Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer à utiliser le mode d'autorisation standard dans Amazon QLDB
Utilisez cette section pour commencer à utiliser le mode d'autorisation standard dans Amazon QLDB. Cette section fournit un tableau de référence pour vous aider à écrire une politique basée sur l'identité dans Gestion des identités et des accès AWS (IAM) pour les actions partiQL et les ressources de table dans QLDB. Il inclut également un step-by-step didacticiel pour créer des politiques d'autorisation dans IAM, ainsi que des instructions pour trouver un ARN de table et créer des balises de table dans QLDB.
**Topics**
+ [Le mode `STANDARD` autorisations](#standard-permissions-mode)
+ [Référence des autorisations partiQL](#security_iam_partiql-reference)
+ [Trouver un ID de table et un ARN](#security_iam_partiql-ref.table-arn)
+ [Tableaux de balisage](#security_iam_partiql-ref.table-tags)
+ [Tutoriel de démarrage rapide : Création de politiques d'autorisation](#getting-started-standard-mode-tutorial)
## Le mode `STANDARD` autorisations
QLDB prend désormais en charge `STANDARD` un mode d'autorisations pour les ressources du registre. Le mode d'autorisations standard permet un contrôle d'accès avec une granularité plus fine pour les registres, les tables et les commandes partiQL. Par défaut, ce mode refuse toutes les demandes d'exécution de commandes partiQL sur les tables d'un registre.
**Note**
Auparavant, le seul mode d'autorisation disponible pour un registre était`ALLOW_ALL`. Ce `ALLOW_ALL` mode permet le contrôle d'accès avec une granularité au niveau de l'API pour les registres et continue d'être pris en charge, mais n'est pas recommandé, pour les registres QLDB. Ce mode permet aux utilisateurs autorisés par l'`SendCommand`API d'exécuter toutes les commandes partiQL sur toutes les tables du registre spécifié par la politique d'autorisation (d'où « autoriser toutes » les commandes partiQL).
Vous pouvez modifier le mode d'autorisation des registres existants de `ALLOW_ALL` à`STANDARD`. Pour plus d'informations, consultez [Migration vers le mode d'autorisations standard](ledger-management.basics.md#ledger-mgmt.basics.update-permissions.migrating).
Pour autoriser les commandes en mode standard, vous devez créer une politique d'autorisation dans IAM pour des ressources de table et des actions partiQL spécifiques. Cela s'ajoute à l'autorisation `SendCommand` d'API pour le registre. Pour faciliter les politiques dans ce mode, QLDB a introduit [un ensemble d'actions IAM](#security_iam_partiql-reference-table) pour les commandes partiQL, et Amazon Resource Names ARNs () pour les tables QLDB. Pour plus d'informations sur le modèle d'objet de données QLDB, consultez. [Concepts et terminologie de base dans Amazon QLDB](ledger-structure.md)
## Référence des autorisations partiQL
Le tableau suivant répertorie chaque commande QLDB partiQL, les actions IAM correspondantes pour lesquelles vous devez accorder des autorisations pour exécuter la commande, AWS ainsi que les ressources pour lesquelles vous pouvez accorder ces autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique.
**Important**
Les politiques IAM qui accordent des autorisations à ces commandes partiQL ne s'appliquent à votre registre que si `STANDARD` le mode d'autorisations est attribué au registre. Ces politiques ne sont pas applicables aux registres en mode `ALLOW_ALL` autorisations.
Pour savoir comment spécifier le mode d'autorisation lorsque vous créez ou mettez à jour un registre[Opérations de base pour les registres Amazon QLDB](ledger-management.basics.md), voir ou [Étape 1 : Création d'un nouveau registre](getting-started-step-1.md) dans *Getting started with the console*.
Pour exécuter des commandes partiQL sur un registre, vous devez également autoriser l'action d'`SendCommand`API pour la ressource du registre. Cela s'ajoute aux actions partiQL et aux ressources de table répertoriées dans le tableau suivant. Pour de plus amples informations, veuillez consulter [Transactions de données en cours](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-data-transactions).
**Commandes partiQL Amazon QLDB et autorisations requises**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/qldb/latest/developerguide/getting-started-standard-mode.html)
Pour des exemples de documents de politique IAM qui accordent des autorisations à ces commandes partiQL, passez [Tutoriel de démarrage rapide : Création de politiques d'autorisation](#getting-started-standard-mode-tutorial) à ou consultez. [Exemples de politiques basées sur l'identité pour Amazon QLDB](security_iam_id-based-policy-examples.md)
## Trouver un ID de table et un ARN
Vous pouvez trouver un identifiant de table en utilisant AWS Management Console ou en interrogeant la table [information\$1schema.user\$1tables](working.catalog.md). Pour afficher les détails de la table sur la console ou pour interroger cette table du catalogue système, vous devez avoir l'`SELECT`autorisation d'accéder à la ressource du catalogue système. Par exemple, pour trouver l'ID de la `Vehicle` table, vous pouvez exécuter l'instruction suivante.
```
SELECT * FROM information_schema.user_tables
WHERE name = 'Vehicle'
```
Cette requête renvoie les résultats dans un format similaire à celui de l'exemple suivant.
```
{
tableId: "Au1EiThbt8s0z9wM26REZN",
name: "Vehicle",
indexes: [
{ indexId: "Djg2nt0yIs2GY0T29Kud1z", expr: "[VIN]", status: "ONLINE" },
{ indexId: "4tPW3fUhaVhDinRgKRLhGU", expr: "[LicensePlateNumber]", status: "BUILDING" }
],
status: "ACTIVE"
}
```
Pour accorder l'autorisation d'exécuter des instructions partiQL sur une table, vous devez spécifier une ressource de table au format ARN suivant.
```
arn:aws:qldb:${region}:${account-id}:ledger/${ledger-name}/table/${table-id}
```
Voici un exemple d'ARN de table pour l'ID de table`Au1EiThbt8s0z9wM26REZN`.
```
arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN
```
### Utilisation de la console
Vous pouvez également utiliser la console QLDB pour rechercher l'ARN d'une table.
**Pour trouver l'ARN d'une table (console)**
1. [Connectez-vous à la AWS Management Console console Amazon QLDB et ouvrez-la à l'adresse /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. Dans le volet de navigation, choisissez **Ledgers**.
1. Dans la liste des **registres**, choisissez le nom du registre dont vous souhaitez rechercher l'ARN de la table.
1. Sur la page des détails du registre, sous l'onglet **Tables**, recherchez le nom de la table dont vous souhaitez rechercher l'ARN. Pour copier l'ARN, cliquez sur l'icône de copie (![\[Copy icon.\]](http://docs.aws.amazon.com/fr_fr/qldb/latest/developerguide/images/copy.png)) à côté de celui-ci.
## Tableaux de balisage
Vous pouvez baliser les ressources de votre table. Pour gérer les balises pour les tables existantes, utilisez les opérations AWS Management Console ou l'API `TagResource``UntagResource`, et`ListTagsForResource`. Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon QLDB](tagging.md).
**Note**
Les ressources de table n'héritent pas des balises de leur ressource de registre racine.
Le balisage des tables lors de leur création est actuellement pris en charge pour les registres en mode `STANDARD` autorisations uniquement.
Vous pouvez également définir des balises de table lors de la création de la table à l'aide de la console QLDB ou en les spécifiant dans une `CREATE TABLE` instruction partiQL. L'exemple suivant crée une table nommée `Vehicle` avec la balise`environment=production`.
```
CREATE TABLE Vehicle WITH (aws_tags = `{'environment': 'production'}`)
```
Le balisage des tables lors de leur création nécessite l'accès aux `qldb:TagResource` actions `qldb:PartiQLCreateTable` et.
En attribuant des étiquettes aux ressources au moment de la création, vous pouvez supprimer la nécessité d'exécuter des scripts d'identification personnalisés après la création de ressources. Une fois qu'une table est balisée, vous pouvez contrôler l'accès à la table en fonction de ces balises. Par exemple, vous pouvez accorder un accès complet uniquement aux tables dotées d'une balise spécifique. Pour un exemple de politique JSON, consultez[Accès complet à toutes les actions en fonction des balises du tableau](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-full-tags).
### Utilisation de la console
Vous pouvez également utiliser la console QLDB pour définir des balises de table lors de la création de la table.
**Pour étiqueter un tableau lors de sa création (console)**
1. [Connectez-vous à la AWS Management Console console Amazon QLDB et ouvrez-la à l'adresse /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. Dans le volet de navigation, choisissez **Ledgers**.
1. Dans la liste des **livres,** choisissez le nom du livre dans lequel vous souhaitez créer la table.
1. Sur la page des détails du registre, sous l'onglet **Tables**, choisissez **Créer une table.**
1. Sur la page **Créer une table**, procédez comme suit :
+ **Nom de la table** — Entrez un nom de table.
+ **Balises** : ajoutez des métadonnées à la table en attachant des balises sous forme de paires clé-valeur. Vous pouvez ajouter des balises à votre tableau pour mieux les organiser et les identifier.
Choisissez **Ajouter une balise**, puis entrez les paires clé-valeur appropriées.
1. Lorsque les paramètres vous conviennent, choisissez **Créer une table**.
## Tutoriel de démarrage rapide : Création de politiques d'autorisation
Ce didacticiel explique les étapes à suivre pour créer des politiques d'autorisations dans IAM pour un registre Amazon QLDB en mode autorisations. `STANDARD` Vous pouvez ensuite attribuer les autorisations à vos utilisateurs, groupes ou rôles.
Pour plus d'exemples de documents de politique IAM qui accordent des autorisations aux commandes partiQL et aux ressources de table, consultez. [Exemples de politiques basées sur l'identité pour Amazon QLDB](security_iam_id-based-policy-examples.md)
**Topics**
+ [Prérequis](#getting-started-standard-mode-prereqs)
+ [Création d'une politique en lecture seule](#getting-started-standard-mode-read-only)
+ [Création d'une politique d'accès complet](#getting-started-standard-mode-full-access)
+ [Création d'une politique de lecture seule pour une table spécifique](#getting-started-standard-mode-read-only-table)
+ [Attribution d’autorisations](#getting-started-standard-mode-assign-permissions)
### Prérequis
Avant de commencer, assurez-vous d'effectuer les opérations suivantes :
1. Suivez les instructions de AWS configuration [Accès à Amazon QLDB](accessing.md) indiquées dans, si ce n'est déjà fait. Ces étapes incluent l'inscription AWS et la création d'un utilisateur administratif.
1. Créez un nouveau registre et choisissez le mode `STANDARD` d'autorisations pour le registre. Pour savoir comment procéder, consultez [Étape 1 : Création d'un nouveau registre](getting-started-step-1.md) la section *Prise en main de la console*, ou[Opérations de base pour les registres Amazon QLDB](ledger-management.basics.md).
### Création d'une politique en lecture seule
Pour utiliser l'éditeur de stratégie JSON afin de créer une politique en lecture seule pour *toutes les tables* d'un registre en mode d'autorisations standard, procédez comme suit :
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans la colonne de navigation de gauche, sélectionnez **Politiques**.
Si vous choisissez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s'affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Choisissez l’onglet **JSON**.
1. Copiez et collez le document de politique JSON suivant. Cet exemple de politique accorde un accès *en lecture seule* à toutes les tables d'un registre.
Pour utiliser cette politique, remplacez *us-east-1**123456789012*, et *myExampleLedger* dans l'exemple par vos propres informations.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
1. Choisissez **Examiner une politique**.
**Note**
Vous pouvez basculer à tout moment entre les onglets **Éditeur visuel** et **JSON**. Toutefois, si vous apportez des modifications ou sélectionnez **Examiner une politique** dans l'onglet **Éditeur visuel**, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour de plus amples informations, consulte [Restructuration d'une politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l'utilisateur IAM*.
1. Dans la page **Examiner une politique**, entrez un **nom** et éventuellement une **description** pour la politique que vous êtes en train de créer. Vérifiez le **récapitulatif** de la politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite **Créer une politique** pour enregistrer votre travail.
### Création d'une politique d'accès complet
Pour créer une politique d'accès complet pour toutes les tables d'un registre QLDB en mode d'autorisations standard, procédez comme suit :
+ Répétez les [étapes précédentes](#getting-started-standard-mode-read-only) à l'aide du document de politique suivant. Cet exemple de politique accorde l'accès à *toutes les commandes partiQL* pour *toutes les tables* d'un registre, en utilisant des caractères génériques (\$1) pour couvrir toutes les actions partiQL et toutes les ressources d'un registre.
**Avertissement**
Il s'agit d'un exemple d'utilisation d'un caractère générique (\$1) pour autoriser toutes les actions partiQL, y compris l'administration read/write et les opérations sur toutes les tables d'un registre QLDB. Il est préférable de spécifier explicitement chaque action à accorder, et uniquement ce dont cet utilisateur, ce rôle ou ce groupe a besoin.
Pour utiliser cette politique, remplacez *us-east-1**123456789012*, et *myExampleLedger* dans l'exemple par vos propres informations.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQL*"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
### Création d'une politique de lecture seule pour une table spécifique
Pour créer une politique d'accès en lecture seule pour une table spécifique dans un registre QLDB en mode d'autorisations standard, procédez comme suit :
1. Trouvez l'ARN de la table en utilisant AWS Management Console ou en interrogeant la table `information_schema.user_tables` du catalogue du système. Pour obtenir des instructions, veuillez consulter [Trouver un ID de table et un ARN](#security_iam_partiql-ref.table-arn).
1. Utilisez l'ARN de la table pour créer une politique qui autorise l'accès en lecture seule à la table. Pour ce faire, répétez les [étapes précédentes](#getting-started-standard-mode-read-only) à l'aide du document de politique suivant.
Cet exemple de politique accorde un accès *en lecture seule* à la *table spécifiée* uniquement. Dans cet exemple, l'ID de table est`Au1EiThbt8s0z9wM26REZN`. Pour utiliser cette politique, remplacez*us-east-1*, *123456789012**myExampleLedger*, et *Au1EiThbt8s0z9wM26REZN* dans l'exemple par vos propres informations.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN"
]
}
]
}
```
### Attribution d’autorisations
Après avoir créé une politique d'autorisations QLDB, vous attribuez les autorisations comme suit.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.