Autorizzazioni di streaming in QLDB - Database Amazon Quantum Ledger (Amazon) QLDB
Creazione di una policy di autorizzazioneCreare un ruolo IAM.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni di streaming in QLDB

Importante

Avviso di fine del supporto: i clienti esistenti potranno utilizzare Amazon QLDB fino alla fine del supporto il 31/07/2025. Per ulteriori dettagli, consulta Migrare un Amazon QLDB Ledger ad Amazon Aurora Postgre. SQL

Prima di creare uno QLDB stream Amazon, devi fornire le autorizzazioni QLDB di scrittura per la risorsa Amazon Kinesis Data Streams specificata. Se utilizzi una soluzione gestita dal cliente AWS KMS key per la crittografia lato server del tuo flusso Kinesis, devi anche fornire le autorizzazioni per utilizzare la chiave QLDB di crittografia simmetrica specificata. Kinesis Data Streams non KMS supporta le chiavi asimmetriche.

Per fornire al tuo QLDB stream le autorizzazioni necessarie, puoi QLDB assumere un ruolo di IAM servizio con le politiche di autorizzazione appropriate. Un ruolo di servizio è un IAMruolo che un servizio assume per eseguire azioni per tuo conto. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'internoIAM. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS nella Guida per l'utente di IAM.

Nota

Per passare un ruolo a QLDB quando si richiede uno stream di journal, è necessario disporre delle autorizzazioni necessarie per eseguire l'iam:PassRoleazione sulla risorsa del ruolo. IAM Ciò si aggiunge all'qldb:StreamJournalToKinesisautorizzazione sulla sottorisorsa QLDB stream.

Per informazioni su come controllare l'accesso all'QLDButilizzoIAM, consultaCome QLDB funziona Amazon con IAM. Per un esempio di QLDB policy, vediEsempi di policy basate sull'identità per Amazon QLDB.

In questo esempio, crei un ruolo che consente di QLDB scrivere record di dati in un flusso di dati Kinesis per tuo conto. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS nella Guida per l'utente di IAM.

Se stai trasmettendo in streaming un QLDB diario nel tuo Account AWS per la prima volta, devi prima creare un IAM ruolo con le politiche appropriate procedendo come segue. In alternativa, puoi utilizzare la QLDB console per creare automaticamente il ruolo per te. Altrimenti, puoi scegliere un ruolo che hai creato in precedenza.

Creazione di una policy di autorizzazione

Completa i seguenti passaggi per creare una politica di autorizzazioni per uno QLDB stream. Questo esempio mostra una policy di Kinesis Data Streams QLDB che concede le autorizzazioni per scrivere record di dati nel flusso di dati Kinesis specificato. Se applicabile, l'esempio mostra anche una politica chiave che consente di utilizzare la chiave di crittografia QLDB simmetrica. KMS

Per ulteriori informazioni sulle policy di Kinesis Data Streams, consulta Controllo dell'accesso alle risorse di Amazon Kinesis Data Streams e Autorizzazioni all'uso di chiavi generate dall'utente nella Amazon Kinesis Data IAM Streams KMS Developer Guide. Per ulteriori informazioni su AWS KMS politiche chiave, consulta Utilizzo delle politiche chiave in AWS KMS nella AWS Key Management Service Guida per gli sviluppatori.

Nota

Il flusso di dati e la KMS chiave Kinesis devono essere entrambi nello stesso Regione AWS e contabilizzalo come QLDB libro mastro.

Per utilizzare l'editor delle JSON politiche per creare una politica

  1. Accedi al AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

    Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.

  3. Nella parte superiore della pagina, scegli Crea policy.

  4. Scegli la JSONscheda.

  5. Inserisci un documento JSON di politica.

    • Se utilizzi una KMS chiave gestita dal cliente per la crittografia lato server del tuo flusso Kinesis, usa il seguente documento di policy di esempio. Per utilizzare questa politica, sostituisci us-east-1, 123456789012, kinesis-stream-namee 1234abcd-12ab-34cd-56ef-1234567890ab nell'esempio con le tue informazioni.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        },
        {
            "Sid": "QLDBStreamKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Altrimenti, usa il seguente documento politico di esempio. Per utilizzare questa politica, sostituisci us-east-1, 123456789012e kinesis-stream-name nell'esempio con le tue informazioni.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        }
    ]
}

  6. Scegli Verifica policy.

    Nota

    Puoi passare dall'editor visivo alle JSONschede in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Review policy nella scheda Visual editor, IAM potresti ristrutturare la policy per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta Ristrutturazione delle politiche nella Guida per l'IAMutente.

  7. Nella pagina Review policy (Rivedi policy), inserisci i valori per Name (Nome) e Description (Descrizione) (facoltativa) per la policy che stai creando. Consulta il Summary (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona Create policy (Crea policy) per salvare il proprio lavoro.

Creare un ruolo IAM.

Dopo aver creato una politica di autorizzazioni per il tuo QLDB stream, puoi creare un IAM ruolo e allegare ad esso la tua politica.

Per creare il ruolo di servizio per QLDB (IAMconsole)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Per il tipo di entità attendibile, scegli Servizio AWS.

  4. Per Servizio o caso d'uso, scegli QLDB, quindi scegli il caso QLDBd'uso.

  5. Scegli Next (Successivo).

  6. Seleziona la casella accanto alla politica che hai creato nei passaggi precedenti.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    1. Apri la sezione Imposta i limiti delle autorizzazioni, quindi scegli Usa un limite di autorizzazioni per controllare il numero massimo di autorizzazioni per i ruoli.

      IAMinclude un elenco di AWS politiche gestite e gestite dal cliente nel tuo account.

    2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  8. Scegli Next (Successivo).

  9. Inserisci il nome del ruolo o il suffisso del nome del ruolo per aiutarti a identificare lo scopo del ruolo.

    Importante

    Quando assegnate un nome a un ruolo, tenete presente quanto segue:

    • I nomi dei ruoli devono essere univoci all'interno del Account AWS e non possono essere resi unici per caso.

      Ad esempio, non creare ruoli denominati entrambi PRODROLE eprodrole. Quando un nome di ruolo viene utilizzato in una policy o come parte di unaARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato dai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

    • Non è possibile modificare il nome del ruolo dopo la sua creazione perché altre entità potrebbero fare riferimento al ruolo.

  10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nelle sezioni Passo 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni, scegli Modifica.

  12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.

  13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Il seguente JSON documento è un esempio di politica di fiducia che consente di assumere un IAM ruolo QLDB a cui sono associati permessi specifici.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
Nota

Questo esempio di politica di fiducia mostra come è possibile utilizzare le chiavi di contesto aws:SourceArn e di contesto della condizione aws:SourceAccount globale per evitare il confuso problema del vicesceriffo. Con questa politica di fiducia, QLDB puoi assumere il ruolo di qualsiasi QLDB stream presente nell'account myExampleLedger solo 123456789012 per il registro.

Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

Dopo aver creato il tuo IAM ruolo, torna alla QLDB console e aggiorna la pagina Crea QLDB stream in modo che possa trovare il tuo nuovo ruolo.