Konfigurasikan izin IAM tabel pemulihan untuk Amazon Keyspaces PITR - Amazon Keyspaces (untuk Apache Cassandra)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan izin IAM tabel pemulihan untuk Amazon Keyspaces PITR

Bagian ini merangkum cara mengonfigurasi izin untuk prinsipal AWS Identity and Access Management (IAM) untuk memulihkan tabel Amazon Keyspaces. Di IAM, kebijakan AWS terkelola AmazonKeyspacesFullAccess menyertakan izin untuk memulihkan tabel Amazon Keyspaces. Untuk menerapkan kebijakan khusus dengan izin minimum yang diperlukan, pertimbangkan persyaratan yang diuraikan di bagian berikutnya.

Agar berhasil memulihkan tabel, prinsipal IAM memerlukan izin minimum berikut:

  • cassandra:Restore— Tindakan pemulihan diperlukan agar tabel target dipulihkan.

  • cassandra:Select— Tindakan pilih diperlukan untuk membaca dari tabel sumber.

  • cassandra:TagResource— Tindakan tag adalah opsional, dan hanya diperlukan jika operasi pemulihan menambahkan tag.

Ini adalah contoh kebijakan yang memberikan izin minimum yang diperlukan kepada pengguna untuk memulihkan tabel di ruang kunci. mykeyspace

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Restore",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

Izin tambahan untuk memulihkan tabel mungkin diperlukan berdasarkan fitur lain yang dipilih. Misalnya, jika tabel sumber dienkripsi saat istirahat dengan kunci yang dikelola pelanggan, Amazon Keyspaces harus memiliki izin untuk mengakses kunci terkelola pelanggan dari tabel sumber agar berhasil memulihkan tabel. Untuk informasi selengkapnya, lihat PITR mengembalikan tabel terenkripsi.

Jika Anda menggunakan kebijakan IAM dengan kunci kondisi untuk membatasi lalu lintas masuk ke sumber tertentu, Anda harus memastikan bahwa Amazon Keyspaces memiliki izin untuk melakukan operasi pemulihan atas nama kepala sekolah Anda. Anda harus menambahkan kunci aws:ViaAWSService kondisi ke kebijakan IAM Anda jika kebijakan Anda membatasi lalu lintas masuk ke salah satu dari berikut ini:

  • Titik akhir VPC dengan aws:SourceVpce

  • Rentang IP dengan aws:SourceIp

  • VPCs dengan aws:SourceVpc

Kunci aws:ViaAWSService kondisi memungkinkan akses ketika AWS layanan apa pun membuat permintaan menggunakan kredensi kepala sekolah. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Kunci kondisi di Panduan Pengguna IAM.

Berikut ini adalah contoh kebijakan yang membatasi lalu lintas sumber ke alamat IP tertentu dan memungkinkan Amazon Keyspaces memulihkan tabel atas nama kepala sekolah.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForCustomIp",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "ForAnyValue:IpAddress":{
               "aws:SourceIp":[
                  "123.45.167.89"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

Untuk contoh kebijakan menggunakan kunci kondisi aws:ViaAWSService global, lihatKebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR).