Izin ekspor jurnal di QLDB - Amazon Quantum Ledger Database (Amazon QLDB)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin ekspor jurnal di QLDB

Sebelum mengirimkan permintaan ekspor jurnal di Amazon QLDB, Anda harus memberikan izin menulis kepada QLDB di bucket Amazon S3 yang Anda tentukan. Jika Anda memilih pelanggan yang dikelola AWS KMS key sebagai jenis enkripsi objek untuk bucket Amazon S3, Anda juga harus memberikan izin kepada QLDB untuk menggunakan kunci enkripsi simetris yang ditentukan. Amazon S3 tidak mendukung kunci KMS asimetris.

Untuk memberikan izin yang diperlukan kepada pekerjaan ekspor Anda, Anda dapat membuat QLDB mengambil peran layanan IAM dengan kebijakan izin yang sesuai. Peran layanan adalah peran IAM yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

catatan

Untuk meneruskan peran ke QLDB saat meminta ekspor jurnal, Anda harus memiliki izin untuk melakukan iam:PassRole tindakan pada sumber daya peran IAM. Ini selain qldb:ExportJournalToS3 izin pada sumber daya buku besar QLDB.

Untuk mempelajari cara mengontrol akses ke QLDB menggunakan IAM, lihat. Bagaimana Amazon QLDB bekerja dengan IAM Untuk contoh kebijakan QLDB, lihat. Contoh kebijakan berbasis identitas untuk Amazon QLDB

Dalam contoh ini, Anda membuat peran yang memungkinkan QLDB menulis objek ke dalam bucket Amazon S3 atas nama Anda. Untuk informasi selengkapnya, lihat Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

Jika Anda mengekspor jurnal QLDB di jurnal Akun AWS Anda untuk pertama kalinya, Anda harus terlebih dahulu membuat peran IAM dengan kebijakan yang sesuai dengan melakukan hal berikut. Atau, Anda dapat menggunakan konsol QLDB untuk secara otomatis membuat peran untuk Anda. Jika tidak, Anda dapat memilih peran yang sebelumnya Anda buat.

Membuat kebijakan izin

Selesaikan langkah-langkah berikut untuk membuat kebijakan izin untuk pekerjaan ekspor jurnal QLDB. Contoh ini menunjukkan kebijakan bucket Amazon S3 yang memberikan izin QLDB untuk menulis objek ke dalam bucket yang Anda tentukan. Jika berlaku, contoh ini juga menunjukkan kebijakan kunci yang memungkinkan QLDB menggunakan kunci KMS enkripsi simetris Anda.

Untuk informasi selengkapnya tentang kebijakan bucket Amazon S3, lihat Menggunakan kebijakan bucket dan kebijakan pengguna di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk mempelajari lebih lanjut tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

catatan

Bucket Amazon S3 dan kunci KMS Anda harus sama dengan buku besar QLDB Wilayah AWS Anda.

Cara menggunakan editor kebijakan JSON untuk membuat kebijakan
  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di kolom navigasi di sebelah kiri, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul laman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Di bagian atas halaman, pilih Buat kebijakan.

  4. Pilih tab JSON.

  5. Masukkan dokumen kebijakan JSON.

    • Jika Anda menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi objek Amazon S3, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti DOC-EXAMPLE-BUCKET, us-east-1, 123456789012, dan 1234abcd-12ab-34cd-56ef-1234567890ab dalam contoh dengan informasi Anda sendiri.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Sid": "QLDBJournalExportKMSPermission", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
    • Untuk jenis enkripsi lainnya, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti DOC-EXAMPLE-BUCKET dalam contoh dengan nama bucket Amazon S3 Anda sendiri.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" } ] }
  6. Pilih Tinjau kebijakan.

    catatan

    Anda dapat berpindah antara tab Editor visual dan JSON kapan pun. Namun, apabila Anda melakukan perubahan atau memilih Tinjau kebijakan pada tab Editor visual, IAM dapat merestrukturisasi kebijakan Anda untuk menjadikannya optimal bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan dalam Panduan Pengguna IAM.

  7. Pada halaman Peninjauan Kebijakan, ketikkan Nama dan Deskripsi opsional untuk kebijakan yang sedang Anda buat. Tinjau Summary (Ringkasan) kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Membuat peran IAM

Setelah membuat kebijakan izin untuk pekerjaan ekspor jurnal QLDB, Anda kemudian dapat membuat peran IAM dan melampirkan kebijakan Anda padanya.

Untuk membuat peran layanan untuk QLDB (konsol IAM)
  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran, dan lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Untuk kasus Layanan atau penggunaan, pilih QLDB, lalu pilih kasus penggunaan QLDB.

  5. Pilih Selanjutnya.

  6. Pilih kotak di samping kebijakan yang Anda buat di langkah sebelumnya.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

    1. Buka bagian Setel batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

    2. Pilih kebijakan yang akan digunakan untuk batas izin.

  8. Pilih Selanjutnya.

  9. Masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran.

    penting

    Saat Anda memberi nama peran, perhatikan hal berikut:

    • Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

      Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dari ARN, nama peran tersebut peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses masuk, nama peran tersebut tidak peka huruf besar/kecil.

    • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

  12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tanda di IAM, lihat Menandai sumber daya IAM di Panduan Pengguna IAM.

  13. Tinjau peran lalu pilih Buat peran.

Dokumen JSON berikut adalah contoh kebijakan kepercayaan yang memungkinkan QLDB untuk mengambil peran IAM dengan izin khusus yang melekat padanya.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
catatan

Contoh kebijakan kepercayaan ini menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global untuk mencegah masalah wakil yang membingungkan. Dengan kebijakan kepercayaan ini, QLDB dapat mengambil peran untuk sumber daya QLDB apa pun di akun saja. 123456789012

Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.

Setelah membuat peran IAM Anda, kembali ke konsol QLDB dan segarkan halaman pekerjaan Buat ekspor sehingga dapat menemukan peran baru Anda.