Prérequis : Rôle IAM et accès à Amazon S3 - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis : Rôle IAM et accès à Amazon S3

Le chargement de données depuis un compartiment Amazon Simple Storage Service (Amazon S3) nécessite unAWS Identity and Access Managementrôle (IAM) qui a accès au compartiment. Amazon Neptune assume ce rôle pour charger les données.

Note

Vous pouvez charger des données cryptées depuis Amazon S3 si elles ont été cryptées à l'aide d'Amazon S3SSE-S3Mode gestion. Dans ce cas, Neptune peut se faire passer pour vos informations d'identification et émettres3:getObjectappelle en votre nom.

Vous pouvez également charger des données cryptées depuis Amazon S3 qui ont été cryptées à l'aide duSSE-KMSmode, à condition que votre rôle IAM inclut les autorisations nécessaires pour accéderAWS KMS. Sans les autorisations AWS KMS appropriées, l'opération de chargement en bloc échoue et renvoie une réponse LOAD_FAILED.

Neptune ne prend actuellement pas en charge le chargement de données Amazon S3 cryptées à l'aide duSSE-CMode gestion.

Les sections suivantes expliquent comment utiliser une politique IAM gérée pour créer un rôle IAM pour accéder aux ressources Amazon S3, puis attacher le rôle à votre cluster Neptune.

Note

Ces instructions nécessitent que vous ayez accès à la console IAM et que vous ayez les autorisations nécessaires pour gérer les rôles et les politiques IAM. Pour plus d'informations, veuillez consulter la rubriqueAutorisations pour utiliserAWSConsole de gestiondans leIAM User Guide.

La console Amazon Neptune nécessite que l'utilisateur dispose des autorisations IAM suivantes pour associer le rôle au cluster Neptune :

iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: * with iam:PassedToService restricted to rds.amazonaws.com

Création d'un rôle IAM pour autoriser Amazon Neptune à accéder aux ressources Amazon S3

Utiliser leAmazonS3ReadOnlyAccesspolitique IAM gérée pour créer un nouveau rôle IAM qui permettra à Amazon Neptune d'accéder aux ressources Amazon S3.

Pour créer un nouveau rôle IAM qui autorise Neptune à accéder à Amazon S3

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles.

  3. Sélectionnez Créer un rôle.

  4. SousAWSservice, choisissezS3.

  5. Choisissez Next (Suivant) Permissions (Autorisations).

  6. Utilisez la boîte de filtre pour filtrer par termeS3et cochez la case en regard deAmazon S3ReadOnlyAccess.

    Note

    Cette stratégie accorde les autorisations s3:Get* et s3:List* à tous les compartiments. Les étapes ultérieures limitent l'accès au rôle à l'aide de la stratégie d'approbation.

    Le chargeur nécessite uniquements3:Get*ets3:List*autorisations sur le compartiment à partir duquel vous chargez, afin que vous puissiez également restreindre ces autorisations par la ressource Amazon S3.

    Si votre compartiment S3 est chiffré, vous devez ajouter les autorisations kms:Decrypt

  7. Choisissez Next (Suivant) Review (Examiner).

  8. SetNom du rôleau nom de votre rôle IAM, par exemple : NeptuneLoadFromS3. Vous pouvez également ajouter unDescription du rôlevaleur, telle que « Autorise Neptune à accéder aux ressources Amazon S3 en votre nom ».

  9. Choisissez Create Role (Créer un rôle).

  10. Dans le panneau de navigation, sélectionnez Rôles.

  11. Dans le champ Search (Rechercher), saisissez le nom du rôle que vous avez créé, puis choisissez celui-ci quand il s'affiche dans la liste.

  12. Dans l'onglet Trust Relationships (Relations d'approbation), choisissez Edit trust relationship (Modifier la relation d'approbation).

  13. Dans la zone de texte, copiez la stratégie d'approbation suivante.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  14. Choisissez Update Trust Policy (Mettre à jour la stratégie d'approbation).

  15. Suivez les étapes de Ajout du rôle IAM à un cluster Amazon Neptune.

Ajout du rôle IAM à un cluster Amazon Neptune

Utilisez la console pour ajouter le rôle IAM à un cluster Amazon Neptune. Cela permet à n'importe quelle instance de base de données Neptune du cluster d'assumer le rôle et de le charger à partir d'Amazon S3.

Note

La console Amazon Neptune nécessite que l'utilisateur dispose des autorisations IAM suivantes pour associer le rôle au cluster Neptune :

iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: * with iam:PassedToService restricted to rds.amazonaws.com

Pour ajouter un rôle IAM à un cluster Amazon Neptune

  1. Connectez-vous à la consoleAWSConsole de gestion et ouvrez la console Amazon Neptune à l'adressehttps://console.aws.amazon.com/neptune/home.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Sélectionnez la case d'option en regard du cluster que vous souhaitez modifier.

  4. Sous Actions, choisissez Manage IAM roles (Gérer les rôles IAM).

  5. Choisissez le rôle que vous avez créé dans la section précédente.

  6. Sélectionnez Done (Exécuté).

  7. Attendez que le rôle IAM soit accessible au cluster avant de l'utiliser.

Création du point de terminaison du VPC Amazon S3

Le chargeur Neptune nécessite un point de terminaison de VPC pour Amazon S3.

Pour configurer l'accès à Amazon S3

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Choisissez Create Endpoint (Créer un point de terminaison).

  4. Pour Service Name (Nom du service), choisissez com.amazonaws.region.s3.

    Note

    Si la région dans ce champ est incorrecte, assurez-vous que la région de la console est correcte.

  5. Choisissez le VPC qui contient votre instance de base de données Neptune.

  6. Cochez la case en regard des tables de routage associées aux sous-réseaux liés à votre cluster. Si vous n'avez qu'une seule table de routage, vous devez cocher cette case.

  7. Choisissez Create Endpoint (Créer un point de terminaison).

Pour plus d'informations sur la création du point de terminaison,Points de terminaison des VPCdans leAmazon VPC User Guide. Pour plus d'informations sur les limites des points de terminaison VPC,Points de terminaison de VPC pour Amazon S3.

Étapes suivantes

Maintenant que vous avez autorisé l'accès au compartiment Amazon S3, vous pouvez vous préparer à charger les données. Pour plus d'informations sur les formats pris en charge, consultez Formats de chargement de données.