Izin streaming di QLDB - Database Buku Besar Amazon Quantum (AmazonQLDB)
Membuat kebijakan izinBuat IAM peran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin streaming di QLDB

penting

Pemberitahuan akhir dukungan: Pelanggan yang ada akan dapat menggunakan Amazon QLDB hingga akhir dukungan pada 07/31/2025. Untuk detail selengkapnya, lihat Memigrasi QLDB Buku Besar Amazon ke Amazon Aurora Postgre. SQL

Sebelum membuat QLDB aliran Amazon, Anda harus memberikan QLDB izin menulis ke sumber daya Amazon Kinesis Data Streams yang ditentukan. Jika Anda menggunakan pelanggan yang dikelola AWS KMS key untuk enkripsi sisi server dari aliran Kinesis Anda, Anda juga harus memberikan izin untuk menggunakan kunci enkripsi QLDB simetris yang Anda tentukan. Kinesis Data Streams tidak KMS mendukung kunci asimetris.

Untuk memberikan izin yang diperlukan kepada QLDB streaming, Anda dapat QLDB mengambil peran IAM layanan dengan kebijakan izin yang sesuai. Peran layanan adalah IAMperan yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna.

catatan

Untuk meneruskan peran QLDB saat meminta aliran jurnal, Anda harus memiliki izin untuk melakukan iam:PassRole tindakan pada sumber daya IAM peran. Ini adalah tambahan untuk qldb:StreamJournalToKinesis izin pada subresource QLDB stream.

Untuk mempelajari cara mengontrol akses QLDB penggunaanIAM, lihatBagaimana Amazon QLDB bekerja dengan IAM. Untuk contoh QLDB kebijakan, lihatContoh kebijakan berbasis identitas untuk Amazon QLDB.

Dalam contoh ini, Anda membuat peran yang memungkinkan QLDB untuk menulis catatan data ke aliran data Kinesis atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna.

Jika Anda melakukan streaming QLDB jurnal Akun AWS untuk pertama kalinya, Anda harus terlebih dahulu membuat IAM peran dengan kebijakan yang sesuai dengan melakukan hal berikut. Atau, Anda dapat menggunakan QLDB konsol untuk secara otomatis membuat peran untuk Anda. Jika tidak, Anda dapat memilih peran yang sebelumnya Anda buat.

Membuat kebijakan izin

Selesaikan langkah-langkah berikut untuk membuat kebijakan izin untuk QLDB aliran. Contoh ini menunjukkan kebijakan Kinesis Data Streams QLDB yang memberikan izin untuk menulis catatan data ke aliran data Kinesis yang Anda tentukan. Jika berlaku, contoh ini juga menampilkan kebijakan kunci yang memungkinkan QLDB untuk menggunakan KMS kunci enkripsi simetris Anda.

Untuk informasi selengkapnya tentang kebijakan Kinesis Data Streams, lihat Mengontrol akses ke sumber daya Amazon Kinesis Data IAM Streams menggunakan dan KMS Izin untuk menggunakan kunci yang dibuat pengguna di Panduan Pengembang Amazon Kinesis Data Streams. Untuk mempelajari lebih lanjut tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

catatan

Aliran data dan KMS kunci Kinesis Anda harus sama Wilayah AWS dan akun sebagai buku besar AndaQLDB.

Untuk menggunakan editor JSON kebijakan untuk membuat kebijakan

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di kolom navigasi di sebelah kiri, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul laman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Di bagian atas halaman, pilih Buat kebijakan.

  4. Pilih JSONtab.

  5. Masukkan dokumen JSON kebijakan.

    • Jika Anda menggunakan KMS kunci terkelola pelanggan untuk enkripsi sisi server aliran Kinesis Anda, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti us-east-1, 123456789012, kinesis-stream-name, dan 1234abcd-12ab-34cd-56ef-1234567890ab dalam contoh dengan informasi Anda sendiri.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        },
        {
            "Sid": "QLDBStreamKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Jika tidak, gunakan contoh dokumen kebijakan berikut. Untuk menggunakan kebijakan ini, ganti us-east-1, 123456789012, dan kinesis-stream-name dalam contoh dengan informasi Anda sendiri.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        }
    ]
}

  6. Pilih Tinjau kebijakan.

    catatan

    Anda dapat beralih antara editor Visual dan JSONtab kapan saja. Namun, jika Anda membuat perubahan atau memilih Kebijakan tinjauan di tab Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan di IAMPanduan Pengguna.

  7. Pada halaman Peninjauan Kebijakan, ketikkan Nama dan Deskripsi opsional untuk kebijakan yang sedang Anda buat. Tinjau Summary (Ringkasan) kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Buat IAM peran

Setelah membuat kebijakan izin untuk QLDB streaming, Anda dapat membuat IAM peran dan melampirkan kebijakan Anda padanya.

Untuk membuat peran layanan untuk QLDB (IAMkonsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Untuk Service atau use case QLDB, pilih, lalu pilih QLDBuse case.

  5. Pilih Berikutnya.

  6. Pilih kotak di samping kebijakan yang Anda buat di langkah sebelumnya.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

    1. Buka bagian Setel batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAMmenyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

    2. Pilih kebijakan yang akan digunakan untuk batas izin.

  8. Pilih Berikutnya.

  9. Masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran.

    penting

    Saat Anda memberi nama peran, perhatikan hal berikut:

    • Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

      Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dariARN, nama peran akan peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses login, nama peran tersebut tidak peka huruf besar/kecil.

    • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

  12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Tag untuk AWS Identity and Access Management sumber daya di Panduan IAM Pengguna.

  13. Tinjau peran lalu pilih Buat peran.

JSONDokumen berikut adalah contoh kebijakan kepercayaan yang memungkinkan QLDB untuk mengambil IAM peran dengan izin khusus yang dilampirkan padanya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
catatan

Contoh kebijakan kepercayaan ini menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global untuk mencegah masalah wakil yang membingungkan. Dengan kebijakan kepercayaan ini, QLDB dapat mengambil peran untuk QLDB aliran apa pun di akun 123456789012 untuk buku besar myExampleLedger saja.

Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.

Setelah membuat IAM peran Anda, kembali ke QLDB konsol dan segarkan halaman Buat QLDB aliran sehingga dapat menemukan peran baru Anda.