Prérequis et considérations relatives au didacticiel

Avant de commencer ce didacticiel Amazon QLDB, assurez-vous de respecter les conditions préalables suivantes :

1. Suivez les instructions deAWS configuration dansAccès à Amazon QLDB, si vous ne l'avez pas déjà fait. Ces étapes incluent l'inscriptionAWS et la création d'un utilisateur administratif.

2. Suivez les instructions de laConfigurer les autorisations section pour configurer les autorisations IAM pour vos ressources QLDB. Pour compléter toutes les étapes de ce didacticiel, vous devez disposer d'un accès administratif complet à vos ressources de registre via leAWS Management Console.

   Note

   Si vous êtes déjà connecté en tant qu'utilisateur disposant de droitsAWS administratifs, vous pouvez ignorer cette étape.

3. (Facultatif) QLDB chiffre les données au repos à l'aide d'une cléAWS Key Management Service (AWS KMS). Vous pouvez choisir l'un des types suivantsAWS KMS keys :

   • AWSclé KMS détenue — Utilisez une clé KMS détenue et gérée parAWS en votre nom. Il s'agit de l'option par défaut qui ne nécessite aucune configuration supplémentaire.

   • Clé KMS gérée par le client : utilisez une clé KMS de chiffrement symétrique dans votre compte que vous créez, possédez et gérez. QLDB ne prend pas en charge les clés asymétriques.

     Cette option nécessite que vous créiez une clé KMS ou que vous utilisiez une clé existante dans votre compte. Pour obtenir des instructions sur la création d'une clé gérée par le client, consultez la section Création de clés KMS à chiffrement symétrique dans le Guide duAWS Key Management Service développeur.

     Vous pouvez spécifier une clé KMS gérée par le client en utilisant un ID, un alias ou un nom de ressource Name (ARN). Pour en savoir plus, consultez la section Identificateurs clés (KeyId) dans le Guide duAWS Key Management Service développeur.

     Note

     Les clés inter-régions ne sont pas prises en charge. La clé KMS spécifiée doit êtreRégion AWS identique à votre registre.

Configurer les autorisations

Au cours de cette étape, vous configurez des autorisations d'accès complètes via la console pour toutes les ressources QLDB de votreCompte AWS. Pour accorder ces autorisations rapidement, utilisez la politiqueAWS gérée d'AmazonQLDBConsoleFullAccess.

Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

• Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d'autorisations. Suivez les instructions de la rubrique Création d'un jeu d'autorisations du Guide de l'utilisateur AWS IAM Identity Center.

• Utilisateurs gérés dans IAM par un fournisseur d'identité :

  Créez un rôle pour la fédération d'identité. Pour plus d'informations, voir la rubrique Création d'un rôle pour un fournisseur d'identité tiers (fédération) du Guide de l'utilisateur IAM.

• Utilisateurs IAM :

  • Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d'un rôle pour un utilisateur IAM du Guide de l'utilisateur IAM.

  • (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d'utilisateurs. Suivez les instructions de la rubrique Ajout d'autorisations à un utilisateur (console) du Guide de l'utilisateur IAM.

Important

Dans le cadre de ce didacticiel, vous vous accordez un accès administratif complet à toutes les ressources QLDB. Pour les cas d'utilisation en production, suivez toutefois la meilleure pratique de sécurité du moindre privilège, principe selon lequel il ne faut accorder que les autorisations requises pour une seule tâche. Pour obtenir des exemples, consultez Exemples de politiques basées sur l'identité pour Amazon QLDB.

Pour créer un registre nommévehicle-registration, passez àÉtape 1 : Créer un nouveau registre.