本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定將 新增至金鑰空間所需的 IAM AWS 區域 許可
若要將區域新增至金鑰空間,IAM 主體需要下列許可:
cassandra:Altercassandra:AlterMultiRegionResourcecassandra:Createcassandra:CreateMultiRegionResourcecassandra:Selectcassandra:SelectMultiRegionResourcecassandra:Modifycassandra:ModifyMultiRegionResource
如果資料表是在佈建模式中設定並啟用自動擴展,則需要下列額外許可。
application-autoscaling:RegisterScalableTargetapplication-autoscaling:DeregisterScalableTargetapplication-autoscaling:DescribeScalableTargetsapplication-autoscaling:PutScalingPolicyapplication-autoscaling:DescribeScalingPolicies
若要成功將區域新增至單一區域金鑰空間,IAM 主體也需要能夠建立服務連結角色。此服務連結角色是由 Amazon Keyspaces 預先定義的一種唯一 IAM 角色類型。它包含 Amazon Keyspaces 代表您執行動作所需的所有許可。如需服務連結角色的詳細資訊,請參閱使用 Amazon Keyspaces 多區域複寫的角色。
若要建立多區域複寫所需的服務連結角色,IAM 主體的政策需要下列元素:
-
iam:CreateServiceLinkedRole– 委託人可執行的動作。 -
arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication– 可以對其執行動作的資源。 -
iam:AWSServiceName": "replication.cassandra.amazonaws.com– 此角色可連接的唯一 AWS 服務是 Amazon Keyspaces。
以下是將最低必要許可授予委託人以將區域新增至金鑰空間的政策範例。
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication", "Condition": {"StringLike": {"iam:AWSServiceName": "replication.cassandra.amazonaws.com"}} }
