Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des accès à l'aide de politiques IAM
Les politiques IAM sont des objets JSON qui définissent les autorisations d'utilisation des actions et des ressources.
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur root ou session de rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations sur la structure et le contenu des documents de politique JSON, consultez Présentation des politiques JSON dans le Guide de l’utilisateur IAM.
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles.
Les politiques IAM définissent les autorisations d’une action, quelle que soit la méthode que vous utilisez pour exécuter l’opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action iam:GetRole. Un utilisateur appliquant cette politique peut obtenir des informations sur le rôle à partir de AWS Management Console AWS CLI, de ou de l' AWS
API.
politiques basées sur l’identité
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un Groupes d’utilisateurs IAM ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM.
Les politiques basées sur l’identité peuvent être classées comme des politiques en ligne ou des politiques gérées. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre Compte AWS. Les politiques gérées incluent les politiques AWS gérées et les politiques gérées par le client. Pour découvrir comment choisir entre une politique gérée et une politique en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.
Utilisation des politiques de contrôle des services (SCP) avec les organisations AWS
Les politiques de contrôle des services (SCP) sont des politiques JSON qui spécifient les autorisations maximales pour une organisation ou une unité organisationnelle (UO) dans AWS Organizations
Les clients déployant Amazon Neptune dans un AWS compte au sein d'une AWS organisation peuvent utiliser les SCP pour contrôler quels comptes peuvent utiliser Neptune. Pour garantir l'accès à Neptune depuis un compte membre, veillez à autoriser l'accès aux actions IAM du plan de contrôle et du plan de données en utilisant neptune:* et neptune-db:*, respectivement.
Autorisations requises pour utiliser la console Amazon Neptune
Pour qu'un utilisateur puisse utiliser la console Amazon Neptune, il doit disposer d'un ensemble minimum d'autorisations. Ces autorisations lui permettront de décrire les ressources Neptune de son compte AWS et de fournir d'autres informations associées, y compris les informations relatives à la sécurité et au réseau Amazon EC2.
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour que ces utilisateurs puissent continuer à utiliser la console Neptune, attachez également la politique gérée NeptuneReadOnlyAccess aux différents utilisateurs, comme indiqué dans la section AWS politiques gérées (prédéfinies) pour Amazon Neptune.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Amazon Neptune AWS CLI ou l'API Amazon Neptune.
Association d'une politique IAM à un utilisateur IAM
Pour appliquer une politique personnalisée ou gérée, vous devez l'attacher à un utilisateur IAM. Pour accéder à un didacticiel sur ce sujet, consultez Créer et attacher votre première politique gérée par le client dans le Guide de l'utilisateur IAM.
Tandis que vous parcourez ce didacticiel, vous pouvez utiliser un exemple de politique illustré dans cette section comme point de départ afin de le personnaliser en fonction de vos besoins. À la fin de ce didacticiel, vous aurez un utilisateur IAM avec une politique associée qui peut utiliser l'action neptune-db:*.
Important
-
Il faut jusqu'à 10 minutes pour que les modifications apportées à une politique IAM s'appliquent aux ressources Neptune spécifiées.
-
Les politiques IAM appliquées à un cluster de bases de données Neptune s'appliquent à toutes les instances de ce cluster.
Utilisation de différents types de politique IAM pour contrôler l'accès à Neptune
Pour donner accès aux actions administratives Neptune ou aux données d'un cluster de bases de données Neptune, vous devez associer des politiques à un utilisateur ou à un rôle IAM. Pour en savoir plus sur la façon d'associer une politique IAM à un utilisateur, consultez Association d'une politique IAM à un utilisateur IAM. Pour en savoir plus sur l'association d'une politique à un rôle, consultez Ajout et suppression de politiques IAM dans le Guide de l'utilisateur IAM.
Pour un accès général à Neptune, vous pouvez utiliser l'une des politiques gérées de Neptune. Pour un accès plus restreint, vous pouvez créer votre propre politique personnalisée à l'aide des actions administratives et des ressources administratives prises en charge par Neptune.
Dans une politique IAM personnalisée, vous pouvez utiliser deux types de déclarations de politique qui contrôlent différents modes d'accès à un cluster de bases de données Neptune :
-
Déclarations de politique administrative : les déclarations de politique administrative donnent accès aux API de gestion Neptune que vous utilisez pour créer, configurer et gérer un cluster de bases de données et ses instances.
Comme Neptune partage des fonctionnalités avec Amazon RDS, les actions administratives, les ressources et les clés de condition des politiques Neptune utilisent un préfixe
rds:dès leur conception. -
Déclarations de stratégie d'accès aux données : les déclarations de stratégie d'accès aux données utilisent des actions d'accès aux données, des ressources et des clés de condition pour contrôler l'accès aux données qui se trouvent dans un cluster de bases de données.
Les actions d'accès aux données, les ressources et les clés de condition Neptune utilisent un préfixe
neptune-db:.
Utilisation des clés contextuelles de condition IAM dans Amazon Neptune
Vous pouvez spécifier des conditions dans une déclaration de politique IAM qui contrôle l'accès à Neptune. La déclaration de politique n'entre ensuite en vigueur que lorsque les conditions sont remplies.
Par exemple, il peut être utile d'appliquer une déclaration de politique après une date spécifique ou de n'autoriser l'accès que lorsqu'une valeur spécifique est présente dans la demande.
Pour exprimer des conditions, utilisez les clés de condition prédéfinies dans l'élément Condition d'une déclaration de politique avec des opérateurs de politique de condition IAM comme « égal à » et « inférieur à ».
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d'informations, consultez Éléments d'une politique IAM : variables et balises dans le Guide de l’utilisateur IAM.
Le type de données d'une clé de condition détermine les opérateurs de condition que vous pouvez utiliser pour comparer les valeurs de la demande avec les valeurs de la déclaration de politique. Si vous utilisez un opérateur de condition incompatible avec ce type de données, la correspondance échoue toujours et la déclaration de politique ne s'applique jamais.
Neptune prend en charge différents ensembles de clés de condition pour les déclarations de politique administrative et pour les déclarations de stratégie d'accès aux données :
Prise en charge des fonctionnalités de politique IAM et de contrôle d'accès dans Amazon Neptune
Le tableau suivant indique les fonctionnalités IAM prises en charge par Neptune pour les déclarations de politique administrative et les déclarations de stratégie d'accès aux données :
Fonctionnalités IAM que vous pouvez utiliser avec Neptune | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Fonction IAM | Administration | Accès aux données | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Oui |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Non |
Non |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Oui |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Oui |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
(sous-ensemble) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Non |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Non |
Non |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Oui |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Oui |
Non |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Limites des politiques IAM
Il faut jusqu'à 10 minutes pour que les modifications apportées à une politique IAM s'appliquent aux ressources Neptune spécifiées.
Les politiques IAM appliquées à un cluster de bases de données Neptune s'appliquent à toutes les instances de ce cluster.
Neptune ne prend actuellement pas en charge le contrôle d'accès intercompte.
