AWS 亚马逊 QLDB 的托管策略 - Amazon Quantum Ledger Database (Amazon QLDB)
亚马逊 QLDB ReadOnly亚马逊 QLDB FullAccess亚马逊 QLDB ConsoleFullAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 亚马逊 QLDB 的托管策略

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

有关 AWS 这些托管策略中的 QLDB API 操作的更多信息,请参阅。Amazon QLDB API 参考

AWS 托管策略:亚马逊 QLDB ReadOnly

使用 AmazonQLDB ReadOnly 策略向所有 QLDB 资源授予只读权限。您可以将 策略附加得到 IAM 身份。

权限详细信息

此策略包含以下qldb服务权限。

  • 允许主体描述和列出所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

  • 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。

  • 不允许主体对任何分类账中的任何表运行任何 PartiQL 命令。

AWS 托管策略:亚马逊 QLDB FullAccess

使用 AmazonQLDB FullAccess 策略通过 QLDB API 或. 向所有 QLDB 资源授予完全管理权限。 AWS CLI您可以将 策略附加得到 IAM 身份。

权限详细信息

此策略包含以下权限。

  • qldb

    • 允许委托人创建、描述、列出和管理所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

    • 允许主体使用 QLDB 驱动程序QLDB Shell 在任何分类账上运行所有 PartiQL 命令。

    • 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。

  • iam— 允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。

AWS 托管策略:亚马逊 QLDB ConsoleFullAccess

使用 AmazonQLDB ConsoleFullAccess 政策,通过、 AWS Management ConsoleQLDB API 或,向所有 QLDB 资源授予完全管理权限。 AWS CLI您可以将 策略附加得到 IAM 身份。

权限详细信息

此策略包含以下权限。

  • qldb

    • 允许委托人创建、描述、列出和管理所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。

    • 允许主体使用QLDB 控制台、QLDB 驱动程序QLDB Shell 在任何分类账上运行所有 PartiQL 命令。

    • 允许委托人使用 QLDB 控制台在任何分类账中插入示例应用程序数据。

    • 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。

  • dbqms— 允许委托人使用 Database Query Metadata Service 中的所有操作。这是一项仅限内部使用的服务,QLDB 控制台需要该服务,用来为 PartiQL 查询编辑器创建、描述和管理最近和保存的查询。

  • kinesis— 允许委托人描述和列出 Amazon Kinesis Data Streams 资源。这些资源是 QLDB 流资源可以向其写入数据的目标目标。

  • iam— 允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。

QLDB 对托管策略的更新 AWS

查看自 QLDB AWS 托管策略开始跟踪这些更改以来该服务更新的详细信息。要获得有关此页面更改的自动提示,请订阅 Amazon QLDB 发布历史记录 页面上的 RSS 馈送。

更改 描述 日期

亚马逊 qldb FullAccess、A mazonQLD ConsoleFullAccess B — 现有政策的更新

QLDB 添加了一项新权限,允许委托人在权限模式下编辑所有分类账中的文档修订。STANDARD

 2022 年 11 月 4 日

亚马逊 qldb FullAccess、A mazonQLD ConsoleFullAccess B — 现有政策的更新

QLDB 添加了新的权限,允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。

 2021 年 9 月 2 日

AmazonQldb ReadOnly — 更新现有政策

QLDB 删除了之前列出两次的 qldb:GetBlock 重复操作,并对 "Effect" 字段进行了重新排序,使其显示在 "Action" 字段之前。

 2021 年 7 月 1 日

亚马逊 qldb FullAccess、A mazonQLD ConsoleFullAccess B — 现有政策的更新

QLDB 添加了新的权限,允许委托人更新所有分类账中的权限模式,并在新的权限模式下在所有分类账中运行所有 PartiQL 命令。STANDARD

STANDARD 权限模式支持 PartiQL 命令的表级访问控制和粒度。为了简化新的权限模式,QLDB 为 PartiQL 命令类型引入了一组 IAM 操作,为 QLDB 表资源引入了一组 Amazon 资源名称 (ARN)。这两项策略已更新,加入了新的 PartiQL 操作,从而授予对 STANDARD 分类账的完全访问权限。

 2021 年 5 月 27 日

IPAM 已开启跟踪更改

QLDB 开始跟踪其托管策略的更改。 AWS

2021 年 3 月 1 日