Permisos de exportación del diario en QLDB - Base de datos Amazon Quantum Ledger (AmazonQLDB)
Creación de una política de permisosCree un IAM rol

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de exportación del diario en QLDB

importante

Aviso de fin de soporte: los clientes actuales podrán usar Amazon QLDB hasta que finalice el soporte, el 31 de julio de 2025. Para obtener más información, consulte Migración de un Amazon QLDB Ledger a Amazon Aurora SQL Postgre.

Antes de enviar una solicitud de exportación de revistas en AmazonQLDB, debe QLDB proporcionar permisos de escritura en el bucket de Amazon S3 especificado. Si eliges una gestionada por el cliente AWS KMS key como tipo de cifrado de objetos para su bucket de Amazon S3, también debe proporcionar QLDB permisos para usar la clave de cifrado simétrica especificada. Amazon S3 no admite KMSclaves asimétricas.

Para proporcionar a su trabajo de exportación los permisos necesarios, puede hacer que QLDB asuma un rol de IAM servicio con las políticas de permisos adecuadas. Una función de servicio es una IAMfunción que asume un servicio para realizar acciones en su nombre. Un IAM administrador puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

nota

Para transferir un rol QLDB al solicitar la exportación de un diario, debe tener permisos para realizar la iam:PassRole acción en el recurso del IAM rol. Esto se suma al qldb:ExportJournalToS3 permiso del recurso QLDB contable.

Para obtener información sobre cómo controlar el acceso al QLDB usoIAM, consulteCómo QLDB trabaja Amazon con IAM. Para ver un ejemplo QLDB de política, consulteEjemplos de políticas basadas en identidad para Amazon QLDB.

En este ejemplo, crea un rol que permite QLDB escribir objetos en un bucket de Amazon S3 en su nombre. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

Si va a exportar un QLDB diario en su Cuenta de AWS por primera vez, primero debe crear un IAM rol con las políticas adecuadas de la siguiente manera. O bien, puede usar la QLDB consola para crear automáticamente el rol por usted. También puede elegir un rol que haya creado anteriormente.

Creación de una política de permisos

Complete los siguientes pasos para crear una política de permisos para un trabajo de exportación de QLDB revistas. En este ejemplo, se muestra una política de bucket de Amazon S3 que concede QLDB permisos para escribir objetos en el bucket especificado. Si corresponde, el ejemplo también muestra una política de claves que permite QLDB usar la KMS clave de cifrado simétrica.

Para obtener más información acerca de las políticas de bucket para Amazon S3, consulte Uso de políticas de bucket y políticas de usuario en la Guía del usuario de Amazon Simple Storage Service. Para obtener más información AWS KMS políticas clave, consulte Uso de políticas clave en AWS KMS en la AWS Key Management Service Guía para desarrolladores.

nota

El bucket y la KMS clave de Amazon S3 deben estar en el mismo lugar Región de AWS como su QLDB libro mayor.

Para usar el editor JSON de políticas para crear una política

  1. Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En la columna de navegación de la izquierda, elija Políticas.

    Si es la primera vez que elige Políticas, aparecerá la página Bienvenido a políticas administradas. Elija Comenzar.

  3. En la parte superior de la página, seleccione Crear política.

  4. Selecciona la JSONpestaña.

  5. Introduzca un documento JSON de política.

    • Si utiliza una KMS clave gestionada por el cliente para el cifrado de objetos de Amazon S3, utilice el siguiente documento de política de ejemplo. Para usar esta política, sustituya amzn-s3-demo-bucket, us-east-1, 123456789012, y 1234abcd-12ab-34cd-56ef-1234567890ab en el ejemplo, con su propia información.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Para otros tipos de cifrado, utilice el siguiente ejemplo de documento de política. Para usar esta política, sustituya amzn-s3-demo-bucket en el ejemplo, con tu propio nombre de bucket de Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

  6. Elija Revisar política.

    nota

    Puedes cambiar entre el editor visual y JSONlas pestañas en cualquier momento. Sin embargo, si realiza cambios o selecciona Revisar la política en la pestaña del editor visual, IAM podría reestructurar su política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas en la Guía del IAM usuario.

  7. En la página Review Policy (Revisar política), ingrese un Nombre y una descripción (opcional) para la política que está creando. Revise el Summary (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija Create policy (Crear política) para guardar su trabajo.

Cree un IAM rol

Tras crear una política de permisos para su trabajo de exportación de QLDB revistas, podrá crear un IAM rol y adjuntarle su política.

Para crear el rol de servicio para QLDB (IAMconsola)

  1. Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la IAM consola, elija Roles y, a continuación, elija Crear rol.

  3. En el tipo de entidad de confianza, elija Servicio de AWS.

  4. En Servicio o caso de uso, elija y QLDB, a continuación, elija el caso de QLDBuso.

  5. Elija Next (Siguiente).

  6. Seleccione la casilla junto a la política que ha creado en los pasos anteriores.

  7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo.

      IAMincluye una lista de AWS las políticas gestionadas y gestionadas por los clientes en tu cuenta.

    2. Seleccione la política que desea utilizar para el límite de permisos.

  8. Elija Next (Siguiente).

  9. Escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad.

    importante

    Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:

    • Los nombres de los roles deben ser únicos en su Cuenta de AWS, y no se pueden hacer únicos por mayúsculas y minúsculas.

      Por ejemplo, no puede crear roles denominados tanto PRODROLE como prodrole. Cuando el nombre de un rol se usa en una política o como parte de unaARN, el nombre del rol distingue entre mayúsculas y minúsculas; sin embargo, cuando los clientes ven un nombre de rol en la consola, por ejemplo, durante el proceso de inicio de sesión, el nombre del rol no distingue entre mayúsculas y minúsculas.

    • Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

  10. (Opcional) En Descripción, ingrese una descripción para el rol.

  11. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.

  12. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetasIAM, consulte Etiquetar IAM recursos en la Guía del IAM usuario.

  13. Revise el rol y, a continuación, elija Crear rol.

El siguiente JSON documento es un ejemplo de una política de confianza que QLDB permite asumir un IAM rol con permisos específicos asociados.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
nota

El siguiente ejemplo de política de confianza muestra cómo se pueden utilizar las claves contextuales de condición global aws:SourceArn y aws:SourceAccount para evitar el problema del suplente confuso. Con esta política de confianza, 123456789012 solo QLDB puede asumir el rol de cualquier QLDB recurso de la cuenta.

Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

Tras crear el IAM rol, vuelva a la QLDB consola y actualice la página Crear trabajo de exportación para que pueda encontrar el nuevo rol.