Passaggio 4: Configurare le autorizzazioni per la connessione agli endpoint VPC - Amazon Keyspaces (per Apache Cassandra)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 4: Configurare le autorizzazioni per la connessione agli endpoint VPC

Le procedure in questa fase mostrano come configurare regole e autorizzazioni per l'utilizzo dell'endpoint VPC con Amazon Keyspaces.

Per configurare una regola in entrata per il nuovo endpoint per consentire il traffico TCP in entrata

  1. Nella console Amazon VPC, nel pannello a sinistra, scegli Endpoints e scegli l'endpoint creato nel passaggio precedente.

  2. Scegli Gruppi di sicurezza, quindi scegli il gruppo di sicurezza associato a questo endpoint.

  3. Scegli Regole in entrata, quindi scegli Modifica regole in entrata.

  4. Aggiungi una regola in entrata con Digita come CQLSH/CASSANDRA. Questo imposta automaticamente l'intervallo di porte su 9142.

  5. Per salvare la nuova regola in entrata, scegli Salva regole.

Per configurare le autorizzazioni utente IAM

  1. Verifica che l'utente IAM utilizzato per connettersi ad Amazon Keyspaces disponga delle autorizzazioni appropriate. In AWS Identity and Access Management (IAM), puoi utilizzare la policy AWS gestita AmazonKeyspacesReadOnlyAccess per concedere all'utente IAM l'accesso in lettura ad Amazon Keyspaces.

    1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

    2. Nel pannello di controllo della console IAM, seleziona Utenti, quindi scegli l'utente IAM dall'elenco.

    3. Nella pagina Summary (Riepilogo), scegli Add permissions (Aggiungi autorizzazioni).

    4. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

    5. Dall'elenco delle politiche, scegli AmazonKeyspacesReadOnlyAccess, quindi scegli Avanti: revisione.

    6. Scegli Aggiungi autorizzazioni.

  2. Verifica di poter accedere ad Amazon Keyspaces tramite l'endpoint VPC.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Se lo desideri, puoi provare altri AWS CLI comandi per Amazon Keyspaces. Per ulteriori informazioni, consulta la sezione relativa alle informazioni di riferimento ai comandi di AWS CLI.

    Nota

    Le autorizzazioni minime richieste a un utente o ruolo IAM per accedere ad Amazon Keyspaces sono le autorizzazioni di lettura per la tabella di sistema, come illustrato nella seguente policy. Per ulteriori informazioni sulle autorizzazioni basate su policy, consulta. Esempi di policy basate sull'identità di Amazon Keyspaces

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
         ]
      }
   ]
}

  3. Concedi all'utente IAM l'accesso in lettura all' EC2 istanza Amazon con il VPC.

    Quando utilizzi Amazon Keyspaces con endpoint VPC, devi concedere all'utente o al ruolo IAM che accede ad Amazon Keyspaces le autorizzazioni di sola lettura per l'istanza Amazon e il VPC per raccogliere i dati degli endpoint EC2 e delle interfacce di rete. Amazon Keyspaces memorizza queste informazioni nella system.peers tabella e le utilizza per gestire le connessioni.

    Nota

    Le policy gestite AmazonKeyspacesFullAccess includono AmazonKeyspacesReadOnlyAccess_v2 le autorizzazioni necessarie per consentire ad Amazon Keyspaces di accedere all'istanza EC2 Amazon per leggere informazioni sugli endpoint VPC di interfaccia disponibili.

    1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

    2. Nella dashboard della console IAM, scegli Policies.

    3. Scegli Crea policy, quindi scegli la scheda JSON.

    4. Copia la seguente politica e scegli Avanti: Tag.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Scegli Avanti: revisione, inserisci keyspacesVPCendpoint il nome della politica e scegli Crea politica.

    6. Nel pannello di controllo della console IAM, seleziona Utenti, quindi scegli l'utente IAM dall'elenco.

    7. Nella pagina Summary (Riepilogo), scegli Add permissions (Aggiungi autorizzazioni).

    8. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

    9. Dall'elenco delle politiche, scegli gli spazi chiave VPCendpoint, quindi scegli Avanti: revisione.

    10. Scegli Aggiungi autorizzazioni.

  4. Per verificare che la system.peers tabella Amazon Keyspaces venga aggiornata con le informazioni VPC, esegui la seguente query dalla tua istanza Amazon utilizzando. EC2 cqlsh Se non l'hai ancora installata cqlsh sulla tua EC2 istanza Amazon nella fase 2, segui le istruzioni riportate inUtilizzo di cqlsh-expansion per connettersi ad Amazon Keyspaces.

    SELECT peer FROM system.peers;

    L'output restituisce nodi con indirizzi IP privati, a seconda della configurazione del VPC e della sottorete nella regione. AWS 

    peer 
--------------- 
112.11.22.123
112.11.22.124
112.11.22.125
    Nota

    È necessario utilizzare una cqlsh connessione ad Amazon Keyspaces per confermare che l'endpoint VPC sia stato configurato correttamente. Se utilizzi il tuo ambiente locale o l'editor CQL di Amazon Keyspaces in AWS Management Console, la connessione passa automaticamente attraverso l'endpoint pubblico anziché l'endpoint VPC. Se vedi nove indirizzi IP, queste sono le voci che Amazon Keyspaces scrive automaticamente nella system.peers tabella per le connessioni endpoint pubbliche.