Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configure o acesso entre contas para o Amazon Keyspaces usando endpoints da VPC em uma VPC compartilhada

PDF
RSS
Modo de foco
Configure o acesso entre contas para o Amazon Keyspaces usando endpoints da VPC em uma VPC compartilhada - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode criar recursos diferentes Contas da AWS ou separados dos aplicativos. Por exemplo, você pode criar uma conta para suas tabelas do Amazon Keyspaces, uma conta diferente para aplicativos em um ambiente de desenvolvimento e outra conta para aplicativos em um ambiente de produção. Este tópico mostra as etapas de configuração necessárias para configurar o acesso entre contas para o Amazon Keyspaces usando endpoints de VPC de interface em uma VPC compartilhada.

Para obter etapas detalhadas sobre como configurar um endpoint da VPC para o Amazon Keyspaces, consulte Etapa 3: criar um endpoint da VPC para o Amazon Keyspaces.

Neste exemplo, usamos as três contas a seguir em uma VPC compartilhada:

  • Account A: essa conta contém infraestrutura, incluindo os endpoints da VPC, as sub-redes da VPC e as tabelas do Amazon Keyspaces.

  • Account B: essa conta contém um aplicativo em um ambiente de desenvolvimento que precisa se conectar à tabela do Amazon Keyspaces em Account A.

  • Account C: essa conta contém um aplicativo em um ambiente de produção que precisa se conectar à tabela do Amazon Keyspaces em Account A.

Diagrama mostrando três contas diferentes pertencentes à mesma organização, na mesma Região da AWS , que usam uma VPC compartilhada.

Account A é a conta que contém os recursos que Account B e Account C precisam para o acesso, assim Account A é a conta confiável. Account B e Account C são as contas com as entidades principais que precisam acessar os recursos em Account A, portanto, Account B e Account C são as contas confiáveis. A conta confiável concede as permissões às contas confiáveis compartilhando um perfil do IAM. O procedimento a seguir descreve as etapas de configuração necessárias em Account A.

Configuração para a Account A

  1. Use AWS Resource Access Manager para criar um compartilhamento de recursos para a sub-rede e compartilhar a sub-rede privada com e. Account B Account C

    Account B e Account C agora podem ver e criar recursos na sub-rede que foi compartilhada com eles.

  2. Crie um endpoint VPC privado do Amazon Keyspaces desenvolvido por. AWS PrivateLink Isso cria vários endpoints em sub-redes compartilhadas e entradas de DNS para o endpoint do serviço do Amazon Keyspaces.

  3. Crie um espaço de chaves e uma tabela do Amazon Keyspaces.

  4. Crie uma função do IAM que tenha acesso total à tabela Amazon Keyspaces, leia as tabelas do sistema Amazon Keyspaces e seja capaz de descrever os recursos do Amazon EC2 VPC conforme mostrado no exemplo de política a seguir.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configure a política de confiança do perfil do IAM que Account B e Account C pode assumir como contas confiáveis, conforme mostrado no exemplo a seguir. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Para ver mais informações sobre as políticas do IAM entre contas, consulte Políticas entre contas no Guia do usuário do IAM.

Configuração em Account B e Account C

  1. Em Account B e Account C, crie novos perfis e anexe a seguinte política que permite que a entidade principal assuma o perfil compartilhado criado em Account A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Permitir que o diretor assuma a função compartilhada é implementado usando a AssumeRole API do AWS Security Token Service (AWS STS). Para obter mais informações, consulte Fornecer acesso a um usuário do IAM em outro Conta da AWS de sua propriedade no Guia do usuário do IAM.

  2. Em Account B eAccount C, você pode criar aplicativos que utilizam o plug-in de SIGV4 autenticação, que permite que um aplicativo assuma a função compartilhada para se conectar à tabela do Amazon Keyspaces localizada Account A por meio do endpoint da VPC na VPC compartilhada. Para obter mais informações sobre o plug-in de SIGV4 autenticação, consulteCrie credenciais para acesso programático ao Amazon Keyspaces .

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.