でのジャーナルエクスポート許可 QLDB - Amazon Quantum 台帳データベース (Amazon QLDB)
許可ポリシーを作成するIAM ロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのジャーナルエクスポート許可 QLDB

重要

サポート終了通知: 既存のお客様は、07/31/2025 のサポート終了QLDBまで Amazon を使用できます。詳細については、「Amazon Ledger QLDB を Amazon Aurora Postgre に移行するSQL」を参照してください。

Amazon でジャーナルエクスポートリクエストを送信する前にQLDB、指定した Amazon S3 バケットに書き込みアクセス許可QLDBを提供する必要があります。Amazon S3 バケットのオブジェクト暗号化タイプ AWS KMS key としてカスタマー管理の を選択した場合は、指定した対称暗号化キーを使用するためのアクセス許可も QLDBに付与する必要があります。 Amazon S3 Amazon S3 は非対称KMSキー をサポートしていません。

エクスポートジョブに必要なアクセス許可を付与するには、適切なアクセス許可ポリシーを持つ IAMサービスロールをQLDB引き受けることができます。サービスロールは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、 内からサービスロールを作成、変更、削除できますIAM。詳細については、「 ユーザーガイド」の「 にアクセス許可を委任するロールの作成 AWS サービスIAM」を参照してください。

注記

ジャーナルのエクスポートをリクエストQLDBするときに にロールを渡すには、IAMロールリソースに対して iam:PassRole アクションを実行するアクセス許可が必要です。これは台QLDB帳リソースに対する アクセスqldb:ExportJournalToS3許可に追加されます。

QLDB を使用して へのアクセスを制御する方法については、IAM「」を参照してくださいAmazon と のQLDB連携方法 IAM。QLDB ポリシーの例については、「」を参照してくださいAmazon のアイデンティティベースのポリシーの例 QLDB

この例では、 がユーザーに代わって Amazon S3 バケットにオブジェクトを書き込むことQLDBを許可するロールを作成します。詳細については、「 ユーザーガイド」の「 にアクセス許可を委任するロールの作成 AWS サービスIAM」を参照してください。

でQLDBジャーナル AWS アカウント を初めてエクスポートする場合は、まず以下の操作を行って、適切なポリシーで IAM ロールを作成する必要があります。または、QLDBコンソールを使用してロールを自動的に作成することもできます。それ以外の場合は、前に作成したロールを選択できます。

許可ポリシーを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成するには、次のステップを実行します。この例は、指定したバケットにオブジェクトを書き込むQLDBアクセス許可を付与する Amazon S3 バケットポリシーを示しています。該当する場合は、 が対称暗号化キーを使用QLDBできるようにするKMSキーポリシーも示しています。

Simple Storage Service (Amazon S3) バケットポリシーの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーとユーザーポリシーの使用」を参照してください。 AWS KMS キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSでキーポリシーを使用する」を参照してください。

注記

Amazon S3 バケットとKMSキーは両方ともQLDB台帳 AWS リージョン と同じ にある必要があります。

JSON ポリシーエディタを使用してポリシーを作成するには

  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. 左側のナビゲーション列で、[ポリシー] を選択します。

    [Policies] (ポリシー) を初めて選択する場合は、[Welcome to Managed Policies] (マネージドポリシーにようこそ) ページが表示されます。[今すぐ始める] を選択します。

  3. ページの上部で、[ポリシーを作成] を選択します。

  4. [JSON] タブを選択します。

  5. JSON ポリシードキュメントを入力します。

    • Amazon S3 オブジェクトの暗号化にカスタマーマネージドKMSキーを使用している場合は、次のポリシードキュメントの例を使用します。このポリシーを使用するには、DOC-EXAMPLE-BUCKET, us-east-1, 123456789012 および 1234abcd-12ab-34cd-56ef-1234567890ab 自分の情報を含む の例。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • 他の暗号化タイプの場合は、以下のポリシードキュメントの例を使用します。このポリシーを使用するには、DOC-EXAMPLE-BUCKET 独自の Amazon S3 バケット名を持つ の例の 。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}

  6. [ポリシーの確認] を選択します。

    注記

    ビジュアルエディタJSONタブはいつでも切り替えることができます。ただし、ビジュアルエディタタブでポリシーを変更または確認を選択すると、 IAMはポリシーを再構成してビジュアルエディタ用に最適化する場合があります。 詳細については、「 ユーザーガイド」の「ポリシーの再構築」を参照してください。 IAM

  7. [ポリシーの確認] ページに作成するポリシーの [名前] と [説明] を入力します。ポリシーの [Summary] (概要) を参照して、ポリシーによって付与された許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。

IAM ロールを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成したら、 IAMロールを作成してポリシーをアタッチできます。

のサービスロールを作成するには QLDB (IAM コンソール)

  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. IAM コンソールのナビゲーションペインで、ロール を選択し、ロールの作成 を選択します。

  3. 信頼できるエンティティタイプ で、AWS サービス を選択します。

  4. サービスまたはユースケース で、 を選択しQLDBQLDBユースケースを選択します。

  5. [次へ] をクリックします。

  6. 前のステップで作成したポリシーの横にあるボックスをオンにします。

  7. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

    1. [アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。

      IAM には、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーのリストが含まれます。

    2. アクセス許可の境界として使用するポリシーを選択します。

  8. [次へ] をクリックします。

  9. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。

    重要

    ロールに名前を付けるときは、次のことに注意してください。

    • ロール名は 内で一意である必要があり AWS アカウント、大文字と小文字を区別することはできません。

      例えば、PRODROLEprodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは の一部として使用される場合ARN、ロール名では大文字と小文字が区別されますが、サインインプロセス中など、コンソールにロール名が顧客に表示される場合、ロール名では大文字と小文字が区別されません。

    • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

  10. (オプション) [説明] にロールの説明を入力します。

  11. (オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

  12. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。でのタグの使用の詳細についてはIAM、「 IAMユーザーガイド」の「 IAMリソースのタグ付け」を参照してください。

  13. ロールを確認したら、[Create role] (ロールを作成) を選択します。

次のJSONドキュメントは、 が特定のアクセス許可がアタッチされた IAMロールを引き受けQLDBることを許可する信頼ポリシーの例です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
注記

この信頼ポリシーの例では、aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。この信頼ポリシーでは、 QLDBはアカウント内の任意のQLDBリソースのロール123456789012のみを引き受けることができます。

詳細については、「サービス間の混乱した代理の防止」を参照してください。

IAM ロールを作成したら、QLDBコンソールに戻り、エクスポートジョブの作成ページを更新して、新しいロールを検索できるようにします。