本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon QLDB 的 受管政策
<a name="security-iam-awsmanpol"></a>

**重要**  
終止支援通知：現有客戶將可以使用 Amazon QLDB，直到 07/31/2025 終止支援為止。如需詳細資訊，請參閱[將 Amazon QLDB Ledger 遷移至 Amazon Aurora PostgreSQL](https://aws.amazon.com/blogs/database/migrate-an-amazon-qldb-ledger-to-amazon-aurora-postgresql/)。







 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可，則更新會影響政策連接的所有主體身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

如需這些 AWS 受管政策中 QLDB API 操作的詳細資訊，請參閱 [Amazon QLDB API 參考](api-reference.md)。

**Topics**
+ [AWS 受管政策：AmazonQLDBReadOnly](#security-iam-awsmanpol-AmazonQLDBReadOnly)
+ [AWS 受管政策：AmazonQLDBFullAccess](#security-iam-awsmanpol-AmazonQLDBFullAccess)
+ [AWS 受管政策：AmazonQLDBConsoleFullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess)
+ [AWS 受管政策的 QLDB 更新](#security-iam-awsmanpol-updates)









## AWS 受管政策：AmazonQLDBReadOnly
<a name="security-iam-awsmanpol-AmazonQLDBReadOnly"></a>

使用 [AmazonQLDBReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBReadOnly.html) 政策授予所有 QLDB 資源*的唯讀*許可。您可以將此政策連接至 IAM 身分。

**許可詳細資訊**

此政策包含 `qldb`服務的下列許可。
+ 允許主體描述和列出所有 QLDB 資源及其標籤。這些資源包括總帳、Amazon S3 匯出任務，以及 Kinesis Data Streams 的串流。
+ 允許主體從任何總帳中的日誌取得區塊、摘要或修訂，以密碼編譯方式驗證資料。
+ 不允許主體在任何總帳中的任何資料表上執行任何 PartiQL 命令。

## AWS 受管政策：AmazonQLDBFullAccess
<a name="security-iam-awsmanpol-AmazonQLDBFullAccess"></a>

使用 [AmazonQLDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBFullAccess.html) 政策，透過 QLDB API 或 授予所有 QLDB 資源的完整*管理*許可 AWS CLI。您可以將此政策連接至 IAM 身分。

**許可詳細資訊**

此政策包含以下許可。
+ `qldb`
  + 允許主體建立、描述、列出和管理所有 QLDB 資源及其標籤。這些資源包括總帳、Amazon S3 匯出任務，以及 Kinesis Data Streams 的串流。
  + 允許主體使用 [QLDB 驅動程式](getting-started-driver.md)或 [QLDB shell](data-shell.md)，在任何總帳的所有資料表上執行所有 PartiQL 命令。
  + 允許主體從任何總帳中的日誌取得區塊、摘要或修訂，以密碼編譯方式驗證資料。
+ `iam` – 允許主體將帳戶中的任何 IAM 角色資源傳遞至 QLDB 服務。這是所有日誌匯出和串流請求的必要項目。

## AWS 受管政策：AmazonQLDBConsoleFullAccess
<a name="security-iam-awsmanpol-AmazonQLDBConsoleFullAccess"></a>

使用 [AmazonQLDBConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQLDBConsoleFullAccess.html) 政策，透過 AWS 管理主控台、QLDB API 或 授予所有 QLDB 資源的完整*管理*許可 AWS CLI。您可以將此政策連接至 IAM 身分。

**許可詳細資訊**

此政策包含以下許可。
+ `qldb`
  + 允許主體建立、描述、列出和管理所有 QLDB 資源及其標籤。這些資源包括總帳、Amazon S3 匯出任務，以及 Kinesis Data Streams 的串流。
  + 允許主體使用 QLDB 主控台、[QLDB 驅動程式](getting-started-driver.md)或 [QLDB shell](data-shell.md)，在任何總帳的所有資料表上執行所有 PartiQL 命令。
  + 允許主體使用 QLDB 主控台，在任何分類帳中插入範例應用程式資料。
  + 允許主體從任何總帳中的日誌取得區塊、摘要或修訂，以密碼編譯方式驗證資料。
+ `dbqms` – 允許主體使用[資料庫查詢中繼資料服務](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databasequerymetadataservice.html)中的所有動作。這是 QLDB 主控台為 PartiQL 查詢編輯器建立、描述和管理最近和已儲存查詢所需的僅限內部服務。
+ `kinesis` – 允許主體描述和列出 Amazon Kinesis Data Streams 資源。這些資源是 QLDB 串流資源可以寫入資料的目標目的地。
+ `iam` – 允許主體將帳戶中的任何 IAM 角色資源傳遞至 QLDB 服務。這是所有日誌匯出和串流請求的必要項目。





## AWS 受管政策的 QLDB 更新
<a name="security-iam-awsmanpol-updates"></a>



檢視自此服務開始追蹤這些變更以來，QLDB AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 QLDB [版本歷史記錄](document-history.md)頁面上的 RSS 摘要。




| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AmazonQLDBFullAccess](#security-iam-awsmanpol-AmazonQLDBFullAccess)、[AmazonQLDBConsoleFullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) – 更新現有政策  |  QLDB 新增了新的許可，允許主體在`STANDARD`許可模式中編輯所有分類帳中的文件修訂。  | 2022 年 11 月 4 日 | 
|  [AmazonQLDBFullAccess](#security-iam-awsmanpol-AmazonQLDBFullAccess)、[AmazonQLDBConsoleFullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) – 更新現有政策  |  QLDB 新增了新的許可，允許主體將帳戶中的任何 IAM 角色資源傳遞給 QLDB 服務。這是所有日誌匯出和串流請求的必要項目。  | 2021 年 9 月 2 日 | 
|  [AmazonQLDBReadOnly](#security-iam-awsmanpol-AmazonQLDBReadOnly) – 更新至現有政策  |  QLDB 移除先前列出兩次的重複`qldb:GetBlock`動作，並重新排序`"Effect"`欄位，使其出現在`"Action"`欄位之前。  | 2021 年 7 月 1 日 | 
|  [AmazonQLDBFullAccess](#security-iam-awsmanpol-AmazonQLDBFullAccess)、[AmazonQLDBConsoleFullAccess](#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) – 更新現有政策  |  QLDB 新增了新的許可，以允許主體更新所有分類帳中的許可模式，並在新`STANDARD`許可模式中在所有分類帳中執行所有 PartiQL 命令。 `STANDARD` 許可模式支援 PartiQL 命令的資料表層級存取控制和精細程度。為了促進新的許可模式，QLDB 推出了一組適用於 PartiQL 命令類型的 IAM 動作，以及適用於 QLDB 資料表資源的 Amazon Resource Name ARNs)。這兩個政策已更新為包含新的 PartiQL `STANDARD` 動作，以授予分類帳的完整存取權。  | 2021 年 5 月 27 日 | 
|  QLDB 開始追蹤變更  |  QLDB 開始追蹤其 AWS 受管政策的變更。  | 2021 年 3 月 1 日 |