Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles para la réplica multirregión de Amazon Keyspaces
Amazon Keyspaces (para Apache Cassandra) utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Los roles vinculados a servicios están predefinidos por Amazon Keyspaces e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos de Amazon Keyspaces porque no puede eliminar inadvertidamente el permiso para acceder a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado para permitir que AWSServiceRoleForAmazonKeyspacesReplicationAmazon Keyspaces replique las escrituras en todas las réplicas de una tabla multirregional en su nombre.
El rol AWSServiceRoleForAmazonKeyspacesReplication vinculado al servicio confía en que los siguientes servicios asuman el rol:
-
replication.cassandra.amazonaws.com
La política de permisos de roles denominada KeyspacesReplicationServiceRolePolicy permite a Amazon Keyspaces realizar las siguientes acciones:
-
Acción:
cassandra:Select Acción:
cassandra:SelectMultiRegionResourceAcción:
cassandra:ModifyAcción:
cassandra:ModifyMultiRegionResource
Si bien el rol vinculado al servicio Amazon Keyspaces AWSServiceRoleForAmazonKeyspacesReplication proporciona los permisos: «Acción:» para el nombre de recurso de Amazon (ARN) especificado «arn: *» en la política, Amazon Keyspaces proporciona el ARN de su cuenta.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para Amazon Keyspaces
No puede crear manualmente un rol vinculado a servicios. Al crear un espacio de claves multirregión en la AWS Management Console, la AWS CLI o la API de AWS, Amazon Keyspaces crea el rol vinculado a servicios por usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un espacio de claves multirregión, Amazon Keyspaces vuelve a crear el rol vinculado a servicios para usted.
Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al AWSServiceRoleForAmazonKeyspacesReplication servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios para Amazon Keyspaces
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, primero debe eliminar todos los espacios de claves multirregión de la cuenta en todas las Regiones de AWS para poder eliminar manualmente el rol vinculado a servicios.
Saneamiento de un rol vinculado a servicios
Para poder utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los espacios de claves y tablas multirregión utilizados por el rol.
nota
Si el servicio de Amazon Keyspaces utiliza el rol en el momento en que intenta eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos de Amazon Keyspaces utilizados por la AWSServiceRoleForAmazonKeyspacesReplication (consola)
-
Inicie sesión en la AWS Management Console y abra la consola de Amazon Keyspaces en https://console.aws.amazon.com/keyspaces/home
. -
Elija Espacios de claves en el panel izquierdo.
-
Seleccione todos los espacios de claves multirregión de la lista.
Elija Eliminar, confirme la eliminación y luego elija Eliminar espacios de claves.
También puede eliminar espacios de claves multirregión mediante programación utilizando cualquiera de los siguientes métodos.
La instrucción DROP KEYSPACE de Cassandra Query Language (CQL).
La operación delete-keyspace de la CLI de AWS.
El DeleteKeyspacefuncionamiento de la API de Amazon Keyspaces.
Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de AWSServiceRoleForAmazonKeyspacesReplication. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Puede utilizar el AWSServiceRoleForAmazonKeyspacesReplication rol en las siguientes regiones.
| Nombre de la región | Identidad de la región | Admitida en Amazon Keyspaces |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (EE. UU.-Oeste) | us-gov-west-1 | No |
