Creación de una política de permisos Cree un IAM rol

Transmita los permisos en QLDB

importante

Aviso de fin de soporte: los clientes actuales podrán usar Amazon QLDB hasta que finalice el soporte, el 31 de julio de 2025. Para obtener más información, consulte Migración de un Amazon QLDB Ledger a Amazon Aurora SQL Postgre.

Antes de crear una QLDB transmisión de Amazon, debe proporcionar permisos QLDB de escritura al recurso de Amazon Kinesis Data Streams especificado. Si utiliza un sistema gestionado por el cliente AWS KMS key para el cifrado del lado del servidor de su transmisión de Kinesis, también debe proporcionar permisos para usar la QLDB clave de cifrado simétrica especificada. Kinesis Data Streams no admite claves KMS asimétricas.

Para proporcionar a su QLDB transmisión los permisos necesarios, puede hacer que QLDB asuma una función de IAM servicio con las políticas de permisos adecuadas. Una función de servicio es una IAMfunción que asume un servicio para realizar acciones en tu nombre. Un IAM administrador puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

nota

Para transferir un rol QLDB al solicitar una transmisión de diario, debe tener permisos para realizar la iam:PassRole acción en el recurso del IAM rol. Esto se suma al qldb:StreamJournalToKinesis permiso del subrecurso de QLDB transmisión.

Para obtener información sobre cómo controlar el acceso al QLDB usoIAM, consulteCómo QLDB trabaja Amazon con IAM. Para ver un ejemplo QLDB de política, consulteEjemplos de políticas basadas en identidad para Amazon QLDB.

En este ejemplo, crea un rol que permite QLDB escribir registros de datos en una transmisión de datos de Kinesis en su nombre. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

Si estás transmitiendo un QLDB diario en tu Cuenta de AWS por primera vez, primero debe crear un IAM rol con las políticas adecuadas de la siguiente manera. O bien, puede usar la QLDB consola para crear automáticamente el rol por usted. También puede elegir un rol que haya creado anteriormente.

Creación de una política de permisos

Complete los siguientes pasos para crear una política de permisos para una QLDB transmisión. En este ejemplo se muestra una política de Kinesis Data Streams que QLDB concede permisos para escribir registros de datos en la transmisión de datos de Kinesis especificada. Si corresponde, el ejemplo también muestra una política de claves que permite QLDB usar la clave de cifrado simétrica. KMS

Para obtener más información sobre las políticas de Kinesis Data Streams, consulte Control del acceso a los recursos de Amazon Kinesis Data Streams mediante claves generadas por los usuarios y Permisos para IAM usar claves KMS generadas por los usuarios en la Guía para desarrolladores de Amazon Kinesis Data Streams. Para obtener más información AWS KMS políticas clave, consulte Uso de políticas clave en AWS KMS en la AWS Key Management Service Guía para desarrolladores.

nota

El flujo de datos y la KMS clave de Kinesis deben estar en el mismo sitio Región de AWS y una cuenta como QLDB libro mayor.

Para usar el editor JSON de políticas para crear una política

Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.
En la columna de navegación de la izquierda, elija Políticas.

Si es la primera vez que elige Políticas, aparecerá la página Bienvenido a políticas administradas. Elija Comenzar.
En la parte superior de la página, seleccione Crear política.
Selecciona la JSONpestaña.

Introduzca un documento JSON de política.

Si utiliza una KMS clave gestionada por el cliente para el cifrado del lado del servidor de su transmisión de Kinesis, utilice el siguiente ejemplo de documento de política. Para usar esta política, sustituya us-east-1, 123456789012, kinesis-stream-name, y 1234abcd-12ab-34cd-56ef-1234567890ab en el ejemplo, con su propia información.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        },
        {
            "Sid": "QLDBStreamKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

También puede utilizar el siguiente documento normativo de ejemplo. Para usar esta política, sustituya us-east-1, 123456789012, y kinesis-stream-name en el ejemplo, con su propia información.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        }
    ]
}

Elija Revisar política.

nota
Puede cambiar entre el editor visual y JSONlas pestañas en cualquier momento. Sin embargo, si realiza cambios o selecciona Revisar la política en la pestaña del editor visual, IAM podría reestructurar su política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas en la Guía del IAM usuario.
En la página Review Policy (Revisar política), ingrese un Nombre y una descripción (opcional) para la política que está creando. Revise el Summary (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija Create policy (Crear política) para guardar su trabajo.

Cree un IAM rol

Tras crear una política de permisos para tu QLDB transmisión, puedes crear un IAM rol y asociarle tu política.

Para crear el rol de servicio para QLDB (IAMconsola)

Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.
En el panel de navegación de la IAM consola, elija Roles y, a continuación, elija Crear rol.
En el tipo de entidad de confianza, elija Servicio de AWS.
En Servicio o caso de uso, elija y QLDB, a continuación, elija el caso de QLDBuso.
Elija Next (Siguiente).
Seleccione la casilla junto a la política que ha creado en los pasos anteriores.
(Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.
1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo.
  
  IAMincluye una lista de AWS las políticas gestionadas y gestionadas por los clientes en tu cuenta.
2. Seleccione la política que desea utilizar para el límite de permisos.
Elija Next (Siguiente).
Escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad.
importante
Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:
- Los nombres de los roles deben ser únicos en su Cuenta de AWS, y no se pueden hacer únicos por mayúsculas y minúsculas.
  
  Por ejemplo, no puede crear roles denominados tanto PRODROLE como prodrole. Cuando el nombre de un rol se usa en una política o como parte de unaARN, el nombre del rol distingue entre mayúsculas y minúsculas; sin embargo, cuando los clientes ven un nombre de rol en la consola, por ejemplo, durante el proceso de inicio de sesión, el nombre del rol no distingue entre mayúsculas y minúsculas.
- Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.
(Opcional) En Descripción, ingrese una descripción para el rol.
(Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.
(Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetasIAM, consulte Etiquetar IAM recursos en la Guía del IAM usuario.
Revise el rol y, a continuación, elija Crear rol.

El siguiente JSON documento es un ejemplo de una política de confianza que QLDB permite asumir un IAM rol con permisos específicos asociados.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}

nota

El siguiente ejemplo de política de confianza muestra cómo se pueden utilizar las claves contextuales de condición global aws:SourceArn y aws:SourceAccount para evitar el problema del suplente confuso. Con esta política de confianza, myExampleLedger solo QLDB puede asumir la función de cualquier QLDB flujo de la cuenta 123456789012 para el libro mayor.

Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

Tras crear su IAM función, vuelva a la QLDB consola y actualice la página Crear QLDB transmisión para que pueda encontrar su nueva función.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registros de secuencia

Errores comunes