翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのジャーナルエクスポート許可 QLDB
重要
サポート終了通知: 既存のお客様は、07/31/2025 のサポート終了QLDBまで Amazon を使用できます。詳細については、「Amazon Ledger QLDB を Amazon Aurora Postgre に移行するSQL
Amazon でジャーナルエクスポートリクエストを送信する前にQLDB、指定した Amazon S3 バケットに書き込みアクセス許可QLDBを提供する必要があります。カスタマーマネージド を選択した場合 AWS KMS key Amazon S3 バケットのオブジェクト暗号化タイプとして、指定した対称暗号化キーを使用するアクセス許可も QLDBに付与する必要があります。Amazon S3 は非対称KMSキー をサポートしていません。
エクスポートジョブに必要なアクセス許可を付与するには、適切なアクセス許可ポリシーを持つ IAMサービスロールをQLDB引き受けることができます。サービスロールは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、 内からサービスロールを作成、変更、削除できますIAM。詳細については、「 にアクセス許可を委任するロールの作成」を参照してください。 AWS のサービス「」(IAM ユーザーガイド) を参照してください。
注記
ジャーナルのエクスポートをリクエストQLDBするときに にロールを渡すには、IAMロールリソースに対して iam:PassRole
アクションを実行するアクセス許可が必要です。これは台QLDB帳リソースに対する アクセスqldb:ExportJournalToS3
許可に追加されます。
QLDB を使用して へのアクセスを制御する方法については、IAM「」を参照してくださいAmazon と のQLDB連携方法 IAM。QLDB ポリシーの例については、「」を参照してくださいAmazon のアイデンティティベースのポリシーの例 QLDB。
この例では、 がユーザーに代わって Amazon S3 バケットにオブジェクトをQLDB書き込むことを許可するロールを作成します。詳細については、「 にアクセス許可を委任するロールの作成」を参照してください。 AWS のサービス「」(IAM ユーザーガイド) を参照してください。
でQLDBジャーナルをエクスポートする場合 AWS アカウント を初めて作成する場合は、まず以下の操作を行って、適切なポリシーで IAMロールを作成する必要があります。または、QLDBコンソールを使用してロールを自動的に作成することもできます。それ以外の場合は、前に作成したロールを選択できます。
許可ポリシーを作成する
QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成するには、次のステップを実行します。この例は、指定したバケットにオブジェクトを書き込むQLDBアクセス許可を付与する Amazon S3 バケットポリシーを示しています。該当する場合は、 が対称暗号化キーを使用QLDBできるようにするKMSキーポリシーも示しています。
Simple Storage Service (Amazon S3) バケットポリシーの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーとユーザーポリシーの使用」を参照してください。詳細を確認するトピック AWS KMS キーポリシー、「 でのキーポリシーの使用」を参照してください。 AWS KMS ()AWS Key Management Service デベロッパーガイド
注記
Amazon S3 バケットとKMSキーは両方とも同じ にある必要があります AWS リージョン 台QLDB帳として。
JSON ポリシーエディタを使用してポリシーを作成するには
にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
左側のナビゲーション列で、[ポリシー] を選択します。
[Policies] (ポリシー) を初めて選択する場合は、[Welcome to Managed Policies] (マネージドポリシーにようこそ) ページが表示されます。[今すぐ始める] を選択します。
-
ページの上部で、[ポリシーを作成] を選択します。
-
JSON タブを選択します。
-
JSON ポリシードキュメントを入力します。
-
Amazon S3 オブジェクトの暗号化にカスタマーマネージドKMSキーを使用している場合は、次のポリシードキュメントの例を使用します。このポリシーを使用するには、
amzn-s3-demo-bucket
,us-east-1
,123456789012
および1234abcd-12ab-34cd-56ef-1234567890ab
自分の情報を含む の例。{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*" }, { "Sid": "QLDBJournalExportKMSPermission", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:us-east-1
:123456789012
:key/1234abcd-12ab-34cd-56ef-1234567890ab
" } ] } -
他の暗号化タイプの場合は、以下のポリシードキュメントの例を使用します。このポリシーを使用するには、
amzn-s3-demo-bucket
独自の Amazon S3 バケット名を持つ例の 。{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*" } ] }
-
-
[ポリシーの確認] を選択します。
注記
ビジュアルエディタとJSONタブはいつでも切り替えることができます。ただし、ビジュアルエディタタブでポリシーを変更または確認を選択すると、 IAMはポリシーを再構成してビジュアルエディタ用に最適化する場合があります。 詳細については、「 ユーザーガイド」の「ポリシーの再構築」を参照してください。 IAM
-
[ポリシーの確認] ページに作成するポリシーの [名前] と [説明] を入力します。ポリシーの [Summary] (概要) を参照して、ポリシーによって付与された許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。
IAM ロールを作成する
QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成したら、 IAMロールを作成してポリシーをアタッチできます。
のサービスロールを作成するには QLDB (IAM コンソール)
にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
IAM コンソールのナビゲーションペインで、ロール を選択し、ロールの作成 を選択します。
-
信頼できるエンティティタイプ で、 を選択します。 AWS のサービス.
-
サービスまたはユースケース で、 を選択しQLDB、QLDBユースケースを選択します。
-
[Next (次へ)] を選択します。
-
前のステップで作成したポリシーの横にあるボックスをオンにします。
-
(オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。
-
[アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。
IAM には、 のリストが含まれます。 AWS アカウントの 管理ポリシーとカスタマー管理ポリシー。
アクセス許可の境界として使用するポリシーを選択します。
-
-
[Next (次へ)] を選択します。
-
このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。
重要
ロールに名前を付けるときは、次のことに注意してください。
-
ロール名は 内で一意である必要があります AWS アカウント、、および を大文字と小文字で一意にすることはできません。
例えば、
PRODROLE
とprodrole
の両方の名前でロールを作成することはできません。ロール名がポリシーまたは の一部として使用される場合ARN、ロール名では大文字と小文字が区別されますが、サインインプロセス中など、コンソールでロール名が顧客に表示される場合、ロール名では大文字と小文字が区別されません。 -
他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。
-
-
(オプション) [説明] にロールの説明を入力します。
-
(オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。
-
(オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。でのタグの使用の詳細についてはIAM、「 IAMユーザーガイド」の「 IAMリソースのタグ付け」を参照してください。
-
ロールを確認したら、[Create role] (ロールを作成) を選択します。
次のJSONドキュメントは、 が特定のアクセス許可がアタッチされた IAMロールをQLDB引き受けることを許可する信頼ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:
us-east-1
:123456789012
:*" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } ] }
注記
この信頼ポリシーの例では、aws:SourceArn
および aws:SourceAccount
グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。この信頼ポリシーでは、 QLDBはアカウント内の任意のQLDBリソースのロール123456789012
のみを引き受けることができます。
詳細については、「サービス間の混乱した代理の防止」を参照してください。
IAM ロールを作成したら、QLDBコンソールに戻り、エクスポートジョブの作成ページを更新して、新しいロールを検索できるようにします。