Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kontenübergreifenden Zugriff auf Amazon Keyspaces mit VPC-Endpunkten konfigurieren
Sie können separate Ressourcen erstellen und verwenden, um Ressourcen AWS-Konten zu isolieren und sie in verschiedenen Umgebungen zu verwenden, beispielsweise in der Entwicklungs- und Produktionsumgebung. Dieses Thema führt Sie durch den kontoübergreifenden Zugriff auf Amazon Keyspaces mithilfe von Schnittstellen-VPC-Endpunkten in einem. Amazon Virtual Private Cloud Weitere Informationen zur Konfiguration des kontoübergreifenden IAM-Zugriffs finden Sie im IAM-Benutzerhandbuch unter [Beispielszenario mit separaten Entwicklungs- und Produktionskonten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example).
Weitere Informationen zu Amazon Keyspaces und privaten VPC-Endpunkten finden Sie unter. [Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten](vpc-endpoints.md)
**Topics**
+ [Kontenübergreifenden Zugriff in einer gemeinsam genutzten VPC konfigurieren](access.cross-account.sharedVPC.md)
+ [Kontenübergreifenden Zugriff ohne gemeinsam genutzte VPC konfigurieren](access.cross-account.noVPC.setup.md)
# Konfigurieren Sie den kontoübergreifenden Zugriff auf Amazon Keyspaces mithilfe von VPC-Endpunkten in einer gemeinsam genutzten VPC
Sie können verschiedene Ressourcen erstellen AWS-Konten , um sie von Anwendungen zu trennen. Sie können beispielsweise ein Konto für Ihre Amazon Keyspaces-Tabellen, ein anderes Konto für Anwendungen in einer Entwicklungsumgebung und ein weiteres Konto für Anwendungen in einer Produktionsumgebung erstellen. Dieses Thema führt Sie durch die Konfigurationsschritte, die erforderlich sind, um den kontoübergreifenden Zugriff für Amazon Keyspaces mithilfe von VPC-Schnittstellen-Endpunkten in einer gemeinsam genutzten VPC einzurichten.
Ausführliche Schritte zur Konfiguration eines VPC-Endpunkts für Amazon Keyspaces finden Sie unter. [Schritt 3: Erstellen Sie einen VPC-Endpunkt für Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md)
In diesem Beispiel verwenden wir die folgenden drei Konten in einer gemeinsam genutzten VPC:
+ `Account A:111111111111`— Dieses Konto enthält die Infrastruktur, einschließlich der VPC-Endpunkte, der VPC-Subnetze und der Amazon Keyspaces-Tabellen.
+ `Account B:222222222222`— Dieses Konto enthält eine Anwendung in einer Entwicklungsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle in `Account A:111111111111` herstellen muss.
+ `Account C:333333333333`— Dieses Konto enthält eine Anwendung in einer Produktionsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle in `Account A:111111111111` herstellen muss.
![\[Diagramm, das drei verschiedene Konten zeigt, die derselben Organisation in derselben AWS-Region gehören und eine gemeinsam genutzte VPC verwenden.\]](http://docs.aws.amazon.com/de_de/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)
`Account A:111111111111`ist das Konto, das die Ressourcen (eine Amazon Keyspaces-Tabelle) enthält, auf die zugegriffen werden `Account C:333333333333` muss `Account B:222222222222` und auf die zugegriffen werden muss, `Account A:111111111111` ebenso das *vertrauenswürdige* Konto. `Account B:222222222222`und `Account C:333333333333` sind die Konten bei den Principals, die Zugriff auf die Ressourcen (eine Amazon Keyspaces-Tabelle) benötigen`Account A:111111111111`, also `Account B:222222222222` `Account C:333333333333` die *vertrauenswürdigen* Konten. Das vertrauenswürdige Konto erteilt die Berechtigungen für die vertrauenswürdigen Konten, indem es sich eine IAM-Rolle teilt. Das folgende Verfahren beschreibt die Konfigurationsschritte, die in erforderlich sind. `Account A:111111111111`
**Konfiguration für `Account A:111111111111`**
1. Wird verwendet AWS Resource Access Manager , um eine Ressourcenfreigabe für das Subnetz zu erstellen und das private Subnetz mit `Account B:222222222222` und zu teilen. `Account C:333333333333`
`Account B:222222222222`und `Account C:333333333333` kann jetzt Ressourcen in dem Subnetz sehen und erstellen, das mit ihnen geteilt wurde.
1. Erstellen Sie einen privaten VPC-Endpunkt von Amazon Keyspaces, der von betrieben wird. AWS PrivateLink Dadurch werden mehrere Endpunkte in gemeinsam genutzten Subnetzen und DNS-Einträgen für den Amazon Keyspaces-Serviceendpunkt erstellt.
1. Erstellen Sie einen Amazon Keyspaces-Schlüsselraum und eine Tabelle.
1. Erstellen Sie eine IAM-Rolle in`Account A:111111111111`, die vollen Zugriff auf die Amazon Keyspaces-Tabelle und Lesezugriff auf die Amazon Keyspaces-Systemtabellen hat und die Amazon EC2 VPC-Ressourcen beschreiben kann, wie im folgenden Richtlinienbeispiel gezeigt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints",
"cassandra:*"
],
"Resource": "*"
}
]
}
```
1. Konfigurieren Sie eine Vertrauensrichtlinie für die IAM-Rolle, `Account A:111111111111` sodass Sie die Rolle als `Account B:222222222222` vertrauenswürdige `Account C:333333333333` Konten übernehmen können. Dies wird im folgenden Beispiel veranschaulicht.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Weitere Informationen zu kontoübergreifenden IAM-Richtlinien finden Sie unter [Kontoübergreifende Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) im IAM-Benutzerhandbuch.
**`Account B:222222222222`Konfiguration in und `Account C:333333333333`**
1. Erstellen Sie in `Account B:222222222222` und `Account C:333333333333` neue Rollen und fügen Sie die folgende Richtlinie hinzu, die es dem Prinzipal ermöglicht, die in erstellte gemeinsame Rolle zu übernehmen`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Dem Prinzipal die Übernahme der gemeinsamen Rolle zu ermöglichen, wird mithilfe der `AssumeRole` API von AWS -Security-Token-Service (AWS STS) implementiert. Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).
1. In `Account B:222222222222` und können Sie Anwendungen erstellen`Account C:333333333333`, die das SIGV4 Authentifizierungs-Plugin verwenden, das es einer Anwendung ermöglicht, die gemeinsame Rolle zu übernehmen, um eine Verbindung zur Amazon Keyspaces-Tabelle herzustellen, die sich `Account A:111111111111` über den VPC-Endpunkt in der gemeinsam genutzten VPC befindet. Weitere Informationen zum SIGV4 Authentifizierungs-Plugin finden Sie unter. [Anmeldeinformationen für den programmatischen Zugriff auf Amazon Keyspaces erstellen](programmatic.credentials.md) Weitere Informationen darüber, wie Sie eine Anwendung so konfigurieren, dass sie eine Rolle in einem anderen AWS Konto übernimmt, finden Sie unter [Authentifizierung und Zugriff](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) im *AWS SDKs Referenzhandbuch zu Tools*.
# Konfiguration des kontoübergreifenden Zugriffs auf Amazon Keyspaces ohne gemeinsame VPC
Wenn die Amazon Keyspaces-Tabelle und der private VPC-Endpunkt unterschiedlichen Konten gehören, sich aber keine VPC teilen, können Anwendungen trotzdem kontoübergreifende Verbindungen über VPC-Endpunkte herstellen. Weil die Konten die VPC-Endpunkte,, `Account A:111111111111``Account B:222222222222`, nicht gemeinsam nutzen und ihre eigenen VPC-Endpunkte `Account C:333333333333` benötigen. Für den Cassandra-Client-Treiber erscheint Amazon Keyspaces wie ein einzelner Knoten statt wie ein Cluster mit mehreren Knoten. Nach der Verbindung erreicht der Client-Treiber den DNS-Server, der einen der verfügbaren Endpunkte in der VPC des Kontos zurückgibt.
Sie können auch über verschiedene Konten hinweg auf Amazon Keyspaces-Tabellen zugreifen, ohne einen gemeinsamen VPC-Endpunkt zu haben, indem Sie die öffentlichen Endpunkte verwenden oder in jedem Konto einen privaten VPC-Endpunkt bereitstellen. Wenn Sie keine gemeinsam genutzte VPC verwenden, benötigt jedes Konto einen eigenen VPC-Endpunkt. In diesem `Account A:111111111111` Beispiel `Account C:333333333333` benötigen sie ihre eigenen VPC-Endpunkte`Account B:222222222222`, um auf die Tabelle in zuzugreifen. `Account A:111111111111` Bei Verwendung von VPC-Endpunkten in dieser Konfiguration erscheint Amazon Keyspaces für den Cassandra-Client-Treiber als Einzelknoten-Cluster und nicht als Cluster mit mehreren Knoten. Nach der Verbindung erreicht der Client-Treiber den DNS-Server, der einen der verfügbaren Endpunkte in der VPC des Kontos zurückgibt. Der Client-Treiber kann jedoch nicht auf die `system.peers` Tabelle zugreifen, um weitere Endpunkte zu ermitteln. Da weniger Hosts verfügbar sind, stellt der Treiber weniger Verbindungen her. Um dies anzupassen, erhöhen Sie die Verbindungspool-Einstellung des Treibers um den Faktor drei.
![\[Diagramm, das drei verschiedene Konten zeigt, die derselben Organisation in derselben Organisation AWS-Region ohne gemeinsame VPC gehören.\]](http://docs.aws.amazon.com/de_de/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)
`Account A:111111111111`ist das Konto, das die Ressourcen (eine Amazon Keyspaces-Tabelle) enthält, auf die zugegriffen werden `Account C:333333333333` muss `Account B:222222222222` und auf die zugegriffen werden muss, `Account A:111111111111` ebenso das *vertrauenswürdige* Konto. `Account B:222222222222`und `Account C:333333333333` sind die Konten bei den Principals, die Zugriff auf die Ressourcen (eine Amazon Keyspaces-Tabelle) benötigen`Account A:111111111111`, also `Account B:222222222222` `Account C:333333333333` die *vertrauenswürdigen* Konten. Das vertrauenswürdige Konto erteilt die Berechtigungen für die vertrauenswürdigen Konten, indem es sich eine IAM-Rolle teilt. Das folgende Verfahren beschreibt die Konfigurationsschritte, die in erforderlich sind. `Account A:111111111111`
**Konfiguration für `Account A:111111111111`**
1. Erstellen Sie einen Amazon Keyspaces-Schlüsselraum und eine Tabelle darin. `Account A:111111111111`
1. Erstellen Sie eine IAM-Rolle in`Account A:111111111111`, die vollen Zugriff auf die Amazon Keyspaces-Tabelle und Lesezugriff auf die Amazon Keyspaces-Systemtabellen hat.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
]
}
]
}
```
1. Konfigurieren Sie eine Vertrauensrichtlinie für die IAM-Rolle in, `Account A:111111111111` sodass Prinzipale die Rolle als `Account B:222222222222` vertrauenswürdige `Account C:333333333333` Konten übernehmen können. Dies wird im folgenden Beispiel veranschaulicht.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Weitere Informationen zu kontoübergreifenden IAM-Richtlinien finden Sie unter [Kontoübergreifende Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) im IAM-Benutzerhandbuch.
1. Konfigurieren Sie den VPC-Endpunkt in `Account A:111111111111` und fügen Sie dem Endpunkt Berechtigungen hinzu, die es den Rollen von `Account B:222222222222` und `Account C:333333333333` die Übernahme der Rolle bei der `Account A` Verwendung des VPC-Endpunkts ermöglichen. Diese Berechtigungen gelten für den VPC-Endpunkt, an den sie angehängt sind. Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter[Steuerung des Zugriffs auf VPC-Schnittstellen-Endpunkte für Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies).
```
{{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessfromSpecificIAMroles",
"Effect": "Allow",
"Action": "cassandra:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
}
}
}
]
}
```
**Konfiguration in und `Account B:222222222222` `Account C:333333333333`**
1. Erstellen Sie in `Account B:222222222222` und `Account C:333333333333` neue Rollen und fügen Sie die folgende Richtlinie hinzu, die es dem Prinzipal ermöglicht, die in erstellte gemeinsame Rolle zu übernehmen`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
}
}
```
Dem Prinzipal die Übernahme der gemeinsamen Rolle zu ermöglichen, wird mithilfe der `AssumeRole` API von AWS -Security-Token-Service (AWS STS) implementiert. Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).
1. In `Account B:222222222222` und können Sie Anwendungen erstellen`Account C:333333333333`, die das SIGV4 Authentifizierungs-Plugin verwenden, das es einer Anwendung ermöglicht, die gemeinsame Rolle zu übernehmen, um eine Verbindung mit der Amazon Keyspaces-Tabelle herzustellen, die sich in `Account A:111111111111` befindet. Weitere Informationen zum SIGV4 Authentifizierungs-Plugin finden Sie unter[Anmeldeinformationen für den programmatischen Zugriff auf Amazon Keyspaces erstellen](programmatic.credentials.md). Weitere Informationen darüber, wie Sie eine Anwendung so konfigurieren, dass sie eine Rolle in einem anderen AWS Konto übernimmt, finden Sie unter [Authentifizierung und Zugriff](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) im *AWS SDKs Referenzhandbuch zu Tools*.