Amazon Neptune の Identity and Access Management

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、Neptune リソースを使用するために認証 (サインイン) および承認 (アクセス許可を持つ) される者を制御します。IAM は、追加料金なしで使用できる AWS のサービスです。

AWS Identity and Access Management (IAM) を使用して、Neptune DB インスタンスまたは DB クラスターの認証を行うことができます。IAM データベース認証が有効になっている場合、各リクエストは AWS 署名バージョン 4 を使用して署名する必要があります。

AWS 署名バージョン 4 は、AWS リクエストに認証情報を追加します。セキュリティ上の理由から、IAM 認証が有効である Neptune DB クラスターへのすべてのリクエストはアクセスキーを使用して署名する必要があります。このキーは、アクセスキー ID とシークレットアクセスキーで構成されます。この認証は、IAM ポリシーを使用して外部で管理されます。

Neptune は接続時、および WebSocket 接続に認証し、アクセス権限を定期的に検証して、ユーザーにアクセス権がまだあることを確認します。

注記

• に関連する資格情報の取り消し、削除、または循環 IAM 既に開いている接続は終了しないため、ユーザーは推奨されません。

• データベースインスタンスあたりの同時 WebSocket 接続数、および接続を開いたままにできる時間には制限があります。詳細については、「WebSockets の制限事項」を参照してください。

目次

• Identity and Access Management の概要
  • IAM の使用はロールによって異なる
  • アイデンティティを使用した認証
    • AWS アカウントのルートユーザー
    • IAM ユーザーとグループ
    • IAM ロール
• Neptune で IAM データベース認証を有効にする
• ポリシーを使用したアクセスの管理IAM
  • アイデンティティベースのポリシー
  • アクセスコントロールリスト (ACL)
  • Amazon Neptune コンソールを使用するために必要なアクセス権限
  • Amazon Neptune での AWS 管理 (事前定義) ポリシー
  • Neptune にアクセスするための独自の IAM ポリシーの作成と使用
    • クラスターのリソース ARN の作成
    • カスタムポリシーのその他の例IAM
  • IAM ポリシーを IAM ユーザーにアタッチする
  • IAM ポリシーの制限
• でのタグベースのアクセスコントロールAmazon Neptune
  • 例 1: 複数の値を取ることができるカスタムタグを使用してリソースに対するアクションのためのアクセス権限を付与する
  • 例 2: リソースにタグを付けるために使用できるタグキーと値のセットを制限する
  • 例 3: aws:ResourceTag に基づいて Neptune リソースへのフルアクセスを許可する
  • で使用できるアクション Neptune ポリシー
    • AddRoleToDBCluster
    • AddSourceIdentifierToSubscription
    • AddTagsToResource
    • ApplyPendingMaintenanceAction
    • CopyDBClusterParameterGroup
    • CopyDBClusterSnapshot
    • CopyDBParameterGroup
    • CreateDBCluster
    • CreateDBClusterParameterGroup
    • CreateDBClusterSnapshot
    • CreateDBInstance
    • CreateDBParameterGroup
    • CreateDBSubnetGroup
    • CreateEventSubscription
    • DeleteDBCluster
    • DeleteDBClusterParameterGroup
    • DeleteDBClusterSnapshot
    • DeleteDBInstance
    • DeleteDBParameterGroup
    • DeleteDBSubnetGroup
    • DeleteEventSubscription
    • DescribeDBClusterParameterGroups
    • DescribeDBClusterParameters
    • DescribeDBClusterSnapshotAttributes
    • DescribeDBClusterSnapshots
    • DescribeDBClusters
    • DescribeDBEngineVersions
    • DescribeDBInstances
    • DescribeDBParameterGroups
    • DescribeDBParameters
    • DescribeDBSubnetGroups
    • DescribeEventCategories
    • DescribeEventSubscriptions
    • DescribeEvents
    • DescribeOrderableDBInstanceOptions
    • DescribePendingMaintenanceActions
    • DescribeValidDBInstanceModifications
    • FailoverDBCluster
    • ListTagsForResource
    • ModifyDBCluster
    • ModifyDBClusterParameterGroup
    • ModifyDBClusterSnapshotAttribute
    • ModifyDBInstance
    • ModifyDBParameterGroup
    • ModifyDBSubnetGroup
    • ModifyEventSubscription
    • RebootDBInstance
    • RemoveRoleFromDBCluster
    • RemoveSourceIdentifierFromSubscription
    • RemoveTagsFromResource
    • ResetDBClusterParameterGroup
    • ResetDBParameterGroup
    • RestoreDBClusterFromSnapshot
    • RestoreDBClusterToPointInTime
    • StartDBCluster
    • StopDBCluster
  • IAM がサポートするリソースタイプ Amazon Neptune
  • Amazon Neptune の条件キー
• Neptune のサービスにリンクされたロールの使用
  • Neptune のサービスにリンクされたロールのアクセス許可
  • Neptune のサービスにリンクされたロールの作成
  • Neptune のサービスにリンクされたロールの編集
  • Neptune のサービスにリンクされたロールの削除
    • サービスにリンクされたロールを削除する前にクリーンアップする
      • すべてのインスタンスの削除
      • すべてのクラスターの削除
• 一時的な認証情報を使用した IAM 認証
  • AWS CLI を使用した一時的な認証情報の取得
  • Neptune IAM 認証用の AWS Lambda のセットアップ
  • Neptune IAM 認証用の Amazon EC2 のセットアップ
• AWS 署名バージョン 4 を使用した接続および署名
  • Amazon Linux EC2 の前提条件
  • 署名バージョン 4 で署名された Gremlin コンソールを使用して Neptune に接続する
  • Java と Gremlin でバージョン 4 署名を使用して Neptune に接続する
  • Java と SPARQL でバージョン 4 署名を使用して Neptune に接続する (RDF4J および Jena)
  • 例: Python で署名バージョン 4 署名を使用して Neptune に接続