Permissões de transmissão em QLDB - Banco de dados Amazon Quantum Ledger (AmazonQLDB)
Criação de uma política de permissõesCrie uma IAM função

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de transmissão em QLDB

Importante

Aviso de fim do suporte: os clientes existentes poderão usar a Amazon QLDB até o final do suporte em 31/07/2025. Para obter mais detalhes, consulte Migrar um Amazon QLDB Ledger para o Amazon Aurora Postgre. SQL

Antes de criar um QLDB stream da Amazon, você deve QLDB fornecer permissões de gravação para seu recurso específico do Amazon Kinesis Data Streams. Se você estiver usando um cliente gerenciado AWS KMS key para criptografia do lado do servidor do seu stream do Kinesis, você também deve QLDB fornecer permissões para usar sua chave de criptografia simétrica especificada. O Kinesis Data Streams não KMS é compatível com chaves assimétricas.

Para fornecer ao seu QLDB stream as permissões necessárias, você pode QLDB assumir uma função de IAM serviço com as políticas de permissões apropriadas. Uma função de serviço é uma IAMfunção que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um AWS service (Serviço da AWS) no Guia do IAM usuário.

nota

Para passar uma função QLDB ao solicitar um stream de diário, você deve ter permissões para realizar a iam:PassRole ação no recurso de IAM função. Isso é um acréscimo à qldb:StreamJournalToKinesis permissão no sub-recurso do QLDB stream.

Para saber como controlar o acesso ao QLDB usoIAM, consulteComo a Amazon QLDB trabalha com IAM. Para obter um exemplo QLDB de política, consulteExemplos de políticas baseadas em identidade para a Amazon QLDB.

Neste exemplo, você cria uma função que permite QLDB gravar registros de dados em um stream de dados do Kinesis em seu nome. Para obter mais informações, consulte Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS) no Guia do IAM usuário.

Se você estiver transmitindo um QLDB diário Conta da AWS pela primeira vez, primeiro crie uma IAM função com as políticas apropriadas fazendo o seguinte. Ou você pode usar o QLDB console para criar automaticamente a função para você. Caso contrário, você poderá escolher uma função que você criou anteriormente.

Criação de uma política de permissões

Conclua as etapas a seguir para criar uma política de permissões para um QLDB stream. Este exemplo mostra uma política do Kinesis Data Streams QLDB que concede permissões para gravar registros de dados no stream de dados especificado do Kinesis. Se aplicável, o exemplo também mostra uma política de chaves que permite QLDB usar sua KMS chave de criptografia simétrica.

Para obter mais informações sobre as políticas do Kinesis Data Streams, consulte Controle do acesso aos recursos do Amazon Kinesis Data IAM Streams usando e Permissões KMS para usar chaves geradas pelo usuário no Guia do desenvolvedor do Amazon Kinesis Data Streams. Para saber mais sobre as AWS KMS principais políticas, consulte Como usar políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.

nota

Seu stream de dados e sua KMS chave do Kinesis devem estar na mesma conta Região da AWS e na mesma conta do seu QLDB livro contábil.

Para usar o editor JSON de políticas para criar uma política

  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

  2. Na coluna de navegação à esquerda, selecione Políticas.

    Se essa for a primeira vez que você escolhe Políticas, a página Bem-vindo às políticas gerenciadas será exibida. Escolha Começar.

  3. Na parte superior da página, escolha Criar política.

  4. Escolha a JSONguia.

  5. Insira um documento JSON de política.

    • Se você estiver usando uma KMS chave gerenciada pelo cliente para a criptografia do lado do servidor do seu stream do Kinesis, use o seguinte exemplo de documento de política. Para usar essa política, substitua us-east-1, 123456789012, kinesis-stream-name e 1234abcd-12ab-34cd-56ef-1234567890ab no exemplo com suas próprias informações.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        },
        {
            "Sid": "QLDBStreamKMSPermission",
            "Action": [ "kms:GenerateDataKey" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    • Ou, use o seguinte exemplo de documento de política. Para usar essa política, substitua us-east-1, 123456789012 e kinesis-stream-name no exemplo com suas próprias informações.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QLDBStreamKinesisPermissions",
            "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
            "Effect": "Allow",
            "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
        }
    ]
}

  6. Selecione Revisar política.

    nota

    Você pode alternar entre o editor visual e JSONas guias a qualquer momento. No entanto, se você fizer alterações ou escolher Revisar política na guia Editor visual, IAM poderá reestruturar sua política para otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação de políticas no Guia do IAM usuário.

  7. Na página Review policy (Revisar política), insira um Name (Nome) e uma Description (Descrição) opcional para a política que você está criando. Revise o Resumo da política para ver as permissões que são concedidas pela política. Em seguida, escolha Criar política para salvar seu trabalho.

Crie uma IAM função

Depois de criar uma política de permissões para seu QLDB stream, você pode criar uma IAM função e anexar sua política a ela.

Para criar a função de serviço para QLDB (IAMconsole)

  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do IAM console, escolha Funções e, em seguida, escolha Criar função.

  3. Em Tipo de Entidade Confiável, escolha AWS service (Serviço da AWS).

  4. Para Serviço ou caso de uso, escolha e QLDB, em seguida, escolha o caso de QLDBuso.

  5. Escolha Próximo.

  6. Selecione a caixa ao lado da política que você criou nas etapas anteriores.

  7. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

    1. Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões do perfil.

      IAMinclui uma lista das políticas AWS gerenciadas e gerenciadas pelo cliente em sua conta.

    2. Selecione a política a ser usada para o limite de permissões.

  8. Escolha Próximo.

  9. Insira um nome de perfil ou um sufixo de nome de perfil para ajudar a identificar a finalidade do perfil.

    Importante

    Quando nomear um perfil, observe o seguinte:

    • Os nomes das funções devem ser exclusivos dentro de você Conta da AWS e não podem ser diferenciados por maiúsculas e minúsculas.

      Por exemplo, não crie dois perfis denominados PRODROLE e prodrole. Quando um nome de função é usado em uma política ou como parte de umaARN, o nome da função diferencia maiúsculas de minúsculas, no entanto, quando um nome de função aparece para os clientes no console, como durante o processo de login, o nome da função não diferencia maiúsculas de minúsculas.

    • Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

  10. (Opcional) Em Descrição, insira uma descrição para o perfil.

  11. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões.

  12. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags emIAM, consulte Tags para AWS Identity and Access Management recursos no Guia IAM do usuário.

  13. Reveja a função e escolha Criar função.

O JSON documento a seguir é um exemplo de uma política de confiança que QLDB permite assumir uma IAM função com permissões específicas anexadas a ela.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
nota

O exemplo a seguir mostra como é possível usar as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount para evitar o problema de substituto confuso. Com essa política de confiança, QLDB pode assumir a função de qualquer QLDB fluxo na conta myExampleLedger somente 123456789012 para o livro contábil.

Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

Depois de criar sua IAM função, retorne ao QLDB console e atualize a página Criar QLDB stream para que ele possa encontrar sua nova função.