Clés de condition disponibles dans les déclarations de politique administrative de Neptune IAM - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés de condition disponibles dans les déclarations de politique administrative de Neptune IAM

Utilisation de clés de condition, vous pouvez spécifier des conditions dans une déclaration de stratégie IAM afin que celle-ci ne prenne effet que lorsque les conditions sont remplies. Les clés de condition que vous pouvez utiliser dans les déclarations de politique administrative de Neptune appartiennent aux catégories suivantes :

Clés de condition des propriétés des ressources administratives Neptune

Clés de condition Description Type
rds:DatabaseClass Filtre l'accès par le type de classe d'instance de base de données. Chaîne
rds:DatabaseEngine Filtre l'accès en fonction du moteur de base de données. Pour les valeurs possibles, reportez-vous au paramètre moteur dans l'API CreateDBInstance Chaîne
rds:DatabaseName Filtre l'accès en fonction du nom défini par l'utilisateur de la base de données sur l'instance de base de données Chaîne
rds:EndpointType Filtre l'accès en fonction du type du point de terminaison. Il doit s'agir de l'un des systèmes suivants : LECTEUR, ÉCRIVAIN, PERSONNALISÉ Chaîne
rds:Vpc Filtre l'accès en fonction de la valeur qui spécifie si l'instance de base de données s'exécute dans un VPC Amazon (Amazon Virtual Private Cloud). Pour indiquer que l'instance de base de données s'exécute dans un VPC Amazon, spécifieztrue. Booléen

Clés de condition basées sur des balises

Amazon Neptune prend en charge la spécification de conditions dans une stratégie IAM à l'aide de balises personnalisées afin de contrôler l'accès à Neptune par le biais duAPI de gestion Neptune.

Par exemple, si vous ajoutez une balise nomméeenvironmentà vos instances de base de données, avec des valeurs telles quebeta,staging, etproduction, vous pouvez ensuite créer une stratégie qui limite l'accès aux instances en fonction de la valeur de cette balise.

Important

Si vous gérez l'accès à vos ressources Neptune à l'aide du balisage, assurez-vous de sécuriser l'accès aux balises. Vous pouvez restreindre l'accès aux balises en créant des stratégies pourAddTagsToResourceetRemoveTagsFromResourceactions.

Par exemple, vous pouvez utiliser la stratégie suivante pour refuser aux utilisateurs la capacité à ajouter ou supprimer des balises pour toutes les ressources. Vous pouvez alors créer des stratégies pour autoriser des utilisateurs spécifiques à ajouter ou supprimer des balises.

{ "Version": "2012-10-17", "Statement":[ { "Sid": "DenyTagUpdates", "Effect": "Deny", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }

Les clés de condition basées sur des balises suivantes fonctionnent uniquement avec les ressources administratives dans les déclarations de politique administrative.

Clés de condition administratives basées sur des
Clés de condition Description Type
aws:RequestTag/${TagKey}

Filtre l'accès en fonction de la présence de paires clé-valeur de balise dans la demande.

Chaîne
aws:ResourceTag/${TagKey}

Filtre l'accès en fonction des paires clé-valeur de balise attachées à la ressource.

Chaîne
aws:TagKeys

Filtre l'accès en fonction de la présence de clés de balise dans la demande.

Chaîne
rds:cluster-pg-tag/${TagKey} Filtre l'accès par la balise attachée à un groupe de paramètres de cluster de base de données. Chaîne
rds:cluster-snapshot-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un instantané de cluster de base de données. Chaîne
rds:cluster-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un cluster de base de données. Chaîne
rds:db-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à une instance de base de données. Chaîne
rds:es-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un abonnement à un événement. Chaîne
rds:pg-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un groupe de paramètres de base de données. Chaîne
rds:req-tag/${TagKey} Filtre l'accès en fonction de l'ensemble de clés et de valeurs de balise pouvant être utilisées pour baliser une ressource. Chaîne
rds:secgrp-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un groupe de sécurité de base de données. Chaîne
rds:snapshot-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un instantané de base de données. Chaîne
rds:subgrp-tag/${TagKey} Filtre l'accès en fonction de la balise attachée à un groupe de sous-réseaux de base de données Chaîne