Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Exportberechtigungen für Journale in QLDB
**Wichtig**
Hinweis zum Ende des Supports: Bestandskunden können Amazon QLDB bis zum Ende des Supports am 31.07.2025 nutzen. Weitere Informationen finden Sie unter [Migrieren eines Amazon QLDB-Ledgers zu Amazon](https://aws.amazon.com/blogs/database/migrate-an-amazon-qldb-ledger-to-amazon-aurora-postgresql/) Aurora PostgreSQL.
Bevor Sie eine Journalexportanfrage in Amazon QLDB einreichen, müssen Sie QLDB Schreibberechtigungen in Ihrem angegebenen Amazon S3 S3-Bucket gewähren. Wenn Sie einen Kunden auswählen, der AWS KMS key als Objektverschlüsselungstyp für Ihren Amazon S3 S3-Bucket verwaltet wird, müssen Sie QLDB auch die Berechtigungen zur Verwendung Ihres angegebenen symmetrischen Verschlüsselungsschlüssels erteilen. Amazon S3 unterstützt keine [asymmetrischen KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
Um Ihrem Exportjob die erforderlichen Berechtigungen zu erteilen, können Sie QLDB eine IAM-Dienstrolle mit den entsprechenden Berechtigungsrichtlinien annehmen lassen. Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Um bei der Anforderung eines Journalexports eine Rolle an QLDB zu übergeben, müssen Sie über die Berechtigungen verfügen, um die `iam:PassRole` Aktion für die IAM-Rollenressource auszuführen. Dies gilt zusätzlich zu der `qldb:ExportJournalToS3` Genehmigung für die QLDB-Ledger-Ressource.
Informationen zur Steuerung des Zugriffs auf QLDB mithilfe von IAM finden Sie unter. [So funktioniert Amazon QLDB mit IAM](security_iam_service-with-iam.md) Ein Beispiel für eine QLDB-Richtlinie finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon QLDB](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-export-to-s3-bucket)
In diesem Beispiel erstellen Sie eine Rolle, die es QLDB ermöglicht, in Ihrem Namen Objekte in einen Amazon S3 S3-Bucket zu schreiben. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Wenn Sie AWS-Konto zum ersten Mal ein QLDB-Journal in Ihrem exportieren, müssen Sie zunächst eine IAM-Rolle mit den entsprechenden Richtlinien erstellen, indem Sie wie folgt vorgehen. Oder Sie können [die QLDB-Konsole verwenden](export-journal.request.md#export-journal.request.con), um die Rolle automatisch für Sie zu erstellen. Andernfalls können Sie eine Rolle auswählen, die Sie zuvor erstellt haben.
**Topics**
+ [Erstellen einer Berechtigungsrichtlinie](#export-journal.perms.create-policy)
+ [Erstellen einer IAM-Rolle](#export-journal.perms.create-role)
## Erstellen einer Berechtigungsrichtlinie
Gehen Sie wie folgt vor, um eine Berechtigungsrichtlinie für einen QLDB-Journalexportauftrag zu erstellen. Dieses Beispiel zeigt eine Amazon S3 S3-Bucket-Richtlinie, die QLDB-Berechtigungen zum Schreiben von Objekten in den angegebenen Bucket gewährt. Falls zutreffend, zeigt das Beispiel auch eine Schlüsselrichtlinie, die es QLDB ermöglicht, Ihren KMS-Schlüssel für die symmetrische Verschlüsselung zu verwenden.
Weitere Informationen zu Amazon S3 S3-Bucket-Richtlinien finden Sie [unter Verwenden von Bucket-Richtlinien und Benutzerrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Weitere Informationen zu AWS KMS wichtigen Richtlinien finden Sie unter [Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch*.
**Anmerkung**
Ihr Amazon S3 S3-Bucket und Ihr KMS-Schlüssel müssen sich beide im selben AWS-Region wie Ihr QLDB-Ledger befinden.
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie in der Navigationsleiste auf der linken Seite auf **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie den Tab **JSON**.
1. Geben Sie ein JSON-Richtliniendokument ein.
+ Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel für die Amazon S3 S3-Objektverschlüsselung verwenden, verwenden Sie das folgende Beispielrichtliniendokument. Um diese Richtlinie zu verwenden*amzn-s3-demo-qldb-cloudtrail*, ersetzen Sie *us-east-1**123456789012*,, und *1234abcd-12ab-34cd-56ef-1234567890ab* im Beispiel durch Ihre eigenen Informationen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBJournalExportS3Permission",
"Action": [
"s3:PutObjectAcl",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-qldb-cloudtrail/*"
},
{
"Sid": "QLDBJournalExportKMSPermission",
"Action": [ "kms:GenerateDataKey" ],
"Effect": "Allow",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
+ Für andere Verschlüsselungstypen verwenden Sie das folgende Beispielrichtliniendokument. Um diese Richtlinie zu verwenden, ersetzen Sie sie *amzn-s3-demo-qldb-cloudtrail* im Beispiel durch Ihren eigenen Amazon S3 S3-Bucket-Namen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBJournalExportS3Permission",
"Action": [
"s3:PutObjectAcl",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-qldb-cloudtrail/*"
}
]
}
```
1. Wählen Sie **Richtlinie prüfen**.
**Anmerkung**
Sie können jederzeit zwischen den Registerkarten **Visual editor (Visueller Editor)** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder auf der Registerkarte **Visueller Editor** die Option **Richtlinie überprüfen** auswählen, strukturiert IAM möglicherweise Ihre Richtlinie neu, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Review policy (Richtlinie überprüfen)** unter **Name** einen Namen und unter **Description (Beschreibung)** eine optionale Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie unter **Summary** die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann **Create policy** aus, um Ihre Eingaben zu speichern.
## Erstellen einer IAM-Rolle
Nachdem Sie eine Berechtigungsrichtlinie für Ihren QLDB-Journalexportjob erstellt haben, können Sie eine IAM-Rolle erstellen und Ihre Richtlinie daran anhängen.
**So erstellen Sie die Servicerolle für QLDB (IAM-Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
1. Wählen Sie für **Service oder Anwendungsfall** **QLDB und dann den **QLDB-Anwendungsfall**** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie das Kästchen neben der Richtlinie aus, die Sie in den vorherigen Schritten erstellt haben.
1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
1. Öffnen Sie den Abschnitt **Berechtigungsgrenze festlegen** und wählen Sie dann **Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu steuern** aus.
IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto.
1. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.
1. Wählen Sie **Weiter** aus.
1. Geben Sie einen Rollennamen oder ein Rollennamensuffix ein, damit Sie den Zweck der Rolle leichter erkennen können.
**Wichtig**
Beachten Sie beim Benennen einer Rolle Folgendes:
Rollennamen müssen innerhalb Ihrer AWS-Konto Person eindeutig sein und können nicht von Fall zu Fall eindeutig sein.
Erstellen Sie beispielsweise keine Rollen mit dem Namen **PRODROLE** und **prodrole**. Wenn ein Rollenname in einer Richtlinie oder als Teil einer ARN verwendet wird, muss die Groß-/Kleinschreibung des Rollennamens beachtet werden. Wenn ein Rollenname den Kunden jedoch in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Rollennamens nicht beachtet.
Sie können den Namen der Rolle nach ihrer Erstellung nicht mehr bearbeiten, da andere Entitäten möglicherweise auf die Rolle verweisen.
1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung für die neue Rolle ein.
1. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungen hinzufügen** die Option **Bearbeiten**.
1. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Identifizierung, Organisation oder Suche nach der Rolle zu vereinfachen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
Das folgende JSON-Dokument ist ein Beispiel für eine Vertrauensrichtlinie, die es QLDB ermöglicht, eine IAM-Rolle mit spezifischen Berechtigungen anzunehmen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "qldb.amazonaws.com"
},
"Action": [ "sts:AssumeRole" ],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
**Anmerkung**
Dieses Beispiel für eine Vertrauensrichtlinie zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel verwenden können, um das Problem des *verwirrten* Stellvertreters zu verhindern. Mit dieser Vertrauensrichtlinie kann QLDB nur die Rolle für jede QLDB-Ressource im Konto übernehmen. `123456789012`
Weitere Informationen finden Sie unter [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).
Nachdem Sie Ihre IAM-Rolle erstellt haben, kehren Sie zur QLDB-Konsole zurück und aktualisieren **Sie die Seite Exportjob erstellen**, damit sie Ihre neue Rolle finden kann.