本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS 受管政策存取 Amazon Neptune 資料庫
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
您可以連接到帳戶中使用者的下列 AWS 受管政策適用於使用 Amazon Neptune 管理 APIs:
+ **[NeptuneReadOnlyAccess](read-only-access-iam-managed-policy.md)** — 授予所有 Neptune 資源上的唯讀管理動作 (例如 `rds:Describe*`和 `rds:ListTagsForResource`) 和唯讀資料存取動作 (`neptune-db:Get*`、 `neptune-db:Read*`和 `neptune-db:List*`)。對於需要檢視叢集組態和查詢資料而無需進行變更的使用者,請使用此政策。
+ **[NeptuneFullAccess](full-access-iam-managed-policy.md)** — 授予所有管理動作 (`rds:*`Neptune 資源上的 ) 和所有資料存取動作 (`neptune-db:*`)。此政策適用於透過 AWS CLI 或 SDK 管理 Neptune 叢集,但不需要 AWS 管理主控台 存取的管理員。
+ **[NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md)** — 授予 Neptune 資源的所有管理動作,以及 AWS 管理主控台 工作流程所需的 Amazon EC2 (VPC)、IAM 和 Neptune Analytics 額外許可。此政策不包含資料存取動作 (`neptune-db:*`)。將此政策用於透過 AWS 管理主控台管理 Neptune 的使用者。
+ **NeptuneGraphReadOnlyAccess** — 此政策適用於 Neptune Analytics。如需詳細資訊,請參閱 [Neptune Analytics 中的 NeptuneGraphReadOnlyAccess](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/security-iam-awsmanpol-graph-read-only.html)。
+ **AWSServiceRoleForNeptuneGraphPolicy** — 此政策適用於 Neptune Analytics。如需詳細資訊,請參閱 [Neptune Analytics 中的 AWSServiceRoleForNeptuneGraphPolicy](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/security-iam-awsmanpol-slr-policy.html)。
Neptune IAM 角色和政策會授與 Amazon RDS 資源的部分存取權,因為 Neptune 和 Amazon RD 共用操作技術以提供某些管理功能。這包括管理 API 許可,這就是為什麼 Neptune 管理動作具有 `rds:` 字首的原因。
## 建立自訂政策
如果 AWS 受管政策對您的使用案例而言太廣泛,您可以建立自訂 IAM 政策,只授予您需要的特定許可。Neptune 支援兩種類別的自訂政策:
+ **管理政策** — 控制對 Neptune 管理操作的存取,例如建立、修改和刪除叢集和執行個體。這些動作使用 `rds:`字首。如需範例,請參閱 [建立 Amazon Neptune 的 IAM 管理政策陳述式](iam-admin-policy-examples.md)。
+ **資料存取政策** — 控制對 Neptune 圖形資料庫中資料的存取,包括讀取、寫入和刪除操作。這些動作使用 `neptune-db:`字首。如需範例,請參閱 [在 Amazon Neptune 中建立 IAM 資料存取政策](iam-data-access-examples.md)。
透過結合管理和資料存取政策陳述式,您可以為組織中的每個使用者或角色授予量身打造的精細許可。
## 驗證 IAM 政策
當您建立或編輯自訂 IAM 政策時,建議您先驗證政策,再將其套用至使用者、群組或角色。
**IAM Access Analyzer 政策驗證** — IAM Access Analyzer 提供針對 IAM 政策文法和 AWS 最佳實務驗證 IAM 政策的政策檢查。它可識別錯誤、安全警告和建議,以協助您撰寫功能正常且符合安全最佳實務的政策。如需詳細資訊,請參閱《[IAM 使用者指南》中的使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 **
**IAM 政策模擬器** — IAM 政策模擬器可讓您先測試 IAM 政策的效果,再將其遞交生產環境。您可以模擬對 AWS 服務的 API 呼叫,以確認您的政策授予或拒絕預期的存取。如需詳細資訊,請參閱《[IAM 使用者指南》中的使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)。 **
## Neptune AWS 受管政策的更新
下表追蹤 Neptune 受管政策的更新,從 Neptune 開始追蹤這些變更的時間開始:
| 政策 | 說明 | Date |
| --- | --- | --- |
| AWS Amazon Neptune 的 受管政策 - 更新至現有政策 | `NeptuneReadOnlyAcess` 和 `NeptuneFullAccess`受管政策現在會在政策陳述式中包含 `Sid`(陳述式 ID) 做為識別符。 | 2024-01-22 |
| [NeptuneGraphReadOnlyAccess](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/security-iam-awsmanpol-graph-read-only.html) (己發行) | 發行以提供 Neptune Analytics 圖形和資源的唯讀存取權。 | 2023-11-29 |
| [AWSServiceRoleForNeptuneGraphPolicy](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/security-iam-awsmanpol-slr-policy.html) (己發行) | 發行以允許 Neptune Analytics 圖形存取 CloudWatch 以發布操作和用量指標及日誌。請參閱 [Neptune Analytics 中的使用服務連結角色 (SLR)](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/nan-service-linked-roles.html)。 | 2023-11-29 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md) (已新增許可) | 新增的許可權提供與 Neptune Analytics 圖形互動所需的所有存取權。 | 2023 年 11 月 29 日 |
| [NeptuneFullAccess](full-access-iam-managed-policy.md) (已新增許可) | 已新增資料存取許可和新全球資料庫 API 的許可。 | 2022-07-28 |
| [NeptuneConsoleFullAccess](console-full-access-iam-managed-policy.md) (已新增許可) | 已新增新全球資料庫 API 的許可。 | 2022-07-21 |
| Neptune 已開始追蹤變更 | Neptune 開始追蹤其 AWS 受管政策的變更。 | 2022-07-21 |