本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon QLDB 的身分型政策範例
根據預設,使用者和角色沒有建立或修改 QLDB 資源的許可。他們也無法使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 AWS API 來執行任務。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者便能擔任這些角色。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》**中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 QLDB 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon QLDB 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)。
**Contents**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 QLDB 主控台](#security_iam_id-based-policy-examples-console)
+ [查詢歷史記錄許可](#id-based-policy-examples-console-dbqms)
+ [沒有查詢歷史記錄的完整存取主控台許可](#id-based-policy-examples-console-no-dbqms)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [執行資料交易](#security_iam_id-based-policy-examples-data-transactions)
+ [PartiQL 動作和資料表資源的標準許可](#security_iam_id-based-policy-examples-standard-mode)
+ [完整存取所有動作](#security_iam_id-based-policy-examples-full-access)
+ [根據資料表標籤完整存取所有動作](#security_iam_id-based-policy-examples-full-tags)
+ [讀取/寫入存取](#security_iam_id-based-policy-examples-read-write)
+ [唯讀存取](#security_iam_id-based-policy-examples-read-only)
+ [特定資料表的唯讀存取權](#security_iam_id-based-policy-examples-table-specific)
+ [允許建立資料表的存取權](#security_iam_id-based-policy-examples-create-table)
+ [允許根據請求標籤建立資料表的存取權](#security_iam_id-based-policy-examples-table-tags)
+ [將日誌匯出至 Amazon S3 儲存貯體](#security_iam_id-based-policy-examples-export-to-s3-bucket)
+ [將日誌串流至 Kinesis Data Streams](#security_iam_id-based-policy-examples-stream-to-kinesis)
+ [根據標籤更新 QLDB 分類帳](#security_iam_id-based-policy-examples-update-ledger-tags)
**重要**
終止支援通知:現有客戶將可以使用 Amazon QLDB,直到 07/31/2025 終止支援為止。如需詳細資訊,請參閱[將 Amazon QLDB Ledger 遷移至 Amazon Aurora PostgreSQL](https://aws.amazon.com/blogs/database/migrate-an-amazon-qldb-ledger-to-amazon-aurora-postgresql/)。
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 QLDB 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並轉向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱 *IAM 使用者指南*中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《IAM 使用者指南》**中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《IAM 使用者指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)中的*透過 MFA 的安全 API 存取*。
如需 IAM 中最佳實務的相關資訊,請參閱 *IAM 使用者指南*中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 QLDB 主控台
若要存取 Amazon QLDB 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 QLDB 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色可以完整存取 QLDB 主控台及其所有功能,請將下列 AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS Amazon QLDB 的 受管政策](security-iam-awsmanpol.md)和[新增許可給使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
```
AmazonQLDBConsoleFullAccess
```
### 查詢歷史記錄許可
除了 QLDB 許可之外,某些主控台功能需要*資料庫查詢中繼資料服務的*許可 (服務字首:`dbqms`)。這是僅限內部的服務,可在 QLDB 和其他 的主控台查詢編輯器上管理您最近和已儲存的查詢 AWS 服務。如需 DBQMS API 動作的完整清單,請參閱《服務授權參考》中的[資料庫查詢中繼資料](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databasequerymetadataservice.html)服務。 **
若要允許查詢歷史記錄許可,您可以使用 AWS 受管政策 [AmazonQLDBConsoleFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess)。此政策使用萬用字元 (`dbqms:*`) 來允許所有資源的所有 DBQMS 動作。
或者,您可以建立自訂 IAM 政策,並包含下列 DBQMS 動作。QLDB 主控台上的 PartiQL 查詢編輯器需要許可,才能將這些動作用於查詢歷史記錄功能。
```
dbqms:CreateFavoriteQuery
dbqms:CreateQueryHistory
dbqms:DeleteFavoriteQueries
dbqms:DeleteQueryHistory
dbqms:DescribeFavoriteQueries
dbqms:DescribeQueryHistory
dbqms:UpdateFavoriteQuery
```
### 沒有查詢歷史記錄的完整存取主控台許可
若要允許完整存取 QLDB 主控台,*而沒有任何*查詢歷史記錄許可,您可以建立排除[所有 DBQMS 動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databasequerymetadataservice.html)的自訂 IAM 政策。例如,下列政策文件允許受 AWS 管政策 [AmazonQLDBConsoleFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonQLDBConsoleFullAccess) 授予的相同許可,*但*以服務字首 開頭的動作除外`dbqms`。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"qldb:CreateLedger",
"qldb:UpdateLedger",
"qldb:UpdateLedgerPermissionsMode",
"qldb:DeleteLedger",
"qldb:ListLedgers",
"qldb:DescribeLedger",
"qldb:ExportJournalToS3",
"qldb:ListJournalS3Exports",
"qldb:ListJournalS3ExportsForLedger",
"qldb:DescribeJournalS3Export",
"qldb:CancelJournalKinesisStream",
"qldb:DescribeJournalKinesisStream",
"qldb:ListJournalKinesisStreamsForLedger",
"qldb:StreamJournalToKinesis",
"qldb:GetBlock",
"qldb:GetDigest",
"qldb:GetRevision",
"qldb:TagResource",
"qldb:UntagResource",
"qldb:ListTagsForResource",
"qldb:SendCommand",
"qldb:ExecuteStatement",
"qldb:ShowCatalog",
"qldb:InsertSampleData",
"qldb:PartiQLCreateIndex",
"qldb:PartiQLDropIndex",
"qldb:PartiQLCreateTable",
"qldb:PartiQLDropTable",
"qldb:PartiQLUndropTable",
"qldb:PartiQLDelete",
"qldb:PartiQLInsert",
"qldb:PartiQLUpdate",
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kinesis:ListStreams",
"kinesis:DescribeStream"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "qldb.amazonaws.com"
}
}
}
]
}
```
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 執行資料交易
若要透過在總帳上執行 [PartiQL](ql-reference.md) 陳述式與 QLDB 交易資料 API (*QLDB 工作階段*) 互動,您必須授予 `SendCommand` API 動作的許可。下列 JSON 文件是政策的範例,僅授予對總帳 上 `SendCommand` API 動作的許可`myExampleLedger`。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
}
]
}
```
如果 `myExampleLedger`使用`ALLOW_ALL`許可模式,則此政策會授予許可,以在總帳中的任何資料表上執行所有 PartiQL 命令。
您也可以使用 AWS 受管政策,授予所有 QLDB 資源的完整存取權。如需詳細資訊,請參閱[AWS Amazon QLDB 的 受管政策](security-iam-awsmanpol.md)。
### PartiQL 動作和資料表資源的標準許可
對於`STANDARD`許可模式中的總帳,您可以參考以下 IAM 政策文件作為授予適當 PartiQL 許可的範例。如需每個 PartiQL 命令所需許可的清單,請參閱 [PartiQL 許可參考](getting-started-standard-mode.md#security_iam_partiql-reference)。
**Topics**
+ [完整存取所有動作](#security_iam_id-based-policy-examples-full-access)
+ [根據資料表標籤完整存取所有動作](#security_iam_id-based-policy-examples-full-tags)
+ [讀取/寫入存取](#security_iam_id-based-policy-examples-read-write)
+ [唯讀存取](#security_iam_id-based-policy-examples-read-only)
+ [特定資料表的唯讀存取權](#security_iam_id-based-policy-examples-table-specific)
+ [允許建立資料表的存取權](#security_iam_id-based-policy-examples-create-table)
+ [允許根據請求標籤建立資料表的存取權](#security_iam_id-based-policy-examples-table-tags)
#### 完整存取所有動作
下列 JSON 政策文件授予完整存取權,以在 *中的所有*資料表上使用*所有* PartiQL 命令`myExampleLedger`。此政策會產生與使用總帳的`ALLOW_ALL`許可模式相同的效果。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLCreateIndex",
"qldb:PartiQLDropIndex",
"qldb:PartiQLCreateTable",
"qldb:PartiQLDropTable",
"qldb:PartiQLUndropTable",
"qldb:PartiQLDelete",
"qldb:PartiQLInsert",
"qldb:PartiQLUpdate",
"qldb:PartiQLRedact",
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
#### 根據資料表標籤完整存取所有動作
下列 JSON 政策文件使用以資料表資源標籤為基礎的條件,授予對 *中所有*資料表使用所有 PartiQL 命令*的完整*存取權`myExampleLedger`。只有在資料表標籤`environment`的值為 時,才會授予許可`development`。
**警告**
這是使用萬用字元 (\$1) 來允許所有 PartiQL 動作的範例,包括 QLDB 總帳中所有資料表的管理和讀/寫操作。反之,最佳實務是明確指定要授予的每個動作,以及只指定該使用者、角色或群組所需的動作。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissionsBasedOnTags",
"Effect": "Allow",
"Action": [
"qldb:PartiQL*"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
],
"Condition": {
"StringEquals": { "aws:ResourceTag/environment": "development" }
}
}
]
}
```
#### 讀取/寫入存取
下列 JSON 政策文件授予許可,以選取、插入、更新和刪除 中所有資料表的資料`myExampleLedger`。此政策不會授予修改資料或更改結構描述的許可,例如建立和捨棄資料表和索引。
**注意**
`UPDATE` 陳述式需要對正在修改之資料表上的 `qldb:PartiQLUpdate`和 `qldb:PartiQLSelect`動作的許可。當您執行 `UPDATE`陳述式時,除了更新操作之外,還會執行讀取操作。需要這兩個動作可確保只有被允許讀取資料表內容的使用者才會獲得`UPDATE`許可。
同樣地, `DELETE`陳述式需要 `qldb:PartiQLDelete`和 `qldb:PartiQLSelect`動作的許可。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadWritePermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLDelete",
"qldb:PartiQLInsert",
"qldb:PartiQLUpdate",
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
#### 唯讀存取
下列 JSON 政策文件授予 中所有資料表的唯讀許可`myExampleLedger`。若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
#### 特定資料表的唯讀存取權
下列 JSON 政策文件授予 中特定資料表的唯讀許可`myExampleLedger`。在此範例中,資料表 ID 為 `Au1EiThbt8s0z9wM26REZN`。
若要使用此政策,請以您自己的資訊取代範例中的 *us-east-1*、*123456789012*、*myExampleLedger* 和 *Au1EiThbt8s0z9wM26REZN*。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissionsOnTable",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN"
]
}
]
}
```
#### 允許建立資料表的存取權
下列 JSON 政策文件授予在 中建立資料表的許可`myExampleLedger`。`qldb:PartiQLCreateTable` 動作需要資料表資源類型的許可。不過,當您執行`CREATE TABLE`陳述式時,並不知道新資料表的資料表 ID。因此,授予`qldb:PartiQLCreateTable`許可的政策必須使用資料表 ARN 中的萬用字元 (\$1) 來指定資源。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLCreateTablePermission",
"Effect": "Allow",
"Action": [
"qldb:PartiQLCreateTable"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*"
]
}
]
}
```
#### 允許根據請求標籤建立資料表的存取權
下列 JSON 政策文件使用以`aws:RequestTag`內容金鑰為基礎的條件,授予在 中建立資料表的許可`myExampleLedger`。只有在請求標籤`environment`的值為 時,才會授予許可`development`。建立時標記資料表需要同時存取 `qldb:PartiQLCreateTable`和 `qldb:TagResource`動作。若要了解如何在建立時標記資料表,請參閱 [標記資料表](getting-started-standard-mode.md#security_iam_partiql-ref.table-tags)。
若要使用此政策,請將範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLCreateTablePermission",
"Effect": "Allow",
"Action": [
"qldb:PartiQLCreateTable",
"qldb:TagResource"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*"
],
"Condition": {
"StringEquals": { "aws:RequestTag/environment": "development" }
}
}
]
}
```
## 將日誌匯出至 Amazon S3 儲存貯體
**步驟 1:QLDB 日誌匯出許可**
在下列範例中,您授予 AWS 帳戶 許可中的使用者對 QLDB 總帳資源執行 `qldb:ExportJournalToS3`動作。您也可以授予許可,以對要傳遞給 QLDB 服務的 IAM 角色資源執行`iam:PassRole`動作。這是所有日誌匯出請求的必要項目。
若要使用此政策,請將範例中 *us-east-1*、*123456789012*、*myExampleLedger* 和 *qldb-s3-export* 取代為您自己的資訊。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBJournalExportPermission",
"Effect": "Allow",
"Action": "qldb:ExportJournalToS3",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "IAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/qldb-s3-export",
"Condition": {
"StringEquals": {
"iam:PassedToService": "qldb.amazonaws.com"
}
}
}
]
}
```
**步驟 2:Amazon S3 儲存貯體許可**
在下列範例中,您使用 IAM 角色授予 QLDB 寫入其中一個 Amazon S3 儲存貯體的存取權`amzn-s3-demo-bucket`。這對於所有 QLDB 日誌匯出也是必要的。
除了授予 `s3:PutObject`許可之外,該政策還授予 `s3:PutObjectAcl` 許可,讓 能夠設定物件的存取控制清單 (ACL) 許可。
若要使用此政策,請將範例中的 amzn-s3-demo-bucket 取代為您的 Amazon S3 儲存貯體名稱。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBJournalExportS3Permissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
然後,您將此許可政策連接到 QLDB 可以擔任的 IAM 角色,以存取您的 Amazon S3 儲存貯體。下列 JSON 文件是信任政策的範例,允許 QLDB `123456789012`僅擔任帳戶中任何 QLDB 資源的 IAM 角色。
若要使用此政策,請以您自己的資訊取代範例中的 *us-east-1* 和 *123456789012*。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "qldb.amazonaws.com"
},
"Action": [ "sts:AssumeRole" ],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
## 將日誌串流至 Kinesis Data Streams
**步驟 1:QLDB 日誌串流許可**
在下列範例中,您授予 AWS 帳戶 許可中的使用者對總帳中的所有 QLDB 串流子資源執行 `qldb:StreamJournalToKinesis`動作。您也授予許可,以對要傳遞給 QLDB 服務的 IAM 角色資源執行`iam:PassRole`動作。所有日誌串流請求都需有此許可。
若要使用此政策,請以您自己的資訊取代範例中的 *us-east-1*、*123456789012*、*myExampleLedger* 和 *qldb-kinesis-stream*。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBJournalStreamPermission",
"Effect": "Allow",
"Action": "qldb:StreamJournalToKinesis",
"Resource": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
},
{
"Sid": "IAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/qldb-kinesis-stream",
"Condition": {
"StringEquals": {
"iam:PassedToService": "qldb.amazonaws.com"
}
}
}
]
}
```
**步驟 2:Kinesis Data Streams 許可**
在下列範例中,您使用 IAM 角色授予 QLDB 將資料記錄寫入 Amazon Kinesis 資料串流 *stream-for-qldb* 的存取權。這對於所有 QLDB 日誌串流也是必要的。
若要使用此政策,請以您自己的資訊取代範例中的 *us-east-1*、*123456789012* 和 *stream-for-qldb*。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBStreamKinesisPermissions",
"Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
"Effect": "Allow",
"Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/stream-for-qldb"
}
]
}
```
然後,您將此許可政策連接到 QLDB 可以擔任的 IAM 角色,以存取您的 Kinesis 資料串流。下列 JSON 文件是信任政策的範例,允許 QLDB `myExampleLedger`僅為總帳擔任帳戶中任何 QLDB 串流`123456789012`的 IAM 角色。
若要使用此政策,請以您自己的資訊取代範例中的 *us-east-1*、*123456789012* 和 *myExampleLedger*。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "qldb.amazonaws.com"
},
"Action": [ "sts:AssumeRole" ],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
## 根據標籤更新 QLDB 分類帳
您可以在身分型政策中使用條件,根據標籤控制對 QLDB 資源的存取。此範例示範如何建立允許更新總帳的政策。不過,只有在總帳標籤`Owner`具有該使用者的使用者名稱值時,才會授予許可。此政策也會授予在主控台完成此動作的必要許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListLedgersInConsole",
"Effect": "Allow",
"Action": "qldb:ListLedgers",
"Resource": "*"
},
{
"Sid": "UpdateLedgerIfOwner",
"Effect": "Allow",
"Action": "qldb:UpdateLedger",
"Resource": "arn:aws:qldb:*:*:ledger/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
您可以將此政策連接到您帳戶中的 使用者。如果名為 `richard-roe` 的使用者嘗試更新 QLDB 分類帳,分類帳必須加上標籤 `Owner=richard-roe`或 `owner=richard-roe`。否則,他便會被拒絕存取。條件標籤金鑰 `Owner` 符合 `Owner` 和 `owner`,因為條件金鑰名稱不區分大小寫。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。