Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès entre comptes à Amazon Keyspaces sans VPC partagé
Si la table Amazon Keyspaces et le point de terminaison VPC privé appartiennent à des comptes différents mais ne partagent pas de VPC, les applications peuvent toujours se connecter entre comptes à l'aide de points de terminaison VPC. Parce que les comptes ne partagent pas les points de terminaison VPC, Account AAccount B, et Account C nécessitent leurs propres points de terminaison VPC. Pour le pilote du client Cassandra, Amazon Keyspaces apparaît comme un nœud unique au lieu d'un cluster à nœuds multiples. Lors de la connexion, le pilote client atteint le serveur DNS qui renvoie l'un des points de terminaison disponibles dans le VPC du compte.
Vous pouvez également accéder aux tables Amazon Keyspaces sur différents comptes sans point de terminaison VPC partagé en utilisant les points de terminaison publics ou en déployant un point de terminaison VPC privé dans chaque compte. Lorsque vous n'utilisez pas de VPC partagé, chaque compte a besoin de son propre point de terminaison VPC. Dans cet exemple Account AAccount B, et Account C ont besoin de leurs propres points de terminaison VPC pour accéder à la table dans. Account A Lorsque vous utilisez des points de terminaison VPC dans cette configuration, Amazon Keyspaces apparaît comme un cluster à nœud unique pour le pilote client Cassandra au lieu d'un cluster à nœuds multiples. Lors de la connexion, le pilote client atteint le serveur DNS qui renvoie l'un des points de terminaison disponibles dans le VPC du compte. Mais le pilote client n'est pas en mesure d'accéder à la system.peers table pour découvrir des points de terminaison supplémentaires. Comme il y a moins d'hôtes disponibles, le pilote établit moins de connexions. Pour régler cela, multipliez par trois le paramètre du pool de connexions du pilote.
Account Aest le compte qui contient les ressources (une table Amazon Keyspaces) auxquelles Account B et Account C dont vous avez besoin pour accéder, tout comme le compte de confiance. Account A Account Bet Account C sont les comptes dont les principaux ont besoin d'accéder aux ressources (une table Amazon Keyspaces)Account A, de même Account B que Account C les comptes de confiance. Le compte de confiance accorde les autorisations aux comptes approuvés en partageant un rôle IAM. La procédure suivante décrit les étapes de configuration requises dansAccount A.
Configuration pour Account A
Créez un espace de saisie Amazon Keyspaces et ajoutez-le.
Account ACréez un rôle IAM offrant un accès complet à la table Amazon Keyspaces et un accès en lecture aux tables du système Amazon Keyspaces.
Account A{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select", "cassandra:Modify" ], "Resource":[ "arn:aws:cassandra:region:Account-A:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:region:Account-A:/keyspace/system*" ] } ] }Configurez une politique de confiance pour le rôle IAM dans
Account Aafin que les principauxAccount Cpuissent assumer le rôle enAccount Btant que comptes approuvés. Voici un exemple :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB:role/Cross-Account-Role-B", "AWS": "arn:aws:iam::AccountC:role/Cross-Account-Role-C" }, "Action": "sts:AssumeRole", "Condition": {} } ] }Pour plus d'informations sur les politiques IAM entre comptes, voir Politiques entre comptes dans le Guide de l'utilisateur IAM.
Configurez le point de terminaison VPC dans le point de terminaison
Account Aet attachez-lui des autorisations qui permettent aux rôles d'assumer le rôle d'utilisateur du pointAccount Cde terminaison VPCAccount Bet d'assumer le rôle dans sonAccount Autilisation. Ces autorisations sont valides pour le point de terminaison VPC auquel elles sont attachées. Pour plus d'informations sur les politiques relatives aux points de terminaison VPC, consultez. Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-IAM-roles", "Effect": "Allow", "Principal": "*", "Action": "cassandra:*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::AccountB:role/Cross-Account-Role-B", "aws:PrincipalArn": "arn:aws:iam::AccountC:role/Cross-Account-Role-C" } } } ] }
Configuration dans Account B et Account C
Dans
Account BetAccount C, créez de nouveaux rôles et associez la politique suivante qui permet au directeur d'assumer le rôle partagé créé dansAccount A.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::Account-A:role/keyspaces_access" } }Permettre au principal d'assumer le rôle partagé est implémenté à l'aide de l'
AssumeRoleAPI du AWS Security Token Service (AWS STS). Pour plus d'informations, consultez la section Fournir un accès à un utilisateur IAM dans un autre utilisateur Compte AWS dont vous êtes le propriétaire dans le Guide de l'utilisateur IAM.Dans
Account BetAccount C, vous pouvez créer des applications qui utilisent le plug-in SIGV4 d'authentification, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces située dans.Account APour plus d'informations sur le plug-in SIGV4 d'authentification, consultezCréez des informations d'identification pour un accès programmatique à Amazon Keyspaces . Pour plus d'informations sur la configuration d'une application afin qu'elle assume un rôle dans un autre AWS compte, consultez Authentification et accès dans le Guide de référence des outils AWS SDKs et.
