Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Infrastruktursicherheit in Amazon Keyspaces
Als verwalteter Service ist Amazon Keyspaces (für Apache Cassandra) durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Keyspaces zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Amazon Keyspaces unterstützt zwei Methoden zur Authentifizierung von Kundenanfragen. Die erste Methode verwendet dienstspezifische Anmeldeinformationen, bei denen es sich um passwortbasierte Anmeldeinformationen handelt, die für einen bestimmten IAM-Benutzer generiert wurden. Sie können das Passwort mithilfe der IAM-Konsole, der oder der API erstellen AWS CLI und verwalten. AWS Weitere Informationen finden Sie unter [Verwenden von IAM mit Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
Die zweite Methode verwendet ein Authentifizierungs-Plugin für den DataStax Open-Source-Java-Treiber für Cassandra. Mit diesem Plugin können [IAM-Benutzer, -Rollen und föderierte Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) mithilfe des [AWS Signature Version 4-Prozesses](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) Authentifizierungsinformationen zu API-Anfragen von Amazon Keyspaces (für Apache Cassandra) hinzufügen. Weitere Informationen finden Sie unter [AWS Anmeldeinformationen für Amazon Keyspaces erstellen und konfigurieren](access.credentials.md).
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen, Amazon Keyspaces unterstützt jedoch ressourcenbasierte Zugriffsrichtlinien, die Einschränkungen auf der Grundlage der Quell-IP-Adresse beinhalten können. Sie können auch Amazon Keyspaces-Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte Amazon Keyspaces-Ressource effektiv nur von der spezifischen VPC innerhalb des Netzwerks isoliert. AWS
Sie können einen VPC-Schnittstellen-Endpunkt verwenden, um zu verhindern, dass der Datenverkehr zwischen Ihrer Amazon VPC und Amazon Keyspaces das Amazon-Netzwerk verlässt. Interface VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, die private Kommunikation zwischen AWS Services über eine elastic network interface mit Private IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten](vpc-endpoints.md).
# Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten
Schnittstellen-VPC-Endpunkte ermöglichen die private Kommunikation zwischen Ihrer Virtual Private Cloud (VPC), die in Amazon VPC läuft, und Amazon Keyspaces. Schnittstelle AWS PrivateLink, über die VPC-Endpunkte betrieben werden. Dabei handelt es sich um einen AWS Dienst, der die private Kommunikation zwischen VPCs Diensten ermöglicht. AWS
AWS PrivateLink ermöglicht dies durch die Verwendung einer elastic network interface mit privaten IP-Adressen in Ihrer VPC, sodass der Netzwerkverkehr das Amazon-Netzwerk nicht verlässt. Schnittstellen-VPC-Endpunkte benötigen keinen Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung und keine Direct Connect -Verbindung. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) und [Interface VPC-Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Auffüllen von `system.peers` Tabelleneinträgen mit VPC-Endpunktinformationen der Schnittstelle](#system_peers)
+ [Steuerung des Zugriffs auf VPC-Schnittstellen-Endpunkte für Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Verfügbarkeit](#availability)
+ [VPC-Endpunktrichtlinien und Amazon point-in-time Keyspaces-Wiederherstellung (PITR)](#VPC_PITR_restore)
+ [Häufige Fehler und Warnungen](#vpc_troubleshooting)
## Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces
Sie können einen VPC-Schnittstellen-Endpunkt erstellen, sodass der Datenverkehr zwischen Amazon Keyspaces und Ihren Amazon VPC-Ressourcen über den VPC-Endpunkt der Schnittstelle fließt. Folgen Sie zunächst den Schritten zum [Erstellen eines](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Schnittstellen-Endpunkts. Bearbeiten Sie als Nächstes die Sicherheitsgruppe, die dem Endpunkt zugeordnet ist, den Sie im vorherigen Schritt erstellt haben, und konfigurieren Sie eine Regel für eingehenden Datenverkehr für Port 9142. Weitere Informationen finden Sie unter [Regeln hinzufügen, entfernen und aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).
Ein step-by-step Tutorial zur Konfiguration einer Verbindung zu Amazon Keyspaces über einen VPC-Endpunkt finden Sie unter. [Tutorial: Stellen Sie über einen VPC-Endpunkt mit einer Schnittstelle eine Verbindung zu Amazon Keyspaces her](vpc-endpoints-tutorial.md) Informationen zum Konfigurieren des kontoübergreifenden Zugriffs für Amazon Keyspaces-Ressourcen getrennt von Anwendungen AWS-Konten in verschiedenen VPC finden Sie unter. [Kontenübergreifenden Zugriff auf Amazon Keyspaces mit VPC-Endpunkten konfigurieren](access.cross-account.md)
## Auffüllen von `system.peers` Tabelleneinträgen mit VPC-Endpunktinformationen der Schnittstelle
Apache Cassandra-Treiber verwenden die `system.peers` Tabelle, um Knoteninformationen über den Cluster abzufragen. Cassandra-Treiber verwenden die Knoteninformationen für den Lastenausgleich bei Verbindungen und für Wiederholungsvorgänge. Amazon Keyspaces füllt automatisch neun Einträge in der `system.peers` Tabelle für Clients, die sich über den öffentlichen Endpunkt verbinden.
Um Kunden, die sich über VPC-Endpunkte mit Schnittstellen verbinden, ähnliche Funktionen zu bieten, füllt Amazon Keyspaces die `system.peers` Tabelle in Ihrem Konto mit einem Eintrag für jede Availability Zone, in der ein VPC-Endpunkt verfügbar ist. Um verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle zu suchen und zu speichern, verlangt Amazon Keyspaces, dass Sie der IAM-Entität, die für die Verbindung mit Amazon Keyspaces verwendet wird, Zugriffsberechtigungen gewähren, um Ihre VPC nach den Endpunkt- und Netzwerkschnittstelleninformationen abzufragen.
**Wichtig**
Wenn Sie die `system.peers` Tabelle mit Ihren verfügbaren Schnittstellen-VPC-Endpunkten füllen, wird der Lastenausgleich verbessert und der Durchsatz erhöht. read/write Es wird für alle Clients empfohlen, die über VPC-Endpunkte auf Amazon Keyspaces zugreifen, und ist für Apache Spark erforderlich.
Um der IAM-Entität, die für die Verbindung mit Amazon Keyspaces verwendet wird, Berechtigungen zum Abrufen der erforderlichen VPC-Endpunktinformationen für die Schnittstelle zu gewähren, können Sie Ihre bestehende IAM-Rolle oder Benutzerrichtlinie aktualisieren oder eine neue IAM-Richtlinie erstellen, wie im folgenden Beispiel gezeigt.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**Anmerkung**
Die verwalteten Richtlinien `AmazonKeyspacesReadOnlyAccess_v2` `AmazonKeyspacesFullAccess` enthalten die erforderlichen Berechtigungen, damit Amazon Keyspaces auf die Amazon EC2 EC2-Instance zugreifen kann, um Informationen über verfügbare Schnittstellen-VPC-Endpunkte zu lesen.
Um zu überprüfen, ob die Richtlinie korrekt eingerichtet wurde, fragen Sie die `system.peers` Tabelle nach Netzwerkinformationen ab. Wenn die `system.peers` Tabelle leer ist, könnte dies darauf hinweisen, dass die Richtlinie nicht erfolgreich konfiguriert wurde oder dass Sie das Kontingent für die Anforderungsrate `DescribeNetworkInterfaces` und `DescribeVPCEndpoints` API-Aktionen überschritten haben. `DescribeVPCEndpoints`fällt in die `Describe*` Kategorie und wird als *nicht mutierende* Aktion angesehen. `DescribeNetworkInterfaces`fällt in die Untergruppe der *ungefilterten und nicht paginierten, nicht mutierenden Aktionen*, für die unterschiedliche Quoten gelten. Weitere Informationen finden Sie in der Amazon EC2 EC2-API-Referenz unter [Bucket-Größen und Nachfüllraten anfordern](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based).
Wenn Sie eine leere Tabelle sehen, versuchen Sie es einige Minuten später erneut, um Probleme mit der Quote für Anfragen auszuschließen. Informationen dazu, ob Sie die VPC-Endpoints korrekt konfiguriert haben, finden Sie unter. [Meine VPC-Endpunktverbindung funktioniert nicht richtig](troubleshooting.connecting.md#troubleshooting.connection.vpce) Wenn Ihre Abfrage Ergebnisse aus der Tabelle zurückgibt, wurde Ihre Richtlinie korrekt konfiguriert.
## Steuerung des Zugriffs auf VPC-Schnittstellen-Endpunkte für Amazon Keyspaces
Mit VPC-Endpunktrichtlinien können Sie den Zugriff auf Ressourcen auf zwei Arten steuern:
+ **IAM-Richtlinie** — Sie können die Anfragen, Benutzer oder Gruppen steuern, die über einen bestimmten VPC-Endpunkt auf Amazon Keyspaces zugreifen dürfen. Sie können dies tun, indem Sie einen [Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) in der Richtlinie verwenden, der einem IAM-Benutzer, einer IAM-Gruppe oder einer IAM-Rolle zugeordnet ist.
+ **VPC-Richtlinie** — Sie können kontrollieren, welche VPC-Endpunkte Zugriff auf Ihre Amazon Keyspaces-Ressourcen haben, indem Sie ihnen Richtlinien zuordnen. Um den Zugriff auf einen bestimmten Schlüsselraum oder eine Tabelle einzuschränken, sodass nur Datenverkehr über einen bestimmten VPC-Endpunkt zugelassen wird, bearbeiten Sie die bestehende IAM-Richtlinie, die den Ressourcenzugriff einschränkt, und fügen Sie diesen VPC-Endpunkt hinzu.
Im Folgenden finden Sie Beispiele für Endpunktrichtlinien für den Zugriff auf Amazon Keyspaces-Ressourcen.
+ **Beispiel für eine IAM-Richtlinie: Beschränken Sie den gesamten Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle, sofern der Datenverkehr nicht vom angegebenen VPC-Endpunkt stammt** — Diese Beispielrichtlinie kann einem IAM-Benutzer, einer IAM-Rolle oder einer IAM-Gruppe zugewiesen werden. Es schränkt den Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle ein, es sei denn, der eingehende Verkehr stammt von einem bestimmten VPC-Endpunkt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**Anmerkung**
Um den Zugriff auf eine bestimmte Tabelle einzuschränken, müssen Sie auch den Zugriff auf die Systemtabellen einbeziehen. Systemtabellen sind schreibgeschützt.
+ **Beispiel für eine VPC-Richtlinie: Schreibgeschützter Zugriff** — Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. (Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Amazon VPC-Ressourcen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Es beschränkt Aktionen auf den schreibgeschützten Zugriff auf Amazon Keyspaces-Ressourcen über den VPC-Endpunkt, mit dem es verbunden ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Beispiel für eine VPC-Richtlinie: Beschränken Sie den Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle** — Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. Es schränkt den Zugriff auf eine bestimmte Tabelle über den VPC-Endpunkt ein, an den sie angehängt ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**Anmerkung**
Um den Zugriff auf eine bestimmte Tabelle einzuschränken, müssen Sie auch den Zugriff auf die Systemtabellen einbeziehen. Systemtabellen sind schreibgeschützt.
## Verfügbarkeit
Amazon Keyspaces unterstützt die Verwendung von VPC-Endpunkten mit Schnittstellen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter [Service-Endpunkte für Amazon Keyspaces](programmatic.endpoints.md).
## VPC-Endpunktrichtlinien und Amazon point-in-time Keyspaces-Wiederherstellung (PITR)
Wenn Sie IAM-Richtlinien mit [Bedingungsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) verwenden, um den eingehenden Datenverkehr einzuschränken, schlägt der Vorgang zur Wiederherstellung der Tabelle möglicherweise fehl. Wenn Sie beispielsweise den Quelldatenverkehr mithilfe von `aws:SourceVpce` Bedingungsschlüsseln auf bestimmte VPC-Endpunkte beschränken, schlägt die Tabellenwiederherstellung fehl. Damit Amazon Keyspaces im Namen Ihres Principals einen Wiederherstellungsvorgang durchführen kann, müssen Sie Ihrer IAM-Richtlinie einen `aws:ViaAWSService` Bedingungsschlüssel hinzufügen. Der `aws:ViaAWSService` Bedingungsschlüssel ermöglicht den Zugriff, wenn ein AWS Dienst unter Verwendung der Anmeldeinformationen des Prinzipals eine Anfrage stellt. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Die folgende Richtlinie ist ein Beispiel dafür.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Häufige Fehler und Warnungen
**Wenn Sie Amazon Virtual Private Cloud verwenden und eine Verbindung zu Amazon Keyspaces herstellen, wird möglicherweise die folgende Warnung angezeigt.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Diese Warnung tritt auf, weil die `system.peers` Tabelle Einträge für alle Amazon VPC-Endpoints enthält, zu deren Anzeige Amazon Keyspaces berechtigt ist, einschließlich des Amazon VPC-Endpunkts, über den Sie verbunden sind. Sie können diese Warnung getrost ignorieren.
Informationen zu anderen Fehlern finden Sie unter[Meine VPC-Endpunktverbindung funktioniert nicht richtig](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Verwendung von Amazon Keyspaces CDC-Streams mit Schnittstellen-VPC-Endpunkten
Schnittstellen-VPC-Endpunkte ermöglichen die private Kommunikation zwischen Ihrer Virtual Private Cloud (VPC), die in Amazon VPC läuft, und Amazon Keyspaces. Schnittstelle AWS PrivateLink, über die VPC-Endpunkte betrieben werden. Dabei handelt es sich um einen AWS Dienst, der die private Kommunikation zwischen VPCs Diensten ermöglicht. AWS
AWS PrivateLink ermöglicht dies durch die Verwendung einer elastic network interface mit privaten IP-Adressen in Ihrer VPC, sodass der Netzwerkverkehr das Amazon-Netzwerk nicht verlässt. Schnittstellen-VPC-Endpunkte benötigen keinen Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung und keine Direct Connect -Verbindung. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) und [Interface VPC-Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces CDC-Streams](#using-interface-vpc-endpoints-streams)
+ [Amazon Keyspaces: CDC-Streaming-Schnittstelle, VPC-Endpunkte](#interface-vpc-endpoints-streams-types)
+ [VPC-Endpunkt für Amazon Keyspaces CDC-Streams-Schnittstelle erstellen](#create-interface-vpc-endpoints-streams)
+ [Aktualisieren Sie einen VPC-Endpunkt der Amazon Keyspaces CDC-Streams-Schnittstelle](#update-interface-vpc-endpoints-streams)
+ [Streams mithilfe eines VPC-Endpunkts der Amazon Keyspaces CDC-Streams-Schnittstelle auflisten](#list-interface-vpc-endpoints-streams)
+ [Erstellen Sie eine Richtlinie für einen VPC-Endpunkt der Amazon Keyspaces-CDC-Streams-Schnittstelle](#interface-vpc-endpoints-streams-policy)
## Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces CDC-Streams
Sie können einen VPC-Schnittstellen-Endpunkt verwenden, sodass der Datenverkehr zwischen Amazon Keyspaces CDC-Streams und Ihren Amazon VPC-Ressourcen über den VPC-Endpunkt der Schnittstelle fließt. Sie können VPC-Endpunktrichtlinien verwenden, um den Zugriff auf Ihre CDC-Streams einzuschränken.
Weitere Informationen zu Amazon Keyspaces CDC-Streams finden Sie unter. [Arbeiten mit Change Data Capture (CDC) -Streams in Amazon Keyspaces](cdc.md)
## Amazon Keyspaces: CDC-Streaming-Schnittstelle, VPC-Endpunkte
**Wenn Sie einen Schnittstellenendpunkt erstellen, generiert Amazon Keyspaces CDC Streams zwei Arten von endpunktspezifischen DNS-Namen für den Stream: Regional und Zonal.**
**Regional**
Der regionale DNS-Name enthält die folgenden Informationen:
+ eine eindeutige Amazon VPC-Endpunkt-ID
+ eine Service-ID
+ der AWS-Region
+ das `vpce.amazonaws.com` Suffix
Für einen Amazon VPC-Endpunkt mit der ID `vpce-1a2b3c4d` könnte der generierte DNS-Name dem folgenden Beispiel ähneln:`vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`.
**Zonal**
Der zonale DNS-Name umfasst zusätzlich zu den Informationen im regionalen DNS-Namen die [Availability Zone](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/). Der generierte DNS-Name für den Amazon VPC-Endpunkt mit der ID `vpce-1a2b3c4d` würde wie im folgenden Beispiel aussehen. Beachten Sie, dass der AWS-Region jetzt die Availability Zone umfasst: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Sie könnten sie beispielsweise zur Fehlereingrenzung oder zur Senkung der regionalen Datenübertragungskosten verwenden.
Um eine optimale Zuverlässigkeit zu erreichen, empfehlen wir, Ihren Service in mindestens drei Availability Zones bereitzustellen.
## VPC-Endpunkt für Amazon Keyspaces CDC-Streams-Schnittstelle erstellen
Sie können das AWS CLI oder das AWS SDK verwenden, um auf Amazon Keyspaces CDC Streams-API-Operationen über die Amazon Keyspaces CDC Streams-Schnittstellenendpunkte zuzugreifen. Eine vollständige Liste aller verfügbaren API-Operationen finden Sie unter [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html)
Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im Amazon VPC-Benutzerhandbuch.
Um einen VPC-Endpunkt zu erstellen, können Sie die Syntax im folgenden Beispiel verwenden.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Aktualisieren Sie einen VPC-Endpunkt der Amazon Keyspaces CDC-Streams-Schnittstelle
Um einen VPC-Endpunkt zu aktualisieren, können Sie die Syntax im folgenden Beispiel verwenden.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Streams mithilfe eines VPC-Endpunkts der Amazon Keyspaces CDC-Streams-Schnittstelle auflisten
Um die Streams aufzulisten, die einen VPC-Endpunkt verwenden, können Sie die Syntax im folgenden Beispiel verwenden. Stellen Sie sicher, dass Sie die Region und den DNS-Namen der VPC-Endpunkt-ID durch Ihre eigenen Informationen ersetzen.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Erstellen Sie eine Richtlinie für einen VPC-Endpunkt der Amazon Keyspaces-CDC-Streams-Schnittstelle
Sie können Ihrem Amazon VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon Keyspaces CDC-Streams steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Um den Zugriff auf bestimmte Amazon Keyspaces CDC-Streams so zu beschränken, dass nur bestimmte AWS Dienste in Ihrem Amazon VPC-Zugriff zugelassen werden, können Sie das folgende Beispiel verwenden.
Die folgende Stream-Richtlinie gewährt Zugriff auf jeden IAM-Principal für die Aktionen `cassandra:GetStream` und `cassandra:GetRecords` für den angegebenen Stream, der der zum Konto gehörenden Ressource `2025-02-20T11:22:33.444` `/keyspace/mykeyspace/table/mytable/` zugeordnet ist. `123456788901` Um diese Endpunktrichtlinie zu verwenden, stellen Sie sicher, dass Sie die Region, die Konto-ID und die Ressource durch das Stream-Label ersetzen.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**Anmerkung**
Amazon Keyspaces unterstützt keine Gateway-Endpunkte für CDC-Streams.