Etapa 4: configurar permissões para a conexão do endpoint da VPC - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4: configurar permissões para a conexão do endpoint da VPC

Os procedimentos nesta etapa demonstram como configurar regras e permissões para usar o endpoint da VPC com o Amazon Keyspaces.

Para configurar uma regra de entrada para o novo endpoint para permitir tráfego de entrada TCP

  1. No console da VPC da Amazon, no painel esquerdo, escolha Endpoints e escolha o endpoint que você criou na etapa anterior.

  2. Escolha Grupos de segurança e escolha o grupo de segurança associado a esse endpoint.

  3. Escolha Regras de entrada e Editar regras de entrada.

  4. Adicione uma regra de entrada com Tipo como CQLSH/CASSANDRA. Isso definirá automaticamente o intervalo de portas para 9142.

  5. Escolha Salvar regras para salvar sua nova regra de entrada.

Para configurar permissões do usuário do IAM

  1. Confirme se o usuário do IAM usado para se conectar ao Amazon Keyspaces tem as permissões apropriadas. Em AWS Identity and Access Management (IAM), você pode usar a política AWS gerenciada AmazonKeyspacesReadOnlyAccess para conceder ao usuário do IAM acesso de leitura ao Amazon Keyspaces.

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.

    3. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

    4. Escolha Anexar políticas existentes diretamente.

    5. Na lista de políticas, escolha e AmazonKeyspacesReadOnlyAccess, em seguida, escolha Avançar: Revisão.

    6. Escolha Adicionar permissões.

  2. Verifique se você consegue acessar o Amazon Keyspaces por meio do endpoint da VPC.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Se quiser, você pode tentar alguns outros AWS CLI comandos para o Amazon Keyspaces. Para obter mais informações, consulte Referência de comandos da AWS CLI.

    nota

    As permissões mínimas exigidas para que um usuário ou perfil do IAM acesse o Amazon Keyspaces são permissões de leitura para a tabela do sistema, conforme mostrado na política a seguir. Para obter informações sobre permissões baseadas em políticas, consulte Exemplos de políticas baseadas em identidade do Amazon Keyspaces.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
         ]
      }
   ]
}

  3. Conceda ao usuário do IAM acesso de leitura à EC2 instância da Amazon com a VPC.

    Ao usar o Amazon Keyspaces com VPC endpoints, você precisa conceder ao usuário ou função do IAM que acessa o Amazon Keyspaces permissões somente de leitura para sua instância da Amazon e para a VPC para coletar dados de endpoints EC2 e interfaces de rede. O Amazon Keyspaces armazena essas informações na tabela system.peers e as usa para gerenciar conexões.

    nota

    As políticas gerenciadas AmazonKeyspacesFullAccess incluem AmazonKeyspacesReadOnlyAccess_v2 as permissões necessárias para permitir que o Amazon Keyspaces acesse a EC2 instância da Amazon para ler informações sobre os endpoints VPC da interface disponíveis.

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel do console do IAM, escolha Políticas.

    3. Escolha Criar política e escolha a guia JSON.

    4. Copie a política a seguir e escolha Próximo: Tags.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Escolha Próximo: Revisar, insira um nome keyspacesVPCendpoint para a política e escolha Criar política.

    6. No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.

    7. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

    8. Escolha Anexar políticas existentes diretamente.

    9. Na lista de políticas, escolha espaços de chave eVPCendpoint, em seguida, escolha Avançar: Revisão.

    10. Escolha Adicionar permissões.

  4. Para verificar se a system.peers tabela do Amazon Keyspaces está sendo atualizada com as informações da VPC, execute a seguinte consulta na sua instância da Amazon usando. EC2 cqlsh Se você ainda não instalou cqlsh na sua EC2 instância da Amazon na etapa 2, siga as instruções emUsar a cqlsh-expansion para se conectar ao Amazon Keyspaces.

    SELECT peer FROM system.peers;

    A saída retorna nós com endereços IP privados, dependendo da configuração da VPC e da sub-rede na sua região. AWS 

    peer 
--------------- 
112.11.22.123
112.11.22.124
112.11.22.125
    nota

    Você precisa usar uma conexão cqlsh com o Amazon Keyspaces para confirmar que seu endpoint da VPC foi configurado corretamente. Se você usa seu ambiente local ou o editor Amazon Keyspaces CQL no AWS Management Console, a conexão passa automaticamente pelo endpoint público em vez do seu endpoint da VPC. Se houver nove endereços IP, essas são as entradas que o Amazon Keyspaces grava automaticamente na tabela system.peers em conexões públicas de endpoints.