AWS Amazon 的托管政策 QLDB

重要

终止支持通知：现有客户将能够使用亚马逊，QLDB直到 2025 年 7 月 31 日终止支持。有关更多详细信息，请参阅将亚马逊QLDB账本迁移到亚马逊 Aurora Postgr SQL e。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 托管策略是一个由创建和管理的独立策略 AWS. AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住 AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们适用于所有用例 AWS 可供客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改中定义的权限 AWS 托管策略。如果 AWS 更新中定义的权限 AWS 托管策略，此更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能更新 AWS 新策略时的托管策略 AWS 服务 已启动或现有服务有新的API操作可用。

有关更多信息，请参阅 AWS 《IAM用户指南》中的托管策略。

有关这些QLDBAPI操作的更多信息 AWS 托管策略，请参阅亚马逊QLDBAPI参考资料。

AWS 托管策略：mazonQLDBRead仅限 A

使用 A On mazonQLDBRead l y 策略授予对所有QLDB资源的只读权限。您可以将此政策附加到您的IAM身份。

权限详细信息

此策略包含以下qldb服务权限。

• 允许委托人描述和列出所有QLDB资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

• 允许委托人从任何分类账的日记账中获取区块、摘要或修订，以加密方式验证数据。

• 不允许主体对任何分类账中的任何表运行任何 PartiQL 命令。

AWS 托管策略：A mazonQLDBFull 访问权限

使用 A A mazonQLDBFull cces s 策略通过QLDBAPI或向所有QLDB资源授予完全管理权限 AWS CLI。 您可以将此政策附加到您的IAM身份。

权限详细信息

该策略包含以下权限。

• qldb

  • 允许委托人创建、描述、列出和管理所有QLDB资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

  • 允许委托人使用QLDB驱动程序或 QLDB shell 对任何账本中的所有表运行所有 PartiQL 命令。

  • 允许委托人从任何分类账的日记账中获取区块、摘要或修订，以加密方式验证数据。

• iam— 允许委托人将您账户中的任何IAM角色资源传递给QLDB服务。这是所有日记账流请求所必需的。

AWS 托管策略：A mazonQLDBConsole FullAccess

使用 A mazonQLDBConsole FullAccess 策略通过以下方式授予对所有QLDB资源的完全管理权限 AWS Management Console QLDBAPI、或 AWS CLI。 您可以将此政策附加到您的IAM身份。

权限详细信息

该策略包含以下权限。

• qldb

  • 允许委托人创建、描述、列出和管理所有QLDB资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

  • 允许委托人使用QLDB控制台、QLDB驱动程序或 QLDB shell 对任何账本中的所有表运行所有 PartiQL 命令。

  • 允许委托人使用QLDB控制台在任何账本中插入示例应用程序数据。

  • 允许委托人从任何分类账的日记账中获取区块、摘要或修订，以加密方式验证数据。

• dbqms— 允许委托人使用 Database Query Metadata Service 中的所有操作。这是一项仅限内部使用的服务，QLDB控制台需要它来创建、描述和管理最近和保存的 PartiQL 查询编辑器查询。

• kinesis— 允许委托人描述和列出 Amazon Kinesis Data Streams 资源。这些资源是QLDB流资源可以向其写入数据的目标目的地。

• iam— 允许委托人将您账户中的任何IAM角色资源传递给QLDB服务。这是所有日记账流请求所必需的。

QLDB更新到 AWS 托管策略

查看有关更新的详细信息 AWS QLDB自该服务开始跟踪这些更改以来的管理策略。要获得有关此页面变更的自动提醒，请订阅 “QLDB发布历史记录” 页面上的订阅RSS源。

更改	描述	日期
A mazonQLDBFull 访问权限，A mazonQLDBConsole FullAccess — 对现有策略的更新	QLDB添加了新的权限，允许委托人在权限模式下编辑所有账本中的文档修订版。STANDARD	2022 年 11 月 4 日
A mazonQLDBFull 访问权限，A mazonQLDBConsole FullAccess — 对现有策略的更新	QLDB添加了新的权限，允许委托人将您账户中的任何IAM角色资源传递给该QLDB服务。这是所有日记账流请求所必需的。	2021 年 9 月 2 日
mazonQLDBRead仅限 A-更新现有政策	QLDB删除了之前列出两次的重复qldb:GetBlock操作，并对该"Effect"字段进行了重新排序，使其显示在"Action"字段之前。	2021 年 7 月 1 日
A mazonQLDBFull 访问权限，A mazonQLDBConsole FullAccess — 对现有策略的更新	QLDB添加了新的权限，允许委托人更新所有账本中的权限模式，并在新的权限模式下在所有账本中运行所有 PartiQL 命令。STANDARD STANDARD 权限模式支持 PartiQL 命令的表级访问控制和粒度。为了简化新的权限模式，为 PartiQL 命令类型QLDB引入了一组IAM操作，为QLDB表资源引入了 Amazon 资源名称 (ARNs)。这两项策略已更新，加入了新的 PartiQL 操作，从而授予对 STANDARD 分类账的完全访问权限。	2021 年 5 月 27 日
QLDB 开启了跟踪更改	QLDB开始跟踪它的变化 AWS 托管策略。	2021 年 3 月 1 日