생성 및 구성 방법AWSAmazon Keyspaces - Amazon Keyspaces(Apache Cassandra용)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

생성 및 구성 방법AWSAmazon Keyspaces

Amazon 키스페이스에 프로그래밍 방식으로 액세스하려면AWS CLI, 그AWSSDK 또는 Cassandra 클라이언트 드라이버와 SigV4 플러그인을 사용하려면 액세스 키가 있는 IAM 사용자 또는 역할이 필요합니다. 를 사용할 때AWS프로그래밍 방식으로AWS액세스 키AWS프로그래밍 방식 호출에서 신원을 확인할 수 있습니다. 액세스 키는 액세스 키 ID (예: 액세스 키 ID (예: AKIAIOSFODNN7EXAMPLE) 와 보안 액세스 키 (예: AKIAIOSFODNN7EXAMPLE) 와 보안 액세스 키 (예: K7MDENG/) 로 구성됩니다.bPxRfi사이클 예제 키). 이 주제에서는 이 프로세스의 필수 단계를 살펴봅니다.

에서 요구하는 자격 증명AWS CLI, 그AWS카산드라 클라이언트 드라이버용 SDK 또는 아마존 Keyspaces SigV4 플러그인

IAM 사용자 또는 역할을 인증하려면 다음 자격 증명이 필요합니다.

AWS_ACCESS_KEY_ID

IAM 사용자 또는 역할과 연결된 AWS 액세스 키를 지정합니다.

액세스 키aws_access_key_id프로그래밍 방식으로 Amazon 키스페이스에 연결하려면 필요합니다.

AWS_SECRET_ACCESS_KEY

액세스 키와 연결된 보안 키를 지정합니다. 이는 액세스 키에 대한 기본적인 "암호"입니다.

aws_secret_access_key프로그래밍 방식으로 Amazon 키스페이스에 연결하려면 필요합니다.

AWS_SESSION_TOKEN— 선택 사항입니다

AWS Security Token Service 작업에서 직접 검색한 임시 보안 자격 증명을 사용하는 경우 필요한 세션 토큰 값을 지정합니다. 자세한 정보는 IAM 역할 및 SigV4 플러그인을 사용하여 Amazon Keyspac에 연결 을 참조하세요.을 참조하세요.

IAM 사용자와 연결하는 경우aws_session_token이 항목은 필수가 아닙니다.

Amazon 키스페이스에 프로그래밍 방식으로 액세스할 수 있는 IAM 사용자 생성AWS계정

Amazon 키스페이스에 프로그래밍 방식으로 액세스하기 위한 자격 증명을 받으려면AWS CLI, 그AWS먼저 SDK 또는 SigV4 플러그인을 사용하여 먼저 IAM 사용자 또는 역할을 생성해야 합니다. 다음 단계에 따라 사용자를 생성하고 사용자가 Amazon Keyspac에 프로그래밍 방식의 액세스 권한을 부여하도록 구성합니다.

  1. 에서 사용자 생성AWS Management Console, 그AWS CLI, Windows용 도구 PowerShell, 또는AWSAPI 작업. 에서 사용자를 생성하는 경우AWS Management Console를 클릭하면 자격 증명이 자동으로 생성됩니다.

  2. 프로그래밍 방식으로 사용자를 생성하려면 추가 단계에서 해당 사용자의 액세스 키 (액세스 키 ID 및 보안 액세스 키) 를 생성해야 합니다.

  3. 사용자에게 Amazon 키스페이스에 액세스할 수 있는 권한을 부여합니다.

사용자를 생성하기 위해 필요한 권한에 대한 자세한 내용은 섹션을 참조하세요.IAM 리소스에 액세스하는 데 필요한 권한.

IAM 사용자 생성(콘솔)

AWS Management Console을 사용하여 IAM 사용자를 생성할 수 있습니다.

프로그래밍 방식 액세스 권한이 있는 IAM 사용자를 생성하려면 (콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자(Users)사용자 추가(Add users)를 차례로 선택합니다.

  3. 신규 사용자의 사용자 이름을 입력합니다. 이것은 AWS에 로그인할 때 사용하는 이름입니다.

    참고

    사용자 이름에는 최대 64개의 문자, 숫자 및 더하기(+), 등호(=), 쉼표(,), 마침표(.), 앳(@) 및 하이픈(-) 조합을 사용할 수 있습니다. 이름은 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어 "TESTUSER""testuser"라는 두 사용자를 만들 수는 없습니다.

  4. Select액세스 키 - 프로그래밍 방식 액세스를 눌러 신규 사용자에 대한 액세스 키를 생성합니다. 에 이르면 액세스 키를 보거나 다운로드할 수 있습니다.결론페이지.

    [다음: 권한(Next: Permissions)]을 선택합니다.

  5. 온 더권한 설정페이지, 선택기존 정책 직접 연결를 사용하여 새로운 사용자에게 권한을 할당합니다.

    이 옵션은 다음 목록을 표시합니다.AWS계정에서 관리형 또는 고객 관리형 정책을 사용할 수 있습니다. 입력할 수 있습니다keyspacesAmazon Keyspac와 관련된 정책만 표시하려면 검색 필드에 정책을 추가합니다.

    Amazon 키스페이스의 경우 사용 가능한 관리형 정책은 다음과 같습니다.AmazonKeyspacesFullAccessAmazonKeyspacesReadOnlyAccess. 각 정책에 대한 자세한 내용은 단원을 참조하십시오.AWS아마존 키스페이스에 대한 관리형 정책.

    테스트 목적과 연결 자습서를 따르려면 다음을 선택하십시오.AmazonKeyspacesReadOnlyAccess신규 사용자에 대한 정책. 참고: 가장 좋은 방법은 최소 권한 원칙에 따라 특정 리소스에 대한 액세스를 제한하고 필요한 작업만 허용하는 사용자 지정 정책을 만드는 것이 좋습니다. IAM 정책에 대한 자세한 내용과 Amazon Keyspac에 대한 예제 정책을 보려면 섹션을 참조하세요.Amazon Keyspaces 자격 증명 기반 정책. 사용자 지정 정책을 생성하였으면 이제 정책을 그룹에 연결한 다음 적절한 그룹들의 구성원인 사용자들을 생성하도록 합니다.

    [다음: 권한(Next: Tags)]를 선택합니다.

  6. 온 더태그 추가 (선택 사항)사용자 태그를 추가하거나 선택할 수 있는 페이지다음: Review)]를 선택합니다.

  7. 온 더검토이 페이지에는 이 시점까지 한 선택을 모두 볼 수 있습니다. 계속 진행할 준비가 되었으면 를 선택합니다.사용자 생성.

  8. 사용자의 액세스 키(액세스 키 ID와 보안 액세스 키)를 보려면 암호와 액세스 키 옆에 있는 Show(표시)를 선택합니다. 액세스 키를 저장하려면 .csv 다운로드(Download .csv)를 선택한 후 안전한 위치에 파일을 저장합니다.

    중요

    이 단계에서만 보안 암호 액세스 키를 보고 다운로드할 수 있으므로, 먼저 이 정보가 필요한 경우에만 SigV4 플러그인을 사용할 수 있습니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하세요. 이 단계 이후에는 보안 키에 다시 액세스할 수 없습니다.

IAM 사용자 생성(AWS CLI)

AWS CLI를 사용하여 IAM 사용자를 생성할 수 있습니다.

프로그래밍 방식으로 액세스할 수 있는 IAM 사용자를 만들려면 (AWS CLI)
  1. 다음과 같이 사용자를 생성합니다.AWS CLI코드.

  2. 사용자에게 프로그래밍 방식 액세스 권한 부여. 이를 위해서는 다음과 같은 방법으로 생성할 수 있는 액세스 키가 필요합니다.

    • AWS CLI: aws iam create-access-key

    • Tools for Windows Server PowerShell:New-IAMAccessKey

    • IAM API:CreateAccessKey

      중요

      이 단계에서만 보안 암호 액세스 키를 보고 다운로드할 수 있으므로, 먼저 이 정보가 필요한 경우에만 SigV4 플러그인을 사용할 수 있습니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하세요. 이 단계 이후에는 보안 키에 다시 액세스할 수 없습니다.

  3. 를 연결합니다AmazonKeyspacesReadOnlyAccess사용자의 권한을 정의한 사용자에 대한 정책. 참고: 사용자에게 직접 정책을 추가하는 대신 그룹에 정책을 추가하여 사용자 권한을 관리하시는 것이 가장 좋습니다.

IAM 사용자에 대한 새로운 액세스 키 생성

이미 IAM 사용자가 있으면 언제든지 새 액세스 키를 생성할 수 있습니다. 키 관리에 대한 자세한 내용 (예: 액세스 키 교체 방법 등) 은 섹션을 참조하세요.IAM 사용자의 액세스 키 관리.

IAM 사용자에 대한 액세스 키를 생성하려면 (콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 액세스 키를 생성할 사용자의 이름을 선택합니다.

  4. 온 더요약사용자 페이지, 선택보안 자격 증명탭.

  5. 액세스 키 섹션에서 Create access key(액세스 키 생성)를 선택합니다.

    새 액세스 키 페어를 보려면 표시를 선택합니다. 자격 증명은 다음과 비슷합니다.

    • 액세스 키 ID: AKIAIOSFODNN7EXAMPLE

    • 비밀 액세스 키: wJalrXUtnFEMI/K7MDENG/bP7MDENbPxRfi사이클 예제 키

    참고

    이 대화 상자를 닫은 후에는 보안 액세스 키에 다시 액세스할 수 없습니다.

  6. 키 페어 파일을 다운로드하려면 [Download .csv file]을 선택합니다. 안전한 위치에 키를 저장합니다.

  7. .csv 파일을 다운로드한 후 닫기를 선택합니다.

액세스 키를 생성하면 키 페어가 기본적으로 활성화되므로 해당 페어를 즉시 사용할 수 있습니다.

IAM 사용자의 액세스 키를 관리하는 방법

액세스 키를 코드에 직접 내장하지 않는 것이 가장 좋습니다. 이AWSSDK 및AWS명령줄 도구를 사용하면 액세스 키를 알려진 위치에 배치할 수 있으므로 코드에 보관할 필요가 없습니다. 액세스 키를 다음 중 한 곳에 보관하십시오.

  • 환경 변수— 멀티 테넌트 시스템에서는 시스템 환경 변수가 아닌 사용자 환경 변수를 선택합니다.

  • CLI 자격 증명 파일 - credentials 명령을 실행하면 configaws configure 파일이 업데이트됩니다. 이credentials파일은 다음 위치에 있습니다.~/.aws/credentialsLinux, macOS 또는 Unix 또는C:\Users\USERNAME\.aws\credentialsWindows에서. 이 파일에는 default 프로필 및 모든 명명된 프로필에 대한 자격 증명 세부 정보가 포함되어 있습니다.

  • CLI 구성 파일 - credentials 명령을 실행하면 configaws configure 파일이 업데이트됩니다. 이config파일은 다음 위치에 있습니다.~/.aws/configLinux, macOS 또는 Unix 또는C:\Users\USERNAME\.aws\configWindows에서. 이 파일에는 기본 프로필 및 모든 명명된 프로필에 대한 구성 설정이 포함되어 있습니다.

액세스 키를 환경 변수로 저장하는 것은 다음을 위한 전제 조건입니다.아파치 카산드라용 4.x DataStax Java 드라이버와 SigV4 인증 플러그인을 사용하여 아마존 키스페이스에 연결하는 방법에 대한tep-by-step 자습서. 클라이언트는 기본 자격 증명 공급자 체인을 사용하여 자격 증명을 검색하며 환경 변수로 저장된 액세스 키는 다른 모든 위치 (예: 구성 파일) 보다 우선합니다. 자세한 내용을 알아보려면 다음 섹션을 참조하세요.구성 설정 및 우선 순위.

다음은 기본 사용자에 대한 환경 변수를 구성할 수 있는 방법을 보여주는 예입니다.

Linux, macOS, or Unix
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE $ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY $ export AWS_SESSION_TOKEN=AQoDYXdzEJr...<remainder of security token>

환경 변수를 설정하면 사용되는 값이 변경되어 셸 세션이 종료될 때까지 또는 변수를 다른 값으로 설정할 때까지 유지됩니다. 셸의 스타트업 스크립트에서 변수를 설정하면 해당 변수가 향후 세션에서도 영구적으로 적용되도록 할 수 있습니다.

Windows Command Prompt
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY C:\> setx AWS_SESSION_TOKEN AQoDYXdzEJr...<remainder of security token>

환경 변수를 설정하는 데 set을 사용하면 사용되는 값이 변경되어 현재 명령 프롬프트 세션이 종료될 때까지 또는 변수를 다른 값으로 설정할 때까지 유지됩니다. 환경 변수를 설정하는 데 setx를 사용하면 현재 명령 프롬프트 세션과 명령 실행 후 생성한 모든 명령 프롬프트 세션에서 사용되는 값이 변경됩니다. 명령을 실행하는 시점에 이미 실행 중인 다른 명령 셸에는 영향을 주지 않습니다.

PowerShell
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" PS C:\> $Env:AWS_SESSION_TOKEN="AQoDYXdzEJr...<remainder of security token>"

에서 환경 변수를 설정하는 경우 PowerShell 프롬프트는 이전 예에 표시된 대로 현재 세션의 기간에만 값을 저장합니다. 환경 변수 설정을 모든 항목에서 영구적으로 설정하려면 PowerShell 및 명령 프롬프트 세션은 다음을 사용하여 저장합니다.시스템컨트롤 패널. 또는 future 모든 변수에 적용되도록 변수를 설정할 수 있습니다. PowerShell 에 추가하여 PowerShell 프로파일. 다음을 참조하세요.PowerShell 선적 서류 비치환경 변수 저장 또는 세션에 영구적 적용에 대한 자세한 내용은 여기를 참조하세요.

IAM 역할 및 SigV4 플러그인을 사용하여 Amazon Keyspac에 연결 을 참조하세요.

보안 강화를 위해 다음을 사용할 수 있습니다.임시 자격 증명SigV4 플러그인을 사용하여 인증합니다. 대부분의 시나리오에서는 만료되지 않는 장기 액세스 키가 필요하지 않습니다 (IAM 사용자의 경우처럼). 대신 IAM 역할을 생성하고 임시 보안 자격 증명을 생성할 수 있습니다. 임시 보안 자격 증명은 액세스 키 ID와 보안 액세스 키로 구성되지만, 자격 증명이 만료되는 시간을 나타내는 보안 토큰을 포함합니다. 장기 액세스 키 대신 IAM 역할을 사용하는 방법을 자세히 알아보려면 섹션을 참조하세요.IAM 역할로 전환 (AWSAPI).

임시 보안 인증으로 시작하려면 먼저 IAM 역할을 생성해야 합니다.

Amazon Keyspac에 대한 읽기 전용 액세스 권한을 부여하는 IAM 역할 생성
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 를 선택합니다.Roles, 그때역할 생성.

  3. 온 더역할 생성페이지, 아래신뢰할 수 있는 엔터티 유형 선택, 선택AWS서비스. 아래에사용 사례 선택, 선택Amazon EC2, 그런 다음 선택하십시오다음.

  4. 온 더권한 추가페이지, 아래권한 정책, 선택아마존 Keyspaces 읽기 전용 액세스정책 목록에서 선택다음.

  5. 온 더이름 지정, 검토 및 작성페이지에서 역할의 이름을 입력하고신뢰할 수 있는 기관 선택권한 추가섹션. 이 페이지에서 역할에 선택적 태그를 추가할 수도 있습니다. 완료했으면 를 선택합니다.역할 생성. Amazon EC2 인스턴스를 시작할 때 필요하므로 이 이름을 기억하십시오.

코드에서 임시 보안 자격 증명을 사용하려면 프로그래밍 방식으로AWS Security Token ServiceLIKEAssumeRole이전 단계에서 생성한 IAM 역할에서 결과 보안 인증과 세션 토큰을 추출합니다. 그런 다음 해당 값을 AWS에 대한 후속 호출을 위한 자격 증명으로 사용하면 됩니다. 다음 예에서는 임시 보안 자격 증명을 사용하는 방법에 대한 유사 코드를 보여 줍니다.

assumeRoleResult = AssumeRole(role-arn); tempCredentials = new SessionAWSCredentials( assumeRoleResult.AccessKeyId, assumeRoleResult.SecretAccessKey, assumeRoleResult.SessionToken); cassandraRequest = CreateAmazoncassandraClient(tempCredentials);

Python 드라이버를 사용하여 Amazon Keyspace에 액세스하는 임시 자격 증명을 구현하는 예는 다음을 참조하십시오.아파치 카산드라용 DataStax 파이썬 드라이버와 SigV4 인증 플러그인을 사용하여 아마존 키스페이스에 Connect.

AssumeRole, GetFederationToken 및 기타 API 작업을 호출하는 방법에 대한 자세한 내용은 AWS Security Token Service API 참조를 참조하세요. 이러한 호출의 결과에서 임시 보안 자격 증명 및 세션 토큰을 얻는 방법에 대한 자세한 내용은 사용하고 있는 SDK의 설명서를 참조하세요. 기본 AWS 설명서 페이지SDK 및 도구 키트 섹션에서 모든 AWS SDK에 대한 설명서를 확인할 수 있습니다.