As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 4: configurar permissões para a conexão do endpoint da VPC
Os procedimentos nesta etapa demonstram como configurar regras e permissões para usar o endpoint da VPC com o Amazon Keyspaces.
Para configurar uma regra de entrada para o novo endpoint para permitir tráfego de entrada TCP
-
No console da VPC da Amazon, no painel esquerdo, escolha Endpoints e escolha o endpoint que você criou na etapa anterior.
-
Escolha Grupos de segurança e escolha o grupo de segurança associado a esse endpoint.
-
Escolha Regras de entrada e Editar regras de entrada.
-
Adicione uma regra de entrada com Tipo como CQLSH/CASSANDRA. Isso define o intervalo de portas automaticamente para 9142.
-
Escolha Salvar regras para salvar sua nova regra de entrada.
Para configurar permissões do usuário do IAM
-
Confirme se o usuário do IAM usado para se conectar ao Amazon Keyspaces tem as permissões apropriadas. Em AWS Identity and Access Management (IAM), você pode usar a política AWS gerenciada
AmazonKeyspacesReadOnlyAccess
para conceder ao usuário do IAM acesso de leitura ao Amazon Keyspaces.Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.
-
Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).
-
Escolha Attach existing policies directly (Anexar políticas existentes diretamente).
-
Na lista de políticas, escolha AmazonKeyspacesReadOnlyAccess e, em seguida, escolha Next: Review.
-
Escolha Add permissions (Adicionar permissões).
-
Verifique se você consegue acessar o Amazon Keyspaces por meio do endpoint da VPC.
aws keyspaces list-tables --keyspace-name '
my_Keyspace
'Se quiser, você pode tentar alguns outros AWS CLI comandos para o Amazon Keyspaces. Para obter mais informações, consulte Referência de comandos da AWS CLI.
nota
As permissões mínimas exigidas para que um usuário ou perfil do IAM acesse o Amazon Keyspaces são permissões de leitura para a tabela do sistema, conforme mostrado na política a seguir. Para obter informações sobre permissões baseadas em políticas, consulte Exemplos de políticas baseadas em identidade do Amazon Keyspaces.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*" ] } ] }
-
Conceda ao usuário do IAM acesso de leitura à instância do Amazon EC2 com a VPC.
Ao usar o Amazon Keyspaces com endpoints da VPC, você precisa conceder ao usuário ou perfil do IAM que acessa o Amazon Keyspaces permissões somente de leitura para sua instância do Amazon EC2 e para a VPC, para coletar dados de endpoints e interfaces de rede. O Amazon Keyspaces armazena essas informações na tabela
system.peers
e as usa para gerenciar conexões.nota
As políticas gerenciadas
AmazonKeyspacesReadOnlyAccess_v2
eAmazonKeyspacesFullAccess
incluem as permissões necessárias para permitir que o Amazon Keyspaces acesse a instância do Amazon EC2 para ler informações sobre os endpoints da VPC de interface disponíveis.Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel do console do IAM, escolha Políticas.
-
Escolha Criar política e escolha a guia JSON.
-
Copie a política a seguir e escolha Próximo: Tags.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListVPCEndpoints", "Effect":"Allow", "Action":[ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints" ], "Resource": "*" } ] }
-
Escolha Próximo: Revisar, insira um nome
keyspacesVPCendpoint
para a política e escolha Criar política. -
No painel do console do IAM, escolha Users (Usuários) e, em seguida, escolha seu usuário do IAM na lista.
-
Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).
-
Escolha Attach existing policies directly (Anexar políticas existentes diretamente).
-
Na lista de políticas, escolha keyspacesVPCendpoint, e Próximo: Revisar.
-
Escolha Add permissions (Adicionar permissões).
-
Para verificar se a tabela
system.peers
do Amazon Keyspaces está sendo atualizada com as informações da VPC, execute a seguinte consulta na sua instância do Amazon EC2 usandocqlsh
. Se você ainda não tiver instaladocqlsh
em sua instância do Amazon EC2 na etapa 2, siga as instruções em Usar a cqlsh-expansion para se conectar ao Amazon Keyspaces.SELECT peer FROM system.peers;
A saída retorna nós com endereços IP privados, dependendo da configuração da VPC e da sub-rede na sua região. AWS
peer --------------- 112.11.22.123 112.11.22.124 112.11.22.125
nota
Você precisa usar uma conexão
cqlsh
com o Amazon Keyspaces para confirmar que seu endpoint da VPC foi configurado corretamente. Se você usa seu ambiente local ou o editor Amazon Keyspaces CQL no AWS Management Console, a conexão passa automaticamente pelo endpoint público em vez do seu endpoint da VPC. Se houver nove endereços IP, essas são as entradas que o Amazon Keyspaces grava automaticamente na tabelasystem.peers
em conexões públicas de endpoints.