Étape 4 : configurer les autorisations pour la connexion du point de terminaison VPC

Les procédures de cette étape montrent comment configurer les règles et les autorisations pour utiliser le point de terminaison VPC avec Amazon Keyspaces.

Pour configurer une règle entrante pour le nouveau point de terminaison afin d'autoriser le trafic entrant TCP

1. Dans la console Amazon VPC, sur le panneau de gauche, choisissez Endpoints et choisissez le point de terminaison que vous avez créé à l'étape précédente.

2. Choisissez Groupes de sécurité, puis choisissez le groupe de sécurité associé à ce point de terminaison.

3. Choisissez Règles entrantes, puis sélectionnez Modifier les règles entrantes.

4. Ajoutez une règle entrante dont le type est CQLSH/CASSANDRA. Cela définit automatiquement la plage de ports à 9142.

5. Pour enregistrer la nouvelle règle de trafic entrant, choisissez Enregistrer les règles.

Pour configurer les autorisations des utilisateurs IAM

1. Vérifiez que l'utilisateur IAM utilisé pour se connecter à Amazon Keyspaces dispose des autorisations appropriées. Dans AWS Identity and Access Management (IAM), vous pouvez utiliser la politique AWS gérée AmazonKeyspacesReadOnlyAccess pour accorder à l'utilisateur IAM un accès en lecture à Amazon Keyspaces.

   1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

   2. Dans le tableau de bord de la console IAM, choisissez Users (Utilisateurs), puis votre utilisateur IAM dans la liste.

   3. Sur la page Récapitulatif, choisissez Ajouter des autorisations.

   4. Choisissez Attacher directement les stratégies existantes.

   5. Dans la liste des politiques, choisissez AmazonKeyspacesReadOnlyAccess, puis Next : Review.

   6. Choisissez Add permissions (Ajouter des autorisations).

2. Vérifiez que vous pouvez accéder à Amazon Keyspaces via le point de terminaison VPC.

   aws keyspaces list-tables --keyspace-name 'my_Keyspace'

   Si vous le souhaitez, vous pouvez essayer d'autres AWS CLI commandes pour Amazon Keyspaces. Pour plus d’informations, consultez la référence de la commande AWS CLI.

   Note

   Les autorisations minimales requises pour qu'un utilisateur ou un rôle IAM accède à Amazon Keyspaces sont des autorisations de lecture sur la table système, comme indiqué dans la politique suivante. Pour plus d'informations sur les autorisations basées sur des politiques, consultezExemples de politiques basées sur l'identité d'Amazon Keyspaces.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Effect":"Allow",
            "Action":[
               "cassandra:Select"
            ],
            "Resource":[
               "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
            ]
         }
      ]
   }

3. Accordez à l'utilisateur IAM un accès en lecture à l'instance Amazon EC2 avec le VPC.

   Lorsque vous utilisez Amazon Keyspaces avec des points de terminaison VPC, vous devez accorder à l'utilisateur ou au rôle IAM qui accède à Amazon Keyspaces des autorisations en lecture seule sur votre instance Amazon EC2 et au VPC pour recueillir les données des points de terminaison et d'interface réseau. Amazon Keyspaces enregistre ces informations dans le system.peers tableau et les utilise pour gérer les connexions.

   Note

   Les politiques gérées AmazonKeyspacesFullAccess incluent AmazonKeyspacesReadOnlyAccess_v2 les autorisations requises pour permettre à Amazon Keyspaces d'accéder à l'instance Amazon EC2 afin de lire les informations sur les points de terminaison VPC d'interface disponibles.

   1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

   2. Sur le tableau de bord de la console IAM, sélectionnez Policies.

   3. Choisissez Create policy, puis sélectionnez l'onglet JSON.

   4. Copiez la politique suivante et choisissez Next : Tags.

      {
         "Version":"2012-10-17",
         "Statement":[
            {
               "Sid":"ListVPCEndpoints",
               "Effect":"Allow",
               "Action":[
                  "ec2:DescribeNetworkInterfaces",
                  "ec2:DescribeVpcEndpoints"
               ],
               "Resource": "*"
            }
         ]
      }

   5. Choisissez Suivant : Réviser, entrez le nom keyspacesVPCendpoint de la politique, puis choisissez Créer une politique.

   6. Dans le tableau de bord de la console IAM, choisissez Users (Utilisateurs), puis votre utilisateur IAM dans la liste.

   7. Sur la page Récapitulatif, choisissez Ajouter des autorisations.

   8. Choisissez Attacher directement les stratégies existantes.

   9. Dans la liste des politiques, choisissez KeyspacesVPCEndpoint, puis Next : Review.

   10. Choisissez Add permissions (Ajouter des autorisations).

4. Pour vérifier que la system.peers table Amazon Keyspaces est mise à jour avec les informations VPC, exécutez la requête suivante depuis votre instance Amazon EC2 à l'aide de. cqlsh Si vous ne l'avez pas déjà installé cqlsh sur votre instance Amazon EC2 à l'étape 2, suivez les instructions de. Utilisation du cqlsh-expansion pour se connecter à Amazon Keyspaces

   SELECT peer FROM system.peers;

   La sortie renvoie des nœuds dotés d'adresses IP privées, en fonction de la configuration de votre VPC et de votre sous-réseau dans votre région. AWS

   peer 
   --------------- 
   112.11.22.123
   112.11.22.124
   112.11.22.125 

   Note

   Vous devez utiliser une cqlsh connexion à Amazon Keyspaces pour confirmer que votre point de terminaison VPC a été correctement configuré. Si vous utilisez votre environnement local ou l'éditeur CQL d'Amazon Keyspaces dans le AWS Management Console, la connexion passe automatiquement par le point de terminaison public plutôt que par votre point de terminaison VPC. Si vous voyez neuf adresses IP, il s'agit des entrées qu'Amazon Keyspaces écrit automatiquement dans le system.peers tableau pour les connexions aux points de terminaison publics.