Amazon Neptune
Guide de l'utilisateur (Version de l'API 2017-11-29)

Prérequis : Rôle IAM et accès Amazon S3

Le chargement de données à partir d'un compartiment Amazon S3 nécessite un rôle AWS Identity and Access Management (IAM) qui dispose d'un accès au compartiment. Amazon Neptune endosse ce rôle pour charger les données.

Les sections suivantes expliquent comment créer une stratégie IAM et un rôle IAM, associer ces deux éléments, puis attacher le rôle à votre cluster Neptune.

Note

Pour ces instructions, vous devez disposer d'un accès à la console IAM et d'autorisations pour gérer des rôles et des stratégies IAM. Pour plus d'informations, consultez Autorisations pour utiliser l'AWS Management Console dans le IAM Guide de l'utilisateur.

La console Amazon Neptune exige que l'utilisateur dispose des autorisations IAM suivantes pour lier le rôle au cluster Neptune :

iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: *

Création d'un rôle IAM pour autoriser Amazon Neptune à accéder aux ressources Amazon S3

Après avoir créé une stratégie IAM pour autoriser Neptune à accéder aux ressources Amazon S3, vous devez créer un rôle IAM et lier la stratégie IAM au nouveau rôle IAM. Commencez par un rôle Amazon S3 et modifiez-le pour autoriser Amazon Neptune.

Pour créer un rôle IAM afin d'autoriser Amazon Neptune à accéder aux services AWS

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Roles.

  3. Sélectionnez Créer un rôle.

  4. Sous Service AWS, sélectionnez S3.

  5. Sélectionnez Étape suivante : autorisations.

  6. Utilisez la zone de filtre pour filtrer selon le terme S3 et cochez la case en regard de la stratégie AmazonS3ReadOnlyAccess.

    Note

    Cette stratégie accorde les autorisations s3:Get* et s3:List* à tous les compartiments. Les étapes ultérieures limitent l'accès au rôle à l'aide de la stratégie d'approbation.

    Le chargeur requiert uniquement les autorisations s3:Get* et s3:List* sur le compartiment à partir duquel vous effectuez le chargement ; vous pouvez donc également limiter ces autorisations par la ressource S3.

    Si votre compartiment S3 est chiffré, vous devez ajouter les autorisations kms:Decrypt

  7. Choisissez Next: Review.

  8. Définissez le Role Name (Nom de rôle) sur le nom de votre rôle IAM, par exemple, NeptuneLoadFromS3. Vous pouvez également ajouter une valeur facultative dans le champ Role Description (Description du rôle), par exemple, « Autorise Neptune à accéder aux ressources S3 en votre nom ».

  9. Choisissez Create Role (Créer le rôle).

  10. Dans le volet de navigation, choisissez Roles.

  11. Dans le champ Search (Rechercher), entrez le nom du rôle que vous avez créé, puis choisissez celui-ci quand il s'affiche dans la liste.

  12. Dans l'onglet Trust Relationships (Relations d'approbation), choisissez Edit trust relationship (Modifier la relation d'approbation).

  13. Dans la zone de texte, copiez la stratégie d'approbation suivante.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  14. Choisissez Update Trust Policy (Mettre à jour la stratégie d'approbation).

  15. Suivez les étapes de Ajout du rôle IAM à un cluster Amazon Neptune.

Ajout du rôle IAM à un cluster Amazon Neptune

Utilisez la console pour ajouter le rôle IAM à un cluster Amazon Neptune. Cela permet à toute Instance de base de données Neptune du cluster d'endosser le rôle et d'effectuer un chargement depuis Amazon S3.

Note

La console Amazon Neptune exige que l'utilisateur dispose des autorisations IAM suivantes pour lier le rôle au cluster Neptune :

iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: *

Pour ajouter un rôle IAM à un cluster Amazon Neptune

  1. Connectez-vous à AWS Management Console et ouvrez la console Amazon Neptune à partir de l'adresse https://console.aws.amazon.com/neptune/home.

  2. Dans le volet de navigation, choisissez Clusters.

  3. Sélectionnez la case d'option en regard du cluster que vous voulez modifier.

  4. Sous Actions, choisissez Manage IAM roles (Gérer les rôles IAM).

  5. Choisissez le rôle IAM que vous avez créé dans la section précédente.

  6. Sélectionnez Done.

Création du point de terminaison VPC Amazon S3

Le chargeur Neptune requière un point de terminaison de VPC pour Amazon S3.

Pour configurer l'accès à Amazon S3

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation de gauche, choisissez Points de terminaison.

  3. Choisissez Create Endpoint.

  4. Pour Service Name (Nom du service), choisissez com.amazonaws.region.s3.

    Note

    Si la région dans ce champ est incorrecte, assurez-vous que la région de la console est correcte.

  5. Choisissez le VPC qui contient votre Instance de base de données Neptune.

  6. Cochez la case en regard des tables de routage associées aux sous-réseaux liés à votre cluster. Si vous n'avez qu'une seule table de routage, vous devez cocher cette case.

  7. Choisissez Create Endpoint.

Pour plus d'informations sur la création du point de terminaison, consultez Points de terminaison VPC dans le Amazon VPC Guide de l'utilisateur. Pour plus d'informations sur les limitations des points de terminaison d'un VPC, consultez Points de terminaisons pour Amazon S3.

Étapes suivantes

Maintenant que vous avez accordé l'accès au compartiment Amazon S3, vous pouvez vous préparer le chargement des données. Pour plus d'informations sur les formats pris en charge, consultez Formats de chargement de données.