Neptune에 대한 IAM 관리 정책문 예제 - Amazon Neptune
일반 예제태그 기반 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Neptune에 대한 IAM 관리 정책문 예제

일반 관리 정책 예제

다음 예제는 DB 클러스터에서 다양한 관리 작업을 수행할 수 있는 권한을 부여하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.

IAM 사용자가 지정된 DB 인스턴스를 삭제하지 못하도록 차단하는 정책

다음은 IAM 사용자가 지정된 Neptune DB 인스턴스를 삭제하지 못하도록 차단하는 예제 정책입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteOneInstance",
      "Effect": "Deny",
      "Action": "rds:DeleteDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-instance-name"
    }
  ]
}

새 DB 인스턴스 생성 권한을 부여하는 정책

다음은 IAM 사용자에게 지정된 Neptune DB 클러스터에서 DB 인스턴스를 생성하도록 허용하는 정책 예제입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstance",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster"
    }
  ]
}

특정 DB 파라미터 그룹을 사용하는 새 DB 인스턴스를 생성할 권한을 부여하는 정책

다음은 IAM 사용자가 지정된 DB 파라미터 그룹만 사용하여 특정 Neptune DB 클러스터의 지정된 DB 클러스터(여기 us-west-2)에서 DB 인스턴스를 생성할 수 있도록 허용하는 예제 정책입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateInstanceWithPG",
      "Effect": "Allow",
      "Action": "rds:CreateDBInstance",
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:cluster:my-cluster",
        "arn:aws:rds:us-west-2:123456789012:pg:my-instance-pg"
      ]
    }
  ]
}

리소스 설명 권한을 부여하는 정책

다음은 IAM 사용자가 모든 Neptune 리소스를 설명할 수 있도록 허용하는 예제 정책입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribe",
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": *
    }
  ]
}

태그 기반 관리 정책 예제

다음 예제에서는 DB 클러스터의 다양한 관리 작업에 대한 권한을 필터링하도록 태그를 지정하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.

예제 1: 여러 값을 취할 수 있는 사용자 지정 태그를 사용하여 리소스 작업에 대한 권한 부여

아래 정책은 env 태그가 dev 또는 test 중 하나로 설정된 모든 DB 인스턴스에서 ModifyDBInstance, CreateDBInstance 또는 DeleteDBInstance API를 사용할 수 있도록 허용합니다.

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDevTestAccess",
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "rds:CreateDBInstance",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:db-tag/env": [
              "dev",
              "test"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

예제 2: 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 세트 제한

이 정책은 Condition 키를 사용하여 키 env와 값이 test, qa, dev인 태그를 리소스에 추가할 수 있도록 허용합니다.

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTagAccessForDevResources",
      "Effect": "Allow",
      "Action": [
        "rds:AddTagsToResource",
        "rds:RemoveTagsFromResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:req-tag/env": [
            "test",
            "qa",
            "dev"
          ],
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}

예제 3: aws:ResourceTag를 기반으로 Neptune 리소스에 대한 전체 액세스 허용

다음 정책은 위의 첫 번째 예와 비슷하지만, aws:ResourceTag 대신 사용합니다.

{ "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowFullAccessToDev",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "dev",
          "rds:DatabaseEngine": "neptune"
        }
      }
    }
  ]
}