Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie den kontoübergreifenden Zugriff auf Amazon Keyspaces mithilfe von VPC Endpunkten in einem gemeinsam genutzten VPC
Sie können verschiedene erstellen AWS-Konten um Ressourcen von Anwendungen zu trennen. Sie können beispielsweise ein Konto für Ihre Amazon Keyspaces-Tabellen, ein anderes Konto für Anwendungen in einer Entwicklungsumgebung und ein weiteres Konto für Anwendungen in einer Produktionsumgebung erstellen. Dieses Thema führt Sie durch die Konfigurationsschritte, die erforderlich sind, um den kontoübergreifenden Zugriff für Amazon Keyspaces mithilfe von VPC Schnittstellenendpunkten in einem Shared einzurichten. VPC
Eine ausführliche Anleitung zur Konfiguration eines VPC Endpunkts für Amazon Keyspaces finden Sie unterSchritt 3: Erstellen Sie einen VPC Endpunkt für Amazon Keyspaces.
In diesem Beispiel verwenden wir die folgenden drei Konten in einem gemeinsam genutztenVPC:
Account A
— Dieses Konto enthält die Infrastruktur, einschließlich der VPC Endpunkte, der VPC Subnetze und der Amazon Keyspaces-Tabellen.Account B
— Dieses Konto enthält eine Anwendung in einer Entwicklungsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle inAccount A
herstellen muss.Account C
— Dieses Konto enthält eine Anwendung in einer Produktionsumgebung, die eine Verbindung zur Amazon Keyspaces-Tabelle inAccount A
herstellen muss.
Account A
ist das Konto, das die Ressourcen enthält, Account B
auf die zugegriffen werden Account C
muss, ebenso wie Account A
das vertrauenswürdige Konto. Account B
und Account C
sind die Konten bei den Hauptbenutzern, die Zugriff auf die Ressourcen benötigenAccount A
, also Account B
Account C
die vertrauenswürdigen Konten. Das vertrauenswürdige Konto gewährt den vertrauenswürdigen Konten die Berechtigungen, indem es sich eine IAM Rolle teilt. Das folgende Verfahren beschreibt die Konfigurationsschritte, die in Account A
erforderlich sind.
Konfiguration für Account A
Verwenden Sie AWS Resource Access Manager um eine Ressourcenfreigabe für das Subnetz zu erstellen und das private Subnetz mit
Account B
und zu teilen.Account C
Account B
undAccount C
kann jetzt Ressourcen in dem Subnetz sehen und erstellen, das mit ihnen geteilt wurde.Erstellen Sie einen privaten Amazon VPC Keyspaces-Endpunkt, unterstützt von AWS PrivateLink. Dadurch werden mehrere Endpunkte in gemeinsam genutzten Subnetzen und DNS Einträgen für den Amazon Keyspaces-Serviceendpunkt erstellt.
Erstellen Sie einen Amazon Keyspaces-Schlüsselraum und eine Tabelle.
Erstellen Sie eine IAM Rolle, die vollen Zugriff auf die Amazon Keyspaces-Tabelle und Lesezugriff auf die Amazon Keyspaces-Systemtabellen hat und die EC2 VPC Amazon-Ressourcen beschreiben kann, wie im folgenden Richtlinienbeispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
Konfigurieren Sie die Vertrauensrichtlinie für IAM Rollen, die
Account B
als vertrauenswürdige Konten angenommen werdenAccount C
können, wie im folgenden Beispiel gezeigt.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
Weitere Informationen zu kontenübergreifenden IAM Richtlinien finden Sie unter Kontoübergreifende Richtlinien im IAM Benutzerhandbuch.
Konfiguration in und Account B
Account C
Erstellen Sie in
Account B
undAccount C
neue Rollen und fügen Sie die folgende Richtlinie hinzu, die es dem Prinzipal ermöglicht, die in erstellte gemeinsame Rolle zu übernehmenAccount A
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Um dem Principal die Übernahme der gemeinsamen Rolle zu ermöglichen, verwenden Sie
AssumeRole
API den AWS Security Token Service (AWS STS). Weitere Informationen finden Sie unter Gewähren des Zugriffs für einen IAM Benutzer in einem anderen AWS-Konto die Sie besitzen, finden Sie im IAM Benutzerhandbuch.In
Account B
und können Sie Anwendungen erstellenAccount C
, die das SIGV4 Authentifizierungs-Plugin verwenden, das es einer Anwendung ermöglicht, die gemeinsame Rolle zu übernehmen, um eine Verbindung zur Amazon Keyspaces-Tabelle herzustellen, die sichAccount A
über den VPC Endpunkt im Shared VPC befindet. Weitere Informationen zum SIGV4 Authentifizierungs-Plugin finden Sie unterAnmeldeinformationen für den programmatischen Zugriff auf Amazon Keyspaces erstellen .