でのジャーナルエクスポート許可 QLDB - Amazon Quantum 台帳データベース (Amazon QLDB)
許可ポリシーを作成するIAM ロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのジャーナルエクスポート許可 QLDB

重要

サポート終了通知: 既存のお客様は、07/31/2025 のサポート終了QLDBまで Amazon を使用できます。詳細については、「Amazon Ledger QLDB を Amazon Aurora Postgre に移行するSQL」を参照してください。

Amazon でジャーナルエクスポートリクエストを送信する前にQLDB、指定した Amazon S3 バケットに書き込みアクセス許可QLDBを提供する必要があります。カスタマーマネージド を選択した場合 AWS KMS key Amazon S3 バケットのオブジェクト暗号化タイプとして、指定した対称暗号化キーを使用するアクセス許可も QLDBに付与する必要があります。Amazon S3 は非対称KMSキー をサポートしていません。

エクスポートジョブに必要なアクセス許可を付与するには、適切なアクセス許可ポリシーを持つ IAMサービスロールをQLDB引き受けることができます。サービスロールは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、 内からサービスロールを作成、変更、削除できますIAM。詳細については、「 にアクセス許可を委任するロールの作成」を参照してください。 AWS のサービス「」(IAM ユーザーガイド) を参照してください。

注記

ジャーナルのエクスポートをリクエストQLDBするときに にロールを渡すには、IAMロールリソースに対して iam:PassRole アクションを実行するアクセス許可が必要です。これは台QLDB帳リソースに対する アクセスqldb:ExportJournalToS3許可に追加されます。

QLDB を使用して へのアクセスを制御する方法については、IAM「」を参照してくださいAmazon と のQLDB連携方法 IAM。QLDB ポリシーの例については、「」を参照してくださいAmazon のアイデンティティベースのポリシーの例 QLDB

この例では、 がユーザーに代わって Amazon S3 バケットにオブジェクトをQLDB書き込むことを許可するロールを作成します。詳細については、「 にアクセス許可を委任するロールの作成」を参照してください。 AWS のサービス「」(IAM ユーザーガイド) を参照してください。

でQLDBジャーナルをエクスポートする場合 AWS アカウント を初めて作成する場合は、まず以下の操作を行って、適切なポリシーで IAMロールを作成する必要があります。または、QLDBコンソールを使用してロールを自動的に作成することもできます。それ以外の場合は、前に作成したロールを選択できます。

許可ポリシーを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成するには、次のステップを実行します。この例は、指定したバケットにオブジェクトを書き込むQLDBアクセス許可を付与する Amazon S3 バケットポリシーを示しています。該当する場合は、 が対称暗号化キーを使用QLDBできるようにするKMSキーポリシーも示しています。

Simple Storage Service (Amazon S3) バケットポリシーの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーとユーザーポリシーの使用」を参照してください。詳細を確認するトピック AWS KMS キーポリシー、「 でのキーポリシーの使用」を参照してください。 AWS KMS ()AWS Key Management Service デベロッパーガイド

注記

Amazon S3 バケットとKMSキーは両方とも同じ にある必要があります AWS リージョン 台QLDB帳として。

JSON ポリシーエディタを使用してポリシーを作成するには

  1. にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. 左側のナビゲーション列で、[ポリシー] を選択します。

    [Policies] (ポリシー) を初めて選択する場合は、[Welcome to Managed Policies] (マネージドポリシーにようこそ) ページが表示されます。[今すぐ始める] を選択します。

  3. ページの上部で、[ポリシーを作成] を選択します。

  4. JSON タブを選択します。

  5. JSON ポリシードキュメントを入力します。

    • Amazon S3 オブジェクトの暗号化にカスタマーマネージドKMSキーを使用している場合は、次のポリシードキュメントの例を使用します。このポリシーを使用するには、amzn-s3-demo-bucket, us-east-1, 123456789012 および 1234abcd-12ab-34cd-56ef-1234567890ab 自分の情報を含む の例。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • 他の暗号化タイプの場合は、以下のポリシードキュメントの例を使用します。このポリシーを使用するには、amzn-s3-demo-bucket 独自の Amazon S3 バケット名を持つ例の 。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

  6. [ポリシーの確認] を選択します。

    注記

    ビジュアルエディタJSONタブはいつでも切り替えることができます。ただし、ビジュアルエディタタブでポリシーを変更または確認を選択すると、 IAMはポリシーを再構成してビジュアルエディタ用に最適化する場合があります。 詳細については、「 ユーザーガイド」の「ポリシーの再構築」を参照してください。 IAM

  7. [ポリシーの確認] ページに作成するポリシーの [名前] と [説明] を入力します。ポリシーの [Summary] (概要) を参照して、ポリシーによって付与された許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。

IAM ロールを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成したら、 IAMロールを作成してポリシーをアタッチできます。

のサービスロールを作成するには QLDB (IAM コンソール)

  1. にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. IAM コンソールのナビゲーションペインで、ロール を選択し、ロールの作成 を選択します。

  3. 信頼できるエンティティタイプ で、 を選択します。 AWS のサービス.

  4. サービスまたはユースケース で、 を選択しQLDBQLDBユースケースを選択します。

  5. [Next (次へ)] を選択します。

  6. 前のステップで作成したポリシーの横にあるボックスをオンにします。

  7. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

    1. [アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。

      IAM には、 のリストが含まれます。 AWS アカウントの 管理ポリシーとカスタマー管理ポリシー。

    2. アクセス許可の境界として使用するポリシーを選択します。

  8. [Next (次へ)] を選択します。

  9. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。

    重要

    ロールに名前を付けるときは、次のことに注意してください。

    • ロール名は 内で一意である必要があります AWS アカウント、、および を大文字と小文字で一意にすることはできません。

      例えば、PRODROLEprodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは の一部として使用される場合ARN、ロール名では大文字と小文字が区別されますが、サインインプロセス中など、コンソールでロール名が顧客に表示される場合、ロール名では大文字と小文字が区別されません。

    • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

  10. (オプション) [説明] にロールの説明を入力します。

  11. (オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

  12. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。でのタグの使用の詳細についてはIAM、「 IAMユーザーガイド」の「 IAMリソースのタグ付け」を参照してください。

  13. ロールを確認したら、[Create role] (ロールを作成) を選択します。

次のJSONドキュメントは、 が特定のアクセス許可がアタッチされた IAMロールをQLDB引き受けることを許可する信頼ポリシーの例です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
注記

この信頼ポリシーの例では、aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。この信頼ポリシーでは、 QLDBはアカウント内の任意のQLDBリソースのロール123456789012のみを引き受けることができます。

詳細については、「サービス間の混乱した代理の防止」を参照してください。

IAM ロールを作成したら、QLDBコンソールに戻り、エクスポートジョブの作成ページを更新して、新しいロールを検索できるようにします。