でのジャーナルエクスポートアクセス許可 QLDB - Amazon Quantum 台帳データベース (Amazon QLDB)
許可ポリシーを作成するIAM ロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのジャーナルエクスポートアクセス許可 QLDB

重要

サポート終了通知: 既存のお客様は、07/31/2025 のサポート終了QLDBまで Amazon を使用できます。詳細については、「Amazon QLDB 台帳を Amazon Aurora Postgre に移行するSQL」を参照してください。

Amazon でジャーナルエクスポートリクエストを送信する前にQLDB、指定した Amazon S3 バケットにQLDB書き込みアクセス許可を指定する必要があります。Amazon S3 バケットのオブジェクト暗号化タイプ AWS KMS key として管理されているカスタマーを選択した場合QLDBは、指定した対称暗号化キーを使用するアクセス許可も指定する必要があります。Amazon S3 は非対称KMSキー をサポートしていません。

エクスポートジョブに必要なアクセス許可を付与するには、適切なアクセス許可ポリシーを持つIAMサービスロールをQLDB引き受けます。サービスロールは、ユーザーに代わってアクションを実行するためにサービスが引き受けるIAMロールです。IAM 管理者は、 内からサービスロールを作成、変更、削除できますIAM。詳細については、「 ユーザーガイド」の「アクセス許可を に委任するロールを作成する AWS のサービス」を参照してください。 IAM

注記

ジャーナルのエクスポートをリクエストQLDBするときにロールを に渡すには、IAMロールリソースに対してiam:PassRoleアクションを実行するアクセス許可が必要です。これは、QLDB台帳リソースに対するqldb:ExportJournalToS3アクセス許可に加えて行われます。

QLDB を使用して へのアクセスを制御する方法についてはIAM、「」を参照してくださいAmazon での のQLDB仕組み IAM。QLDB ポリシーの例については、「」を参照してくださいAmazon のアイデンティティベースのポリシーの例 QLDB

この例では、 がユーザーに代わって Amazon S3 バケットにオブジェクトQLDBを書き込むことができるロールを作成します。詳細については、「 ユーザーガイド」の「アクセス許可を に委任するロールの作成 AWS のサービス」を参照してください。 IAM

でQLDBジャーナル AWS アカウント を初めてエクスポートする場合は、まず以下を実行して、適切なポリシーを持つIAMロールを作成する必要があります。または、QLDBコンソールを使用してロールを自動的に作成することもできます。それ以外の場合は、前に作成したロールを選択できます。

許可ポリシーを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成するには、次の手順を実行します。この例では、指定したバケットにオブジェクトを書き込むQLDBアクセス許可を付与する Amazon S3 バケットポリシーを示しています。該当する場合、この例は対称暗号化キーQLDBの使用を許可するKMSキーポリシーも示しています。

Simple Storage Service (Amazon S3) バケットポリシーの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーとユーザーポリシーの使用」を参照してください。 AWS KMS キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSでキーポリシーを使用する」を参照してください。

注記

Amazon S3 バケットとKMSキーは両方ともQLDB台帳 AWS リージョン と同じである必要があります。

JSON ポリシーエディタを使用してポリシーを作成するには

  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. 左側のナビゲーション列で、[ポリシー] を選択します。

    [Policies] (ポリシー) を初めて選択する場合は、[Welcome to Managed Policies] (マネージドポリシーにようこそ) ページが表示されます。[今すぐ始める] を選択します。

  3. ページの上部で、[ポリシーを作成] を選択します。

  4. JSON タブを選択します。

  5. JSON ポリシードキュメントを入力します。

    • Amazon S3 オブジェクト暗号化にカスタマーマネージドKMSキーを使用している場合は、次のポリシードキュメントの例を使用します。このポリシーを使用するには、amzn-s3-demo-bucket, us-east-1, 123456789012 および 1234abcd-12ab-34cd-56ef-1234567890ab 自分の情報を含む の例。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • 他の暗号化タイプの場合は、以下のポリシードキュメントの例を使用します。このポリシーを使用するには、amzn-s3-demo-bucket 独自の Amazon S3 バケット名を持つ の例を参照してください。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

  6. [ポリシーの確認] を選択します。

    注記

    Visual エディタJSONタブはいつでも切り替えることができます。ただし、ビジュアルエディタタブでポリシーを変更またはレビューを選択した場合、 IAMはビジュアルエディタ用に最適化するようにポリシーを再編成する場合があります。詳細については、IAM「 ユーザーガイド」の「ポリシーの再構築」を参照してください。

  7. [ポリシーの確認] ページに作成するポリシーの [名前] と [説明] を入力します。ポリシーの [Summary] (概要) を参照して、ポリシーによって付与された許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。

IAM ロールを作成する

QLDB ジャーナルエクスポートジョブのアクセス許可ポリシーを作成したら、IAMロールを作成してポリシーをアタッチできます。

( QLDBコンソール) IAMのサービスロールを作成するには

  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. IAM コンソールのナビゲーションペインで、ロール を選択し、ロール の作成 を選択します。

  3. 信頼できるエンティティタイプ で、AWS のサービス を選択します。

  4. サービスまたはユースケース では、 を選択しQLDBQLDBユースケースを選択します。

  5. [Next (次へ)] を選択します。

  6. 前のステップで作成したポリシーの横にあるボックスをオンにします。

  7. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

    1. [アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。

      IAM には、 アカウント内の AWS マネージドポリシーとカスタマーマネージドポリシーのリストが含まれています。

    2. アクセス許可の境界として使用するポリシーを選択します。

  8. [Next (次へ)] を選択します。

  9. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。

    重要

    ロールに名前を付けるときは、次のことに注意してください。

    • ロール名は AWS アカウント内で一意である必要があります。大文字と小文字を区別することはできません。

      例えば、PRODROLEprodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは の一部として使用される場合ARN、ロール名は大文字と小文字が区別されますが、サインインプロセス中など、コンソールでロール名がカスタマーに表示される場合、ロール名は大文字と小文字が区別されません。

    • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

  10. (オプション) [説明] にロールの説明を入力します。

  11. (オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

  12. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。でタグを使用する方法の詳細についてはIAM、 IAM ユーザーガイドAWS Identity and Access Management 「リソースのタグ」を参照してください。

  13. ロールを確認したら、[Create role] (ロールを作成) を選択します。

次のJSONドキュメントは、 QLDB が特定のアクセス許可がアタッチされたIAMロールを引き受けることができる信頼ポリシーの例です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
注記

この信頼ポリシーの例では、aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。この信頼ポリシーでは、 QLDBはアカウント内の任意のQLDBリソース123456789012のロールのみを引き受けることができます。

詳細については、「サービス間の混乱した代理の防止」を参照してください。

IAM ロールを作成したら、QLDBコンソールに戻り、エクスポートジョブの作成ページを更新して、新しいロールを検索できるようにします。