Configuration de l'accès entre comptes pour Amazon Keyspaces dans un VPC partagé - Amazon Keyspaces (pour Apache Cassandra)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès entre comptes pour Amazon Keyspaces dans un VPC partagé

Vous pouvez créer des ressources différentesComptes AWS pour les séparer des applications. Par exemple, vous pouvez créer un compte pour vos tables Amazon Keyspaces, un compte différent pour les applications d'un environnement de développement et un autre compte pour les applications d'un environnement de production. Cette rubrique explique les étapes de configuration requises pour configurer l'accès entre comptes à Amazon Keyspaces à l'aide des points de terminaison VPC de l'interface dans un VPC partagé.

Pour savoir comment configurer un point de terminaison VPC pour Amazon Keyspaces, consultezÉtape 3 : créer un point de terminaison VPC pour Amazon Keyspaces.

Dans cet exemple, nous utilisons les trois comptes suivants dans un VPC partagé :

  • Account A— Ce compte contient l'infrastructure, notamment les points de terminaison VPC, les sous-réseaux VPC et les tables Amazon Keyspaces.

  • Account B— Ce compte contient une application dans un environnement de développement qui doit se connecter à la table Amazon Keyspaces dansAccount A.

  • Account C— Ce compte contient une application dans un environnement de production qui doit se connecter à la table Amazon Keyspaces dansAccount A.

Schéma montrant trois comptes différents appartenant à la même organisation au sein de la même organisationRégion AWS qui utilisent un VPC partagé.

Account Aest le compte qui contient les ressources auxquellesAccount BAccount C vous devez accéder, toutAccount A comme le compte de confiance. Account BetAccount C sont les comptes dont les principaux utilisateurs ont besoin d'accéder aux ressources deAccount A. CeAccount C sont doncAccount B les comptes de confiance. Le compte de confiance accorde les autorisations aux comptes de confiance en partageant un rôle IAM. La procédure suivante présente les étapes de configuration à suivre dansAccount A.

Configuration pourAccount A

  1. PermetAWS Resource Access Manager de créer un partage de ressources pour le sous-réseau et de partager le sous-réseau privé avecAccount B etAccount C.

    Account BetAccount C peuvent désormais voir et créer des ressources dans le sous-réseau qui a été partagé avec le compte en question.

  2. Créez un point de terminaison VPC privé Amazon Keyspaces alimenté parAWS PrivateLink. Cela crée plusieurs points de terminaison sur des sous-réseaux partagés et des entrées DNS pour le point de terminaison du service Amazon Keyspaces.

  3. Créez un espace clé et une table Amazon Keyspaces.

  4. Créez un rôle IAM disposant d'un accès complet à la table Amazon Keyspaces, d'un accès en lecture aux tables système Amazon Keyspaces et capable de décrire les ressources Amazon EC2 VPC, comme indiqué dans l'exemple de politique suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configurez la politique de confiance des rôles IAM queAccount BAccount C vous pouvez considérer comme des comptes de confiance, comme indiqué dans l'exemple suivant. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Pour de plus amples informations sur les stratégies IAM entre comptes, veuillez consulter Stratégies entre comptes, veuillez consulter Stratégies entre comptes dans le Guide de l'utilisateur IAM.

Configuration dansAccount B etAccount C

  1. DansAccount B etAccount C, créez de nouveaux rôles et associez la politique suivante qui permet au principal d'assumer le rôle partagé créé dansAccount A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Permettre au principal d'assumer le rôle partagé est implémenté à l'aide de l'AssumeRoleAPI deAWS Security Token Service (AWS STS). Pour de plus amples informations, veuillez consulter Octroi de l'accès à unCompte AWS utilisateur IAM dans le Guide de l'utilisateur IAM.

  2. DansAccount B etAccount C, vous pouvez créer des applications qui utilisent le plug-in d'authentification SIGV4, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces situéeAccount A via le point de terminaison du VPC dans le VPC partagé. Pour de plus amples informations sur le plug-in d'authentification SIGV4, veuillez consulterCréation d'informations d'identification pour accéder à Amazon Keyspaces par programmation.