Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations de diffusion en continu dans QLDB
Important
Avis de fin de support : les clients existants pourront utiliser Amazon QLDB jusqu'à la fin du support le 31 juillet 2025. Pour plus de détails, consultez Migrer un Amazon QLDB Ledger vers Amazon Aurora SQL Postgre
Avant de créer un QLDB flux Amazon, vous devez fournir des autorisations QLDB d'écriture pour la ressource Amazon Kinesis Data Streams que vous avez spécifiée. Si vous utilisez un client géré AWS KMS key pour le chiffrement côté serveur de votre flux Kinesis, vous devez également fournir les autorisations nécessaires pour utiliser la clé de chiffrement QLDB symétrique que vous avez spécifiée. Kinesis Data Streams ne prend pas en charge les clés KMS asymétriques.
Pour fournir à votre QLDB stream les autorisations nécessaires, vous pouvez lui faire QLDB assumer un rôle IAM de service avec les politiques d'autorisations appropriées. Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Créer un rôle pour déléguer des autorisations à un Service AWS dans le guide de IAM l'utilisateur.
Note
Pour transmettre un rôle QLDB lorsque vous demandez un flux de journal, vous devez être autorisé à effectuer l'iam:PassRoleaction sur la ressource du IAM rôle. Cela s'ajoute à l'qldb:StreamJournalToKinesisautorisation sur la sous-ressource QLDB Stream.
Pour savoir comment contrôler l'accès à QLDB l'utilisationIAM, voirComment Amazon QLDB travaille avec IAM. Pour un exemple QLDB de stratégie, voirExemples de politiques basées sur l'identité pour Amazon QLDB.
Dans cet exemple, vous créez un rôle qui permet d'QLDBécrire des enregistrements de données dans un flux de données Kinesis en votre nom. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations Service AWS dans le Guide de IAM l'utilisateur.
Si vous diffusez un QLDB journal sur votre site Compte AWS pour la première fois, vous devez d'abord créer un IAM rôle avec les politiques appropriées en procédant comme suit. Vous pouvez également utiliser la QLDB console pour créer automatiquement le rôle pour vous. Sinon, vous pouvez choisir un rôle que vous avez créé précédemment.
Créer une stratégie d’autorisations
Procédez comme suit pour créer une politique d'autorisation pour un QLDB flux. Cet exemple montre une politique Kinesis Data Streams qui QLDB autorise l'écriture d'enregistrements de données dans le flux de données Kinesis que vous avez spécifié. Le cas échéant, l'exemple montre également une politique de clé qui permet d'QLDButiliser votre KMS clé de chiffrement symétrique.
Pour plus d'informations sur les politiques de Kinesis Data Streams, consultez les sections Contrôle de l'accès aux ressources IAM Amazon Kinesis Data Streams, utilisation et autorisations d'utilisation des clés KMS générées par les utilisateurs dans le manuel Amazon Kinesis Data Streams Developer Guide. Pour en savoir plus sur les politiques AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.
Note
Votre flux de données Kinesis et votre KMS clé doivent tous deux se trouver dans le même Région AWS compte que votre QLDB registre.
Pour utiliser l'éditeur JSON de stratégie pour créer une stratégie
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans la colonne de navigation de gauche, sélectionnez Politiques.
Si vous choisissez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.
-
En haut de la page, sélectionnez Créer une politique.
-
Choisissez l'JSONonglet.
-
Entrez un document JSON de politique.
-
Si vous utilisez une KMS clé gérée par le client pour le chiffrement côté serveur de votre flux Kinesis, utilisez l'exemple de document de politique suivant. Pour utiliser cette politique, remplacez
us-east-1,123456789012,kinesis-stream-name, et1234abcd-12ab-34cd-56ef-1234567890abdans l'exemple avec vos propres informations.{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBStreamKinesisPermissions", "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ], "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name" }, { "Sid": "QLDBStreamKMSPermission", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } -
Sinon, utilisez l'exemple de document de politique suivant. Pour utiliser cette politique, remplacez
us-east-1,123456789012, etkinesis-stream-namedans l'exemple avec vos propres informations.{ "Version": "2012-10-17", "Statement": [ { "Sid": "QLDBStreamKinesisPermissions", "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ], "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name" } ] }
-
-
Choisissez Review policy (Examiner une politique).
Note
Vous pouvez basculer entre l'éditeur visuel et les JSONonglets à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Réviser la politique dans l'onglet Éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d'informations, consultez la section Restructuration des politiques dans le guide de IAM l'utilisateur.
-
Dans la page Examiner une politique, entrez un nom et éventuellement une description pour la politique que vous êtes en train de créer. Vérifiez le récapitulatif de la politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite Créer une politique pour enregistrer votre travail.
créer un rôle IAM ;
Après avoir créé une politique d'autorisation pour votre QLDB stream, vous pouvez créer un IAM rôle et y associer votre politique.
Pour créer le rôle de service pour QLDB (IAMconsole)
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.
-
Pour Trusted entity (Entité de confiance), choisissez Service AWS.
-
Pour Service ou cas d'utilisation, choisissez QLDB, puis choisissez le cas QLDBd'utilisation.
-
Choisissez Suivant.
-
Cochez la case à côté de la politique que vous avez créée lors des étapes précédentes.
-
(Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.
-
Ouvrez la section Définir les limites des autorisations, puis choisissez Utiliser une limite d'autorisations pour contrôler les autorisations maximales des rôles.
IAMinclut une liste des politiques AWS gérées et gérées par le client dans votre compte.
Sélectionnez la politique à utiliser comme limite d'autorisations.
-
-
Choisissez Suivant.
-
Entrez un nom de rôle ou un suffixe de nom de rôle pour vous aider à identifier l'objectif du rôle.
Important
Lorsque vous nommez un rôle, tenez compte des points suivants :
-
Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.
Par exemple, ne créez pas de rôles nommés à la fois
PRODROLEetprodrole. Lorsqu'un nom de rôle est utilisé dans une politique ou dans le cadre d'une politiqueARN, le nom du rôle distingue les majuscules et minuscules, mais lorsqu'un nom de rôle apparaît aux clients dans la console, par exemple pendant le processus de connexion, le nom du rôle ne distingue pas les majuscules et minuscules. -
Vous ne pouvez pas modifier le nom du rôle une fois qu'il a été créé car d'autres entités peuvent y faire référence.
-
-
(Facultatif) Dans Description, entrez une description pour le rôle.
-
(Facultatif) Pour modifier les cas d'utilisation et les autorisations du rôle, dans les sections Étape 1 : Sélection des entités de confiance ou Étape 2 : Ajouter des autorisations, choisissez Modifier.
-
(Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez la section Balises pour les AWS Identity and Access Management ressources dans le Guide de IAM l'utilisateur.
-
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).
Le JSON document suivant est un exemple de politique de confiance qui permet QLDB d'assumer un IAM rôle auquel des autorisations spécifiques sont associées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Note
Cet exemple de politique de confiance montre comment vous pouvez utiliser les touches aws:SourceArn contextuelles et de condition aws:SourceAccount globale pour éviter le problème de confusion des adjoints. Avec cette politique de confiance, QLDB vous pouvez assumer le rôle de n'importe quel QLDB flux du compte myExampleLedger uniquement 123456789012 pour le registre.
Pour de plus amples informations, veuillez consulter Prévention du problème de l’adjoint confus entre services.
Après avoir créé votre IAM rôle, retournez à la QLDB console et actualisez la page Créer un QLDB flux afin qu'elle puisse trouver votre nouveau rôle.
