AWS рекомендует стандартный режим разрешений QLDB вместо Allow_all, чтобы разрешить доступ с минимальными привилегиями для ресурсов, которым необходимо выполнять операции в QLDB.
Ссылка: https://docs.aws.amazon.com/qldb/latest/developerguide/getting-started-standard-mode.html
Однако, если вы используете конечные точки VPC для создания частного канала между этими ресурсами и QLDB, в соответствии со следующей документацией только действие SendCommand может поддерживаться конечной точкой VPC: «В этом примере политики указано только действие SendCommand, поскольку это единственное действие QLDB. который в настоящее время поддерживает конечные точки интерфейса».
Ссылка: https://docs.aws.amazon.com/qldb/latest/developerguide/vpc-endpoints.html
При этом, похоже, невозможно реализовать стандартный режим QLDB через конечную точку VPC.
Верно ли это предположение или возможно ли использовать стандартный режим QLDB + конечную точку VPC?
Спасибо за ваш отзыв о документе. Поддерживается стандартный режим QLDB + конечная точка VPC. Вы можете ограничить разрешения на выполнение команд PartiQL на ресурсах QLDB с помощью действий IAM в стандартном режиме, например. qldb:PartiQLCreateTable.
Я немного обновил POC, чтобы показать QLDB в стандартном режиме, работающем с конечной точкой VPC. Вы можете найти репо здесь — https://github.com/AWS-South-Wales-User-Group/qldb-vpc
Спасибо, что поделился. Это работало довольно хорошо после небольшого изменения, как я предложил вам в вопросах Github.
Я пытался использовать эти действия IAM, следуя этой странице, которой вы поделились, и не смог работать со стандартным режимом + конечной точкой vpc. В основном у меня есть политика IAM, привязанная к роли, используемой лямбдой, которая пытается связаться с QLDB через конечную точку VPC, а также политика, прикрепленная к конечной точке QLDB VPC. Пожалуйста, проверьте оба здесь: pastebin.com/0EVgnDip