Permissões de exportação de diário em QLDB - Banco de dados Amazon Quantum Ledger (AmazonQLDB)
Criação de uma política de permissõesCrie uma IAM função

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de exportação de diário em QLDB

Importante

Aviso de fim do suporte: os clientes existentes poderão usar a Amazon QLDB até o final do suporte em 31/07/2025. Para obter mais detalhes, consulte Migrar um Amazon QLDB Ledger para o Amazon Aurora Postgre. SQL

Antes de enviar uma solicitação de exportação de periódicos na AmazonQLDB, você deve QLDB fornecer permissões de gravação no bucket especificado do Amazon S3. Se você escolher um cliente gerenciado AWS KMS key como o tipo de criptografia de objeto para seu bucket do Amazon S3, você também deve QLDB fornecer permissões para usar sua chave de criptografia simétrica especificada. O Amazon S3 não oferece suporte a chaves KMSassimétricas.

Para fornecer ao seu trabalho de exportação as permissões necessárias, você pode QLDB assumir uma função de IAM serviço com as políticas de permissões apropriadas. Uma função de serviço é uma IAMfunção que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS service (Serviço da AWS) no IAM Guia do usuário.

nota

Para passar uma função QLDB ao solicitar a exportação de um diário, você deve ter permissões para realizar a iam:PassRole ação no recurso da IAM função. Isso é um acréscimo à qldb:ExportJournalToS3 permissão no recurso QLDB contábil.

Para saber como controlar o acesso ao QLDB usoIAM, consulteComo a Amazon QLDB trabalha com IAM. Para obter um exemplo QLDB de política, consulteExemplos de políticas baseadas em identidade para a Amazon QLDB.

Neste exemplo, você cria uma função que permite QLDB gravar objetos em um bucket do Amazon S3 em seu nome. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS service (Serviço da AWS) no IAM Guia do usuário.

Se você estiver exportando um QLDB diário em seu Conta da AWS pela primeira vez, você deve primeiro criar uma IAM função com as políticas apropriadas fazendo o seguinte. Ou você pode usar o QLDB console para criar automaticamente a função para você. Caso contrário, você poderá escolher uma função que você criou anteriormente.

Criação de uma política de permissões

Conclua as etapas a seguir para criar uma política de permissões para um trabalho de exportação de QLDB diário. Este exemplo mostra uma política de bucket do Amazon S3 que concede QLDB permissões para gravar objetos em seu bucket especificado. Se aplicável, o exemplo também mostra uma política de chaves que permite QLDB usar sua KMS chave de criptografia simétrica.

Para obter mais informações sobre políticas de bucket do Amazon S3, consulte Uso de políticas de bucket e políticas de usuário no Guia do Usuário Amazon Simple Storage Service. Para saber mais a respeito AWS KMS políticas-chave, consulte Uso de políticas principais em AWS KMS no AWS Key Management Service Guia do desenvolvedor.

nota

Seu bucket e sua KMS chave do Amazon S3 devem estar no mesmo Região da AWS como seu QLDB livro contábil.

Para usar o editor JSON de políticas para criar uma política

  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

  2. Na coluna de navegação à esquerda, selecione Políticas.

    Se essa for a primeira vez que você escolhe Políticas, a página Bem-vindo às políticas gerenciadas será exibida. Escolha Começar.

  3. Na parte superior da página, escolha Criar política.

  4. Escolha a JSONguia.

  5. Insira um documento JSON de política.

    • Se você estiver usando uma KMS chave gerenciada pelo cliente para criptografia de objetos do Amazon S3, use o seguinte exemplo de documento de política. Para usar essa política, substitua amzn-s3-demo-bucket, us-east-1, 123456789012 e 1234abcd-12ab-34cd-56ef-1234567890ab no exemplo com suas próprias informações.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        },
        {
            "Sid": "QLDBJournalExportKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Para outros tipos de criptografia, use o seguinte exemplo de documento de política. Para usar essa política, substitua amzn-s3-demo-bucket no exemplo com seu próprio nome de bucket do Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBJournalExportS3Permission",
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

  6. Escolha Revisar política.

    nota

    Você pode alternar entre o editor visual e JSONas guias a qualquer momento. No entanto, se você fizer alterações ou escolher Revisar política na guia Editor visual, IAM poderá reestruturar sua política para otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação de políticas no Guia do IAM usuário.

  7. Na página Review policy (Revisar política), insira um Name (Nome) e uma Description (Descrição) opcional para a política que você está criando. Revise o Resumo da política para ver as permissões que são concedidas pela política. Em seguida, escolha Criar política para salvar seu trabalho.

Crie uma IAM função

Depois de criar uma política de permissões para seu trabalho de exportação de QLDB periódicos, você pode criar uma IAM função e anexar sua política a ela.

Para criar a função de serviço para QLDB (IAMconsole)

  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do IAM console, escolha Funções e, em seguida, escolha Criar função.

  3. Para Tipo de entidade confiável, escolha AWS service (Serviço da AWS).

  4. Para Serviço ou caso de uso, escolha e QLDB, em seguida, escolha o caso de QLDBuso.

  5. Escolha Próximo.

  6. Selecione a caixa ao lado da política que você criou nas etapas anteriores.

  7. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

    1. Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões do perfil.

      IAMinclui uma lista dos AWS políticas gerenciadas e gerenciadas pelo cliente em sua conta.

    2. Selecione a política a ser usada para o limite de permissões.

  8. Escolha Próximo.

  9. Insira um nome de perfil ou um sufixo de nome de perfil para ajudar a identificar a finalidade do perfil.

    Importante

    Quando nomear um perfil, observe o seguinte:

    • Os nomes das funções devem ser exclusivos em seu Conta da AWS, e não pode ser tornada única caso a caso.

      Por exemplo, não crie dois perfis denominados PRODROLE e prodrole. Quando um nome de função é usado em uma política ou como parte de umaARN, o nome da função diferencia maiúsculas de minúsculas, no entanto, quando um nome de função aparece para os clientes no console, como durante o processo de login, o nome da função não diferencia maiúsculas de minúsculas.

    • Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

  10. (Opcional) Em Descrição, insira uma descrição para o perfil.

  11. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões.

  12. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags emIAM, consulte IAMRecursos de marcação no Guia do IAM usuário.

  13. Reveja a função e escolha Criar função.

O JSON documento a seguir é um exemplo de uma política de confiança que QLDB permite assumir uma IAM função com permissões específicas anexadas a ela.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
nota

O exemplo a seguir mostra como é possível usar as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount para evitar o problema de substituto confuso. Com essa política de confiança, 123456789012 só QLDB pode assumir a função QLDB de qualquer recurso na conta.

Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

Depois de criar sua IAM função, retorne ao QLDB console e atualize a página Criar tarefa de exportação para que ele possa encontrar sua nova função.