Gestion des accès à l'aide de politiques IAM - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des accès à l'aide de politiques IAM

Stratégies IAMsont des objets JSON qui définissent les autorisations d'utilisation des actions et des ressources.

Vous contrôlez les accès dans AWS en créant des stratégies et en les attachant à des identités AWS ou à des ressources. Une politique est un objet dans AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit les autorisations de ces dernières. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur racine ou séance de rôle) envoie une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées dans AWS en tant que documents JSON. Pour plus d'informations sur la structure et le contenu des documents de politique JSON, consultez Présentation des politiques JSON dans le Guide de l'utilisateur IAM.

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Chaque entité IAM (utilisateur ou rôle) démarre sans autorisation. Par défaut, les utilisateurs ne peuvent rien faire, pas même changer leurs propres mots de passe. Pour autoriser un utilisateur à effectuer une opération, un administrateur doit associer une politique d'autorisations à ce dernier. Il peut également ajouter l'utilisateur à un groupe disposant des autorisations prévues. Lorsqu'un administrateur accorde des autorisations à un groupe, tous les utilisateurs de ce groupe se voient octroyer ces autorisations.

Les politiques IAM définissent les autorisations d'une action, quelle que soit la méthode que vous utilisez pour exécuter l'opération. Par exemple, supposons que vous disposiez d'une politique qui autorise l'action iam:GetRole. Un utilisateur avec cette politique peut obtenir des informations utilisateur à partir de la AWS Management Console, de la AWS CLI ou de l'API AWS.

Politiques basées sur l'identité

Les politiques basées sur l'identité sont des documents de politique d'autorisations JSON que vous pouvez attacher à une identité telle qu'un utilisateur, un groupe d'utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d'actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l'identité, consultez Création de politiques IAM dans le Guide de l'utilisateur IAM.

Les politiques basées sur l'identité peuvent être classées comme étant des politiques en ligne ou des politiques gérées. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez attacher à plusieurs utilisateurs, groupes et rôles dans votre Compte AWS. Les politiques gérées incluent les politiques gérées par AWS et les politiques gérées par le client. Pour découvrir comment choisir entre une politique gérée et une politique en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l'utilisateur IAM.

Utilisation des stratégies de contrôle des servicesAWSorganisations

Les stratégies de contrôle de service (SCP) sont des stratégies JSON qui spécifient le nombre maximal d'autorisations pour une organisation ou une unité d'organisation (OU) dansAWS Organizations.AWS Organizationsest un service permettant de regrouper et de gérer de manière centralisée plusieursAWSles comptes que votre entreprise possède. Si vous activez toutes les fonctions d'une organisation, vous pouvez appliquer les stratégies de contrôle de service (SCP) à l'un ou à l'ensemble de vos comptes. Les politiques de contrôle des services (SCP) limitent les autorisations pour les entités dans les comptes membres, y compris chaque utilisateur racine de compte AWS. Pour de plus amples informations sur Organizations et les SCP, veuillez consulterFonctionnement des SCPdans leAWS OrganizationsGuide de l'utilisateur.

Clients déployant Amazon Neptune dans unAWSCompte au sein d'unAWSL'organisation peut tirer parti des SCP pour contrôler quels comptes peuvent utiliser Neptune. Pour garantir l'accès à Neptune depuis le compte d'un membre, veillez à autoriser l'accès aux actions IAM du plan de contrôle et du plan de données en utilisantneptune:*etneptune-db:*respectivement.

Autorisations requises pour utiliser la console Amazon Neptune

Pour qu'un utilisateur puisse utiliser la console Amazon Neptune, il doit disposer d'un ensemble minimal d'autorisations. Ces autorisations permettent à l'utilisateur de décrire les ressources Neptune pour sonAWScompte et pour fournir d'autres informations associées, dont les informations relatives à la sécurité Amazon EC2 et au réseau.

Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs pourront continuer à utiliser la console Neptune, attachez également leNeptuneReadOnlyAccesspolitique gérée pour l'utilisateur, comme décrit dansAWSPolitiques (prédéfinies) gérées par pour Amazon Neptune.

Vous n'avez pas besoin d'accorder les autorisations minimales de console pour les utilisateurs qui effectuent des appels uniquement àAWS CLIou l'API Amazon Neptune.

Liaison d'une stratégie IAM à un utilisateur IAM

Pour appliquer une stratégie gérée ou personnalisée, vous devez l'attacher à un utilisateur IAM. Pour accéder à un didacticiel sur ce sujet, consultez Créer et attacher votre première stratégie gérée par le client dans le Guide de l'utilisateur IAM.

Tandis que vous parcourez ce didacticiel, vous pouvez utiliser un exemple de politique illustré dans cette section comme point de départ afin de le personnaliser en fonction de vos besoins. À la fin de ce didacticiel, vous obtenez un utilisateur IAM avec une stratégie attachée qui peut utiliser l'action neptune-db:*.

Important
  • Les modifications apportées à une politique IAM peuvent prendre jusqu'à 10 minutes pour s'appliquer aux ressources Neptune spécifiées.

  • Les politiques IAM appliquées à un cluster de bases de données Neptune s'appliquent à toutes les instances de ce cluster.

Utilisation de différents types de stratégies IAM pour contrôler l'accès à Neptune

Pour fournir l'accès aux actions administratives de Neptune ou aux données d'un cluster de bases de données Neptune, vous associez des politiques à un utilisateur ou à un rôle IAM. Pour plus d'informations sur la façon d'attacher une stratégie IAM à un utilisateur, consultezLiaison d'une stratégie IAM à un utilisateur IAM. Pour de plus amples informations sur l'attachement d'une politique à un rôle, veuillez consulterAjout et suppression de politiques IAMdans leIAM User Guide.

Pour un accès général à Neptune, vous pouvez utiliser l'un despolitiques gérées. Pour un accès plus restreint, vous pouvez créer votre propre politique personnalisée à l'aide de laactions administrativesetressourcesque Neptune soutient..

Dans une politique IAM personnalisée, vous pouvez utiliser deux types de déclaration de politique qui contrôlent différents modes d'accès à un cluster de bases de données Neptune :

  • Déclarations de politique administrative— Les déclarations de politique administrative donnent accès auAPI de gestion Neptuneque vous utilisez pour créer, configurer et gérer un cluster de bases de données et ses instances.

    Dans la mesure où Neptune partage des fonctionnalités avec Amazon RDS, les actions administratives, les ressources et les clés de condition des stratégies Neptune utilisent unrds:préfixe par conception.

  • Déclarations de politique d'accès aux— Utilisation des déclarations de politique d'accès aux donnéesactions d'accès aux données,ressources, etClés de conditionpour contrôler l'accès aux données contenues dans un cluster de bases de données.

    Les actions d'accès aux données, les ressources et les clés de condition de Neptune utilisent unneptune-db:Préfixe.

Utilisation de clés contextuelles conditionnelles IAM dans Amazon Neptune

Vous pouvez spécifier des conditions dans une déclaration de politique IAM qui contrôle l'accès à Neptune. L'Instruction de politique prend alors effet uniquement lorsque les conditions sont vérifiées.

Par exemple, il est possible d'appliquer une instruction de politique après une date spécifique, ou d'autoriser l'accès uniquement lorsqu'une valeur spécifique est présente dans la demande.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies dans leConditionélément d'une déclaration de politique, ainsi queOpérateurs de politique de condition IAMpar exemple égal ou inférieur à.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l'instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d'espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement si elle est balisée avec son nom d'utilisateur IAM. Pour plus d'informations, veuillez consulter la rubriqueÉléments de la politique IAM : Variables et balisesdans leIAM User Guide.

Le type de données d'une clé de condition détermine les opérateurs de condition que vous pouvez utiliser pour comparer les valeurs de la demande avec les valeurs de la déclaration de stratégie. Si vous utilisez un opérateur de condition incompatible avec ce type de données, la correspondance échoue toujours et l'instruction de stratégie ne s'applique jamais.

Neptune prend en charge différents ensembles de clés de condition pour les déclarations de politique administrative et pour les déclarations de politique d'accès aux données :

Support de la politique IAM et des fonctionnalités de contrôle d'accès dans Amazon Neptune

Le tableau suivant montre les fonctionnalités d'IAM prises en charge par Neptune pour les déclarations de politique administrative et les déclarations de politique d'accès aux données :

Fonctions IAM que vous pouvez utiliser avec Neptune
Fonction IAM Administratif Accès aux données

Politiques basées sur l'identité

Oui

Oui

Politiques basées sur les ressources

Non

Non

Actions de politique

Oui

Oui

Ressources de politique

Oui

Oui

Clés de condition globale

Oui

(un sous-ensemble)

clés de condition basées sur des balises

Oui

Non

Listes de contrôle d’accès (ACL)

Non

Non

Stratégies de contrôle de service (SCP)

Oui

Oui

Rôles liés aux services

Oui

Non

Limitations des stratégies IAM

Les modifications apportées à une politique IAM peuvent prendre jusqu'à 10 minutes pour s'appliquer aux ressources Neptune spécifiées.

Les politiques IAM appliquées à un cluster de bases de données Neptune s'appliquent à toutes les instances de ce cluster.

Neptune ne prend actuellement pas en charge le contrôle d'accès entre comptes.