스트림 권한은 다음과 같습니다. QLDB - 아마존 퀀텀 레저 데이터베이스 (아마존QLDB)
권한 정책 생성IAM 역할 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

스트림 권한은 다음과 같습니다. QLDB

중요

지원 종료 알림: 기존 고객은 2025년 7월 31일 지원이 종료될 QLDB 때까지 Amazon을 사용할 수 있습니다. 자세한 내용은 아마존 QLDB 원장을 Amazon Aurora SQL Postgre로 마이그레이션을 참조하십시오.

Amazon QLDB 스트림을 생성하기 전에 지정된 Amazon Kinesis Data Streams 리소스에 대한 쓰기 권한을 제공해야 QLDB 합니다. 고객 관리형을 사용하는 경우 AWS KMS key Kinesis 스트림의 서버 측 암호화의 경우 지정된 대칭 암호화 키를 사용할 수 QLDB 있는 권한도 제공해야 합니다. Kinesis Data Streams는 KMS비대칭 키를 지원하지 않습니다.

QLDB스트림에 필요한 권한을 제공하려면 적절한 권한 정책을 사용하여 IAM 서비스 역할을 수임하도록 QLDB 설정할 수 있습니다. 서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하는 IAM역할을 말합니다. IAM관리자는 내부에서 IAM 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 권한을 위임하기 위한 역할 만들기를 참조하십시오. AWS 서비스(출처: IAM 사용 설명서).

참고

저널 스트림을 요청할 QLDB 때 역할을 전달하려면 IAM 역할 리소스에서 iam:PassRole 작업을 수행할 권한이 있어야 합니다. 이는 QLDB 스트림 하위 리소스에 대한 qldb:StreamJournalToKinesis 권한에 추가됩니다.

QLDB사용에 IAM 대한 액세스를 제어하는 방법을 알아보려면 을 참조하십시오아마존은 어떻게 QLDB 협력하나요? IAM . QLDB정책 예제는 을 참조하십시오Amazon의 자격 증명 기반 정책 예제 QLDB.

이 예시에서는 사용자 대신 Kinesis 데이터 스트림에 데이터 레코드를 쓸 수 QLDB 있는 역할을 생성합니다. 자세한 내용은 권한을 위임하기 위한 역할 생성을 참조하십시오. AWS 서비스(출처: IAM 사용 설명서).

QLDB저널을 스트리밍하는 경우 AWS 계정 처음에는 다음을 수행하여 적절한 정책이 적용된 IAM 역할을 먼저 생성해야 합니다. 또는 QLDB콘솔을 사용하여 자동으로 역할을 생성할 수 있습니다. 또는 이전에 생성한 역할을 선택할 수 있습니다.

권한 정책 생성

QLDB스트림에 대한 권한 정책을 만들려면 다음 단계를 완료하세요. 이 예제는 지정된 Kinesis 데이터 스트림에 데이터 레코드를 쓸 권한을 QLDB 부여하는 Kinesis Data Streams 정책을 보여줍니다. 해당하는 경우 이 예시에서는 대칭 암호화 키를 QLDB 사용하도록 허용하는 키 정책도 보여줍니다. KMS

Kinesis Data Streams 정책에 대한 자세한 내용은 Amazon Kinesis Data Streams 개발자 안내서의 사용자 생성 키를 IAM 사용하여 Amazon Kinesis Data Streams 리소스에 대한 액세스 제어 및 KMS 사용자 생성 키를 사용할 수 있는 권한을 참조하십시오. 알아볼 내용 AWS KMS 주요 정책은 다음과 같은 주요 정책 사용을 참조하십시오. AWS KMSAWS Key Management Service 개발자 가이드.

참고

Kinesis 데이터 스트림과 KMS 키는 모두 동일해야 합니다. AWS 리전 계정을 QLDB 원장으로 사용하세요.

JSON정책 편집기를 사용하여 정책을 만들려면

  1. 에 로그인하십시오. AWS Management Console 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. 왼쪽의 탐색 열에서 정책을 선택합니다.

    정책을 처음으로 선택하는 경우 관리형 정책 소개 페이지가 나타납니다. 시작을 선택합니다.

  3. 페이지 상단에서 정책 생성을 선택합니다.

  4. JSON탭을 선택합니다.

  5. JSON정책 문서를 입력합니다.

    • Kinesis 스트림의 서버 측 암호화에 고객 관리 KMS 키를 사용하는 경우 다음 예제 정책 문서를 사용하십시오. 이 정책을 사용하려면 다음을 대체하십시오.us-east-1, 123456789012, kinesis-stream-name, 및 1234abcd-12ab-34cd-56ef-1234567890ab 예시에서는 자신의 정보를 사용하십시오.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        },
        {
            "Sid": "QLDBStreamKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • 다음은 정책 문서의 예입니다. 이 정책을 사용하려면 다음을 대체하십시오.us-east-1, 123456789012, 및 kinesis-stream-name 예시에서는 자신의 정보를 사용하십시오.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        }
    ]
}

  6. 정책 검토를 선택합니다.

    참고

    언제든지 비주얼 에디터와 JSON탭 사이를 전환할 수 있습니다. 하지만 내용을 변경하거나 시각편집기 탭에서 정책 검토를 선택하면 정책을 재구성하여 시각편집기에 맞게 최적화할 IAM 수 있습니다. 자세한 내용은 IAM사용 설명서의 정책 재구성을 참조하십시오.

  7. 정책 검토 페이지에서 생성하려는 정책의 이름설명(선택 사항)을 입력합니다. 정책 요약을 검토하여 정책이 부여한 권한을 확인합니다. 그런 다음 정책 생성을 선택하여 작업을 저장합니다.

IAM 역할 생성

QLDB스트림에 대한 권한 정책을 만든 후 IAM 역할을 만들고 정책을 여기에 연결할 수 있습니다.

QLDB(IAM콘솔) 에 대한 서비스 역할을 만들려면

  1. 에 로그인하십시오. AWS Management Console 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. IAM콘솔의 탐색 창에서 역할을 선택한 다음 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 엔티티 유형에서 다음을 선택합니다. AWS 서비스.

  4. 서비스 또는 사용 사례의 경우 선택한 QLDB다음 QLDB사용 사례를 선택합니다.

  5. Next(다음)를 선택합니다.

  6. 앞에서 생성한 정책 옆의 상자를 선택합니다.

  7. (선택 사항)권한 경계로서 설정됩니다. 이는 서비스 역할에서 가능한 고급 기능이며 서비스 링크된 역할은 아닙니다.

    1. 권한 경계 설정 섹션을 열고 최대 역할 권한을 관리하기 위한 권한 경계 사용을 선택합니다.

      IAM목록이 포함되어 있습니다. AWS 계정의 관리형 및 고객 관리형 정책.

    2. 정책을 선택하여 권한 경계를 사용하세요.

  8. Next(다음)를 선택합니다.

  9. 역할의 목적을 식별하는 데 도움이 되는 역할 이름이나 역할 이름 접미사를 입력합니다.

    중요

    역할 이름을 지정할 때는 다음 사항에 유의하세요.

    • 역할 이름은 사용자 내에서 고유해야 합니다. AWS 계정대/소문자를 구분하여 고유하게 지정할 수 없습니다.

      예를 들어, 이름이 PRODROLEprodrole, 두 가지로 지정된 역할을 만들지 마십시오. 정책 또는 정책의 일부로 역할 이름을 사용하는 경우 역할 이름은 대소문자를 구분하지만, 로그인 프로세스와 같이 콘솔에서 고객에게 역할 이름이 표시되는 경우 역할 이름은 대소문자를 구분하지 않습니다. ARN

    • 다른 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.

  10. (선택 사항)설명에 역할에 대한 설명을 입력합니다.

  11. (선택 사항) 역할에 대한 사용 사례와 권한을 편집하려면 1단계: 신뢰할 수 있는 엔터티 선택 또는 2단계: 권한 추가 섹션에서 편집을 선택합니다.

  12. (선택 사항) 태그를 키-값 페어로 연결하여 역할을 식별, 구성 또는 검색합니다. 에서 태그를 사용하는 방법에 대한 자세한 내용은 사용 IAM 설명서의 IAM리소스 태깅을 IAM 참조하십시오.

  13. 역할을 검토한 다음 역할 생성을 선택합니다.

다음 JSON 문서는 특정 권한이 부여된 IAM 역할을 QLDB 수임할 수 있는 신뢰 정책의 예입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
참고

이 신뢰 정책 예시에서 aws:SourceArnaws:SourceAccount 전역 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. 이 신뢰 정책을 사용하면 원장 계정의 123456789012 모든 QLDB 스트림에 대한 myExampleLedger 역할만 맡을 QLDB 수 있습니다.

자세한 내용은 교차 서비스 혼동된 대리인 방지 단원을 참조하십시오.

IAM역할을 생성한 후에는 QLDB 콘솔로 돌아가서 새 역할을 찾을 수 있도록 QLDB스트림 생성 페이지를 새로 고치십시오.