Configurer les autorisations IAM requises pour ajouter un Région AWS à un keyspace - Amazon Keyspaces (pour Apache Cassandra)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les autorisations IAM requises pour ajouter un Région AWS à un keyspace

Pour ajouter une région à un keyspace, le principal IAM a besoin des autorisations suivantes :

  • cassandra:Alter

  • cassandra:AlterMultiRegionResource

  • cassandra:Create

  • cassandra:CreateMultiRegionResource

  • cassandra:Select

  • cassandra:SelectMultiRegionResource

  • cassandra:Modify

  • cassandra:ModifyMultiRegionResource

Si la table est configurée en mode provisionné avec le dimensionnement automatique activé, les autorisations supplémentaires suivantes sont nécessaires.

  • application-autoscaling:RegisterScalableTarget

  • application-autoscaling:DeregisterScalableTarget

  • application-autoscaling:DescribeScalableTargets

  • application-autoscaling:PutScalingPolicy

  • application-autoscaling:DescribeScalingPolicies

Pour ajouter correctement une région à un espace clé à région unique, le principal IAM doit également être en mesure de créer un rôle lié à un service. Ce rôle lié à un service est un type unique de rôle IAM prédéfini par Amazon Keyspaces. Il inclut toutes les autorisations dont Amazon Keyspaces a besoin pour effectuer des actions en votre nom. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces.

Pour créer le rôle lié au service requis par la réplication multirégionale, la politique du principal IAM nécessite les éléments suivants :

  • iam:CreateServiceLinkedRole— L'action que le principal peut effectuer.

  • arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication— La ressource sur laquelle l'action peut être exécutée.

  • iam:AWSServiceName": "replication.cassandra.amazonaws.com— Le seul AWS service auquel ce rôle peut être associé est Amazon Keyspaces.

Voici un exemple de politique qui accorde les autorisations minimales requises à un directeur pour ajouter une région à un keyspace.

{
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "replication.cassandra.amazonaws.com"}}
}