParameterGroups
`DescribeDBClusterParameterGroups` 會傳回 DBClusterParameterGroup 描述的清單。
*存取層級:*`List`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:DescribeDBClusterParameters
`DescribeDBClusterParameters` 會傳回特定資料庫叢集參數群組的詳細參數清單。
*存取層級:*`List`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:DescribeDBClusterSnapshotAttributes
`DescribeDBClusterSnapshotAttributes` 會傳回手動資料庫叢集快照之資料庫叢集快照屬性名稱和值的清單。
*存取層級:*`List`。
*資源類型:*[cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
## rds:DescribeDBClusterSnapshots
`DescribeDBClusterSnapshots` 會傳回資料庫叢集快照的相關資訊。
*存取層級:*`Read`。
## rds:DescribeDBClusters
`DescribeDBClusters` 會傳回佈建 Neptune 資料庫叢集的相關資訊。
*存取層級:*`List`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
## rds:DescribeDBEngineVersions
`DescribeDBEngineVersions` 會傳回可用的資料庫引擎清單。
*存取層級:*`List`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:DescribeDBInstances
`DescribeDBInstances` 會傳回資料庫執行個體的相關資訊。
*存取層級:*`List`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:DescribeDBParameterGroups
`DescribeDBParameterGroups` 會傳回 DBParameterGroup 描述的清單。
*存取層級:*`List`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:DescribeDBParameters
`DescribeDBParameters` 會傳回特定資料庫參數群組的詳細參數清單。
*存取層級:*`List`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:DescribeDBSubnetGroups
`DescribeDBSubnetGroups` 會傳回 DBSubnetGroup 描述的清單。
*存取層級:*`List`。
*資源類型:*[subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
## rds:DescribeEventCategories
`DescribeEventCategories` 會傳回所有事件來源類型或特定來源類型 (如果指定) 的類別清單。
*存取層級:*`List`。
## rds:DescribeEventSubscriptions
`DescribeEventSubscriptions` 會列出客戶帳戶的所有訂閱描述。
*存取層級:*`List`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:DescribeEvents
`DescribeEvents` 會傳回過去 14 天與資料庫執行個體、資料庫安全群組和資料庫參數群組相關的事件。
*存取層級:*`List`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:DescribeOrderableDBInstanceOptions
`DescribeOrderableDBInstanceOptions` 會傳回指定引擎的可排序資料庫執行個體選項清單。
*存取層級:*`List`。
## rds:DescribePendingMaintenanceActions
`DescribePendingMaintenanceActions` 會傳回至少有一個待處理維護動作的資源清單 (例如,資料庫執行個體)。
*存取層級:*`List`。
*資源類型:*[db](iam-admin-resources.md#neptune-db-resource) (必要)。
## rds:DescribeValidDBInstanceModifications
`DescribeValidDBInstanceModifications` 會列出您對資料庫執行個體可做的修改。
*存取層級:*`List`。
*資源類型:*[db](iam-admin-resources.md#neptune-db-resource) (必要)。
## rds:FailoverDBCluster
`FailoverDBCluster` 會強制資料庫叢集進行容錯移轉。
*存取層級:*`Write`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
## rds:ListTagsForResource
`ListTagsForResource` 會列出 Neptune 資源的所有標籤。
*存取層級:*`Read`。
*資源類型:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
## rds:ModifyDBCluster
`ModifyDBCluster`
修改 Neptune 資料庫叢集的設定。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:ModifyDBClusterParameterGroup
`ModifyDBClusterParameterGroup` 會修改資料庫叢集參數群組的參數。
*存取層級:*`Write`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:ModifyDBClusterSnapshotAttribute
`ModifyDBClusterSnapshotAttribute` 會在手動資料庫叢集快照中新增或移除屬性和值。
*存取層級:*`Write`。
*資源類型:*[cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
## rds:ModifyDBInstance
`ModifyDBInstance` 會修改資料庫執行個體的設定。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [db](iam-admin-resources.md#neptune-db-resource) (必要)。
+ [pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:ModifyDBParameterGroup
`ModifyDBParameterGroup` 會修改資料庫參數群組的參數。
*存取層級:*`Write`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:ModifyDBSubnetGroup
`ModifyDBSubnetGroup` 會修改現有的資料庫子網路群組。
*存取層級:*`Write`。
*資源類型:*[subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
## rds:ModifyEventSubscription
`ModifyEventSubscription` 會修改現有的 Neptune 事件通知訂閱。
*存取層級:*`Write`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:RebootDBInstance
`RebootDBInstance` 會重新啟動執行個體的資料庫引擎服務。
*存取層級:*`Write`。
*資源類型:*[db](iam-admin-resources.md#neptune-db-resource) (必要)。
## rds:RemoveRoleFromDBCluster
`RemoveRoleFromDBCluster` 取消 AWS Identity and Access Management (IAM) 角色與 Amazon Neptune 資料庫叢集的關聯。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
## rds:RemoveSourceIdentifierFromSubscription
`RemoveSourceIdentifierFromSubscription` 會從現有的 Neptune 事件通知訂閱移除來源識別符。
*存取層級:*`Write`。
*資源類型:*[es](iam-admin-resources.md#neptune-es-resource) (必要)
## rds:RemoveTagsFromResource
`RemoveTagsFromResource` 會從 Neptune 資源中移除中繼資料標籤。
*存取層級:*`Tagging`。
*資源類型:*
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource)
+ [db](iam-admin-resources.md#neptune-db-resource)
+ [es](iam-admin-resources.md#neptune-es-resource)
+ [pg](iam-admin-resources.md#neptune-pg-resource)
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource)
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:ResetDBClusterParameterGroup
`ResetDBClusterParameterGroup` 會將資料庫叢集參數群組的參數修改為預設值。
*存取層級:*`Write`。
*資源類型:*[cluster-pg](iam-admin-resources.md#neptune-cluster-pg-resource) (必要)。
## rds:ResetDBParameterGroup
`ResetDBParameterGroup` 會將資料庫參數群組的參數修改為引擎/系統的預設值。
*存取層級:*`Write`。
*資源類型:*[pg](iam-admin-resources.md#neptune-pg-resource) (必要)。
## rds:RestoreDBClusterFromSnapshot
`RestoreDBClusterFromSnapshot` 會從資料庫叢集快照建立新的資料庫叢集。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [cluster-snapshot](iam-admin-resources.md#neptune-cluster-snapshot-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:RestoreDBClusterToPointInTime
`RestoreDBClusterToPointInTime` 會將資料庫叢集還原到任意時間點。
*存取層級:*`Write`。
*相依動作:*`iam:PassRole`。
*資源類型:*
+ [cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
+ [subgrp](iam-admin-resources.md#neptune-subgrp-resource) (必要)。
*條件金鑰:*
+ [aws:RequestTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_RequestTag)
+ [aws:TagKeys](iam-admin-condition-keys.md#admin-aws_TagKeys)
## rds:StartDBCluster
`StartDBCluster` 會啟動指定的資料庫叢集。
*存取層級:*`Write`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
## rds:StopDBCluster
`StopDBCluster` 會停止指定的資料庫叢集。
*存取層級:*`Write`。
*資源類型:*[cluster](iam-admin-resources.md#neptune-cluster-resource) (必要)。
# 用於管理 Amazon Neptune 的 IAM 資源類型
Neptune 支援下表中的資源類型,用於 IAM 管理政策陳述式的 `Resource` 元素。如需 `Resource` 元素的詳細資訊,請參閱 [IAM JSON 政策元素:Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
[Neptune 管理動作清單](neptune-iam-admin-actions.md)會識別可隨每個動作指定的資源類型。資源類型也會確定您可在政策中包括哪些條件金鑰,如下表的最後一欄所指定。
下表中的 `ARN` 欄會指定參考此類型資源必須使用的 Amazon Resource Name (ARN) 格式。` $ ` 後面的部分必須取代為您案例的實際值。例如,如果您在 ARN 中看到 `$user-name`,您必須將該字串取代為實際 IAM 使用者的名稱,或取代為包含 IAM 使用者名稱的政策變數。如需 ARN 的詳細資訊,請參閱 [IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) 和 [在 Amazon Neptune 中使用管理 ARN](tagging-arns.md)。
` Condition Keys ` 欄會指定只有在此陳述式中同時包含此資源和相容的支援動作時,您才能在 IAM 政策陳述式中包含的條件內容金鑰。
****
| 資源類型 | ARN | 條件金鑰 |
| --- | --- | --- |
| `cluster` (資料庫叢集) | arn:partition:rds:region:account-id:cluster:instance-name | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-tag) |
| `cluster-pg` (資料庫叢集參數群組) | arn:partition:rds:region:account-id:cluster-pg:neptune-DBClusterParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) |
| `cluster-snapshot` (資料庫叢集快照) | arn:partition:rds:region:account-id:cluster-snapshot:neptune-DBClusterSnapshotName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:cluster-snapshot-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_cluster-snapshot-tag) |
| `db` (資料庫執行個體) | arn:partition:rds:region:account-id:db:neptune-DbInstanceName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:DatabaseClass](iam-admin-condition-keys.md#admin-rds_DatabaseClass) [rds:DatabaseEngine](iam-admin-condition-keys.md#admin-rds_DatabaseEngine) [rds:db-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_db-tag) |
| `es` (事件訂閱) | arn:partition:rds:region:account-id:es:neptune-CustSubscriptionId | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:es-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_es-tag) |
| `pg` (資料庫參數群組) | arn:partition:rds:region:account-id:pg:neptune-ParameterGroupName | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:pg-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_pg-tag) |
| `subgrp` (資料庫子網路群組) | arn:partition:rds:region:account-id:subgrp:neptune-DBSubnetGroupName\$1 | [aws:ResourceTag/*tag-key*](iam-admin-condition-keys.md#admin-aws_ResourceTag) [rds:subgrp-tag/*tag-key*](iam-admin-condition-keys.md#admin-rds_subgrp-tag) |
# 用於管理 Amazon Neptune 的 IAM 條件金鑰
[使用條件金鑰](security-iam-access-manage.md#iam-using-condition-keys),您可以在 IAM 政策陳述式中指定條件,以便陳述式只在條件成立時才生效。您可以在 Neptune 管理政策陳述式中使用的條件金鑰分為下列類別:
+ [全域條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) – 這些是由 定義 AWS ,可用於 AWS 服務。大部分可以用於 Neptune 管理政策陳述式。
+ [管理資源屬性條件金鑰](#iam-rds-property-condition-keys) – [下面](#iam-rds-property-condition-keys)列出的這些金鑰是以管理資源的屬性為基礎。
+ [標籤型存取條件金鑰](#iam-rds-tag-based-condition-keys) – [下面](#iam-rds-tag-based-condition-keys)列出的這些金鑰是以附加至管理資源的 [AWS 標籤](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)為基礎。
## Neptune 管理資源屬性條件金鑰
| 條件索引鍵 | 描述 | Type |
| --- | --- | --- |
| rds:DatabaseClass | 依資料庫執行個體類別的類型篩選存取 | String |
| rds:DatabaseEngine | 依資料庫引擎來篩選存取權限。如需可能的值,請參閱建立資料庫執行個體 API 中的引擎參數 | 字串 |
| rds:DatabaseName | 依資料庫執行個體上的資料庫使用者定義名稱來篩選存取權限。 | 字串 |
| rds:EndpointType | 依端點類型篩選存取權限。READER、WRITER、CUSTOM 的其中一個 | String |
| rds:Vpc | 依此值指定資料庫執行個體是否在 Amazon Virtual Private Cloud (Amazon VPC) 中執行來篩選存取權限。若要指示資料庫執行個體在 Amazon VPC 中執行,請指定 true。 | Boolean |
## 管理標籤型條件金鑰
Amazon Neptune 支援在 IAM 政策中使用自訂標籤來指定條件,以透過 [管理 API 參考](api.md) 控制對 Neptune 的存取。
例如,如果您將名為 `environment` 的標籤新增至資料庫執行個體,而此標籤具有 `beta`、`staging` 和 `production` 等值,則您可以建立一個政策,根據該標籤的值限制對執行個體的存取。
**重要**
如果您使用標記來管理對 Neptune 資源的存取,請務必保護對標籤的存取。您可以建立 `AddTagsToResource` 和 `RemoveTagsFromResource` 動作的政策,來限制對標籤的存取。
例如,您可以使用下列政策,拒絕使用者可對所有資源新增或移除標籤的能力。然後,您可以建立政策來允許特定使用者新增或移除標籤。
****
```
{ "Version":"2012-10-17",
"Statement":[
{ "Sid": "DenyTagUpdates",
"Effect": "Deny",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource":"*"
}
]
}
```
下列標籤型條件金鑰僅會在管理政策陳述式中使用管理資源。
**標籤型管理條件金鑰**
| 條件索引鍵 | 描述 | Type |
| --- | --- | --- |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) | 根據請求中存在的標籤金鑰值對來篩選存取。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) | 根據附加到資源的標籤金鑰值對來篩選存取。 | String |
| [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keyss) | 根據請求中存在的標籤金鑰來篩選存取。 | String |
| rds:cluster-pg-tag/\$1\$1TagKey\$1 | 依附加到資料庫叢集參數群組的標籤來篩選存取。 | String |
| rds:cluster-snapshot-tag/\$1\$1TagKey\$1 | 依附加到資料庫叢集快照的標籤來篩選存取。 | String |
| rds:cluster-tag/\$1\$1TagKey\$1 | 依附加到資料庫叢集的標籤來篩選存取。 | String |
| rds:db-tag/\$1\$1TagKey\$1 | 依附加到資料庫執行個體的標籤來篩選存取。 | String |
| rds:es-tag/\$1\$1TagKey\$1 | 依附加到事件訂閱的標籤來篩選存取。 | String |
| rds:pg-tag/\$1\$1TagKey\$1 | 依附加到資料庫參數群組的標籤來篩選存取。 | String |
| rds:req-tag/\$1\$1TagKey\$1 | 依限制可用來標記資源的一組標籤金鑰和值來篩選存取。 | String |
| rds:secgrp-tag/\$1\$1TagKey\$1 | 依附加到資料庫安全群組的標籤來篩選存取。 | String |
| rds:snapshot-tag/\$1\$1TagKey\$1 | 依附加到資料庫快照的標籤來篩選存取。 | String |
| rds:subgrp-tag/\$1\$1TagKey\$1 | 依附加至資料庫子網路群組的標籤來篩選存取權限 | String |
# 建立 Amazon Neptune 的 IAM 管理政策陳述式
## 一般管理政策範例
以下範例說明如何建立 Neptune 管理政策,授與對資料庫叢集執行各種管理動作的許可。
### 防止 IAM 使用者刪除所指定資料庫執行個體的政策
以下是防止 IAM 使用者刪除所指定 Neptune 資料庫執行個體的範例政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
}
]
}
```
------
### 授與許可來建立新資料庫執行個體的政策
以下是允許 IAM 使用者在指定的 Neptune 資料庫叢集中建立資料庫執行個體的範例政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
}
]
}
```
------
### 授與許可來建立使用特定資料庫參數群組之新資料庫執行個體的政策
以下範例政策允許 IAM 使用者僅使用指定的資料庫參數群組,在指定的 Neptune 資料庫叢集 (此處的 `us-west-2`) 中建立資料庫執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
"arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
]
}
]
}
```
------
### 授與許可來描述任何資源的政策
以下是允許 IAM 使用者描述任何 Neptune 資源的範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## 標籤型管理政策範例
以下範例說明如何建立 Neptune 管理政策,使用標籤來篩選資料庫叢集上各種管理動作的許可。
### 範例 1:使用可以採取多個值的自訂標籤,對資源上的動作授與許可
以下政策允許在 `env` 標籤設定為 `dev` 或 `test` 的任何資料庫執行個體上使用 `ModifyDBInstance`、`CreateDBInstance` 或 `DeleteDBInstance` API:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 範例 2:限制可用來標記資源的一組標籤金鑰和值
此政策會使用 `Condition` 金鑰,允許將具有金鑰 `env` 和值 `test`、`qa` 或 `dev` 的標籤新增至資源:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 範例 3:允許根據 `aws:ResourceTag` 完整存取 Neptune 資源
以下政策與上述第一個範例類似,但會改用 `aws:ResourceTag`:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------