Paso 4: configurar los permisos para la conexión del punto de conexión de VPC - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: configurar los permisos para la conexión del punto de conexión de VPC

Los procedimientos descritos en este paso muestran cómo configurar reglas y permisos para utilizar el punto de conexión de VPC con Amazon Keyspaces.

Para configurar una regla de entrada para que el nuevo punto de conexión permita el tráfico de entrada TCP

  1. En la consola de Amazon VPC, en el panel izquierdo, elija Endpoints y luego el punto de conexión que creó en el paso anterior.

  2. Seleccione Administrar grupos de seguridad y, a continuación, elija el grupo de seguridad asociado a este punto final.

  3. Elija Reglas de entrada y, a continuación, Editar reglas de entrada.

  4. Agregue una regla de entrada con el Tipo CQLSH / CASSANDRA. Esto establecerá automáticamente el Intervalo de puertos en 9142.

  5. Para guardar la nueva regla de entrada, elija Guardar reglas.

Para configurar los permisos de usuario de IAM

  1. Confirme que el usuario de IAM utilizado para conectarse a Amazon Keyspaces disponga de los permisos apropiados. En AWS Identity and Access Management (IAM), puedes usar la política AWS gestionada AmazonKeyspacesReadOnlyAccess para conceder al usuario de IAM acceso de lectura a Amazon Keyspaces.

    1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. https://console.aws.amazon.com/iam/

    2. En el panel de la consola de IAM, elija Usuarios y, a continuación, seleccione el usuario de IAM en la lista.

    3. En la página Resumen, elija Añadir permisos.

    4. Elija Asociar políticas existentes directamente.

    5. En la lista de políticas, elija y AmazonKeyspacesReadOnlyAccess, a continuación, elija Siguiente: revisar.

    6. Elija Añadir permisos.

  2. Compruebe que pueda acceder a Amazon Keyspaces a través del punto de conexión de VPC.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Si lo deseas, puedes probar otros AWS CLI comandos para Amazon Keyspaces. Para obtener más información, consulte la AWS CLI Referencia de comandos de la .

    nota

    Los permisos mínimos necesarios para que un usuario o rol de IAM pueda acceder a Amazon Keyspaces son permisos de lectura en la tabla del sistema, como se muestra en la siguiente política. Para obtener más información sobre permisos basados en políticas, consulte Ejemplos de políticas basadas en identidades de Amazon Keyspaces.

    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

  3. Conceda al usuario de IAM acceso de lectura a la instancia de Amazon EC2 con la VPC.

    Al utilizar Amazon Keyspaces con puntos de conexión de VPC, debe conceder al usuario o rol de IAM que acceda a Amazon Keyspaces permisos de solo lectura a su instancia de Amazon EC2 y a la VPC para recopilar datos de puntos de conexión e interfaces de red. Amazon Keyspaces almacena esta información en la tabla system.peers y la utiliza para administrar las conexiones.

    nota

    Las políticas administradas AmazonKeyspacesReadOnlyAccess_v2 y AmazonKeyspacesFullAccess incluyen los permisos necesarios para permitir que Amazon Keyspaces acceda a la instancia de Amazon EC2 para leer la información sobre los puntos de conexión de VPC de interfaz disponibles.

    1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

    2. En el panel de control de la consola de IAM, elija Políticas.

    3. Elija Crear política y, a continuación, elija la pestaña JSON.

    4. Copie la siguiente política y elija Siguiente: Etiquetas.

      {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Elija Siguiente: Revisar, introduzca el nombre keyspacesVPCendpoint para la política y luego elija Crear política.

    6. En el panel de la consola de IAM, elija Usuarios y, a continuación, seleccione el usuario de IAM en la lista.

    7. En la página Resumen, elija Añadir permisos.

    8. Elija Asociar políticas existentes directamente.

    9. En la lista de políticas, elija los espacios clave yVPCendpoint, a continuación, elija Siguiente: revisar.

    10. Elija Añadir permisos.

  4. Para comprobar que la tabla system.peers de Amazon Keyspaces se esté actualizando con información de la VPC, ejecute la siguiente consulta desde su instancia de Amazon EC2 mediante cqlsh. Si aún no ha instalado cqlsh en su instancia de Amazon EC2 según el paso 2, siga las instrucciones indicadas en Uso de la cqlsh-expansion para conectarse a Amazon Keyspaces.

    SELECT * FROM system.peers;

    El resultado devuelve nodos con direcciones IPv6 IP privadas, según la configuración de VPC y subred en su región. AWS 

    
 peer                                    | data_center | host_id                              | preferred_ip                            | rack      | release_version | rpc_address                             | schema_version                       | tokens
-----------------------------------------+-------------+--------------------------------------+-----------------------------------------+-----------+-----------------+-----------------------------------------+--------------------------------------+---------------------------------------------
  2600:1111:2222:3333:283b:8e6:d04f      |   us-east-1 | dddddddd-7a22-3582-a73d-49338a686a53 |  2600:1111:2222:3333:283b:8e6:d04f      | us-east-1 |          3.11.2 |  2600:1111:2222:3333:283b:8e6:d04f      | 05deae2d-6405-494d-a965-c0e5836bcb3c |  {'85070591730234615865843651857942052863'}
 2600:1111:2222:4444:7d26:5a09:1b44      |   us-east-1 | 66666666-035d-37ef-a247-19a6a867ab09 | 2600:1111:2222:4444:7d26:5a09:1b44      | us-east-1 |          3.11.2 | 2600:1111:2222:4444:7d26:5a09:1b44      | 05deae2d-6405-494d-a965-c0e5836bcb3c | {'170141183460469231731687303715884105726'}
    nota

    Debe utilizar una conexión cqlsh a Amazon Keyspaces para confirmar que su punto de conexión de VPC se haya configurado correctamente. Si utiliza su entorno local o el editor CQL de Amazon Keyspaces en la Consola de administración de AWS, la conexión pasa automáticamente por el punto de conexión público en lugar de por su punto de conexión de VPC. Si ve nueve direcciones IP, son las entradas que Amazon Keyspaces escribe automáticamente en la tabla system.peers para las conexiones de puntos de conexión públicos.