Izin ekspor jurnal di QLDB - Database Buku Besar Amazon Quantum (AmazonQLDB)
Membuat kebijakan izinBuat IAM peran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin ekspor jurnal di QLDB

penting

Pemberitahuan akhir dukungan: Pelanggan yang ada akan dapat menggunakan Amazon QLDB hingga akhir dukungan pada 07/31/2025. Untuk detail selengkapnya, lihat Memigrasi QLDB Buku Besar Amazon ke Amazon Aurora Postgre. SQL

Sebelum mengirimkan permintaan ekspor jurnal di AmazonQLDB, Anda harus memberikan QLDB izin menulis di bucket Amazon S3 yang ditentukan. Jika Anda memilih pelanggan yang dikelola AWS KMS key sebagai jenis enkripsi objek untuk bucket Amazon S3, Anda juga harus memberikan QLDB izin untuk menggunakan kunci enkripsi simetris yang ditentukan. Amazon S3 tidak mendukung kunci asimetris KMS.

Untuk memberikan izin yang diperlukan pada pekerjaan ekspor Anda, Anda dapat QLDB mengambil peran IAM layanan dengan kebijakan izin yang sesuai. Peran layanan adalah IAMperan yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS dalam IAMPanduan Pengguna.

catatan

Untuk meneruskan peran QLDB saat meminta ekspor jurnal, Anda harus memiliki izin untuk melakukan iam:PassRole tindakan pada sumber daya IAM peran. Ini selain qldb:ExportJournalToS3 izin pada sumber daya QLDB buku besar.

Untuk mempelajari cara mengontrol akses QLDB penggunaanIAM, lihatBagaimana Amazon QLDB bekerja dengan IAM. Untuk contoh QLDB kebijakan, lihatContoh kebijakan berbasis identitas untuk Amazon QLDB.

Dalam contoh ini, Anda membuat peran yang memungkinkan QLDB untuk menulis objek ke dalam bucket Amazon S3 atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS dalam IAMPanduan Pengguna.

Jika Anda mengekspor QLDB jurnal Akun AWS untuk pertama kalinya, Anda harus terlebih dahulu membuat IAM peran dengan kebijakan yang sesuai dengan melakukan hal berikut. Atau, Anda dapat menggunakan QLDB konsol untuk secara otomatis membuat peran untuk Anda. Jika tidak, Anda dapat memilih peran yang sebelumnya Anda buat.

Membuat kebijakan izin

Selesaikan langkah-langkah berikut untuk membuat kebijakan izin untuk pekerjaan ekspor QLDB jurnal. Contoh ini menunjukkan kebijakan bucket Amazon S3 yang memberikan QLDB izin untuk menulis objek ke dalam bucket yang Anda tentukan. Jika berlaku, contoh ini juga menampilkan kebijakan kunci yang memungkinkan QLDB untuk menggunakan KMS kunci enkripsi simetris Anda.

Untuk informasi selengkapnya tentang kebijakan bucket Amazon S3, lihat Menggunakan kebijakan bucket dan kebijakan pengguna di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk mempelajari lebih lanjut tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

catatan

Bucket dan KMS kunci Amazon S3 Anda harus Wilayah AWS sama dengan buku besar AndaQLDB.

Untuk menggunakan editor JSON kebijakan untuk membuat kebijakan

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di kolom navigasi di sebelah kiri, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul laman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Di bagian atas halaman, pilih Buat kebijakan.

  4. Pilih JSONtab.

  5. Masukkan dokumen JSON kebijakan.

    • Jika Anda menggunakan KMS kunci terkelola pelanggan untuk enkripsi objek Amazon S3, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti DOC-EXAMPLE-BUCKET, us-east-1, 123456789012, dan 1234abcd-12ab-34cd-56ef-1234567890ab dalam contoh dengan informasi Anda sendiri.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Untuk jenis enkripsi lainnya, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti DOC-EXAMPLE-BUCKET dalam contoh dengan nama bucket Amazon S3 Anda sendiri.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}

  6. Pilih Tinjau kebijakan.

    catatan

    Anda dapat beralih antara editor Visual dan JSONtab kapan saja. Namun, jika Anda membuat perubahan atau memilih kebijakan Tinjauan di tab Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan di IAMPanduan Pengguna.

  7. Pada halaman Peninjauan Kebijakan, ketikkan Nama dan Deskripsi opsional untuk kebijakan yang sedang Anda buat. Tinjau Summary (Ringkasan) kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Buat IAM peran

Setelah membuat kebijakan izin untuk pekerjaan ekspor QLDB jurnal, Anda dapat membuat IAM peran dan melampirkan kebijakan Anda padanya.

Untuk membuat peran layanan untuk QLDB (IAMkonsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih layanan AWS.

  4. Untuk Service atau use case QLDB, pilih, lalu pilih QLDBuse case.

  5. Pilih Selanjutnya.

  6. Pilih kotak di samping kebijakan yang Anda buat di langkah sebelumnya.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

    1. Buka bagian Setel batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAMmenyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

    2. Pilih kebijakan yang akan digunakan untuk batas izin.

  8. Pilih Selanjutnya.

  9. Masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran.

    penting

    Saat Anda memberi nama peran, perhatikan hal berikut:

    • Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

      Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dariARN, nama peran akan peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses login, nama peran tersebut tidak peka huruf besar/kecil.

    • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

  12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.

  13. Tinjau peran lalu pilih Buat peran.

JSONDokumen berikut adalah contoh kebijakan kepercayaan yang memungkinkan QLDB untuk mengambil IAM peran dengan izin khusus yang dilampirkan padanya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
catatan

Contoh kebijakan kepercayaan ini menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global untuk mencegah masalah wakil yang membingungkan. Dengan kebijakan kepercayaan ini, QLDB dapat mengambil peran untuk QLDB sumber daya apa pun di akun 123456789012 saja.

Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.

Setelah membuat IAM peran Anda, kembali ke QLDB konsol dan segarkan halaman pekerjaan Buat ekspor sehingga dapat menemukan peran baru Anda.