Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit dem Standardberechtigungsmodus in Amazon QLDB
Verwenden Sie diesen Abschnitt, um mit dem Standardberechtigungsmodus in Amazon QLDB zu beginnen. Dieser Abschnitt enthält eine Referenztabelle, die Ihnen beim Schreiben einer identitätsbasierten Richtlinie in AWS Identity and Access Management (IAM) für PartiQL-Aktionen und Tabellenressourcen in QLDB hilft. Es enthält auch ein step-by-step Tutorial zum Erstellen von Berechtigungsrichtlinien in IAM und Anweisungen zum Suchen eines Tabellen-ARN und zum Erstellen von Tabellen-Tags in QLDB.
**Topics**
+ [Der Berechtigungsmodus `STANDARD`](#standard-permissions-mode)
+ [Referenz zu partiQL-Berechtigungen](#security_iam_partiql-reference)
+ [Suchen nach einer Tabellen-ID und einem ARN](#security_iam_partiql-ref.table-arn)
+ [Tabellen taggen](#security_iam_partiql-ref.table-tags)
+ [Schnellstart-Tutorial: Berechtigungsrichtlinien erstellen](#getting-started-standard-mode-tutorial)
## Der Berechtigungsmodus `STANDARD`
QLDB unterstützt jetzt einen `STANDARD` Berechtigungsmodus für Ledger-Ressourcen. Der Standardberechtigungsmodus ermöglicht eine genauere Zugriffskontrolle für Ledger, Tabellen und PartiQL-Befehle. Standardmäßig lehnt dieser Modus alle Anfragen zur Ausführung von PartiQL-Befehlen für Tabellen in einem Ledger ab.
**Anmerkung**
Bisher war der einzig verfügbare Berechtigungsmodus für ein Ledger. `ALLOW_ALL` Dieser `ALLOW_ALL` Modus ermöglicht die Zugriffskontrolle mit Granularität auf API-Ebene für Ledger und wird für QLDB-Ledger weiterhin unterstützt, aber nicht empfohlen. In diesem Modus können Benutzer, die über die `SendCommand` API-Berechtigung verfügen, alle PartiQL-Befehle für alle Tabellen im Ledger ausführen, die in der Berechtigungsrichtlinie angegeben sind (daher „alle PartiQL-Befehle zulassen“).
Sie können den Berechtigungsmodus vorhandener Ledger von bis ändern. `ALLOW_ALL` `STANDARD` Weitere Informationen finden Sie unter [Umstellung auf den Standard-Berechtigungsmodus](ledger-management.basics.md#ledger-mgmt.basics.update-permissions.migrating).
Um Befehle im Standardmodus zuzulassen, müssen Sie in IAM eine Berechtigungsrichtlinie für bestimmte Tabellenressourcen und PartiQL-Aktionen erstellen. Dies gilt zusätzlich zur `SendCommand` API-Berechtigung für das Ledger. Um Richtlinien in diesem Modus zu vereinfachen, führte QLDB eine [Reihe von IAM-Aktionen](#security_iam_partiql-reference-table) für PartiQL-Befehle und Amazon Resource Names (ARNs) für QLDB-Tabellen ein. Weitere Hinweise zum QLDB-Datenobjektmodell finden Sie unter. [Kernkonzepte und Terminologie in Amazon QLDB](ledger-structure.md)
## Referenz zu partiQL-Berechtigungen
In der folgenden Tabelle sind alle QLDB PartiQL-Befehle, die entsprechenden IAM-Aktionen aufgeführt, für die Sie Berechtigungen erteilen müssen, um den Befehl auszuführen, und die AWS Ressourcen, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an.
**Wichtig**
IAM-Richtlinien, die Berechtigungen für diese PartiQL-Befehle gewähren, gelten nur für Ihr Ledger, wenn dem Ledger der `STANDARD` Berechtigungsmodus zugewiesen ist. Solche Richtlinien gelten nicht für Ledger im Berechtigungsmodus. `ALLOW_ALL`
Informationen zum Angeben des Berechtigungsmodus beim Erstellen oder Aktualisieren eines Ledgers finden Sie unter [Grundlegende Operationen für Amazon QLDB-Ledger](ledger-management.basics.md) oder [Schritt 1: Erstellen Sie ein neues Hauptbuch](getting-started-step-1.md) in *Erste Schritte mit der Konsole*.
Um PartiQL-Befehle in einem Ledger auszuführen, müssen Sie auch der `SendCommand` API-Aktion für die Ledger-Ressource die Erlaubnis erteilen. Dies gilt zusätzlich zu den PartiQL-Aktionen und Tabellenressourcen, die in der folgenden Tabelle aufgeführt sind. Weitere Informationen finden Sie unter [Datentransaktionen ausführen](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-data-transactions).
**Amazon QLDB PartiQL-Befehle und erforderliche Berechtigungen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/qldb/latest/developerguide/getting-started-standard-mode.html)
Beispiele für IAM-Richtliniendokumente, die Berechtigungen für diese PartiQL-Befehle gewähren, finden Sie unter [Schnellstart-Tutorial: Berechtigungsrichtlinien erstellen](#getting-started-standard-mode-tutorial) oder unter. [Beispiele für identitätsbasierte Richtlinien für Amazon QLDB](security_iam_id-based-policy-examples.md)
## Suchen nach einer Tabellen-ID und einem ARN
Sie können eine Tabellen-ID finden, indem Sie AWS-Managementkonsole oder die Tabelle [information\$1schema.user\$1tables](working.catalog.md) abfragen. Um Tabellendetails auf der Konsole anzuzeigen oder diese Systemkatalogtabelle abzufragen, benötigen Sie Berechtigungen für die Systemkatalogressource. `SELECT` Um beispielsweise die Tabellen-ID der `Vehicle` Tabelle zu ermitteln, können Sie die folgende Anweisung ausführen.
```
SELECT * FROM information_schema.user_tables
WHERE name = 'Vehicle'
```
Diese Abfrage gibt Ergebnisse in einem Format zurück, das dem folgenden Beispiel ähnelt.
```
{
tableId: "Au1EiThbt8s0z9wM26REZN",
name: "Vehicle",
indexes: [
{ indexId: "Djg2nt0yIs2GY0T29Kud1z", expr: "[VIN]", status: "ONLINE" },
{ indexId: "4tPW3fUhaVhDinRgKRLhGU", expr: "[LicensePlateNumber]", status: "BUILDING" }
],
status: "ACTIVE"
}
```
Um Berechtigungen zum Ausführen von PartiQL-Anweisungen für eine Tabelle zu erteilen, geben Sie eine Tabellenressource im folgenden ARN-Format an.
```
arn:aws:qldb:${region}:${account-id}:ledger/${ledger-name}/table/${table-id}
```
Das Folgende ist ein Beispiel für einen Tabellen-ARN für Tabellen-ID`Au1EiThbt8s0z9wM26REZN`.
```
arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN
```
### Verwenden der Konsole
Sie können auch die QLDB-Konsole verwenden, um einen Tabellen-ARN zu finden.
**Um den ARN einer Tabelle zu finden (Konsole)**
1. [Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon QLDB-Konsole unter https://console.aws.amazon.com /qldb.](https://console.aws.amazon.com/qldb)
1. Wählen Sie im Navigationsbereich **Ledgers** aus.
1. Wählen Sie in der Liste der **Ledger** den Ledger-Namen aus, dessen Tabellen-ARN Sie suchen möchten.
1. Suchen Sie auf der Seite mit den Ledger-Details unter der Registerkarte **Tabellen** den Tabellennamen, dessen ARN Sie suchen möchten. Um den ARN zu kopieren, wählen Sie das Kopiersymbol (![\[Copy icon.\]](http://docs.aws.amazon.com/de_de/qldb/latest/developerguide/images/copy.png)) neben dem ARN aus.
## Tabellen taggen
Sie können Ihre Tabellenressourcen taggen. Um Tags für bestehende Tabellen zu verwalten, verwenden Sie die AWS-Managementkonsole oder die API-Operationen `TagResource``UntagResource`, und`ListTagsForResource`. Weitere Informationen finden Sie unter [Verschlagwortung von Amazon QLDB-Ressourcen](tagging.md).
**Anmerkung**
Tabellenressourcen erben nicht die Tags ihrer Root-Ledger-Ressource.
Das Markieren von Tabellen bei der Erstellung wird derzeit nur für Ledger im Berechtigungsmodus unterstützt. `STANDARD`
Sie können Tabellen-Tags auch definieren, während Sie die Tabelle erstellen, indem Sie die QLDB-Konsole verwenden oder sie in einer `CREATE TABLE` PartiQL-Anweisung angeben. Im folgenden Beispiel wird eine Tabelle erstellt, die `Vehicle` mit dem Tag benannt ist. `environment=production`
```
CREATE TABLE Vehicle WITH (aws_tags = `{'environment': 'production'}`)
```
Das Markieren von Tabellen bei der Erstellung erfordert Zugriff auf die `qldb:TagResource` Aktionen `qldb:PartiQLCreateTable` und.
Indem Sie Ressourcen zum Erstellungszeitpunkt markieren, müssen Sie anschließend keine benutzerdefinierten Markierungs-Skripts ausführen. Nachdem eine Tabelle markiert wurde, können Sie den Zugriff auf die Tabelle anhand dieser Tags steuern. Beispielsweise können Sie Vollzugriff nur für Tabellen gewähren, die über ein bestimmtes Tag verfügen. Ein Beispiel für eine JSON-Richtlinie finden Sie unter[Vollzugriff auf alle Aktionen, die auf Tabellen-Tags basieren](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-full-tags).
### Verwenden der Konsole
Sie können die QLDB-Konsole auch verwenden, um Tabellen-Tags zu definieren, während Sie die Tabelle erstellen.
**Um eine Tabelle bei der Erstellung zu taggen (Konsole)**
1. [Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon QLDB-Konsole unter https://console.aws.amazon.com /qldb.](https://console.aws.amazon.com/qldb)
1. Wählen Sie im Navigationsbereich **Ledgers** aus.
1. Wählen Sie in der Liste der **Ledger** den Ledger-Namen aus, in dem Sie die Tabelle erstellen möchten.
1. **Wählen Sie auf der Seite mit den Hauptbuchdetails unter dem Tab **Tabellen** die Option Tabelle erstellen aus.**
1. Gehen Sie auf der Seite **Tabelle erstellen** wie folgt vor:
+ **Tabellenname** — Geben Sie einen Tabellennamen ein.
+ **Tags** — Fügen Sie der Tabelle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anhängen. Sie können Ihrer Tabelle Tags hinzufügen, um sie zu organisieren und zu identifizieren.
Wählen Sie **Add tag (Tag hinzufügen)** aus und geben Sie dann beliebige Schlüssel-Wert-Paare ein.
1. Wenn Sie die gewünschten Einstellungen vorgenommen haben, wählen Sie **Create table** (Tabelle erstellen).
## Schnellstart-Tutorial: Berechtigungsrichtlinien erstellen
Dieses Tutorial führt Sie durch die Schritte zur Erstellung von Berechtigungsrichtlinien in IAM für ein Amazon QLDB-Ledger im Berechtigungsmodus. `STANDARD` Anschließend können Sie die Berechtigungen Ihren Benutzern, Gruppen oder Rollen zuweisen.
Weitere Beispiele für IAM-Richtliniendokumente, die Berechtigungen für PartiQL-Befehle und Tabellenressourcen gewähren, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon QLDB](security_iam_id-based-policy-examples.md)
**Topics**
+ [Voraussetzungen](#getting-started-standard-mode-prereqs)
+ [Eine Richtlinie mit Schreibschutz erstellen](#getting-started-standard-mode-read-only)
+ [Eine Richtlinie für vollen Zugriff erstellen](#getting-started-standard-mode-full-access)
+ [Eine schreibgeschützte Richtlinie für eine bestimmte Tabelle erstellen](#getting-started-standard-mode-read-only-table)
+ [Zuweisen von Berechtigungen](#getting-started-standard-mode-assign-permissions)
### Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass die folgende Voraussetzung erfüllt ist:
1. Folgen Sie den Anweisungen zur AWS Einrichtung unter[Zugreifen auf Amazon QLDB](accessing.md), falls Sie dies noch nicht getan haben. Zu diesen Schritten gehören die Registrierung AWS und Erstellung eines Administratorbenutzers.
1. Erstellen Sie ein neues Ledger und wählen Sie den `STANDARD` Berechtigungsmodus für das Ledger. Wie das geht, erfahren Sie [Schritt 1: Erstellen Sie ein neues Hauptbuch](getting-started-step-1.md) unter *Erste Schritte mit der Konsole oder*. [Grundlegende Operationen für Amazon QLDB-Ledger](ledger-management.basics.md)
### Eine Richtlinie mit Schreibschutz erstellen
Gehen Sie wie folgt vor, um mit dem JSON-Richtlinieneditor eine schreibgeschützte Richtlinie für *alle Tabellen* in einem Ledger im Standardberechtigungsmodus zu erstellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie in der Navigationsleiste auf der linken Seite auf **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie den Tab **JSON**.
1. Kopieren Sie das folgende JSON-Richtliniendokument und fügen Sie es ein. Diese Beispielrichtlinie gewährt *nur Lesezugriff* auf alle Tabellen in einem Hauptbuch.
Um diese Richtlinie zu verwenden*us-east-1*, ersetzen Sie *myExampleLedger* im Beispiel*123456789012*, und durch Ihre eigenen Informationen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
1. Wählen Sie **Richtlinie prüfen**.
**Anmerkung**
Sie können jederzeit zwischen den Registerkarten **Visual editor (Visueller Editor)** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder auf der Registerkarte **Visueller Editor** die Option **Richtlinie überprüfen** auswählen, strukturiert IAM möglicherweise Ihre Richtlinie neu, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Review policy (Richtlinie überprüfen)** unter **Name** einen Namen und unter **Description (Beschreibung)** eine optionale Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie unter **Summary** die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann **Create policy** aus, um Ihre Eingaben zu speichern.
### Eine Richtlinie für vollen Zugriff erstellen
Gehen Sie wie folgt vor, um eine Vollzugriffsrichtlinie für alle Tabellen in einem QLDB-Ledger im Standardberechtigungsmodus zu erstellen:
+ Wiederholen Sie die [vorherigen Schritte](#getting-started-standard-mode-read-only) mit dem folgenden Richtliniendokument. Diese Beispielrichtlinie gewährt Zugriff auf *alle PartiQL-Befehle* für *alle Tabellen* in einem Ledger, indem Platzhalter (\$1) verwendet werden, um alle PartiQL-Aktionen und alle Ressourcen in einem Ledger abzudecken.
**Warnung**
Dies ist ein Beispiel für die Verwendung eines Platzhalterzeichens (\$1), um alle PartiQL-Aktionen zuzulassen, einschließlich administrativer und read/write Operationen für alle Tabellen in einem QLDB-Ledger. Stattdessen hat es sich bewährt, jede Aktion, die gewährt werden soll, explizit anzugeben und nur das anzugeben, was dieser Benutzer, diese Rolle oder Gruppe benötigt.
Um diese Richtlinie zu verwenden*us-east-1*, ersetzen Sie*123456789012*, und *myExampleLedger* im Beispiel durch Ihre eigenen Informationen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQL*"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
### Eine schreibgeschützte Richtlinie für eine bestimmte Tabelle erstellen
Gehen Sie wie folgt vor, um eine Richtlinie für den schreibgeschützten Zugriff für eine bestimmte Tabelle in einem QLDB-Ledger im Standardberechtigungsmodus zu erstellen:
1. Suchen Sie den ARN für die Tabelle mithilfe von AWS-Managementkonsole oder, indem Sie die Systemkatalogtabelle `information_schema.user_tables` abfragen. Detaillierte Anweisungen finden Sie unter [Suchen nach einer Tabellen-ID und einem ARN](#security_iam_partiql-ref.table-arn).
1. Verwenden Sie die Tabelle ARN, um eine Richtlinie zu erstellen, die schreibgeschützten Zugriff auf die Tabelle ermöglicht. Wiederholen Sie dazu die [vorherigen Schritte](#getting-started-standard-mode-read-only) anhand des folgenden Richtliniendokuments.
Diese Beispielrichtlinie gewährt *nur Lesezugriff* auf die *angegebene Tabelle*. In diesem Beispiel lautet die Tabellen-ID. `Au1EiThbt8s0z9wM26REZN` Um diese Richtlinie zu verwenden*us-east-1*, ersetzen Sie *123456789012**myExampleLedger*,, und *Au1EiThbt8s0z9wM26REZN* im Beispiel durch Ihre eigenen Informationen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN"
]
}
]
}
```
### Zuweisen von Berechtigungen
Nachdem Sie eine QLDB-Berechtigungsrichtlinie erstellt haben, weisen Sie die Berechtigungen dann wie folgt zu.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.