Beispiele für administrative IAM-Richtlinienanweisungen für Neptune - Amazon Neptune
Allgemeine BeispieleTag-basierte Beispiele

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für administrative IAM-Richtlinienanweisungen für Neptune

Beispiele für allgemeine administrative Richtlinien

Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien, die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster gewähren.

Richtlinie, die das Löschen einer angegebenen DB-Instance durch IAM-Benutzer verhindert

Dies ist ein Beispiel für eine Richtlinie, die das Löschen einer angegebenen Neptune-DB-Instance durch IAM-Benutzer verhindert:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteOneInstance",
      "Effect": "Deny",
      "Action": "rds:DeleteDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
    }
  ]
}

Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt

Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Erstellung von DB-Instances in einem angegebenen Neptune-DB-Cluster erlaubt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstance",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
    }
  ]
}

Richtlinie, die Berechtigungen zum Erstellen neuer DB-Instances gewährt, die eine bestimmte DB-Parametergruppe verwenden

Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Erstellung von DB-Instances in einem angegebenen Neptune-DB-Cluster (hierus-west-2) mittels einer einzelnen angegebenen DB-Parametergruppe erlaubt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstanceWithPG",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
        "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
      ]
    }
  ]
}

Richtlinie, die Berechtigungen zum Beschreiben einer Ressource gewährt

Dies ist ein Beispiel für eine Richtlinie, die IAM-Benutzern die Beschreibung jeder Neptune-Ressource erlaubt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribe",
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": *
    }
  ]
}

Beispiele für Tag-basierte administrative Richtlinien

Die folgenden Beispiele zeigen die Erstellung administrativer Neptune-Richtlinien mit Tags, um die Berechtigungen für verschiedene Verwaltungsaktionen in einem DB-Cluster zu filtern.

Beispiel 1: Gewähren von Berechtigungen für Aktionen für eine Ressource mit einem benutzerdefinierten Tag, das mehrere Werte annehmen kann

Die folgende Richtlinie erlaubt die Verwendung der ModifyDBInstance-, CreateDBInstance- oder DeleteDBInstance-API für jede DB-Instance, deren env-Tag auf dev oder test festgelegt ist:

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevTestAccess",
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "rds:CreateDBInstance",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:db-tag/env": [
              "dev",
              "test"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Beispiel 2: Einschränken des Satzes von Tag-Schlüsseln und -Werten, mit denen ein Tag für eine Ressource erstellt werden kann

Diese Richtlinie verwendet einen Condition-Schlüssel, um das Hinzufügen eines Tags mit dem Schlüssel env und dem Wert test, qa oder dev zu einer Ressource zu erlauben:

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTagAccessForDevResources",
      "Effect": "Allow",
      "Action": [
        "rds:AddTagsToResource",
        "rds:RemoveTagsFromResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:req-tag/env": [
            "test",
            "qa",
            "dev"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Beispiel 3: Gewährung des Vollzugriffs auf Neptune-Ressourcen basierend auf aws:ResourceTag

Die folgende Richtlinie ist dem ersten Beispiel oben ähnlich, verwendet jedoch stattdessen aws:ResourceTag:

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowFullAccessToDev",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "dev",
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}