Configure o acesso entre contas ao Amazon Keyspaces VPC usando endpoints em um ambiente compartilhado VPC - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure o acesso entre contas ao Amazon Keyspaces VPC usando endpoints em um ambiente compartilhado VPC

Você pode criar diferentes Contas da AWS para separar recursos de aplicativos. Por exemplo, você pode criar uma conta para suas tabelas do Amazon Keyspaces, uma conta diferente para aplicativos em um ambiente de desenvolvimento e outra conta para aplicativos em um ambiente de produção. Este tópico mostra as etapas de configuração necessárias para configurar o acesso entre contas para o Amazon Keyspaces usando endpoints de VPC interface de forma compartilhada. VPC

Para obter etapas detalhadas sobre como configurar um VPC endpoint para o Amazon Keyspaces, consulte. Etapa 3: criar um VPC endpoint para o Amazon Keyspaces

Neste exemplo, usamos as três contas a seguir em um compartilhamentoVPC:

  • Account A— Essa conta contém infraestrutura, incluindo os VPC endpoints, as VPC sub-redes e as tabelas do Amazon Keyspaces.

  • Account B: essa conta contém um aplicativo em um ambiente de desenvolvimento que precisa se conectar à tabela do Amazon Keyspaces em Account A.

  • Account C: essa conta contém um aplicativo em um ambiente de produção que precisa se conectar à tabela do Amazon Keyspaces em Account A.

Diagrama mostrando três contas diferentes pertencentes à mesma organização na mesma Região da AWS que usam um compartilhadoVPC.

Account A é a conta que contém os recursos que Account B e Account C precisam para o acesso, assim Account A é a conta confiável. Account B e Account C são as contas com as entidades principais que precisam acessar os recursos em Account A, portanto, Account B e Account C são as contas confiáveis. A conta confiável concede as permissões às contas confiáveis compartilhando uma IAM função. O procedimento a seguir descreve as etapas de configuração necessárias em Account A.

Configuração para a Account A

  1. Use AWS Resource Access Manager para criar um compartilhamento de recursos para a sub-rede e compartilhar a sub-rede privada com e. Account B Account C

    Account B e Account C agora podem ver e criar recursos na sub-rede que foi compartilhada com eles.

  2. Crie um VPC endpoint privado do Amazon Keyspaces desenvolvido por AWS PrivateLink. Isso cria vários endpoints em sub-redes e DNS entradas compartilhadas para o endpoint do serviço Amazon Keyspaces.

  3. Crie um espaço de chaves e uma tabela do Amazon Keyspaces.

  4. Crie uma IAM função que tenha acesso total à tabela Amazon Keyspaces, leia as tabelas do sistema Amazon Keyspaces e seja capaz de descrever os EC2 VPC recursos da Amazon conforme mostrado no exemplo de política a seguir.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configure a política de confiança da IAM função que Account B e Account C pode assumir como contas confiáveis, conforme mostrado no exemplo a seguir. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Para obter mais informações sobre IAM políticas entre contas, consulte Políticas entre contas no Guia do IAM usuário.

Configuração em Account B e Account C

  1. Em Account B e Account C, crie novos perfis e anexe a seguinte política que permite que a entidade principal assuma o perfil compartilhado criado em Account A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Permitir que o diretor assuma a função compartilhada é implementado usando o AssumeRole API AWS Security Token Service (AWS STS). Para obter mais informações, consulte Fornecendo acesso a um IAM usuário em outro Conta da AWS que você possui no Guia do IAM Usuário.

  2. Em Account B eAccount C, você pode criar aplicativos que utilizam o plug-in de SIGV4 autenticação, que permite que um aplicativo assuma a função compartilhada para se conectar à tabela Amazon Keyspaces localizada Account A por meio do VPC endpoint no compartilhado. VPC Para obter mais informações sobre o plug-in de SIGV4 autenticação, consulteCrie credenciais para acesso programático ao Amazon Keyspaces .