本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
日誌匯出權限 QLDB
重要
支援結束通知:現有客戶將能夠使用 Amazon,QLDB直到 2025 年 7 月 31 日終止支援為止。有關更多詳細信息,請參閱將 Amazon QLDB 分類帳遷移到 Amazon Aurora 郵政. SQL
在 Amazon 提交日誌匯出請求之前QLDB,您必須在指定QLDB的 Amazon S3 儲存貯體中提供寫入許可。如果您選擇受管理的客戶 AWS KMS key 做為 Amazon S3 儲存貯體的物件加密類型,您還必須提供QLDB使用指定對稱加密金鑰的許可。Amazon S3 不支援非對稱KMS金鑰。
若要為您的匯出工作提供必要的權限,您可以使用適當的權限原則QLDB設為IAM服務角色。服務角色是服務假定代表您執行動作的IAM角色。IAM管理員可以從中建立、修改和刪除服務角色IAM。如需詳細資訊,請參閱建立角色以委派權限給 AWS 服務 (在 IAM 使用者指南中)
注意
若要在要求日誌匯出QLDB時將角色傳遞給,您必須擁有對IAM角色資源執行iam:PassRole動作的權限。這是分QLDB類帳資源qldb:ExportJournalToS3權限的補充。
若要瞭解如何控制存取QLDB使用IAM,請參閱Amazon 如QLDB何與 IAM。如需QLDB策略範例,請參閱Amazon 的基於身份的政策示例 QLDB。
在此範例中,您建立了一個角色,QLDB以代表您將物件寫入 Amazon S3 儲存貯體。如需詳細資訊,請參閱建立角色以委派權限給 AWS 服務 (在 IAM 使用者指南中)
如果您要匯出QLDB期刊 AWS 帳戶 第一次,您必須先執行以下操IAM作以建立具有適當策略的角色。或者,您可以使用QLDB主控台自動為您建立角色。否則,您可以選擇先前建立的角色。
建立許可政策
請完成下列步驟,為QLDB分錄匯出工作建立權限原則。此範例顯示 Amazon S3 儲存貯體政策,該政策QLDB授與將物件寫入指定儲存貯體的許可。如果適用,此範例也會顯示允許QLDB使用對稱加密KMS金鑰的金鑰原則。
如需 Amazon S3 儲存貯體政策的詳細資訊,請參閱 Amazon 簡單儲存體服務使用者指南中的使用儲存貯體政策和使用者政策。進一步了解 AWS KMS 金鑰原則,請參閱在中使用金鑰原則 AWS KMS 中的 AWS Key Management Service 開發人員指南。
注意
您的 Amazon S3 儲存貯體和KMS金鑰必須位於相同 AWS 區域 作為您的QLDB分類帳。
使用JSON策略編輯器建立策略
登入 AWS Management Console 並在打開IAM控制台https://console.aws.amazon.com/iam/
。 -
在左側的導覽欄中,選擇 Policies (政策)。
如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。
-
在頁面頂端,選擇 Create policy (建立政策)。
-
選擇標JSON籤。
-
輸入JSON政策文件。
-
如果您使用客戶受管KMS金鑰進行 Amazon S3 物件加密,請使用下列範例政策文件。若要使用此原則,請取代
amzn-s3-demo-bucket,us-east-1,123456789012和1234abcd-12ab-34cd-56ef-1234567890ab在您自己的信息的例子中。{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "QLDBJournalExportKMSPermission", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } -
對於其他加密類型,請使用下列範例原則文件。若要使用此原則,請取代
amzn-s3-demo-bucket在您自己的 Amazon S3 存儲桶名稱的示例中。{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBJournalExportS3Permission", "Action": [ "s3:PutObjectAcl", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }
-
-
選擇檢閱政策。
注意
您可以隨時在視覺化編輯器和JSON索引標籤之間切換。不過,如果您在 [視覺化編輯器] 索引標籤中進行變更或選擇 [檢閱原則],IAM可能會重新架構您的原則以針對視覺化編輯器最佳化。如需詳細資訊,請參閱《IAM使用指南》中的「策略重新架構」。
-
在 Review policy (檢閱政策) 頁面上,為您正在建立的政策輸入選用的 Name (名稱) 與 Description (描述)。檢閱政策 Summary (摘要) 來查看您的政策所授予的許可。然後選擇 Create policy (建立政策) 來儲存您的工作。
建立 IAM 角色
建立QLDB日誌匯出工作的權限原則之後,您就可以建立IAM角色並將原則附加至該角色。
若要建立 QLDB (IAM主控台) 的服務角色
登入 AWS Management Console 並在打開IAM控制台https://console.aws.amazon.com/iam/
。 -
在IAM主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
-
針對信任的實體類型,選擇 AWS 服務.
-
對於服務或使用案例,請選擇 QLDB,然後選擇QLDB使用案例。
-
選擇 Next (下一步)。
-
選取您在先前步驟中建立的原則旁邊的方塊。
-
(選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。
-
開啟 [設定權限界限] 區段,然後選擇 [使用權限界限] 控制最大角色權限。
IAM包括一個列表 AWS 您帳戶中的受管理和客戶管理政策。
選取用於許可界限的政策。
-
-
選擇 Next (下一步)。
-
輸入角色名稱或角色名稱尾碼,以協助您識別角色的用途。
重要
命名角色時,請注意下列事項:
-
在您的角色名稱中必須是唯一的 AWS 帳戶,並且不能通過案例製成獨一無二的。
例如,請勿建立同時命名為
PRODROLE和的角色prodrole。當角色名稱用於策略中或作為一部分時ARN,角色名稱會區分大小寫,但是當主控台中的客戶 (例如在登入程序期間) 顯示角色名稱時,角色名稱不區分大小寫。 -
您無法在建立角色之後編輯該角色的名稱,因為其他實體可能會參照該角色。
-
-
(選擇性) 在說明中,輸入角色的說明。
-
(選擇性) 若要編輯角色的使用案例和權限,請在步驟 1:選取信任的實體或步驟 2:新增權限區段中,選擇編輯。
-
(選擇性) 若要協助識別、組織或搜尋角色,請將標籤新增為鍵值配對。若要取得有關在中使用標籤的更多資訊IAM,請參閱《使IAM用指南》中的標記IAM資源
-
檢閱角色,然後選擇 Create role (建立角色)。
下列JSON文件是信任原則的範例,可QLDB讓您IAM扮演具有特定權限的角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
注意
此信任原則範例顯示如何使用aws:SourceArn和aws:SourceAccount全域條件內容索引鍵來防止混淆的副問題。使用此信任策略,123456789012只QLDB能擔任帳號中任何QLDB資源的角色。
如需詳細資訊,請參閱預防跨服務混淆代理人。
建立IAM角色之後,請返回QLDB主控台並重新整理 [建立匯出工作] 頁面,以便找到您的新角色。
