Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations d'exportation de journaux dans QLDB
Avant de soumettre une demande d'exportation de journal dans Amazon QLDB, vous devez fournir à QLDB des autorisations d'écriture dans le compartiment Amazon S3 que vous avez spécifié. Si vous choisissez un client géré AWS KMS key comme type de chiffrement d'objet pour votre compartiment Amazon S3, vous devez également autoriser QLDB à utiliser la clé de chiffrement symétrique que vous avez spécifiée. Amazon S3 ne prend pas en charge les clés KMS asymétriques.
Pour fournir à votre tâche d'exportation les autorisations nécessaires, vous pouvez faire en sorte que QLDB assume un rôle de service IAM avec les politiques d'autorisation appropriées. Une fonction de service est un rôle IAM qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.
Note
Pour transmettre un rôle à QLDB lors d'une demande d'exportation de journal, vous devez disposer des autorisations nécessaires pour effectuer iam:PassRole l'action sur la ressource du rôle IAM. Cela s'ajoute à l'qldb:ExportJournalToS3autorisation sur la ressource du registre QLDB.
Pour savoir comment contrôler l'accès à QLDB à l'aide d'IAM, consultez. Comment Amazon QLDB fonctionne avec IAM Pour un exemple de politique QLDB, consultez. Exemples de politiques basées sur l'identité pour Amazon QLDB
Dans cet exemple, vous créez un rôle qui permet à QLDB d'écrire des objets dans un compartiment Amazon S3 en votre nom. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.
Si vous exportez un journal QLDB dans Compte AWS votre journal pour la première fois, vous devez d'abord créer un rôle IAM avec les politiques appropriées en procédant comme suit. Vous pouvez également utiliser la console QLDB pour créer automatiquement le rôle pour vous. Sinon, vous pouvez choisir un rôle que vous avez créé précédemment.
Créer une stratégie d’autorisations
Procédez comme suit pour créer une politique d'autorisation pour une tâche d'exportation de journaux QLDB. Cet exemple montre une politique de compartiment Amazon S3 qui accorde à QLDB les autorisations d'écrire des objets dans le compartiment que vous avez spécifié. Le cas échéant, l'exemple montre également une politique de clé qui permet à QLDB d'utiliser votre clé KMS de chiffrement symétrique.
Pour plus d'informations sur les politiques relatives aux compartiments Amazon S3, consultez la section Utilisation des politiques relatives aux compartiments et des politiques utilisateur dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour en savoir plus sur les politiques AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.
Note
Votre compartiment Amazon S3 et votre clé KMS doivent tous deux se trouver dans le même registre Région AWS que votre registre QLDB.
Pour utiliser l'éditeur de politique JSON afin de créer une politique
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans la colonne de navigation de gauche, sélectionnez Politiques.
Si vous choisissez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.
-
En haut de la page, sélectionnez Créer une politique.
-
Sélectionnez l’onglet JSON.
-
Entrez un document de stratégie JSON.
-
Si vous utilisez une clé KMS gérée par le client pour le chiffrement des objets Amazon S3, utilisez l'exemple de document de politique suivant.
Pour utiliser cette politique, remplacezDOC-EXAMPLE-BUCKET,us-east-1, 123456789012 et 1234abcd-12ab-34cd-56ef-1234567890ab dans l'exemple par vos propres informations.{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Sid": "QLDBJournalExportKMSPermission", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } -
Pour les autres types de chiffrement, utilisez l'exemple de document de politique suivant. Pour utiliser cette politique, remplacez
DOC-EXAMPLE-BUCKETdans l'exemple par votre propre nom de compartiment Amazon S3.{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" } ] }
-
-
Choisissez Examiner une politique.
Note
Vous pouvez basculer à tout moment entre les onglets Éditeur visuel et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Éditeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour de plus amples informations, consulte Restructuration d'une politique dans le Guide de l'utilisateur IAM.
-
Dans la page Examiner une politique, entrez un nom et éventuellement une description pour la politique que vous êtes en train de créer. Vérifiez le récapitulatif de la politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite Créer une politique pour enregistrer votre travail.
Créer un rôle IAM
Après avoir créé une politique d'autorisation pour votre tâche d'exportation de journal QLDB, vous pouvez créer un rôle IAM et y associer votre politique.
Pour créer le rôle de service pour QLDB (console IAM)
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).
-
Pour Trusted entity (Entité de confiance), choisissez Service AWS.
-
Pour Service ou cas d'utilisation, choisissez QLDB, puis choisissez le cas d'utilisation QLDB.
-
Choisissez Suivant.
-
Cochez la case à côté de la politique que vous avez créée lors des étapes précédentes.
-
(Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.
-
Ouvrez la section Définir les limites des autorisations, puis choisissez Utiliser une limite d'autorisations pour contrôler le nombre maximal d'autorisations de rôle.
IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.
Sélectionnez la politique à utiliser comme limite d'autorisations.
-
-
Choisissez Suivant.
-
Entrez un nom de rôle ou un suffixe de nom de rôle pour vous aider à identifier l'objectif du rôle.
Important
Lorsque vous nommez un rôle, tenez compte des points suivants :
-
Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.
Par exemple, ne créez pas de rôles nommés à la fois
PRODROLEetprodrole. Lorsqu'un nom de rôle est utilisé dans une politique ou dans le cadre d'un ARN, il distingue les majuscules et minuscules, mais lorsqu'un nom de rôle apparaît aux clients dans la console, par exemple pendant le processus de connexion, le nom du rôle ne fait pas la distinction entre majuscules et minuscules. -
Vous ne pouvez pas modifier le nom du rôle une fois qu'il a été créé car d'autres entités peuvent y faire référence.
-
-
(Facultatif) Dans Description, entrez une description pour le rôle.
-
(Facultatif) Pour modifier les cas d'utilisation et les autorisations du rôle, dans les sections Étape 1 : Sélection des entités de confiance ou Étape 2 : Ajouter des autorisations, choisissez Modifier.
-
(Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique Balisage des ressources IAM dans le Guide de l'utilisateur IAM.
-
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).
Le document JSON suivant est un exemple de politique de confiance qui permet à QLDB d'assumer un rôle IAM auquel des autorisations spécifiques sont associées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Note
Cet exemple de politique de confiance montre comment vous pouvez utiliser les touches aws:SourceArn contextuelles et de condition aws:SourceAccount globale pour éviter le problème de confusion des adjoints. Grâce à cette politique de confiance, QLDB peut assumer le rôle de n'importe quelle ressource QLDB du compte uniquement. 123456789012
Pour plus d’informations, consultez Prévention du cas de figure de l’adjoint désorienté entre services.
Après avoir créé votre rôle IAM, revenez à la console QLDB et actualisez la page Créer une tâche d'exportation afin qu'elle puisse trouver votre nouveau rôle.
