AWS Amazon QLDB の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的ユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与するわけではないことに注意してください。ユースケース別にカスタマーマネージドポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されているアクセス許可 AWS を更新すると、その更新はポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

これらの AWS 管理ポリシーの QLDB API オペレーションの詳細については、「」を参照してくださいAmazon QLDB API リファレンス。

AWS マネージドポリシー: AmazonQLDBReadOnly

AmazonQLDBReadOnly ポリシーを使用して、すべての QLDB リソースに読み取り専用アクセス許可を付与します。このポリシーは IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、qldb サービスに対する以下のアクセス許可が含まれます。

• プリンシパルに対し、すべての QLDB リソースとそのタグを記述し、一覧表示することを許可します。これらのリソースには、台帳、Simple Storage Service (Amazon S3) のエクスポートジョブ、Kinesis Data Streams へのストリームが含まれます。

• プリンシパルに対し、任意の台帳のジャーナルからブロック、ダイジェスト、またはリビジョンを取得して、そのデータを暗号的に検証することを許可します。

• プリンシパルは、任意の台帳の任意のテーブルで任意の PartiQL コマンドを実行することは許可されていません。

AWS マネージドポリシー: AmazonQLDBFullAccess

AmazonQLDBFullAccess ポリシーを使用して、QLDB API または を介してすべての QLDB リソースに完全な管理アクセス許可を付与します AWS CLI。このポリシーは IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• qldb

  • プリンシパルに対し、すべての QLDB リソースとそのタグを作成、記述、一覧表示、および管理することを許可します。これらのリソースには、台帳、Simple Storage Service (Amazon S3) のエクスポートジョブ、Kinesis Data Streams へのストリームが含まれます。

  • プリンシパルに対し、QLDB ドライバーまたは QLDB シェルを使用して、任意の台帳のすべてのテーブルですべての PartiQL コマンドを実行することを許可します。

  • プリンシパルに対し、任意の台帳のジャーナルからブロック、ダイジェスト、またはリビジョンを取得して、そのデータを暗号的に検証することを許可します。

• iam – プリンシパルに対し、アカウントの任意の IAM ロールリソースを QLDB サービスに渡すことを許可します。これは、ジャーナルのどのエクスポートとストリーミングリクエストにも必要です。

AWS マネージドポリシー: AmazonQLDBConsoleFullAccess

AmazonQLDBConsoleFullAccess ポリシーを使用して、、QLDB API AWS Management Console、または を介してすべての QLDB リソースに完全な管理アクセス許可を付与します AWS CLI。このポリシーは IAM アイデンティティにアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• qldb

  • プリンシパルに対し、すべての QLDB リソースとそのタグを作成、記述、一覧表示、および管理することを許可します。これらのリソースには、台帳、Simple Storage Service (Amazon S3) のエクスポートジョブ、Kinesis Data Streams へのストリームが含まれます。

  • プリンシパルに対し、QLDB コンソール、QLDB ドライバー、または QLDB シェルを使用して、任意の台帳のすべてのテーブルですべての PartiQL コマンドを実行することを許可します。

  • プリンシパルに対し、QLDB コンソールを使用して任意の台帳にサンプルアプリケーションデータを挿入することを許可します。

  • プリンシパルに対し、任意の台帳のジャーナルからブロック、ダイジェスト、またはリビジョンを取得して、そのデータを暗号的に検証することを許可します。

• dbqms – プリンシパルに対し、Database Query Metadata Service のすべてのアクションを使用することを許可します。これは、QLDB コンソールでは、PartiQL クエリエディタ用に最近保存されたクエリを作成、記述、管理するために必要な内部専用のサービスです。

• kinesis – プリンシパルに対し、Amazon Kinesis Data Streams リソースの記述と一覧表示を許可します。このリソースは、QLDB ストリームリソースがデータを書き込むことができるターゲット宛先です。

• iam – プリンシパルに対し、アカウントの任意の IAM ロールリソースを QLDB サービスに渡すことを許可します。これは、ジャーナルのどのエクスポートとストリーミングリクエストにも必要です。

QLDB での AWS マネージドポリシーの更新

QLDB の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、QLDB の「リリース履歴」ページの RSS フィードにサブスクライブしてください。

変更	説明	日付
AmazonQLDBFullAccess、AmazonQLDBConsoleFullAccess — 既存のポリシーの更新	QLDB は、プリンシパルがすべての台帳のドキュメントリビジョンを STANDARD 権限モードで秘匿化できるようにする新しい権限を追加しました。	2022 年 11 月 4 日
AmazonQLDBFullAccess、AmazonQLDBConsoleFullAccess — 既存のポリシーの更新	QLDB では、プリンシパルに対し、アカウントの任意の IAM ロールリソースを QLDB サービスに渡すことを許可する新しいアクセス許可が追加されました。これは、ジャーナルのどのエクスポートとストリーミングリクエストにも必要です。	2021 年 9 月 2 日
AmazonQLDBReadOnly – 既存のポリシーへの更新	QLDB では、以前は 2 回リストされていた重複する qldb:GetBlock アクションが削除され、また "Effect" フィールドの順序が変更されて "Action" フィールドの前に表示されるようになりました。	2021 年 7 月 1 日
AmazonQLDBFullAccess、AmazonQLDBConsoleFullAccess — 既存のポリシーの更新	QLDB では、プリンシパルに対し、すべての台帳のアクセス許可モードを更新し、新しい STANDARD アクセス許可モードのすべての台帳ですべての PartiQL コマンドを実行することを許可する新しいアクセス許可が追加されました。 STANDARD アクセス許可モードは、PartiQL コマンドのテーブルレベルのアクセスコントロールと詳細度をサポートします。新しいアクセス許可モードを容易にするために、QLDB では、PartiQL コマンドタイプに対する IAM アクションのセット、および QLDB テーブルリソースの Amazon リソースネーム (ARN) が導入されました。これらの 2 つのポリシーが更新され、STANDARD 台帳にフルアクセスを付与する新しい PartiQL アクションが含まれるようになりました。	2021 年 5 月 27 日
QLDB が変更の追跡を開始しました	QLDB が AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 3 月 1 日