Exemples de déclarations de politique IAM administrative pour Neptune - Amazon Neptune
Exemples générauxExemples basés sur les balises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de déclarations de politique IAM administrative pour Neptune

Exemples de politiques administratives générales

Les exemples suivants montrent comment créer des politiques administratives Neptune qui accordent des autorisations pour effectuer diverses actions de gestion sur un cluster de bases de données.

Politique empêchant un IAM utilisateur de supprimer une instance de base de données spécifiée

Voici un exemple de politique qui empêche un IAM utilisateur de supprimer une instance de base de données Neptune spécifiée :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteOneInstance",
      "Effect": "Deny",
      "Action": "rds:DeleteDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
    }
  ]
}

Politique autorisant la création d'instances de base de données

Voici un exemple de politique qui permet à un IAM utilisateur de créer des instances de base de données dans un cluster de base de données Neptune spécifié :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstance",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
    }
  ]
}

Politique autorisant la création d'instances de base de données utilisant un groupe de paramètres de base de données spécifique

Voici un exemple de politique qui permet à un IAM utilisateur de créer des instances de base de données dans un cluster de base de données spécifié (icius-west-2) dans un cluster de base de données Neptune spécifié en utilisant uniquement un groupe de paramètres de base de données spécifié.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstanceWithPG",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
        "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
      ]
    }
  ]
}

Politique qui accorde l'autorisation de décrire n'importe quelle ressource

Voici un exemple de politique qui permet à un IAM utilisateur de décrire n'importe quelle ressource Neptune.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribe",
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": *
    }
  ]
}

Exemples de politiques administratives basées sur des balises

Les exemples suivants montrent comment créer des politiques administratives Neptune qui utilisent le balisage pour filtrer les autorisations pour diverses actions de gestion sur un cluster de bases de données.

Exemple 1 : accorder une autorisation pour des actions sur une ressource à l'aide d'une balise personnalisée qui peut prendre plusieurs valeurs

La politique ci-dessous autorise l'utilisation deModifyDBInstance, CreateDBInstance ou DeleteDBInstance API sur toute instance de base de données dont la env balise est définie sur l'une dev ou l'autre des valeurs test suivantes :

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevTestAccess",
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "rds:CreateDBInstance",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:db-tag/env": [
              "dev",
              "test"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Exemple 2 : limiter l'ensemble de clés et de valeurs de balise pouvant être utilisées pour baliser une ressource

Cette politique utilise une clé Condition pour autoriser une balise dotée de la clé env et de la valeur test, qa ou dev à être ajoutée à une ressource :

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTagAccessForDevResources",
      "Effect": "Allow",
      "Action": [
        "rds:AddTagsToResource",
        "rds:RemoveTagsFromResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:req-tag/env": [
            "test",
            "qa",
            "dev"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

Exemple 3 : autoriser l'accès complet aux ressources Neptune en fonction de la balise aws:ResourceTag

La politique suivante est similaire au premier exemple ci-dessus, mais utilise aws:ResourceTag à la place :

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowFullAccessToDev",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "dev",
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}