本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
教程先决条件和注意事项
重要
终止支持通知:现有客户可以在2025年7月31日终止支持QLDB之前使用亚马逊。有关更多详细信息,请参阅将亚马逊QLDB账本迁移到亚马逊 Aurora Postgr SQL
在开始本 Amazon QLDB 教程之前,请务必完成以下先决条件:
-
如果您尚未执行此操作访问亚马逊 QLDB,请按照中的 AWS 设置说明进行操作。这些步骤包括注册 AWS 和创建管理用户。
-
按照中的设置权限说明为您的QLDB资源设置IAM权限。要完成本教程中的所有步骤,您需要通过 AWS Management Console对分类账资源拥有完全管理权限。
注意
如果您已经以具有完全 AWS 管理权限的用户身份登录,则可以跳过此步骤。
-
(可选)使用 AWS Key Management Service (AWS KMS) 中的密钥对静态数据进行QLDB加密。选择以下 AWS KMS keys类型之一:
-
AWS 拥有的KMS密钥 — 使用由您代表自己拥有和管理 AWS 的KMS密钥。这是默认选项,无需额外设置。
-
客户托管KMS密钥-在您的账户中使用由您创建、拥有和管理的对称加密KMS密钥。QLDB不支持非对称密钥。
此选项要求您创建KMS密钥或使用账户中的现有密钥。有关创建客户托管密钥的说明,请参阅《AWS Key Management Service 开发人员指南》中的创建对称加密KMS密钥。
您可以使用 ID、别名或 Amazon 资源名称 (ARN) 来指定客户托管KMS密钥。要了解更多信息,请参阅《AWS Key Management Service 开发者指南》中的密钥标识符 (KeyId)。
注意
不支持跨区域密钥。指定的KMS密钥必须与您的账本 AWS 区域 相同。
-
设置权限
在此步骤中,您将通过控制台为中的所有QLDB资源设置完全访问权限 AWS 账户。要快速授予这些权限,请使用 AWS 托管策略 A mazonQLDBConsole FullAccess。
要提供访问权限,请为您的用户、组或角色添加权限:
-
中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
IAM通过身份提供商管理的用户:
创建适用于身份联合验证的角色。按照《IAM用户指南》中为第三方身份提供商创建角色(联合)中的说明进行操作。
-
IAM用户:
-
创建您的用户可以担任的角色。按照《用户指南》中为IAM用户创建角色中的IAM说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《用户指南》中向用户(控制台)添加权限中的IAM说明进行操作。
-
重要
就本教程而言,您授予自己对所有QLDB资源的完全管理权限。但是,对于生产用例,请遵循授予最低权限,或仅授予执行任务所需的权限这一安全最佳实践。有关示例,请参阅Amazon 基于身份的政策示例 QLDB。
要创建名为 vehicle-registration 的分类账,请进入 第 1 步:创建新的分类账。
