Configura l'accesso tra account ad Amazon Keyspaces utilizzando endpoint VPC in un VPC condiviso - Amazon Keyspaces (per Apache Cassandra)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'accesso tra account ad Amazon Keyspaces utilizzando endpoint VPC in un VPC condiviso

È possibile creare risorse diverse Account AWS o separate dalle applicazioni. Ad esempio, puoi creare un account per le tabelle Amazon Keyspaces, un account diverso per le applicazioni in un ambiente di sviluppo e un altro account per le applicazioni in un ambiente di produzione. Questo argomento illustra i passaggi di configurazione necessari per configurare l'accesso tra account diversi per Amazon Keyspaces utilizzando gli endpoint VPC dell'interfaccia in un VPC condiviso.

Per i passaggi dettagliati su come configurare un endpoint VPC per Amazon Keyspaces, consulta. Fase 3: creare un endpoint VPC per Amazon Keyspaces

In questo esempio utilizziamo i seguenti tre account in un VPC condiviso:

  • Account A— Questo account contiene l'infrastruttura, inclusi gli endpoint VPC, le sottoreti VPC e le tabelle Amazon Keyspaces.

  • Account B— Questo account contiene un'applicazione in un ambiente di sviluppo che deve connettersi alla tabella Amazon Keyspaces in. Account A

  • Account C— Questo account contiene un'applicazione in un ambiente di produzione che deve connettersi alla tabella Amazon Keyspaces in. Account A

Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessa Regione AWS che utilizzano un VPC condiviso.

Account Aè l'account che contiene le risorse (una tabella Amazon Keyspaces) a Account C cui dobbiamo accedere, così come Account A l'account trusting. Account B Account Be Account C sono gli account con i principali che devono accedere alle risorse (una tabella Amazon Keyspaces) Account A Account C e sono Account B quindi gli account affidabili. L'account trusting concede le autorizzazioni agli account fidati condividendo un ruolo IAM. La procedura seguente descrive i passaggi di configurazione richiesti in. Account A

Configurazione per Account A

  1. AWS Resource Access Manager Da utilizzare per creare una condivisione di risorse per la sottorete e condividere la sottorete privata con Account B e. Account C

    Account Be ora Account C possono vedere e creare risorse nella sottorete che è stata condivisa con loro.

  2. Crea un endpoint VPC privato Amazon Keyspaces basato su. AWS PrivateLink Questo crea più endpoint tra sottoreti condivise e voci DNS per l'endpoint del servizio Amazon Keyspaces.

  3. Crea uno spazio di chiavi e una tabella Amazon Keyspaces.

  4. Crea un ruolo IAM Account A che abbia accesso completo alla tabella Amazon Keyspaces, accesso in lettura alle tabelle di sistema Amazon Keyspaces e sia in grado di descrivere le risorse Amazon EC2 VPC come mostrato nel seguente esempio di policy.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configura una policy di fiducia per il ruolo IAM in Account A modo che Account B e Account C possano assumere il ruolo di account affidabili. Questo viene mostrato nell'esempio seguente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB:role/Job-role-B",
                "AWS": "arn:aws:iam::AccountC:role/Job-role-C"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Per ulteriori informazioni sulle politiche IAM tra account, consulta le politiche tra account nella Guida per l'utente IAM.

Configurazione in e Account BAccount C

  1. In Account B andAccount C, crea nuovi ruoli e allega la seguente politica che consente al principale di assumere il ruolo condiviso creato inAccount A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Consentire al principale di assumere il ruolo condiviso viene implementato utilizzando l'AssumeRoleAPI di AWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella Guida per l'utente IAM.

  2. Inoltre Account BAccount C, puoi creare applicazioni che utilizzano il plug-in di SIGV4 autenticazione, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situata tramite l'endpoint VPC Account A nel VPC condiviso. Per ulteriori informazioni sul plug-in di autenticazione, consulta. SIGV4 Crea credenziali per l'accesso programmatico ad Amazon Keyspaces Per ulteriori informazioni su come configurare un'applicazione in modo che assuma un ruolo in un altro AWS account, consulta Autenticazione e accesso nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.