Acciones, recursos y claves de condición para Amazon QLDB - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon QLDB

Amazon QLDB(prefijo de servicio: qldb) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas de servicios para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon QLDB

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelJournalKinesisStream Otorga permiso para cancelar un flujo de Kinesis de diario Write

stream*

CreateLedger Otorga permiso para crear un libro de contabilidad. Write

ledger*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteLedger Otorga permiso para eliminar un libro de contabilidad. Write

ledger*

DescribeJournalKinesisStream Otorga permiso para describir información acerca de un flujo de Kinesis de diario Read

stream*

DescribeJournalS3Export Otorga permiso para describir información acerca de un trabajo de exportación de diario. Read

ledger*

DescribeLedger Otorga permiso para describir un libro de contabilidad Read

ledger*

ExecuteStatement Otorga permiso para enviar comandos a un libro de contabilidad a través de la consola. Write

ledger*

ExportJournalToS3 Otorga permiso para exportar el contenido del diario a un bucket de Amazon S3. Write

ledger*

GetBlock Otorga permiso para recuperar un bloque de un libro de contabilidad para un BlockAddress determinado. Read

ledger*

GetDigest Otorga permiso para recuperar un resumen de un libro de contabilidad para un BlockAddress determinado. Read

ledger*

GetRevision Otorga permiso para recuperar una revisión de un ID de documento determinado y un BlockAddress determinado. Read

ledger*

InsertSampleData Otorga permiso para insertar datos de aplicación de ejemplo a través de la consola. Write

ledger*

ListJournalKinesisStreamsForLedger Otorga permiso para enumerar flujos de Kinesis de diario para un libro mayor específico List

stream*

ListJournalS3Exports Otorga permiso para enumerar los trabajos de exportación de diario de todos los libros de contabilidad. List
ListJournalS3ExportsForLedger Otorga permiso para enumerar los trabajos de exportación de diario de un libro de contabilidad mayor especificado. List

ledger*

ListLedgers Otorga permiso para enumerar los libros de contabilidad existentes. List
ListTagsForResource Concede permiso para obtener una lista de etiquetas para un recurso Read

catalog

ledger

stream

table

PartiQLCreateIndex Otorga permiso para crear un índice en una tabla Write

table*

PartiQLCreateTable Otorga permiso para crear una tabla. Write

table*

aws:RequestTag/${TagKey}

aws:TagKeys

PartiQLDelete Otorga permiso para eliminar documentos de una tabla Write

table*

PartiQLDropIndex Otorga permiso para eliminar un índice de una tabla Write

table*

qldb:Purge

PartiQLDropTable Otorga permiso para colocar una tabla Write

table*

qldb:Purge

PartiQLHistoryFunction Otorga permiso para utilizar la función de historial en una tabla Read

table*

PartiQLInsert Otorga permiso para insertar documentos en una tabla Write

table*

PartiQLSelect Otorga permiso para seleccionar documentos de una tabla Read

catalog

table

PartiQLUndropTable Otorga permiso para quitar una tabla Write

table*

PartiQLUpdate Otorga permiso para actualizar documentos existentes en una tabla Write

table*

SendCommand Otorga permiso para enviar comandos a un libro de contabilidad. Write

ledger*

ShowCatalog Otorga permiso para ver el catálogo de un libro de contabilidad a través de la consola. Write

ledger*

StreamJournalToKinesis Otorga permiso para transmitir contenido de diario a un flujo de datos de Kinesis Write

stream*

aws:RequestTag/${TagKey}

aws:TagKeys

TagResource Otorga permiso para agregar una o varias etiquetas a un recurso. Etiquetado

catalog

ledger

stream

table

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Otorga permiso para eliminar una o varias etiquetas de un recurso. Etiquetado

catalog

ledger

stream

table

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateLedger Otorga permiso para actualizar las propiedades de un libro de contabilidad. Write

ledger*

UpdateLedgerPermissionsMode Otorga permiso para actualizar el modo de permisos en un libro mayor Write

ledger*

Tipos de recurso definidos por Amazon QLDB

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
ledger arn:${Partition}:qldb:${Region}:${Account}:ledger/${LedgerName}

aws:ResourceTag/${TagKey}

stream arn:${Partition}:qldb:${Region}:${Account}:stream/${LedgerName}/${StreamId}

aws:ResourceTag/${TagKey}

table arn:${Partition}:qldb:${Region}:${Account}:ledger/${LedgerName}/table/${TableId}

aws:ResourceTag/${TagKey}

catalog arn:${Partition}:qldb:${Region}:${Account}:ledger/${LedgerName}/information_schema/user_tables

aws:ResourceTag/${TagKey}

Claves de condición de Amazon QLDB

Amazon QLDB define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra acciones en función de la presencia de claves de etiqueta en la solicitud. ArrayOfString
qldb:Purge Filtra el acceso por el valor de purga especificado en una instrucción PartiQL DROP Cadena