Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMBedingungsschlüssel für die Verwaltung von Amazon Neptune
Mithilfe von Bedingungsschlüsseln können Sie Bedingungen in einer IAM Richtlinienerklärung angeben, sodass die Erklärung nur wirksam wird, wenn die Bedingungen erfüllt sind. Die Bedingungsschlüssel, die Sie in administrativen Richtlinienanweisungen in Neptune verwenden können, gehören den folgenden Kategorien an:
Globale Bedingungsschlüssel — Diese sind AWS für die allgemeine Verwendung mit AWS Diensten definiert. Die meisten können in den administrativen Richtlinienanweisungen in Neptune verwendet werden.
Administrative Ressourceneigenschaft-Bedingungsschlüssel – Diese Schlüssel (wie unten aufgelistet) basieren auf Eigenschaften von Verwaltungsressourcen.
Tag-basierte Zugriffsbedingungsschlüssel – Diese Schlüssel (wie unten aufgelistet) basieren auf AWS Tags, die an Verwaltungsressourcen angefügt sind.
Administrative Ressourceneigenschaft-Bedingungssschlüssel in Neptune
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
rds:DatabaseClass |
Filtert den Zugriff nach Typ der DB-Instance-Klasse | String |
rds:DatabaseEngine |
Filtert den Zugriff nach dem Datenbank-Engine. Mögliche Werte finden Sie im Motorparameter in C reateDBInstance API | String |
rds:DatabaseName |
Filtert den Zugriff nach benutzerdefiniertem Name der Datenbank auf der DB-Instance | Zeichenfolge |
rds:EndpointType |
Filtert den Zugriff nach dem Typ des Endpunkts. Einer von:READER,WRITER, CUSTOM | String |
rds:Vpc |
Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in einer Amazon Virtual Private Cloud (AmazonVPC) ausgeführt wird. Um anzugeben, dass die DB-Instance in einem Amazon läuftVPC, geben Sie antrue. |
Boolesch |
Administrative Tag-basierte Bedingungsschlüssel
Amazon Neptune unterstützt die Angabe von Bedingungen in einer IAM Richtlinie mithilfe benutzerdefinierter Tags, um den Zugriff auf Neptune über die zu kontrollieren. Management-API-Referenz
Wenn Sie beispielsweise Ihren DB-Instances ein Tag mit dem Namen environment und Werten wie beta, staging und production hinzufügen, können Sie anschließend eine Richtlinie erstellen, die den Zugriff auf die Instances anhand des Werts dieses Tags einschränkt.
Wichtig
Wenn Sie den Zugriff auf Ihre Neptune-Ressourcen mit Tags verwalten, muss der Zugriff auf die Tags geschützt werden. Sie können den Zugriff auf Tags einschränken, indem Sie Richtlinien für die Aktionen AddTagsToResource und RemoveTagsFromResource erstellen.
Beispielsweise könnten Sie die folgende Richtlinie verwenden, um das Hinzufügen oder Entfernen von Tags für alle Ressourcen abzulehnen. Anschließend könnten Sie Richtlinien erstellen, um bestimmten Benutzern das Hinzufügen oder Entfernen von Tags zu ermöglichen.
{ "Version": "2012-10-17", "Statement":[ { "Sid": "DenyTagUpdates", "Effect": "Deny", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }
Die folgenden Tag-basierten Bedingungsschlüssel funktionieren nur mit administrativen Ressourcen in administrativen Richtlinienanweisungen.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
aws:RequestTag/${TagKey}
|
Filtert den Zugriff basierend auf dem Vorhandensein von Tag-Schlüssel-Wert-Paaren in der Anforderung. |
String |
aws:ResourceTag/${TagKey}
|
Filtert den Zugriff basierend auf den Tag-Schlüssel-Wert-Paaren, die der Ressource angefügt sind. |
String |
aws:TagKeys
|
Filtert den Zugriff basierend auf dem Vorhandensein von Tag-Schlüsseln in der Anforderung. |
String |
rds:cluster-pg-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einer DB-Cluster-Parametergruppe angefügt ist. | String |
rds:cluster-snapshot-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einem DB-Cluster-Snapshot angefügt ist. | String |
rds:cluster-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einem DB-Cluster angefügt ist. | String |
rds:db-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einer DB-Instance angefügt ist. | String |
rds:es-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einem Ereignisabonnement angefügt ist. | String |
rds:pg-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einer DB-Parametergruppe angefügt ist. | String |
rds:req-tag/${TagKey} |
Filtert den Zugriff nach dem Satz von Tag-Schlüsseln und -Werten, die zum Taggen einer Ressource verwendet werden können. | String |
rds:secgrp-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einer DB-Sicherheitsgruppe angefügt ist. | String |
rds:snapshot-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einem DB-Snapshot angefügt ist. | String |
rds:subgrp-tag/${TagKey} |
Filtert den Zugriff nach dem Tag, das einer DB-Subnetzgruppe angefügt ist. | String |
