Exemples de déclarations de politique administrative de l'IAM pour Neptune - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de déclarations de politique administrative de l'IAM pour Neptune

Exemples de politiques administratives générales

Les exemples suivants montrent comment créer des politiques administratives Neptune qui accordent des autorisations pour effectuer diverses actions de gestion sur un cluster de bases de données.

Stratégie qui empêche un utilisateur IAM de supprimer une instance de base de données spécifiée

Voici un exemple de politique qui empêche un utilisateur IAM de supprimer une instance de base de données Neptune spécifiée :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteOneInstance", "Effect": "Deny", "Action": "rds:DeleteDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name" } ] }

Politique qui accorde l'autorisation de créer de nouvelles instances de base de données

Voici un exemple de stratégie autorisant un utilisateur IAM à créer des instances de base de données dans un cluster de base de données Neptune spécifié :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstance", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster" } ] }

Politique qui autorise la création de nouvelles instances de base de données utilisant un groupe de paramètres de base de données spécifique

Voici un exemple de stratégie autorisant un utilisateur IAM à créer des instances de base de données dans un cluster de base de données spécifié (icius-west-2) dans un cluster de bases de données Neptune spécifié en utilisant uniquement un groupe de paramètres de base de données spécifié.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateInstanceWithPG", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster", "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg" ] } ] }

Politique qui Accorde l'autorisation de décrire une ressource

Voici un exemple de politique qui permet à un utilisateur IAM de décrire n'importe quelle ressource Neptune.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribe", "Effect": "Allow", "Action": "rds:Describe*", "Resource": * } ] }

Exemples de stratégie administrative basée sur des balises

Les exemples suivants montrent comment créer des politiques administratives Neptune qui utilisent des balises pour filtrer les autorisations pour diverses actions de gestion sur un cluster de bases de données.

Exemple 1 : Accorder une autorisation pour des actions sur une ressource à l'aide d'une balise personnalisée qui peut prendre plusieurs valeurs

La politique ci-dessous autorise l'utilisation duModifyDBInstance,CreateDBInstanceouDeleteDBInstanceAPI sur toute instance de base de données dotée deenvbalise définie surdevoutest :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDevTestAccess", "Effect": "Allow", "Action": [ "rds:ModifyDBInstance", "rds:CreateDBInstance", "rds:DeleteDBInstance" ], "Resource": "*", "Condition": { "StringEquals": { "rds:db-tag/env": [ "dev", "test" ], "rds:DatabaseEngine": "neptune" } } } ] }

Exemple 2 : Limiter l'ensemble de clés et de valeurs de balise pouvant être utilisées pour baliser une ressource

Cette politique utilise unConditiontouche pour autoriser une balise contenant la cléenvet une valeur detest,qa, oudevà ajouter à une ressource :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTagAccessForDevResources", "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "StringEquals": { "rds:req-tag/env": [ "test", "qa", "dev" ], "rds:DatabaseEngine": "neptune" } } } ] }

Exemple 3 : Accorde l'accès complet aux ressources de Neptune en fonction deaws:ResourceTag

La politique suivante est similaire au premier exemple ci-dessus, mais utilise laaws:ResourceTagau contraire :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToDev", "Effect": "Allow", "Action": [ "rds:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "dev", "rds:DatabaseEngine": "neptune" } } } ] }