Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell'accesso multiaccount per Amazon Keyspaces in un VPC condiviso
È possibile creare risorse diverseAccount AWS o separate dalle applicazioni. Ad esempio, puoi creare un account per le tabelle Amazon Keyspaces, un account diverso per le applicazioni in un ambiente di sviluppo e un altro account per le applicazioni in un ambiente di produzione. Questo argomento illustra i passaggi di configurazione necessari per configurare l'accesso tra account per Amazon Keyspaces utilizzando endpoint VPC di interfaccia in un VPC condiviso.
Per i passaggi dettagliati su come configurare un endpoint VPC per Amazon Keyspaces, consultaFase 3: creare un endpoint VPC per Amazon Keyspaces.
In questo esempio utilizziamo i seguenti tre account in un cloud privato VPC condiviso:
Account A
— Questo account contiene l'infrastruttura, inclusi gli endpoint VPC, le sottoreti VPC e le tabelle Amazon Keyspaces.Account B
— Questo account contiene un'applicazione in un ambiente di sviluppo che deve connettersi alla tabella Amazon Keyspaces inAccount A
.Account C
— Questo account contiene un'applicazione in un ambiente di produzione che deve connettersi alla tabella Amazon Keyspaces inAccount A
.
![Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessaRegione AWS che utilizzano un VPC condiviso.](images/keyspaces_cross-account_sharedVPC.png)
Account A
è l'account che contiene le risorse aAccount C
cuiAccount B
e a cui devono accedere, così comeAccount A
l'account attendibile. Account B
eAccount C
sono gli account con i responsabili che devono accedere alle risorseAccount A
, così comeAccount C
sonoAccount B
gli account attendibili. L'account attendibile concede le autorizzazioni agli account attendibili condividendo un ruolo IAM. La procedura seguente descrive le fasi di configurazione richieste inAccount A
.
Configurazione perAccount A
AWS Resource Access ManagerDa utilizzare per creare una condivisione di risorse per la sottorete e condividere la sottorete privata con
Account B
eAccount C
.Account B
e oraAccount C
possono vedere e creare risorse nella sottorete che è stata condivisa con loro.Crea un endpoint VPC privato Amazon Keyspaces basato suAWS PrivateLink. Questo crea più endpoint attraverso sottoreti condivise e voci DNS per l'endpoint del servizio Amazon Keyspaces.
Crea uno spazio chiave e una tabella Amazon Keyspaces.
Crea un ruolo IAM con accesso completo alla tabella Amazon Keyspaces, leggi l'accesso alle tabelle di sistema di Amazon Keyspaces e sia in grado di descrivere le risorse VPC di Amazon EC2 come mostrato nel seguente esempio di policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
Configura la politica di attendibilità dei ruoli IAM che
Account B
eAccount C
può assumere come account attendibili, come mostrato nell'esempio seguente.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
Per ulteriori informazioni sulle policy IAM multiaccount, consulta Policy multiaccount nella Guida per l'utente di IAM.
Configurazione inAccount B
eAccount C
In
Account B
eAccount C
, crea nuovi ruoli e allega la seguente politica che consenta al preside di assumere il ruolo condiviso creato inAccount A
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Consentire al committente di assumere il ruolo condiviso viene implementato utilizzando l'
AssumeRole
API diAWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta Fornire l'accesso a un utente IAM in un altroAccount AWS che si possiede nella Guida per l'utente di IAM.In
Account B
eAccount C
, puoi creare applicazioni che utilizzano il plug-in di autenticazione SIGV4, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situataAccount A
tramite l'endpoint VPC nel VPC condiviso. Per ulteriori informazioni sul plugin di autenticazione SIGV4, consultaCreazione di credenziali per accedere ad Amazon Keyspaces a livello di codice.