Configurazione dell'accesso multiaccount per Amazon Keyspaces in un VPC condiviso - Amazon Keyspaces (per Apache Cassandra)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso multiaccount per Amazon Keyspaces in un VPC condiviso

È possibile creare risorse diverseAccount AWS o separate dalle applicazioni. Ad esempio, puoi creare un account per le tabelle Amazon Keyspaces, un account diverso per le applicazioni in un ambiente di sviluppo e un altro account per le applicazioni in un ambiente di produzione. Questo argomento illustra i passaggi di configurazione necessari per configurare l'accesso tra account per Amazon Keyspaces utilizzando endpoint VPC di interfaccia in un VPC condiviso.

Per i passaggi dettagliati su come configurare un endpoint VPC per Amazon Keyspaces, consultaFase 3: creare un endpoint VPC per Amazon Keyspaces.

In questo esempio utilizziamo i seguenti tre account in un cloud privato VPC condiviso:

  • Account A— Questo account contiene l'infrastruttura, inclusi gli endpoint VPC, le sottoreti VPC e le tabelle Amazon Keyspaces.

  • Account B— Questo account contiene un'applicazione in un ambiente di sviluppo che deve connettersi alla tabella Amazon Keyspaces inAccount A.

  • Account C— Questo account contiene un'applicazione in un ambiente di produzione che deve connettersi alla tabella Amazon Keyspaces inAccount A.

Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessaRegione AWS che utilizzano un VPC condiviso.

Account Aè l'account che contiene le risorse aAccount C cuiAccount B e a cui devono accedere, così comeAccount A l'account attendibile. Account BeAccount C sono gli account con i responsabili che devono accedere alle risorseAccount A, così comeAccount C sonoAccount B gli account attendibili. L'account attendibile concede le autorizzazioni agli account attendibili condividendo un ruolo IAM. La procedura seguente descrive le fasi di configurazione richieste inAccount A.

Configurazione perAccount A

  1. AWS Resource Access ManagerDa utilizzare per creare una condivisione di risorse per la sottorete e condividere la sottorete privata conAccount B eAccount C.

    Account Be oraAccount C possono vedere e creare risorse nella sottorete che è stata condivisa con loro.

  2. Crea un endpoint VPC privato Amazon Keyspaces basato suAWS PrivateLink. Questo crea più endpoint attraverso sottoreti condivise e voci DNS per l'endpoint del servizio Amazon Keyspaces.

  3. Crea uno spazio chiave e una tabella Amazon Keyspaces.

  4. Crea un ruolo IAM con accesso completo alla tabella Amazon Keyspaces, leggi l'accesso alle tabelle di sistema di Amazon Keyspaces e sia in grado di descrivere le risorse VPC di Amazon EC2 come mostrato nel seguente esempio di policy.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configura la politica di attendibilità dei ruoli IAM cheAccount B eAccount C può assumere come account attendibili, come mostrato nell'esempio seguente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Per ulteriori informazioni sulle policy IAM multiaccount, consulta Policy multiaccount nella Guida per l'utente di IAM.

Configurazione inAccount B eAccount C

  1. InAccount B eAccount C, crea nuovi ruoli e allega la seguente politica che consenta al preside di assumere il ruolo condiviso creato inAccount A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Consentire al committente di assumere il ruolo condiviso viene implementato utilizzando l'AssumeRoleAPI diAWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta Fornire l'accesso a un utente IAM in un altroAccount AWS che si possiede nella Guida per l'utente di IAM.

  2. InAccount B eAccount C, puoi creare applicazioni che utilizzano il plug-in di autenticazione SIGV4, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situataAccount A tramite l'endpoint VPC nel VPC condiviso. Per ulteriori informazioni sul plugin di autenticazione SIGV4, consultaCreazione di credenziali per accedere ad Amazon Keyspaces a livello di codice.