Etapa 4: configurar permissões para a conexão do endpoint da VPC - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4: configurar permissões para a conexão do endpoint da VPC

Os procedimentos nesta etapa demonstram como configurar regras e permissões para usar o endpoint da VPC com o Amazon Keyspaces.

Para configurar uma regra de entrada para o novo endpoint para permitir tráfego de entrada TCP

  1. No console da VPC da Amazon, no painel esquerdo, escolha Endpoints e escolha o endpoint que você criou na etapa anterior.

  2. Escolha Grupos de segurança e escolha o grupo de segurança associado a esse endpoint.

  3. Escolha Regras de entrada e Editar regras de entrada.

  4. Adicione uma regra de entrada com Tipo como CQLSH/CASSANDRA. Isso define o intervalo de portas automaticamente para 9142.

  5. Escolha Salvar regras para salvar sua nova regra de entrada.

Para configurar permissões do usuário do IAM

  1. Confirme se o usuário do IAM usado para se conectar ao Amazon Keyspaces tem as permissões apropriadas. Em AWS Identity and Access Management (IAM), você pode usar a política AWS gerenciada AmazonKeyspacesReadOnlyAccess para conceder ao usuário do IAM acesso de leitura ao Amazon Keyspaces.

    1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.

    3. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

    4. Escolha Attach existing policies directly (Anexar políticas existentes diretamente).

    5. Na lista de políticas, escolha AmazonKeyspacesReadOnlyAccess e, em seguida, escolha Next: Review.

    6. Escolha Add permissions (Adicionar permissões).

  2. Verifique se você consegue acessar o Amazon Keyspaces por meio do endpoint da VPC.

    aws keyspaces list-tables --keyspace-name 'my_Keyspace'

    Se quiser, você pode tentar alguns outros AWS CLI comandos para o Amazon Keyspaces. Para obter mais informações, consulte Referência de comandos da AWS CLI.

    nota

    As permissões mínimas exigidas para que um usuário ou perfil do IAM acesse o Amazon Keyspaces são permissões de leitura para a tabela do sistema, conforme mostrado na política a seguir. Para obter informações sobre permissões baseadas em políticas, consulte Exemplos de políticas baseadas em identidade do Amazon Keyspaces.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*"
         ]
      }
   ]
}

  3. Conceda ao usuário do IAM acesso de leitura à instância do Amazon EC2 com a VPC.

    Ao usar o Amazon Keyspaces com endpoints da VPC, você precisa conceder ao usuário ou perfil do IAM que acessa o Amazon Keyspaces permissões somente de leitura para sua instância do Amazon EC2 e para a VPC, para coletar dados de endpoints e interfaces de rede. O Amazon Keyspaces armazena essas informações na tabela system.peers e as usa para gerenciar conexões.

    nota

    As políticas gerenciadas AmazonKeyspacesReadOnlyAccess_v2 e AmazonKeyspacesFullAccess incluem as permissões necessárias para permitir que o Amazon Keyspaces acesse a instância do Amazon EC2 para ler informações sobre os endpoints da VPC de interface disponíveis.

    1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel do console do IAM, escolha Políticas.

    3. Escolha Criar política e escolha a guia JSON.

    4. Copie a política a seguir e escolha Próximo: Tags.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource": "*"
      }
   ]
}

    5. Escolha Próximo: Revisar, insira um nome keyspacesVPCendpoint para a política e escolha Criar política.

    6. No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.

    7. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

    8. Escolha Attach existing policies directly (Anexar políticas existentes diretamente).

    9. Na lista de políticas, escolha keyspacesVPCendpoint, e Próximo: Revisar.

    10. Escolha Add permissions (Adicionar permissões).

  4. Para verificar se a tabela system.peers do Amazon Keyspaces está sendo atualizada com as informações da VPC, execute a seguinte consulta na sua instância do Amazon EC2 usando cqlsh. Se você ainda não tiver instalado cqlsh em sua instância do Amazon EC2 na etapa 2, siga as instruções em Usar a cqlsh-expansion para se conectar ao Amazon Keyspaces.

    SELECT peer FROM system.peers;

    A saída retorna nós com endereços IP privados, dependendo da configuração da VPC e da sub-rede na sua região. AWS 

    peer 
--------------- 
112.11.22.123
112.11.22.124
112.11.22.125
    nota

    Você precisa usar uma conexão cqlsh com o Amazon Keyspaces para confirmar que seu endpoint da VPC foi configurado corretamente. Se você usa seu ambiente local ou o editor Amazon Keyspaces CQL no AWS Management Console, a conexão passa automaticamente pelo endpoint público em vez do seu endpoint da VPC. Se houver nove endereços IP, essas são as entradas que o Amazon Keyspaces grava automaticamente na tabela system.peers em conexões públicas de endpoints.