Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai dengan mode izin standar di Amazon QLDB
Gunakan bagian ini untuk memulai mode izin standar di Amazon QLDB. Bagian ini menyediakan tabel referensi untuk membantu Anda saat menulis kebijakan berbasis identitas di AWS Identity and Access Management (IAM) untuk tindakan PartiQL dan sumber daya tabel di QLDB. Ini juga mencakup step-by-step tutorial untuk membuat kebijakan izin di IAM, dan instruksi untuk menemukan tabel ARN dan membuat tag tabel di QLDB.
**Topics**
+ [`STANDARD`Mode izin](#standard-permissions-mode)
+ [Referensi izin PartiQL](#security_iam_partiql-reference)
+ [Menemukan ID tabel dan ARN](#security_iam_partiql-ref.table-arn)
+ [Menandai tabel](#security_iam_partiql-ref.table-tags)
+ [Tutorial mulai cepat: Membuat kebijakan izin](#getting-started-standard-mode-tutorial)
## `STANDARD`Mode izin
QLDB sekarang mendukung mode izin untuk sumber `STANDARD` daya buku besar. Mode izin standar memungkinkan kontrol akses dengan perincian yang lebih halus untuk buku besar, tabel, dan perintah PartiQL. Secara default, mode ini menolak semua permintaan untuk menjalankan perintah PartiQL pada tabel apa pun dalam buku besar.
**catatan**
Sebelumnya, satu-satunya mode izin yang tersedia untuk buku besar adalah. `ALLOW_ALL` `ALLOW_ALL`Mode ini memungkinkan kontrol akses dengan perincian tingkat API untuk buku besar, dan terus didukung — tetapi tidak direkomendasikan — untuk buku besar QLDB. Mode ini memungkinkan pengguna yang memiliki izin `SendCommand` API untuk menjalankan semua perintah PartiQL pada tabel apa pun di buku besar yang ditentukan oleh kebijakan izin (karenanya, “izinkan semua” perintah PartiQL).
Anda dapat mengubah mode izin buku besar yang ada dari `ALLOW_ALL` ke. `STANDARD` Untuk informasi, lihat [Migrasi ke mode izin standar](ledger-management.basics.md#ledger-mgmt.basics.update-permissions.migrating).
Untuk mengizinkan perintah dalam mode standar, Anda harus membuat kebijakan izin di IAM untuk sumber daya tabel tertentu dan tindakan PartiQL. Ini merupakan tambahan dari izin `SendCommand` API untuk buku besar. Untuk memfasilitasi kebijakan dalam mode ini, QLDB memperkenalkan [serangkaian tindakan IAM](#security_iam_partiql-reference-table) untuk perintah PartiQL, dan Nama Sumber Daya Amazon () untuk tabel QLDB. ARNs Untuk informasi selengkapnya tentang model objek data QLDB, lihat. [Konsep inti dan terminologi di Amazon QLDB](ledger-structure.md)
## Referensi izin PartiQL
Tabel berikut mencantumkan setiap perintah QLDB PartiQL, tindakan IAM terkait yang harus Anda berikan izin untuk menjalankan perintah, AWS dan sumber daya yang dapat Anda berikan izin. Anda menentukan tindakan dalam bidang `Action` kebijakan, dan Anda menentukan nilai sumber daya pada bidang `Resource` kebijakan.
**penting**
Kebijakan IAM yang memberikan izin untuk perintah PartiQL ini hanya berlaku untuk buku besar Anda jika mode `STANDARD` izin ditetapkan ke buku besar. Kebijakan tersebut tidak berlaku untuk buku besar dalam mode `ALLOW_ALL` izin.
Untuk mempelajari cara menentukan mode izin saat Anda membuat atau memperbarui buku besar, lihat[Operasi dasar untuk buku besar QLDB Amazon](ledger-management.basics.md), atau [Langkah 1: Buat buku besar baru](getting-started-step-1.md) di *Memulai konsol*.
Untuk menjalankan perintah PartiQL pada buku besar, Anda juga harus memberikan izin untuk tindakan API untuk sumber daya `SendCommand` buku besar. Ini adalah tambahan untuk tindakan PartiQL dan sumber daya tabel yang tercantum dalam tabel berikut. Untuk informasi selengkapnya, lihat [Menjalankan transaksi data](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-data-transactions).
**Perintah Amazon QLDB PartiQL dan izin yang diperlukan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/qldb/latest/developerguide/getting-started-standard-mode.html)
Untuk contoh dokumen kebijakan IAM yang memberikan izin untuk perintah PartiQL ini, lanjutkan ke atau lihat. [Tutorial mulai cepat: Membuat kebijakan izin](#getting-started-standard-mode-tutorial) [Contoh kebijakan berbasis identitas untuk Amazon QLDB](security_iam_id-based-policy-examples.md)
## Menemukan ID tabel dan ARN
Anda dapat menemukan ID tabel dengan menggunakan Konsol Manajemen AWS atau dengan menanyakan tabel [information\$1schema.user\$1tables](working.catalog.md). Untuk melihat detail tabel di konsol, atau untuk menanyakan tabel katalog sistem ini, Anda harus memiliki `SELECT` izin pada sumber daya katalog sistem. Misalnya, untuk menemukan ID tabel `Vehicle` tabel, Anda dapat menjalankan pernyataan berikut.
```
SELECT * FROM information_schema.user_tables
WHERE name = 'Vehicle'
```
Query ini mengembalikan hasil dalam format yang mirip dengan contoh berikut.
```
{
tableId: "Au1EiThbt8s0z9wM26REZN",
name: "Vehicle",
indexes: [
{ indexId: "Djg2nt0yIs2GY0T29Kud1z", expr: "[VIN]", status: "ONLINE" },
{ indexId: "4tPW3fUhaVhDinRgKRLhGU", expr: "[LicensePlateNumber]", status: "BUILDING" }
],
status: "ACTIVE"
}
```
Untuk memberikan izin untuk menjalankan pernyataan PartiQL pada tabel, Anda menentukan sumber daya tabel dalam format ARN berikut.
```
arn:aws:qldb:${region}:${account-id}:ledger/${ledger-name}/table/${table-id}
```
Berikut ini adalah contoh dari tabel ARN untuk ID tabel. `Au1EiThbt8s0z9wM26REZN`
```
arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN
```
### Menggunakan konsol
Anda juga dapat menggunakan konsol QLDB untuk menemukan tabel ARN.
**Untuk menemukan ARN tabel (konsol)**
1. [Masuk ke Konsol Manajemen AWS, dan buka konsol QLDB Amazon di /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. Di panel navigasi, pilih **Buku Besar**.
1. Dalam daftar **Buku** Besar, pilih nama buku besar yang tabelnya ARN ingin Anda temukan.
1. Pada halaman detail buku besar, di bawah tab **Tabel**, cari nama tabel yang ARN yang ingin Anda temukan. Untuk menyalin ARN, pilih ikon salin (![\[Copy icon.\]](http://docs.aws.amazon.com/id_id/qldb/latest/developerguide/images/copy.png)) di sebelahnya.
## Menandai tabel
Anda dapat menandai sumber daya tabel Anda. Untuk mengelola tag untuk tabel yang ada, gunakan operasi Konsol Manajemen AWS atau API `TagResource``UntagResource`, dan`ListTagsForResource`. Untuk informasi selengkapnya, lihat [Menandai sumber daya QLDB Amazon](tagging.md).
**catatan**
Sumber daya tabel tidak mewarisi tag sumber daya buku besar root mereka.
Menandai tabel pada pembuatan saat ini didukung untuk buku besar dalam mode `STANDARD` izin saja.
Anda juga dapat menentukan tag tabel saat Anda membuat tabel dengan menggunakan konsol QLDB atau dengan menentukannya dalam pernyataan PartiQL. `CREATE TABLE` Contoh berikut membuat tabel bernama `Vehicle` dengan tag`environment=production`.
```
CREATE TABLE Vehicle WITH (aws_tags = `{'environment': 'production'}`)
```
Menandai tabel pada pembuatan membutuhkan akses ke `qldb:TagResource` tindakan `qldb:PartiQLCreateTable` dan tindakan.
Dengan menandai sumber daya saat sedang dibuat, Anda dapat menghilangkan kebutuhan untuk menjalankan skrip penandaan khusus setelah pembuatan sumber daya. Setelah tabel ditandai, Anda dapat mengontrol akses ke tabel berdasarkan tag tersebut. Misalnya, Anda dapat memberikan akses penuh hanya ke tabel yang memiliki tag tertentu. Untuk contoh kebijakan JSON, lihat[Akses penuh ke semua tindakan berdasarkan tag tabel](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-full-tags).
### Menggunakan konsol
Anda juga dapat menggunakan konsol QLDB untuk menentukan tag tabel saat Anda membuat tabel.
**Untuk menandai tabel pada pembuatan (konsol)**
1. [Masuk ke Konsol Manajemen AWS, dan buka konsol QLDB Amazon di /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. Di panel navigasi, pilih **Buku Besar**.
1. Dalam daftar **Buku Besar**, pilih nama buku besar yang ingin Anda buat tabel.
1. Pada halaman detail buku besar, di bawah tab **Tabel**, pilih **Buat tabel**.
1. Pada halaman **Buat tabel**, lakukan hal berikut:
+ **Nama tabel** - Masukkan nama tabel.
+ **Tag** - Tambahkan metadata ke tabel dengan melampirkan tag sebagai pasangan kunci-nilai. Anda dapat menambahkan tag ke tabel Anda untuk membantu mengatur dan mengidentifikasi mereka.
Pilih **Tambahkan tag**, lalu masukkan pasangan nilai kunci apa pun yang sesuai.
1. Jika pengaturan sudah sesuai keinginan Anda, pilih **Buat tabel**.
## Tutorial mulai cepat: Membuat kebijakan izin
Tutorial ini memandu Anda melalui langkah-langkah untuk membuat kebijakan izin di IAM untuk buku besar QLDB Amazon dalam mode izin. `STANDARD` Anda kemudian dapat menetapkan izin untuk pengguna, grup, atau peran Anda.
Untuk lebih banyak contoh dokumen kebijakan IAM yang memberikan izin ke perintah PartiQL dan sumber tabel, lihat. [Contoh kebijakan berbasis identitas untuk Amazon QLDB](security_iam_id-based-policy-examples.md)
**Topics**
+ [Prasyarat](#getting-started-standard-mode-prereqs)
+ [Membuat kebijakan hanya-baca](#getting-started-standard-mode-read-only)
+ [Membuat kebijakan akses penuh](#getting-started-standard-mode-full-access)
+ [Membuat kebijakan hanya-baca untuk tabel tertentu](#getting-started-standard-mode-read-only-table)
+ [Menetapkan izin](#getting-started-standard-mode-assign-permissions)
### Prasyarat
Sebelum memulai, pastikan Anda melakukan hal berikut:
1. Ikuti petunjuk AWS pengaturan di[Mengakses Amazon QLDB](accessing.md), jika Anda belum melakukannya. Langkah-langkah ini termasuk mendaftar AWS dan membuat pengguna administratif.
1. Buat buku besar baru dan pilih mode `STANDARD` izin untuk buku besar. Untuk mempelajari caranya, lihat [Langkah 1: Buat buku besar baru](getting-started-step-1.md) di *Memulai dengan konsol*, atau[Operasi dasar untuk buku besar QLDB Amazon](ledger-management.basics.md).
### Membuat kebijakan hanya-baca
Untuk menggunakan editor kebijakan JSON untuk membuat kebijakan hanya-baca untuk *semua tabel* dalam buku besar dalam mode izin standar, lakukan hal berikut:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di kolom navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul laman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Salin dan tempel dokumen kebijakan JSON berikut. Kebijakan contoh ini memberikan akses *hanya-baca* ke semua tabel dalam buku besar.
Untuk menggunakan kebijakan ini, ganti *us-east-1**123456789012*, dan *myExampleLedger* dalam contoh dengan informasi Anda sendiri.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
1. Pilih **Tinjau kebijakan**.
**catatan**
Anda dapat berpindah antara tab **Editor visual** dan **JSON** kapan pun. Namun, apabila Anda melakukan perubahan atau memilih **Tinjau kebijakan** pada tab **Editor visual**, IAM dapat merestrukturisasi kebijakan Anda untuk menjadikannya optimal bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Peninjauan Kebijakan**, ketikkan **Nama** dan **Deskripsi** opsional untuk kebijakan yang sedang Anda buat. Tinjau **Summary** (Ringkasan) kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.
### Membuat kebijakan akses penuh
Untuk membuat kebijakan akses penuh untuk semua tabel dalam buku besar QLDB dalam mode izin standar, lakukan hal berikut:
+ Ulangi [langkah sebelumnya](#getting-started-standard-mode-read-only) menggunakan dokumen kebijakan berikut. Kebijakan contoh ini memberikan akses ke *semua perintah PartiQL* *untuk semua* tabel dalam buku besar, dengan menggunakan wildcard (\$1) untuk mencakup semua tindakan PartiQL dan semua sumber daya di bawah buku besar.
**Awas**
Ini adalah contoh penggunaan karakter wildcard (\$1) untuk memungkinkan semua tindakan PartiQL, termasuk administrasi read/write dan operasi pada semua tabel dalam buku besar QLDB. Sebaliknya, ini adalah praktik terbaik untuk secara eksplisit menentukan setiap tindakan yang akan diberikan, dan hanya apa yang dibutuhkan pengguna, peran, atau grup itu.
Untuk menggunakan kebijakan ini, ganti *us-east-1**123456789012*, dan *myExampleLedger* dalam contoh dengan informasi Anda sendiri.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQL*"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
### Membuat kebijakan hanya-baca untuk tabel tertentu
Untuk membuat kebijakan akses hanya-baca untuk tabel tertentu dalam buku besar QLDB dalam mode izin standar, lakukan hal berikut:
1. Temukan ARN untuk tabel dengan menggunakan Konsol Manajemen AWS atau dengan menanyakan tabel katalog sistem. `information_schema.user_tables` Untuk petunjuk, lihat [Menemukan ID tabel dan ARN](#security_iam_partiql-ref.table-arn).
1. Gunakan tabel ARN untuk membuat kebijakan yang memungkinkan akses hanya-baca ke tabel. Untuk melakukan ini, ulangi [langkah-langkah sebelumnya](#getting-started-standard-mode-read-only) menggunakan dokumen kebijakan berikut.
Kebijakan contoh ini memberikan akses *hanya-baca ke tabel yang *ditentukan* saja*. Dalam contoh ini, ID tabel adalah`Au1EiThbt8s0z9wM26REZN`. Untuk menggunakan kebijakan ini, ganti*us-east-1*, *123456789012**myExampleLedger*,, dan *Au1EiThbt8s0z9wM26REZN* dalam contoh dengan informasi Anda sendiri.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN"
]
}
]
}
```
### Menetapkan izin
Setelah membuat kebijakan izin QLDB, Anda kemudian menetapkan izin sebagai berikut.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) di *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.