Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie den kontoübergreifenden Zugriff auf Amazon Keyspaces mithilfe von VPC-Endpunkten in einer gemeinsam genutzten VPC
Sie können verschiedene Ressourcen erstellen AWS-Konten , um sie von Anwendungen zu trennen. Sie können beispielsweise ein Konto für Ihre Amazon Keyspaces-Tabellen, ein anderes Konto für Anwendungen in einer Entwicklungsumgebung und ein weiteres Konto für Anwendungen in einer Produktionsumgebung erstellen. Dieses Thema führt Sie durch die Konfigurationsschritte, die erforderlich sind, um den kontoübergreifenden Zugriff für Amazon Keyspaces mithilfe von VPC-Schnittstellen-Endpunkten in einer gemeinsam genutzten VPC einzurichten.
Ausführliche Schritte zur Konfiguration eines VPC-Endpunkts für Amazon Keyspaces finden Sie unter. Schritt 3: Erstellen Sie einen VPC-Endpunkt für Amazon Keyspaces
In diesem Beispiel verwenden wir die folgenden drei Konten in einer gemeinsam genutzten VPC:
Account A:111111111111
— Dieses Konto enthält die Infrastruktur, einschließlich der VPC-Endpunkte, der VPC-Subnetze und der Amazon Keyspaces-Tabellen.Account B:222222222222
— Dieses Konto enthält eine Anwendung in einer Entwicklungsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle inAccount A:111111111111
herstellen muss.Account C:333333333333
— Dieses Konto enthält eine Anwendung in einer Produktionsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle inAccount A:111111111111
herstellen muss.

Account A:111111111111
ist das Konto, das die Ressourcen (eine Amazon Keyspaces-Tabelle) enthält, auf die zugegriffen werden Account C:333333333333
muss Account B:222222222222
und auf die zugegriffen werden muss, Account A:111111111111
ebenso das vertrauenswürdige Konto. Account B:222222222222
und Account C:333333333333
sind die Konten bei den Principals, die Zugriff auf die Ressourcen (eine Amazon Keyspaces-Tabelle) benötigenAccount A:111111111111
, also Account B:222222222222
Account C:333333333333
die vertrauenswürdigen Konten. Das vertrauenswürdige Konto erteilt die Berechtigungen für die vertrauenswürdigen Konten, indem es sich eine IAM-Rolle teilt. Das folgende Verfahren beschreibt die Konfigurationsschritte, die in erforderlich sind. Account A:111111111111
Konfiguration für Account A:111111111111
Wird verwendet AWS Resource Access Manager , um eine Ressourcenfreigabe für das Subnetz zu erstellen und das private Subnetz mit
Account B:222222222222
und zu teilen.Account C:333333333333
Account B:222222222222
undAccount C:333333333333
kann jetzt Ressourcen in dem Subnetz sehen und erstellen, das mit ihnen geteilt wurde.Erstellen Sie einen privaten VPC-Endpunkt von Amazon Keyspaces, der von betrieben wird. AWS PrivateLink Dadurch werden mehrere Endpunkte in gemeinsam genutzten Subnetzen und DNS-Einträgen für den Amazon Keyspaces-Serviceendpunkt erstellt.
Erstellen Sie einen Amazon Keyspaces-Schlüsselraum und eine Tabelle.
Erstellen Sie eine IAM-Rolle in
Account A:111111111111
, die vollen Zugriff auf die Amazon Keyspaces-Tabelle und Lesezugriff auf die Amazon Keyspaces-Systemtabellen hat und die Amazon EC2 VPC-Ressourcen beschreiben kann, wie im folgenden Richtlinienbeispiel gezeigt.{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
Konfigurieren Sie eine Vertrauensrichtlinie für die IAM-Rolle,
Account A:111111111111
sodass Sie die Rolle alsAccount B:222222222222
vertrauenswürdigeAccount C:333333333333
Konten übernehmen können. Dies wird im folgenden Beispiel veranschaulicht.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:role/Cross-Account-Role-B", "arn:aws:iam::333333333333:role/Cross-Account-Role-C" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] }
Weitere Informationen zu kontoübergreifenden IAM-Richtlinien finden Sie unter Kontoübergreifende Richtlinien im IAM-Benutzerhandbuch.
Account B:222222222222
Konfiguration in und Account C:333333333333
Erstellen Sie in
Account B:222222222222
undAccount C:333333333333
neue Rollen und fügen Sie die folgende Richtlinie hinzu, die es dem Prinzipal ermöglicht, die in erstellte gemeinsame Rolle zu übernehmenAccount A:111111111111
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Dem Prinzipal die Übernahme der gemeinsamen Rolle zu ermöglichen, wird mithilfe der
AssumeRole
API von AWS Security Token Service (AWS STS) implementiert. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen.In
Account B:222222222222
und können Sie Anwendungen erstellenAccount C:333333333333
, die das SIGV4 Authentifizierungs-Plugin verwenden, das es einer Anwendung ermöglicht, die gemeinsame Rolle zu übernehmen, um eine Verbindung zur Amazon Keyspaces-Tabelle herzustellen, die sichAccount A:111111111111
über den VPC-Endpunkt in der gemeinsam genutzten VPC befindet. Weitere Informationen zum SIGV4 Authentifizierungs-Plugin finden Sie unter. Anmeldeinformationen für den programmatischen Zugriff auf Amazon Keyspaces erstellen Weitere Informationen darüber, wie Sie eine Anwendung so konfigurieren, dass sie eine Rolle in einem anderen AWS Konto übernimmt, finden Sie unter Authentifizierung und Zugriff im AWS SDKs Referenzhandbuch zu Tools.