Configurazione dell'accesso tra account ad Amazon Keyspaces senza un VPC condiviso - Amazon Keyspaces (per Apache Cassandra)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso tra account ad Amazon Keyspaces senza un VPC condiviso

Se la tabella Amazon Keyspaces e l'endpoint VPC privato sono di proprietà di account diversi ma non condividono un VPC, le applicazioni possono comunque connettersi tra account diversi utilizzando endpoint VPC. Perché gli account non condividono gli endpoint VPC e Account C richiedono i Account A propri endpoint VPC. Account B Per il driver client Cassandra, Amazon Keyspaces appare come un singolo nodo anziché un cluster multinodo. Al momento della connessione, il driver client raggiunge il server DNS che restituisce uno degli endpoint disponibili nel VPC dell'account.

Puoi anche accedere alle tabelle Amazon Keyspaces da diversi account senza un endpoint VPC condiviso utilizzando gli endpoint pubblici o implementando un endpoint VPC privato in ogni account. Quando non si utilizza un VPC condiviso, ogni account richiede il proprio endpoint VPC. In questo esempio Account AAccount B, Account C richiedono i propri endpoint VPC per accedere alla tabella in. Account A Quando si utilizzano gli endpoint VPC in questa configurazione, Amazon Keyspaces appare come un cluster a nodo singolo per il driver client Cassandra anziché un cluster multinodo. Al momento della connessione, il driver client raggiunge il server DNS che restituisce uno degli endpoint disponibili nel VPC dell'account. Ma il driver del client non è in grado di accedere alla system.peers tabella per scoprire endpoint aggiuntivi. Poiché ci sono meno host disponibili, il driver effettua meno connessioni. Per regolare questa impostazione, aumenta l'impostazione del pool di connessioni del driver di un fattore tre.

Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessa Regione AWS senza un VPC condiviso.

Account Aè l'account che contiene le risorse (una tabella Amazon Keyspaces) a Account C cui dobbiamo accedere, così come Account A l'account trusting. Account B Account Be Account C sono gli account con i principali che devono accedere alle risorse (una tabella Amazon Keyspaces) Account A Account C e sono Account B quindi gli account affidabili. L'account trusting concede le autorizzazioni agli account fidati condividendo un ruolo IAM. La procedura seguente descrive i passaggi di configurazione richiesti in. Account A

Configurazione per Account A

  1. Crea uno spazio di chiavi Amazon Keyspaces e una tabella in. Account A

  2. Crea un ruolo IAM con accesso completo alla tabella Amazon Keyspaces e accesso in lettura alle tabelle di sistema Amazon Keyspaces. Account A

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select",
            "cassandra:Modify"
         ],
         "Resource":[
            "arn:aws:cassandra:region:Account-A:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:region:Account-A:/keyspace/system*"
         ]
      }
   ]
}

  3. Configura una policy di fiducia per il ruolo IAM in Account A modo che i responsabili abbiano Account B e Account C possano assumere il ruolo di account affidabili. Questo viene mostrato nell'esempio seguente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB:role/Cross-Account-Role-B",
                "AWS": "arn:aws:iam::AccountC:role/Cross-Account-Role-C"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Per ulteriori informazioni sulle policy IAM tra account, consulta le policy relative a più account nella IAM User Guide.

  4. Configura l'endpoint VPC Account A e assegna all'endpoint le autorizzazioni che consentono ai ruoli da Account B e Account C di assumere il ruolo nell'utilizzo Account A dell'endpoint VPC. Queste autorizzazioni sono valide per l'endpoint VPC a cui sono collegate. Per ulteriori informazioni sulle policy degli endpoint VPC, consulta. Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-roles",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "cassandra:*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::AccountB:role/Cross-Account-Role-B",
               "aws:PrincipalArn": "arn:aws:iam::AccountC:role/Cross-Account-Role-C"
            }
         }
      }
   ]
}
Configurazione in e Account BAccount C

  1. In Account B andAccount C, crea nuovi ruoli e allega la seguente politica che consente al principale di assumere il ruolo condiviso creato inAccount A.

    {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::Account-A:role/keyspaces_access"
        }
}

    Consentire al principale di assumere il ruolo condiviso viene implementato utilizzando l'AssumeRoleAPI di AWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella Guida per l'utente IAM.

  2. In Account B andAccount C, puoi creare applicazioni che utilizzano il plug-in di SIGV4 autenticazione, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situata in. Account A Per ulteriori informazioni sul plug-in di SIGV4 autenticazione, consulta. Crea credenziali per l'accesso programmatico ad Amazon Keyspaces Per ulteriori informazioni su come configurare un'applicazione in modo che assuma un ruolo in un altro AWS account, consulta Autenticazione e accesso nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.