Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès entre comptes pour Amazon Keyspaces dans un VPC partagé
Vous pouvez créer des ressources différentesComptes AWS pour les séparer des applications. Par exemple, vous pouvez créer un compte pour vos tables Amazon Keyspaces, un compte différent pour les applications d'un environnement de développement et un autre compte pour les applications d'un environnement de production. Cette rubrique explique les étapes de configuration requises pour configurer l'accès entre comptes à Amazon Keyspaces à l'aide des points de terminaison VPC de l'interface dans un VPC partagé.
Pour savoir comment configurer un point de terminaison VPC pour Amazon Keyspaces, consultezÉtape 3 : créer un point de terminaison VPC pour Amazon Keyspaces.
Dans cet exemple, nous utilisons les trois comptes suivants dans un VPC partagé :
Account A
— Ce compte contient l'infrastructure, notamment les points de terminaison VPC, les sous-réseaux VPC et les tables Amazon Keyspaces.Account B
— Ce compte contient une application dans un environnement de développement qui doit se connecter à la table Amazon Keyspaces dansAccount A
.Account C
— Ce compte contient une application dans un environnement de production qui doit se connecter à la table Amazon Keyspaces dansAccount A
.
Account A
est le compte qui contient les ressources auxquellesAccount B
Account C
vous devez accéder, toutAccount A
comme le compte de confiance. Account B
etAccount C
sont les comptes dont les principaux utilisateurs ont besoin d'accéder aux ressources deAccount A
. CeAccount C
sont doncAccount B
les comptes de confiance. Le compte de confiance accorde les autorisations aux comptes de confiance en partageant un rôle IAM. La procédure suivante présente les étapes de configuration à suivre dansAccount A
.
Configuration pourAccount A
PermetAWS Resource Access Manager de créer un partage de ressources pour le sous-réseau et de partager le sous-réseau privé avec
Account B
etAccount C
.Account B
etAccount C
peuvent désormais voir et créer des ressources dans le sous-réseau qui a été partagé avec le compte en question.Créez un point de terminaison VPC privé Amazon Keyspaces alimenté parAWS PrivateLink. Cela crée plusieurs points de terminaison sur des sous-réseaux partagés et des entrées DNS pour le point de terminaison du service Amazon Keyspaces.
Créez un espace clé et une table Amazon Keyspaces.
Créez un rôle IAM disposant d'un accès complet à la table Amazon Keyspaces, d'un accès en lecture aux tables système Amazon Keyspaces et capable de décrire les ressources Amazon EC2 VPC, comme indiqué dans l'exemple de politique suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
Configurez la politique de confiance des rôles IAM que
Account B
Account C
vous pouvez considérer comme des comptes de confiance, comme indiqué dans l'exemple suivant.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
Pour de plus amples informations sur les stratégies IAM entre comptes, veuillez consulter Stratégies entre comptes, veuillez consulter Stratégies entre comptes dans le Guide de l'utilisateur IAM.
Configuration dansAccount B
etAccount C
Dans
Account B
etAccount C
, créez de nouveaux rôles et associez la politique suivante qui permet au principal d'assumer le rôle partagé créé dansAccount A
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Permettre au principal d'assumer le rôle partagé est implémenté à l'aide de l'
AssumeRole
API deAWS Security Token Service (AWS STS). Pour de plus amples informations, veuillez consulter Octroi de l'accès à unCompte AWS utilisateur IAM dans le Guide de l'utilisateur IAM.Dans
Account B
etAccount C
, vous pouvez créer des applications qui utilisent le plug-in d'authentification SIGV4, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces situéeAccount A
via le point de terminaison du VPC dans le VPC partagé. Pour de plus amples informations sur le plug-in d'authentification SIGV4, veuillez consulterCréation d'informations d'identification pour accéder à Amazon Keyspaces par programmation.