Paso 4: configurar los permisos para la conexión del punto de conexión de VPC - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: configurar los permisos para la conexión del punto de conexión de VPC

Los procedimientos descritos en este paso muestran cómo configurar reglas y permisos para utilizar el punto de conexión de VPC con Amazon Keyspaces.

Para configurar una regla de entrada para que el nuevo punto de conexión permita el tráfico de entrada TCP

  1. En la consola de Amazon VPC, en el panel izquierdo, elija Endpoints y luego el punto de conexión que creó en el paso anterior.

  2. Elija Grupos de seguridad y luego el grupo de seguridad asociado a este punto de conexión.

  3. Elija Reglas de entrada y, a continuación, Editar reglas de entrada.

  4. Agregue una regla de entrada con el Tipo CQLSH / CASSANDRA. Esto establecerá automáticamente el Intervalo de puertos en 9142.

  5. Para guardar la nueva regla de entrada, elija Guardar reglas.

Para configurar los permisos de usuario de IAM

  1. Confirme que el usuario de IAM utilizado para conectarse a Amazon Keyspaces disponga de los permisos apropiados. En AWS Identity and Access Management (IAM), puedes usar la política AWS gestionada AmazonKeyspacesReadOnlyAccess para conceder al usuario de IAM acceso de lectura a Amazon Keyspaces.

    1. Inicie sesión en la consola de AWS Management Console IAM y ábrala en. https://console.aws.amazon.com/iam/

    2. En el panel de la consola de IAM, elija Usuarios y, a continuación, seleccione el usuario de IAM en la lista.

    3. En la página Resumen, elija Añadir permisos.

    4. Elija Asociar políticas existentes directamente.

    5. En la lista de políticas, elija y AmazonKeyspacesReadOnlyAccess, a continuación, elija Siguiente: revisar.

    6. Elija Añadir permisos.

  2. Compruebe que pueda acceder a Amazon Keyspaces a través del punto de conexión de VPC.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Si lo deseas, puedes probar otros AWS CLI comandos para Amazon Keyspaces. Para obtener más información, consulte Referencia de comandos de la AWS CLI.

    nota

    Los permisos mínimos necesarios para que un usuario o rol de IAM pueda acceder a Amazon Keyspaces son permisos de lectura en la tabla del sistema, como se muestra en la siguiente política. Para obtener más información sobre permisos basados en políticas, consulte Ejemplos de políticas basadas en identidades de Amazon Keyspaces.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
         ]
      }
   ]
}

  3. Conceda al usuario de IAM acceso de lectura a la EC2 instancia de Amazon con la VPC.

    Cuando utiliza Amazon Keyspaces con puntos de enlace de VPC, debe conceder al usuario o rol de IAM que accede a Amazon Keyspaces permisos de solo lectura para su instancia de Amazon y la VPC para recopilar datos de punto final e EC2 interfaz de red. Amazon Keyspaces almacena esta información en la tabla system.peers y la utiliza para administrar las conexiones.

    nota

    Las políticas gestionadas AmazonKeyspacesFullAccess incluyen AmazonKeyspacesReadOnlyAccess_v2 los permisos necesarios para permitir que Amazon Keyspaces acceda a la EC2 instancia de Amazon y lea la información sobre los puntos de enlace de la VPC de la interfaz disponibles.

    1. Inicie sesión en la consola de AWS Management Console IAM y ábrala en. https://console.aws.amazon.com/iam/

    2. En el panel de control de la consola de IAM, elija Políticas.

    3. Elija Crear política y, a continuación, elija la pestaña JSON.

    4. Copie la siguiente política y elija Siguiente: Etiquetas.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Elija Siguiente: Revisar, introduzca el nombre keyspacesVPCendpoint para la política y luego elija Crear política.

    6. En el panel de la consola de IAM, elija Usuarios y, a continuación, seleccione el usuario de IAM en la lista.

    7. En la página Resumen, elija Añadir permisos.

    8. Elija Asociar políticas existentes directamente.

    9. En la lista de políticas, elija los espacios clave yVPCendpoint, a continuación, elija Siguiente: revisar.

    10. Elija Añadir permisos.

  4. Para comprobar que la system.peers tabla de Amazon Keyspaces se actualiza con la información de la VPC, ejecuta la siguiente consulta desde tu instancia de Amazon utilizando. EC2 cqlsh Si aún no la has instalado cqlsh en tu EC2 instancia de Amazon en el paso 2, sigue las instrucciones que se indican enUso de la cqlsh-expansion para conectarse a Amazon Keyspaces.

    SELECT peer FROM system.peers;

    El resultado devuelve nodos con direcciones IP privadas, según la configuración de VPC y subred en su región. AWS 

    peer 
--------------- 
112.11.22.123
112.11.22.124
112.11.22.125
    nota

    Debe utilizar una conexión cqlsh a Amazon Keyspaces para confirmar que su punto de conexión de VPC se haya configurado correctamente. Si utiliza su entorno local o el editor CQL de Amazon Keyspaces en la AWS Management Console, la conexión pasa automáticamente por el punto de conexión público en lugar de por su punto de conexión de VPC. Si ve nueve direcciones IP, son las entradas que Amazon Keyspaces escribe automáticamente en la tabla system.peers para las conexiones de puntos de conexión públicos.