Mengonfigurasikan akses lintas akun untuk Amazon Keyspaces di VPC bersama - Amazon Keyspaces (untuk Apache Cassandra)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasikan akses lintas akun untuk Amazon Keyspaces di VPC bersama

Anda dapat membuat sumber daya yang berbedaAkun AWS untuk memisahkan dari aplikasi. Misalnya, Anda dapat membuat satu akun untuk tabel Amazon Keyspaces Anda, akun lain untuk aplikasi di lingkungan pengembangan, dan akun lain untuk aplikasi di lingkungan produksi. Topik ini memandu Anda melalui langkah-langkah konfigurasi yang diperlukan untuk menyiapkan akses lintas akun untuk Amazon Keyspaces menggunakan titik akhir VPC antarmuka di VPC bersama.

Untuk langkah-langkah mendetail cara mengonfigurasi titik akhir VPC untuk Amazon Keyspaces, lihatLangkah 3: Buat titik akhir VPC untuk Amazon Keyspaces.

Dalam contoh ini kita menggunakan tiga akun berikut dalam VPC bersama:

  • Account A— Akun ini berisi infrastruktur, termasuk endpoint VPC, subnet VPC, dan tabel Amazon Keyspaces.

  • Account B— Akun ini berisi aplikasi dalam lingkungan pengembangan yang perlu terhubung ke tabel Amazon Keyspaces diAccount A.

  • Account C— Akun ini berisi aplikasi dalam lingkungan produksi yang perlu terhubung ke tabel Amazon Keyspaces diAccount A.

Diagram yang menampilkan tiga akun berbeda yang dimiliki oleh organisasi yang sama dalam halWilayah AWS yang sama yang menggunakan VPC bersama.

Account Aadalah akun yang berisi sumber daya yangAccount B danAccount C perlu diakses,Account A begitu juga akun kepercayaan. Account BdanAccount C merupakan akun dengan kepala sekolah yang membutuhkan akses ke sumber daya diAccount A, jadiAccount B danAccount C merupakan akun tepercaya. Akun kepercayaan memberikan izin ke akun tepercaya dengan membagikan peran IAM. Prosedur berikut menguraikan langkah-langkah konfigurasi yang diperlukan diAccount A.

Konfigurasi untukAccount A

  1. GunakanAWS Resource Access Manager untuk membuat berbagi sumber daya untuk subnet dan berbagi subnet pribadi denganAccount B danAccount C.

    Account Bdan sekarangAccount C dapat melihat dan membuat sumber daya di subnet yang telah dibagikan dengan mereka.

  2. Buat titik akhir VPC pribadi Amazon Keyspaces yang didukung olehAWS PrivateLink. Ini menciptakan beberapa titik akhir di seluruh subnet bersama dan entri DNS untuk titik akhir layanan Amazon Keyspaces.

  3. Buat keyspace dan tabel Amazon Keyspaces.

  4. Buat peran IAM yang memiliki akses penuh ke tabel Amazon Keyspaces, membaca akses ke tabel sistem Amazon Keyspaces, dan dapat menggambarkan sumber daya VPC Amazon EC2 seperti yang ditunjukkan dalam contoh kebijakan berikut.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Konfigurasikan kebijakan kepercayaan peran IAM yangAccount BAccount C dapat dianggap sebagai akun tepercaya seperti yang ditunjukkan pada contoh berikut. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Untuk informasi selengkapnya tentang kebijakan IAM, lihat Kebijakan Lintas akun di Panduan Pengguna IAM dalam Panduan Pengguna IAM.

Konfigurasi diAccount B danAccount C

  1. DiAccount B danAccount C, buat peran baru dan lampirkan kebijakan berikut yang memungkinkan prinsipal untuk mengambil peran bersama yang dibuatAccount A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Mengizinkan prinsipal untuk mengasumsikan peran bersama diimplementasikan menggunakanAssumeRole API dariAWS Security Token Service (AWS STS). Untuk informasi selengkapnya, lihat Menyediakan akses ke pengguna IAM di lainnya yang Anda miliki di lainnyaAkun AWS yang Anda miliki di lainnya yang Anda miliki di Panduan Pengguna IAM.

  2. Di dalamAccount B danAccount C, Anda dapat membuat aplikasi yang menggunakan plugin otentikasi SIGV4, yang memungkinkan aplikasi untuk mengambil peran bersama untuk terhubung ke tabel Amazon Keyspaces yang terletak diAccount A melalui titik akhir VPC di VPC bersama. Untuk informasi lebih lanjut tentang plugin otentikasi SIGV4, lihatMembuat kredensi untuk mengakses Amazon Keyspaces secara terprogram.