本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 QLDB 的托管策略
**重要**
终止支持通知:现有客户将能够使用 Amazon QLDB,直到 2025 年 7 月 31 日终止支持。有关更多详细信息,请参阅[将亚马逊 QLDB 账本迁移到亚马逊 Aurora PostgreSQL](https://aws.amazon.com/blogs/database/migrate-an-amazon-qldb-ledger-to-amazon-aurora-postgresql/)。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
有关 AWS 这些托管策略中的 QLDB API 操作的更多信息,请参阅。[Amazon QLDB API 参考](api-reference.md)
**Topics**
+ [
## AWS 托管策略:QLDBRead仅限 Amazon
](#security-iam-awsmanpol-AmazonQLDBReadOnly)
+ [
## AWS 托管策略:Amazon A QLDBFull ccess
](#security-iam-awsmanpol-AmazonQLDBFullAccess)
+ [
## AWS 托管策略:Amazon QLDBConsole FullAccess
](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess)
+ [
## QLDB 对托管策略的更新 AWS
](#security-iam-awsmanpol-updates)
## AWS 托管策略:QLDBRead仅限 Amazon
使用 “[QLDBRead仅限 Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBReadOnly.html)” 策略向所有 QLDB 资源授予*只读*权限。您可以将 策略附加得到 IAM 身份。
**权限详细信息**
此策略包含以下`qldb`服务权限。
+ 允许主体描述和列出所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。
+ 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。
+ 不允许主体对任何分类账中的任何表运行任何 PartiQL 命令。
## AWS 托管策略:Amazon A QLDBFull ccess
使用 [Amazon A QLDBFull cces](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBFullAccess.html) s 策略通过 QLDB API 或. 向所有 QLDB 资源授予完全*管理*权限。 AWS CLI您可以将 策略附加得到 IAM 身份。
**权限详细信息**
此策略包含以下权限。
+ `qldb`
+ 允许委托人创建、描述、列出和管理所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。
+ 允许主体使用 [QLDB 驱动程序](data-shell.md)或 [QLDB Shell ](getting-started-driver.md)在任何分类账上运行所有 PartiQL 命令。
+ 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。
+ `iam`— 允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。
## AWS 托管策略:Amazon QLDBConsole FullAccess
使用 [Amazon QLDBConsole FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBConsoleFullAccess.html) 政策,通过 AWS 管理控制台、QLDB API 或,向所有 QLDB 资源授予完全*管理*权限。 AWS CLI您可以将 策略附加得到 IAM 身份。
**权限详细信息**
此策略包含以下权限。
+ `qldb`
+ 允许委托人创建、描述、列出和管理所有 QLDB 资源及其标签。这些资源包括分类账、Amazon S3 导出作业和流向 Kinesis Data Streams 的流。
+ 允许主体使用QLDB 控制台、[QLDB 驱动程序](data-shell.md)或 [QLDB Shell ](getting-started-driver.md)在任何分类账上运行所有 PartiQL 命令。
+ 允许委托人使用 QLDB 控制台在任何分类账中插入示例应用程序数据。
+ 允许委托人从任何分类账的日记账中获取区块、摘要或修订,以加密方式验证数据。
+ `dbqms`— 允许委托人使用[ Database Query Metadata Service ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databasequerymetadataservice.html)中的所有操作。这是一项仅限内部使用的服务,QLDB 控制台需要该服务,用来为 PartiQL 查询编辑器创建、描述和管理最近和保存的查询。
+ `kinesis`— 允许委托人描述和列出 Amazon Kinesis Data Streams 资源。这些资源是 QLDB 流资源可以向其写入数据的目标目标。
+ `iam`— 允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。
## QLDB 对托管策略的更新 AWS
查看自 QLDB AWS 托管策略开始跟踪这些更改以来该服务更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [Amazon QLDB 发布历史记录](document-history.md) 页面上的 RSS 馈送。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [Amazon A QLDBFull cces](#security-iam-awsmanpol-AmazonQLDBFullAccess) [s、Amazon QLDBConsole FullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) — 更新现有政策 | QLDB 添加了一项新权限,允许委托人在权限模式下编辑所有分类账中的文档修订。`STANDARD` | 2022 年 11 月 4 日 |
| [Amazon A QLDBFull cces](#security-iam-awsmanpol-AmazonQLDBFullAccess) [s、Amazon QLDBConsole FullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) — 更新现有政策 | QLDB 添加了新的权限,允许委托人将您账户中的任何 IAM 角色资源传递给 QLDB 服务。这是所有日记账流请求所必需的。 | 2021 年 9 月 2 日 |
| [QLDBRead仅限亚马逊](#security-iam-awsmanpol-AmazonQLDBReadOnly) — 更新现有政策 | QLDB 删除了之前列出两次的 `qldb:GetBlock` 重复操作,并对 `"Effect"` 字段进行了重新排序,使其显示在 `"Action"` 字段之前。 | 2021 年 7 月 1 日 |
| [Amazon A QLDBFull cces](#security-iam-awsmanpol-AmazonQLDBFullAccess) [s、Amazon QLDBConsole FullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) — 更新现有政策 | QLDB 添加了新的权限,允许委托人更新所有分类账中的权限模式,并在新的权限模式下在所有分类账中运行所有 PartiQL 命令。`STANDARD` `STANDARD` 权限模式支持 PartiQL 命令的表级访问控制和粒度。为了简化新的权限模式,QLDB 为 PartiQL 命令类型引入了一组 IAM 操作,为 QLDB 表资源引入了 Amazon 资源名称 (ARNs)。这两项策略已更新,加入了新的 PartiQL 操作,从而授予对 `STANDARD` 分类账的完全访问权限。 | 2021 年 5 月 27 日 |
| IPAM 已开启跟踪更改 | QLDB 开始跟踪其托管策略的变更。 AWS | 2021 年 3 月 1 日 |