Mengelola Akses Menggunakan IAM Kebijakan

IAMkebijakan adalah JSON objek yang menentukan izin untuk menggunakan tindakan dan sumber daya.

Anda mengontrol akses di AWS dengan membuat kebijakan dan melampirkannya AWS identitas atau sumber daya. Kebijakan adalah objek di AWS bahwa, ketika dikaitkan dengan identitas atau sumber daya, mendefinisikan izin mereka. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan di AWS sebagai JSON dokumen. Untuk informasi selengkapnya tentang struktur dan isi dokumen JSON kebijakan, lihat Ringkasan JSON kebijakan di Panduan IAM Pengguna.

Administrator dapat menggunakan AWS JSONkebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.

IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole. Pengguna dengan kebijakan tersebut dapat memperoleh informasi peran dari AWS Management Console, AWS CLI, atau AWS API.

Kebijakan Berbasis Identitas

Kebijakan berbasis identitas adalah dokumen kebijakan JSON izin yang dapat dilampirkan ke identitas, seperti pengguna, grup IAM pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Membuat IAM kebijakan di Panduan Pengguna. IAM

Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai kebijakan inline atau kebijakan yang dikelola. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di Akun AWS. Kebijakan terkelola meliputi AWS kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan terkelola atau kebijakan sebaris, lihat Memilih antara kebijakan terkelola dan kebijakan sebaris di IAMPanduan Pengguna.

Menggunakan Kebijakan Kontrol Layanan (SCP) dengan AWS organisasi

Kebijakan kontrol layanan (SCPs) adalah JSON kebijakan yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di AWS Organizations. AWS Organizations adalah layanan untuk mengelompokkan dan mengelola beberapa AWS akun yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam organisasi, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCPMembatasi izin untuk entitas di akun anggota, termasuk masing-masing AWS pengguna root akun. Untuk informasi selengkapnya tentang Organizations danSCPs, lihat Cara SCPs kerja di AWS Organizations Panduan Pengguna.

Pelanggan yang menggunakan Amazon Neptunus di AWS Akun dalam AWS Organisasi dapat memanfaatkan SCPs untuk mengontrol akun mana yang dapat menggunakan Neptunus. Untuk memastikan akses ke Neptunus dalam akun anggota, pastikan untuk mengizinkan akses ke pesawat kontrol dan tindakan IAM pesawat data dengan neptune:* menggunakan dan masing-masing. neptune-db:*

Izin Diperlukan untuk Menggunakan Konsol Amazon Neptune

Agar pengguna dapat bekerja dengan konsol Amazon Neptune, pengguna tersebut harus memiliki set izin minimum. Izin ini memungkinkan pengguna untuk mendeskripsikan sumber daya Neptunus untuk sumber daya Neptunus AWS akun dan untuk memberikan informasi terkait lainnya, termasuk EC2 keamanan Amazon dan informasi jaringan.

Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebutIAM. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Neptune, lampirkan juga kebijakan NeptuneReadOnlyAccess yang dikelola kepada pengguna, sebagaimana dijelaskan dalam AWS kebijakan terkelola (standar) untuk Amazon Neptunus.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau Amazon NeptunusAPI.

Melampirkan IAM Kebijakan ke pengguna IAM

Untuk menerapkan kebijakan terkelola atau kustom, Anda melampirkannya ke IAM pengguna. Untuk tutorial tentang topik ini, lihat Membuat dan Melampirkan Kebijakan Dikelola Pelanggan Pertama Anda di Panduan IAM Pengguna.

Saat mengikuti tutorial ini, Anda dapat menggunakan salah satu contoh kebijakan yang ditunjukkan dalam bagian ini sebagai titik awal dan menyesuaikannya dengan kebutuhan Anda. Di akhir tutorial, Anda memiliki IAM pengguna dengan kebijakan terlampir yang dapat menggunakan neptune-db:* tindakan.

penting

• Perubahan IAM kebijakan membutuhkan waktu hingga 10 menit untuk diterapkan pada sumber daya Neptunus yang ditentukan.

• IAMkebijakan yang diterapkan ke cluster DB Neptunus berlaku untuk semua instance di cluster itu.

Menggunakan berbagai jenis IAM kebijakan untuk mengontrol akses ke Neptunus

Untuk menyediakan akses ke tindakan administratif Neptunus atau ke data dalam klaster DB Neptunus, Anda melampirkan kebijakan ke pengguna atau peran. IAM Untuk informasi tentang cara melampirkan IAM kebijakan ke pengguna, lihatMelampirkan IAM Kebijakan ke pengguna IAM. Untuk informasi tentang melampirkan kebijakan ke peran, lihat Menambahkan dan Menghapus IAM Kebijakan di Panduan IAM Pengguna.

Untuk akses umum ke Neptunus, Anda dapat menggunakan salah satu kebijakan terkelola Neptunus. Untuk akses yang lebih terbatas, Anda dapat membuat kebijakan kustom Anda sendiri menggunakan tindakan administratif dan sumber daya yang didukung Neptunus..

Dalam IAM kebijakan khusus, Anda dapat menggunakan dua jenis pernyataan kebijakan berbeda yang mengontrol mode akses berbeda ke kluster DB Neptunus:

• Pernyataan kebijakan administratif — Pernyataan kebijakan administratif menyediakan akses ke APIs manajemen Neptunus yang Anda gunakan untuk membuat, mengonfigurasi, dan mengelola klaster DB dan instance-instance-nya.

  Karena Neptunus berbagi fungsionalitas dengan RDS Amazon, tindakan administratif, sumber daya, dan kunci kondisi dalam kebijakan Neptunus menggunakan awalan berdasarkan desain. rds:

• Pernyataan kebijakan akses data — Pernyataan kebijakan akses data menggunakan tindakan akses data, sumber daya, dan kunci kondisi untuk mengontrol akses data yang berisi kluster DB.

  Tindakan akses data Neptunus, sumber daya, dan kunci kondisi menggunakan awalan. neptune-db:

Menggunakan tombol konteks IAM kondisi di Amazon Neptunus

Anda dapat menentukan kondisi dalam pernyataan IAM kebijakan yang mengontrol akses ke Neptunus. Pernyataan kebijakan kemudian berlaku hanya jika kondisinya benar.

Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku hanya setelah tanggal tertentu, atau mengizinkan akses hanya jika nilai tertentu ada dalam permintaan.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan dalam Conditionelemen pernyataan kebijakan, bersama dengan operator kebijakan IAM kondisi seperti sama atau kurang dari.

Jika Anda menentukan beberapa Condition elemen dalam pernyataan, atau beberapa kunci dalam satu Condition elemen, AWS mengevaluasi mereka menggunakan AND operasi logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat Elemen IAM Kebijakan: Variabel dan Tag di Panduan IAM Pengguna.

Tipe data dari kunci kondisi menentukan operator kondisi yang dapat Anda gunakan untuk membandingkan nilai dalam permintaan dengan nilai dalam pernyataan kebijakan. Jika Anda menggunakan operator kondisi yang tidak kompatibel dengan tipe data tersebut, kecocokan selalu gagal dan pernyataan kebijakan tidak pernah berlaku.

Neptunus mendukung kumpulan kunci kondisi yang berbeda untuk pernyataan kebijakan administratif daripada untuk pernyataan kebijakan akses data:

• Kunci kondisi untuk pernyataan kebijakan administratif

• Kunci kondisi untuk pernyataan kebijakan akses data

Dukungan untuk fitur IAM kebijakan dan kontrol akses di Amazon Neptunus

Tabel berikut menunjukkan IAM fitur apa yang didukung Neptunus untuk pernyataan kebijakan administratif dan pernyataan kebijakan akses data:

IAMfitur yang dapat Anda gunakan dengan Neptunus
IAMfitur	Administratif	Akses data
Kebijakan berbasis identitas	Ya	Ya
Kebijakan berbasis sumber daya	Tidak	Tidak
Tindakan kebijakan	Ya	Ya
Sumber daya kebijakan	Ya	Ya
Kunci kondisi global	Ya	(subset)
Kunci kondisi berbasis tag	Ya	Tidak
Daftar Kontrol Akses (ACLs)	Tidak	Tidak
Kebijakan kontrol layanan (SCPs)	Ya	Ya
Peran terkait layanan	Ya	Tidak

IAMBatasan Kebijakan

Perubahan IAM kebijakan membutuhkan waktu hingga 10 menit untuk diterapkan pada sumber daya Neptunus yang ditentukan.

IAMkebijakan yang diterapkan ke cluster DB Neptunus berlaku untuk semua instance di cluster itu.

Neptunus saat ini tidak mendukung kontrol akses lintas akun.