Schritt 4: Berechtigungen für die VPC-Endpunktverbindung konfigurieren - Amazon Keyspaces (für Apache Cassandra)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 4: Berechtigungen für die VPC-Endpunktverbindung konfigurieren

Die Verfahren in diesem Schritt zeigen, wie Regeln und Berechtigungen für die Verwendung des VPC-Endpunkts mit Amazon Keyspaces konfiguriert werden.

Um eine eingehende Regel für den neuen Endpunkt zu konfigurieren, um eingehenden TCP-Verkehr zuzulassen

  1. Wählen Sie in der Amazon VPC-Konsole im linken Bereich Endpoints und dann den Endpoint aus, den Sie im vorherigen Schritt erstellt haben.

  2. Wählen Sie Sicherheitsgruppen und dann die Sicherheitsgruppe aus, die diesem Endpunkt zugeordnet ist.

  3. Wählen Sie Regeln für eingehenden Datenverkehr und anschließend Regeln für eingehenden Datenverkehr bearbeiten aus.

  4. Fügen Sie eine Regel für eingehenden Datenverkehr mit dem Typ CQLSH/CASSANDRA hinzu. Dadurch wird der Portbereich automatisch auf 9142 festgelegt.

  5. Um die neue Regel für eingehenden Datenverkehr zu speichern, wählen Sie Regeln speichern.

Um IAM-Benutzerberechtigungen zu konfigurieren

  1. Vergewissern Sie sich, dass der IAM-Benutzer, der für die Verbindung zu Amazon Keyspaces verwendet wurde, über die entsprechenden Berechtigungen verfügt. In AWS Identity and Access Management (IAM) können Sie die AWS verwaltete Richtlinie verwenden, AmazonKeyspacesReadOnlyAccess um dem IAM-Benutzer Lesezugriff auf Amazon Keyspaces zu gewähren.

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie auf dem IAM-Konsolen-Dashboard Users (Benutzer) und anschließend Ihren IAM-Benutzer aus der Liste aus.

    3. Wählen Sie auf der Seite Summary (Übersicht) die Option Add permissions (Berechtigungen hinzufügen) aus.

    4. Wählen Sie Attach existing policies directly (Vorhandene Richtlinien direkt zuordnen).

    5. Wählen Sie in der Liste der Richtlinien die Option AmazonKeyspacesReadOnlyAccess und anschließend Next: Review aus.

    6. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  2. Stellen Sie sicher, dass Sie über den VPC-Endpunkt auf Amazon Keyspaces zugreifen können.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Wenn Sie möchten, können Sie einige andere AWS CLI Befehle für Amazon Keyspaces ausprobieren. Weitere Informationen finden Sie in der AWS CLI -Befehlsreferenz.

    Anmerkung

    Die Mindestberechtigungen, die ein IAM-Benutzer oder eine IAM-Rolle für den Zugriff auf Amazon Keyspaces benötigt, sind Leseberechtigungen für die Systemtabelle, wie in der folgenden Richtlinie dargestellt. Weitere Informationen zu richtlinienbasierten Berechtigungen finden Sie unter. Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
         ]
      }
   ]
}

  3. Gewähren Sie dem IAM-Benutzer Lesezugriff auf die Amazon EC2 EC2-Instance mit der VPC.

    Wenn Sie Amazon Keyspaces mit VPC-Endpunkten verwenden, müssen Sie dem IAM-Benutzer oder der IAM-Rolle, der auf Amazon Keyspaces zugreift, nur Leseberechtigungen für Ihre Amazon EC2 EC2-Instance und die VPC gewähren, um Endpunkt- und Netzwerkschnittstellendaten zu sammeln. Amazon Keyspaces speichert diese Informationen in der system.peers Tabelle und verwendet sie zur Verwaltung von Verbindungen.

    Anmerkung

    Die verwalteten Richtlinien AmazonKeyspacesReadOnlyAccess_v2 AmazonKeyspacesFullAccess enthalten die erforderlichen Berechtigungen, damit Amazon Keyspaces auf die Amazon EC2 EC2-Instance zugreifen kann, um Informationen über verfügbare Schnittstellen-VPC-Endpunkte zu lesen.

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie im Dashboard der IAM-Konsole die Option Richtlinien aus.

    3. Wählen Sie Richtlinie erstellen und dann die Registerkarte JSON aus.

    4. Kopieren Sie die folgende Richtlinie und wählen Sie Weiter: Tags.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Wählen Sie Weiter: Überprüfen, geben Sie den Namen keyspacesVPCendpoint für die Richtlinie ein und wählen Sie Richtlinie erstellen aus.

    6. Wählen Sie auf dem IAM-Konsolen-Dashboard Users (Benutzer) und anschließend Ihren IAM-Benutzer aus der Liste aus.

    7. Wählen Sie auf der Seite Summary (Übersicht) die Option Add permissions (Berechtigungen hinzufügen) aus.

    8. Wählen Sie Attach existing policies directly (Vorhandene Richtlinien direkt zuordnen).

    9. Wählen Sie in der Liste der Richtlinien KeySpaceSvpcEndpoint und dann Weiter: Überprüfen aus.

    10. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  4. Um zu überprüfen, ob die Amazon system.peers Keyspaces-Tabelle mit VPC-Informationen aktualisiert wird, führen Sie die folgende Abfrage von Ihrer Amazon EC2 EC2-Instance aus mit. cqlsh Wenn Sie in Schritt 2 noch nicht cqlsh auf Ihrer Amazon EC2 EC2-Instance installiert haben, folgen Sie den Anweisungen unterVerwenden voncqlsh-expansion, um eine Verbindung zu Amazon Keyspaces herzustellen.

    SELECT peer FROM system.peers;

    Die Ausgabe gibt Knoten mit privaten IP-Adressen zurück, abhängig von Ihrer VPC- und Subnetzkonfiguration in Ihrer AWS Region.

    peer 
--------------- 
112.11.22.123
112.11.22.124
112.11.22.125
    Anmerkung

    Sie müssen eine cqlsh Verbindung zu Amazon Keyspaces verwenden, um zu bestätigen, dass Ihr VPC-Endpunkt korrekt konfiguriert wurde. Wenn Sie Ihre lokale Umgebung oder den Amazon Keyspaces CQL-Editor in der verwenden AWS Management Console, erfolgt die Verbindung automatisch über den öffentlichen Endpunkt statt über Ihren VPC-Endpunkt. Wenn Sie neun IP-Adressen sehen, sind dies die Einträge, die Amazon Keyspaces automatisch in die system.peers Tabelle für öffentliche Endpunktverbindungen schreibt.