Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Identity and Access Management für Amazon Keyspaces
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Keyspaces-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [
## Zielgruppe
](#security_iam_audience)
+ [
## Authentifizierung mit Identitäten
](#security_iam_authentication)
+ [
## Verwalten des Zugriffs mit Richtlinien
](#security_iam_access-manage)
+ [
# So funktioniert Amazon Keyspaces mit IAM
](security_iam_service-with-iam.md)
+ [
# Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces
](security_iam_id-based-policy-examples.md)
+ [
# AWS verwaltete Richtlinien für Amazon Keyspaces
](security-iam-awsmanpol.md)
+ [
# Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces
](security_iam_troubleshoot.md)
+ [
# Verwenden von serviceverknüpften Rollen für Amazon Keyspaces
](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Keyspaces mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Keyspaces mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Keyspaces zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Keyspaces verfügbar sind. *Einen allgemeinen Überblick darüber, wie Amazon Keyspaces und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [
## Identitätsbasierte Richtlinien von Amazon Keyspaces
](#security_iam_service-with-iam-id-based-policies)
+ [
## Ressourcenbasierte Richtlinien von Amazon Keyspaces
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Autorisierung basierend auf Amazon Keyspaces-Tags
](#security_iam_service-with-iam-tags)
+ [
## IAM-Rollen in Amazon Keyspaces
](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien von Amazon Keyspaces
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Keyspaces unterstützt bestimmte Aktionen und Ressourcen sowie Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
*Die servicespezifischen Ressourcen und Aktionen von Amazon Keyspaces sowie Bedingungskontextschlüssel, die für IAM-Berechtigungsrichtlinien verwendet werden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) in der Service Authorization Reference.*
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon Keyspaces verwenden das folgende Präfix vor der Aktion:`cassandra:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, einen Amazon Keyspaces-Schlüsselraum mit der Amazon `CREATE` Keyspaces-CQL-Anweisung zu erstellen, nehmen Sie die `cassandra:Create` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Keyspaces definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Eine Liste der Amazon Keyspaces-Aktionen finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) in der *Service* Authorization Reference.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
In Amazon Keyspaces können Schlüsselräume, Tabellen und Streams im `Resource` Element der IAM-Berechtigungen verwendet werden.
**Anmerkung**
Um auf Benutzerschlüsselbereiche und Tabellen in Amazon Keyspaces zuzugreifen, muss Ihre IAM-Richtlinie `cassandra:Select` Berechtigungen für Systemtabellen enthalten:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Dies gilt für die folgenden Szenarien:
AWS Zugriff auf die Managementkonsole
SDK-Ressourcenoperationen, zum Beispiel `GetKeyspace``GetTable`,`ListKeyspaces`, und `ListTables`
Standardmäßige Apache Cassandra-Clienttreiberverbindungen, da Treiber bei der Verbindungsinitialisierung automatisch Systemtabellen lesen
Systemtabellen sind schreibgeschützt und können nicht geändert werden.
Die Amazon Keyspace-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
Die Amazon Keyspaces-Tabellenressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
Die Amazon Keyspaces-Stream-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise den `mykeyspace` Schlüsselraum in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Um alle Schlüsselräume anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Einige Amazon Keyspaces-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Um beispielsweise einem IAM-Prinzipal `SELECT` Berechtigungen für `mytable` in zu erteilen`mykeyspace`, muss der Principal sowohl über Leseberechtigungen als auch verfügen. `mytable` `keyspace/system*` Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
Eine Liste der Amazon Keyspaces-Ressourcentypen und ihrer ARNs Typen finden Sie unter [Von Amazon Keyspaces definierte Ressourcen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) in der *Service* Authorization Reference. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Keyspaces definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Alle Amazon Keyspaces-Aktionen unterstützen die Schlüssel `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, die und die `aws:TagKeys` Bedingungstasten. Weitere Informationen finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Eine Liste der Amazon Keyspaces-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) in der *Service* Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien von Amazon Keyspaces
Amazon Keyspaces unterstützt keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisierung basierend auf Amazon Keyspaces-Tags
Sie können den Zugriff auf Ihre Amazon Keyspaces-Ressourcen mithilfe von Tags verwalten. Um den Ressourcenzugriff auf der Grundlage von Tags zu verwalten, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `cassandra:ResourceTag/key-name``aws:RequestTag/key-name`, oder ein. Weitere Informationen zum Taggen von Amazon Keyspaces-Ressourcen finden Sie unter. [Arbeiten mit Tags und Labels für Amazon Keyspaces-Ressourcen](tagging-keyspaces.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## IAM-Rollen in Amazon Keyspaces
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Keyspaces verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Keyspaces unterstützt die Verwendung temporärer Anmeldeinformationen mit dem AWS Signature Version 4 (Sigv4) -Authentifizierungs-Plugin, das im Github-Repo für die folgenden Sprachen verfügbar ist:
+ Java:. [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin)
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Geh:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Beispiele und Tutorials, die das Authentifizierungs-Plugin für den programmgesteuerten Zugriff auf Amazon Keyspaces implementieren, finden Sie unter. [Verwenden eines Cassandra-Client-Treibers für den programmgesteuerten Zugriff auf Amazon Keyspaces](programmatic.drivers.md)
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon Keyspaces-Rollen finden Sie unter. **[Verwenden von serviceverknüpften Rollen für Amazon Keyspaces](using-service-linked-roles.md)**
### Servicerollen
Amazon Keyspaces unterstützt keine Servicerollen.
# Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Keyspaces-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben über die Konsole, CQLSH oder API ausführen. AWS CLI AWS Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [
## Best Practices für Richtlinien
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Verwenden der Amazon Keyspaces-Konsole
](#security_iam_id-based-policy-examples-console)
+ [
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Zugreifen auf Amazon Keyspaces-Tabellen
](#security_iam_id-based-policy-examples-access-one-table)
+ [
## Amazon Keyspaces-Ressourcenzugriff basierend auf Tags
](#security_iam_id-based-policy-examples-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Keyspaces-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Keyspaces-Konsole
Amazon Keyspaces benötigt keine speziellen Berechtigungen für den Zugriff auf die Amazon Keyspaces-Konsole. Sie benötigen mindestens Leseberechtigungen, um Details zu den Amazon Keyspaces-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Den Entitäten stehen zwei AWS verwaltete Richtlinien für den Zugriff auf die Amazon Keyspaces-Konsole zur Verfügung.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Diese Richtlinie gewährt Berechtigungen zur Nutzung von Amazon Keyspaces mit vollem Zugriff auf alle Funktionen.
Weitere Informationen zu den verwalteten Richtlinien von Amazon Keyspaces finden Sie unter[AWS verwaltete Richtlinien für Amazon Keyspaces](security-iam-awsmanpol.md).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI API oder. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf Amazon Keyspaces-Tabellen
**Anmerkung**
Um auf Benutzerschlüsselbereiche und Tabellen in Amazon Keyspaces zuzugreifen, muss Ihre IAM-Richtlinie `cassandra:Select` Berechtigungen für Systemtabellen enthalten:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Dies gilt für die folgenden Szenarien:
AWS Zugriff auf die Managementkonsole
SDK-Ressourcenoperationen, zum Beispiel `GetKeyspace``GetTable`,`ListKeyspaces`, und `ListTables`
Standardmäßige Apache Cassandra-Clienttreiberverbindungen, da Treiber bei der Verbindungsinitialisierung automatisch Systemtabellen lesen
Systemtabellen sind schreibgeschützt und können nicht geändert werden.
Im Folgenden finden Sie eine Beispielrichtlinie, die nur Lesezugriff (`SELECT`) auf die Amazon Keyspaces-Systemtabellen gewährt. Ersetzen Sie für alle Beispiele die Region und die Konto-ID im Amazon-Ressourcennamen (ARN) durch Ihre eigenen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie fügt schreibgeschützten Zugriff auf die Benutzertabelle `mytable` im Schlüsselraum hinzu. `mykeyspace`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie weist read/write Zugriff auf eine Benutzertabelle und Lesezugriff auf die Systemtabellen zu.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Tabellen im `mykeyspace` Schlüsselraum zu erstellen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie weist den Systemtabellen Lesezugriff zu, schränkt jedoch den `SELECT` (Lese-) und `MODIFY` (Schreib-) Zugriff auf die Benutzertabelle ein. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Amazon Keyspaces-Ressourcenzugriff basierend auf Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Keyspaces-Ressourcen anhand von Tags zu steuern. Diese Richtlinien steuern die Sichtbarkeit der Schlüsselbereiche und Tabellen im Konto. Beachten Sie, dass sich tagbasierte Berechtigungen für Systemtabellen anders verhalten, wenn Anfragen über das AWS SDK gestellt werden, als bei API-Aufrufen der Cassandra Query Language (CQL) über Cassandra-Treiber und Entwicklertools.
+ Um Anfragen mit dem AWS SDK stellen `List` und `Get` Ressourcen bereitstellen zu können, wenn der Tag-basierte Zugriff verwendet wird, benötigt der Aufrufer Lesezugriff auf Systemtabellen. Beispielsweise sind `Select` Aktionsberechtigungen erforderlich, um mithilfe der Operation Daten aus Systemtabellen zu lesen. `GetTable` Wenn der Aufrufer nur Tag-basierten Zugriff auf eine bestimmte Tabelle hat, schlägt ein Vorgang fehl, der zusätzlichen Zugriff auf eine Systemtabelle erfordert.
+ Aus Gründen der Kompatibilität mit dem etablierten Cassandra-Treiberverhalten werden tagbasierte Autorisierungsrichtlinien nicht durchgesetzt, wenn Operationen an Systemtabellen mithilfe von Cassandra Query Language (CQL) -API-Aufrufen über Cassandra-Treiber und Entwicklertools ausgeführt werden.
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die einem Benutzer Berechtigungen zum Anzeigen einer Tabelle gewährt, wenn die Tabelle den Wert des Benutzernamens dieses Benutzers `Owner` enthält. In diesem Beispiel gewähren Sie auch Lesezugriff auf die Systemtabellen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein benannter Benutzer `richard-roe` versucht, eine Amazon Keyspaces-Tabelle aufzurufen, muss die Tabelle mit `Owner=richard-roe` oder `owner=richard-roe` gekennzeichnet sein. Andernfalls wird der Zugriff abgelehnt. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Die folgende Richtlinie gewährt einem Benutzer die Erlaubnis, Tabellen mit Tags zu erstellen, wenn die Tabelle den Wert des Benutzernamens dieses Benutzers `Owner` enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS verwaltete Richtlinien für Amazon Keyspaces
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonKeyspacesReadOnlyAccess \$1v2
Sie können die `AmazonKeyspacesReadOnlyAccess_v2`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces und beinhaltet die erforderlichen Berechtigungen, wenn eine Verbindung über private VPC-Endpunkte hergestellt wird.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Bietet schreibgeschützten Zugriff auf Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Ermöglicht Prinzipalen das Ansehen von Amazon Keyspaces CDC-Streams.
+ `Application Auto Scaling` – Ermöglicht Prinzipalen, Konfigurationen Application Auto Scaling anzuzeigen. Dies ist erforderlich, damit Benutzer Richtlinien für die automatische Skalierung anzeigen können, die an eine Tabelle angehängt sind.
+ `CloudWatch`— Ermöglicht Prinzipalen das Anzeigen von Metrikdaten und Alarmen, die in konfiguriert sind. CloudWatch Dies ist erforderlich, damit Benutzer die Größe der Fakturierungstabelle und die CloudWatch Alarme, die für eine Tabelle konfiguriert wurden, einsehen können.
+ `AWS KMS`— Ermöglicht es den Hauptbenutzern, die in konfigurierten Schlüssel anzuzeigen. AWS KMS Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
+ `Amazon EC2`— Ermöglicht Principals, die sich über VPC-Endpunkte mit Amazon Keyspaces verbinden, die VPC auf Ihrer Amazon EC2 EC2-Instance nach Endpunkt- und Netzwerkschnittstelleninformationen abzufragen. Dieser schreibgeschützte Zugriff auf die Amazon EC2 EC2-Instance ist erforderlich, damit Amazon Keyspaces verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle suchen und speichern kann, die für den Verbindungslastenausgleich verwendet wird.
[Um die Richtlinie im Format zu überprüfen, siehe \$1v2. `JSON` AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)
## AWS verwaltete Richtlinie: AmazonKeyspacesReadOnlyAccess
Sie können die `AmazonKeyspacesReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Bietet schreibgeschützten Zugriff auf Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Ermöglicht Prinzipalen das Ansehen von Amazon Keyspaces CDC-Streams.
+ `Application Auto Scaling` – Ermöglicht Prinzipalen, Konfigurationen Application Auto Scaling anzuzeigen. Dies ist erforderlich, damit Benutzer Richtlinien für die automatische Skalierung anzeigen können, die an eine Tabelle angehängt sind.
+ `CloudWatch`— Ermöglicht Prinzipalen das Anzeigen von Metrikdaten und Alarmen, die in konfiguriert sind. CloudWatch Dies ist erforderlich, damit Benutzer die Größe der Fakturierungstabelle und die CloudWatch Alarme, die für eine Tabelle konfiguriert wurden, einsehen können.
+ `AWS KMS`— Ermöglicht es den Hauptbenutzern, die in konfigurierten Schlüssel anzuzeigen. AWS KMS Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
Informationen zur `JSON` Formatierung der Richtlinie finden Sie unter. [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)
## AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess
Sie können die `AmazonKeyspacesFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die Ihren Administratoren uneingeschränkten Zugriff auf Amazon Keyspaces ermöglichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Ermöglicht Prinzipalen den Zugriff auf jede Amazon Keyspaces-Ressource und die Ausführung aller Aktionen.
+ `Application Auto Scaling`— Ermöglicht Prinzipalen das Erstellen, Anzeigen und Löschen automatischer Skalierungsrichtlinien für Amazon Keyspaces-Tabellen. Dies ist erforderlich, damit Administratoren automatische Skalierungsrichtlinien für Amazon Keyspaces-Tabellen verwalten können.
+ `CloudWatch`— Ermöglicht Prinzipalen, die Größe der fakturierbaren Tabelle zu sehen sowie CloudWatch Alarme für automatische Skalierungsrichtlinien von Amazon Keyspace zu erstellen, anzuzeigen und zu löschen. Dies ist erforderlich, damit Administratoren die Größe der fakturierbaren Tabelle einsehen und ein Dashboard erstellen können. CloudWatch
+ `IAM`— Ermöglicht Amazon Keyspaces, automatisch serviceverknüpfte Rollen mit IAM zu erstellen, wenn die folgenden Funktionen aktiviert sind:
+ `Amazon Keyspaces CDC streams`— Wenn ein Administrator einen Stream für eine Tabelle aktiviert, erstellt Amazon Keyspaces die serviceverknüpfte Rolle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams), um in Ihrem Namen CloudWatch Metriken in Ihrem Konto zu veröffentlichen.
+ `Application Auto Scaling`— Wenn ein Administrator Application Auto Scaling für eine Tabelle aktiviert, erstellt Amazon Keyspaces die serviceverknüpfte Rolle, [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)um automatische Skalierungsaktionen in Ihrem Namen durchzuführen.
+ `Amazon Keyspaces multi-Region replication`— Wenn ein Administrator einen neuen Schlüsselraum für mehrere Regionen erstellt oder einem vorhandenen Schlüsselraum mit einer Region einen neuen AWS-Region hinzufügt, erstellt Amazon Keyspaces die serviceverknüpfte Rolle, [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)um die Replikation von Tabellen, Daten und Metadaten in den ausgewählten Regionen in Ihrem Namen durchzuführen.
+ `AWS KMS` – Ermöglicht es Prinzipalen, in AWS KMS konfigurierte Schlüssel anzuzeigen. Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
+ `Amazon EC2`— Ermöglicht Principals, die sich über VPC-Endpunkte mit Amazon Keyspaces verbinden, die VPC auf Ihrer Amazon EC2 EC2-Instance nach Endpunkt- und Netzwerkschnittstelleninformationen abzufragen. Dieser schreibgeschützte Zugriff auf die Amazon EC2 EC2-Instance ist erforderlich, damit Amazon Keyspaces verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle suchen und speichern kann, die für den Verbindungslastenausgleich verwendet wird.
Informationen zur Formatierung der Richtlinie finden Sie unter. `JSON` [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)
## AWS verwaltete Richtlinie: Keyspaces CDCService RolePolicy
Sie können `KeyspacesCDCServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon Keyspaces ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md).
Diese Richtlinie gewährt der serviceverknüpften Rolle die erforderlichen Berechtigungen`AWSServiceRoleForAmazonKeyspacesCDC`, um Amazon Keyspaces CDC-Stream-Metrikdaten in Ihrem Namen zu CloudWatch veröffentlichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `CloudWatch`— Ermöglicht dem service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams), in Ihrem Namen Metrikdaten aus Amazon Keyspaces CDC-Streams `"cloudwatch:namespace": "AWS/Cassandra"` in Ihrem CloudWatch Konto zu veröffentlichen.
Informationen zur `JSON` Formatierung der Richtlinie finden Sie unter [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces-Aktualisierungen der AWS verwalteten Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Keyspaces an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für Amazon Keyspaces (für Apache Cassandra)](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) — Neue Richtlinie | Amazon Keyspaces hat eine neue verwaltete Richtlinie hinzugefügt`KeyspacesCDCServiceRolePolicy`, die der serviceverknüpften Rolle die erforderlichen Berechtigungen erteilt, `AWSServiceRoleForAmazonKeyspacesCDC` um Amazon Keyspaces CDC-Stream-Metrikdaten in Ihrem Namen zu CloudWatch veröffentlichen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md). | 02. Juli 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Aktualisierung einer bestehenden Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um es IAM-Prinzipalen zu ermöglichen, Amazon Keyspaces CDC-Streams anzusehen. Weitere Informationen finden Sie unter [CDC-Streams in Amazon Keyspaces anzeigen](keyspaces-view-cdc.md). | 02. Juli 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um es IAM-Prinzipalen zu ermöglichen, Amazon Keyspaces CDC-Streams anzusehen. Weitere Informationen finden Sie unter [CDC-Streams in Amazon Keyspaces anzeigen](keyspaces-view-cdc.md). | 02. Juli 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat die `KeyspacesCDCServiceRolePolicy` verwaltete Richtlinie für die serviceverknüpfte Rolle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) erstellt, um die Berechtigungen hinzuzufügen, die erforderlich sind, wenn ein Administrator einen Stream für eine Tabelle aktiviert. Amazon Keyspaces verwendet die serviceverknüpfte Rolle`AWSServiceRoleForAmazonKeyspacesCDC`, um in Ihrem CloudWatch Namen Kennzahlen in Ihrem Konto zu veröffentlichen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md). | 02. Juli 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat die mit dem `KeyspacesReplicationServiceRolePolicy` Service verknüpfte Rolle aktualisiert [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication), um die Berechtigungen hinzuzufügen, die erforderlich sind, wenn ein Administrator einem einzelnen oder mehreren Regionen einen neuen AWS-Region Schlüsselraum hinzufügt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle, `AWSServiceRoleForAmazonKeyspacesReplication` um Tabellen, deren Einstellungen und Daten in Ihrem Namen zu replizieren. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 19. November 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, damit Amazon Keyspaces eine dienstbezogene Rolle erstellen kann, wenn ein Administrator einem Schlüsselraum mit einer oder mehreren Regionen eine neue Region hinzufügt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle, um Datenreplikationsaufgaben in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 3. Oktober 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) — Neue Richtlinie | Amazon Keyspaces hat eine neue Richtlinie erstellt, um Nur-Lese-Berechtigungen für Clients hinzuzufügen, die sich über VPC-Schnittstellen-Endpunkte mit Amazon Keyspaces verbinden, um auf die Amazon EC2 EC2-Instance zuzugreifen, um Netzwerkinformationen abzurufen. Amazon Keyspaces speichert verfügbare VPC-Schnittstellen-Endpunkte in der `system.peers` Tabelle für den Verbindungslastenausgleich. Weitere Informationen finden Sie unter [Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten](vpc-endpoints.md). | 12. September 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, die es Amazon Keyspaces ermöglichen, eine servicebezogene Rolle zu erstellen, wenn ein Administrator einen Schlüsselraum mit mehreren Regionen erstellt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle`AWSServiceRoleForAmazonKeyspacesReplication`, um Datenreplikationsaufgaben in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 5. Juni 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, mit denen Benutzer die abrechnungsfähige Größe einer Tabelle mithilfe von anzeigen können. CloudWatch Amazon Keyspaces ist in Amazon integriert CloudWatch , sodass Sie die Größe der fakturierbaren Tabelle überwachen können. Weitere Informationen finden Sie unter [Amazon-Keyspaces-Metriken](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7. Juli 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, mit denen Benutzer die abrechnungsfähige Größe einer Tabelle mithilfe von anzeigen können. CloudWatch Amazon Keyspaces ist in Amazon integriert CloudWatch , sodass Sie die Größe der fakturierbaren Tabelle überwachen können. Weitere Informationen finden Sie unter [Amazon-Keyspaces-Metriken](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7. Juli 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um Benutzern das Anzeigen von AWS KMS Schlüsseln zu ermöglichen, die für die Amazon Keyspaces-Verschlüsselung im Ruhezustand konfiguriert wurden. Amazon Keyspaces Encryption at Rest lässt sich integrieren, um die Verschlüsselungsschlüssel zu schützen und zu verwalten, die zur Verschlüsselung von Daten im Ruhezustand verwendet werden. AWS KMS Um den für Amazon Keyspaces konfigurierten AWS KMS Schlüssel anzuzeigen, wurden Nur-Lese-Berechtigungen hinzugefügt. | 1. Juni 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um Benutzern das Anzeigen von AWS KMS Schlüsseln zu ermöglichen, die für die Amazon Keyspaces-Verschlüsselung im Ruhezustand konfiguriert wurden. Amazon Keyspaces Encryption at Rest lässt sich integrieren, um die Verschlüsselungsschlüssel zu schützen und zu verwalten, die zur Verschlüsselung von Daten im Ruhezustand verwendet werden. AWS KMS Um den für Amazon Keyspaces konfigurierten AWS KMS Schlüssel anzuzeigen, wurden Nur-Lese-Berechtigungen hinzugefügt. | 1. Juni 2021 |
| Amazon Keyspaces hat begonnen, Änderungen zu verfolgen | Amazon Keyspaces hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. Juni 2021 |
# Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Keyspaces und IAM auftreten können.
**Topics**
+ [
## Ich bin nicht berechtigt, eine Aktion in Amazon Keyspaces durchzuführen
](#security_iam_troubleshoot-no-permissions)
+ [
## Ich habe einen IAM-Benutzer oder eine IAM-Rolle geändert und die Änderungen wurden nicht sofort wirksam
](#security_iam_troubleshoot-effect)
+ [
## Ich kann eine Tabelle mit Amazon Keyspaces point-in-time Recovery (PITR) nicht wiederherstellen
](#security_iam_troubleshoot-pitr)
+ [
## Ich bin nicht berechtigt, iam auszuführen: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Ich bin Administrator und möchte anderen den Zugriff auf Amazon Keyspaces ermöglichen
](#security_iam_troubleshoot-admin-delegate)
+ [
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Keyspaces-Ressourcen ermöglichen
](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Keyspaces durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einer Tabelle anzuzeigen, *table* aber keine `cassandra:Select` Berechtigungen für die Tabelle besitzt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `mytable` auf die Ressource `cassandra:Select` zugreifen zu können.
## Ich habe einen IAM-Benutzer oder eine IAM-Rolle geändert und die Änderungen wurden nicht sofort wirksam
Es kann bis zu 10 Minuten dauern, bis Änderungen der IAM-Richtlinien für Anwendungen mit bestehenden, etablierten Verbindungen zu Amazon Keyspaces wirksam werden. Änderungen der IAM-Richtlinien werden sofort wirksam, wenn Anwendungen eine neue Verbindung herstellen. Wenn Sie Änderungen an einem vorhandenen IAM-Benutzer oder einer vorhandenen IAM-Rolle vorgenommen haben und diese nicht sofort wirksam wurden, warten Sie entweder 10 Minuten oder trennen Sie die Verbindung und stellen Sie erneut eine Verbindung zu Amazon Keyspaces her.
## Ich kann eine Tabelle mit Amazon Keyspaces point-in-time Recovery (PITR) nicht wiederherstellen
Wenn Sie versuchen, eine Amazon Keyspaces-Tabelle mit point-in-time Wiederherstellung (PITR) wiederherzustellen, und Sie sehen, dass der Wiederherstellungsvorgang beginnt, aber nicht erfolgreich abgeschlossen wird, haben Sie möglicherweise nicht alle erforderlichen Berechtigungen konfiguriert, die für den Wiederherstellungsvorgang erforderlich sind. Sie müssen sich an Ihren Administrator wenden, um Unterstützung zu erhalten, und diese Person bitten, Ihre Richtlinien zu aktualisieren, damit Sie eine Tabelle in Amazon Keyspaces wiederherstellen können.
Zusätzlich zu den Benutzerberechtigungen benötigt Amazon Keyspaces möglicherweise Berechtigungen, um während des Wiederherstellungsvorgangs im Namen Ihres Auftraggebers Aktionen durchzuführen. Dies ist der Fall, wenn die Tabelle mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist oder wenn Sie IAM-Richtlinien verwenden, die den eingehenden Datenverkehr einschränken. Wenn Sie beispielsweise Bedingungsschlüssel in Ihrer IAM-Richtlinie verwenden, um den Quelldatenverkehr auf bestimmte Endpunkte oder IP-Bereiche zu beschränken, schlägt der Wiederherstellungsvorgang fehl. Damit Amazon Keyspaces die Tabellenwiederherstellung im Namen Ihres Prinzipals durchführen kann, müssen Sie der IAM-Richtlinie einen `aws:ViaAWSService` globalen Bedingungsschlüssel hinzufügen.
Weitere Informationen zu Berechtigungen zum Wiederherstellen von Tabellen finden Sie unter. [Konfigurieren Sie die IAM-Berechtigungen zum Wiederherstellen von Tabellen für Amazon Keyspaces PITR](howitworks_restore_permissions.md)
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Keyspaces übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Keyspaces auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen den Zugriff auf Amazon Keyspaces ermöglichen
Um anderen den Zugriff auf Amazon Keyspaces zu ermöglichen, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die Erlaubnis erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie beifügen, die ihr die richtigen Berechtigungen in Amazon Keyspaces gewährt. Nachdem die Berechtigungen erteilt wurden, stellen Sie dem Benutzer oder Anwendungsentwickler die Anmeldeinformationen zur Verfügung. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Keyspaces-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Keyspaces diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Keyspaces mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für Amazon Keyspaces
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
**Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Serviceverknüpfte Rollen nach den Diensten, für die **Ja** steht.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [
# Rollen für die auto Skalierung von Amazon Keyspaces-Anwendungen verwenden
](using-service-linked-roles-app-auto-scaling.md)
+ [
# Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden
](using-service-linked-roles-multi-region-replication.md)
+ [
# Rollen für Amazon Keyspaces CDC-Streams verwenden
](using-service-linked-roles-CDC-streams.md)
# Rollen für die auto Skalierung von Amazon Keyspaces-Anwendungen verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Keyspaces-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die benannte dienstbezogene Rolle **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**, damit Application Auto Scaling Amazon Keyspaces und Amazon in CloudWatch Ihrem Namen aufrufen kann.
Die AWSServiceRoleForApplicationAutoScaling\$1CassandraTable dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `cassandra.application-autoscaling.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Application Auto Scaling, die folgenden Aktionen für die angegebenen Amazon Keyspaces-Ressourcen durchzuführen:
+ Aktion: `cassandra:Select` für `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Aktion:`cassandra:Select` auf die Ressource `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Aktion:`cassandra:Select` auf die Ressource `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Aktion:`cassandra:Alter` auf Ressource`arn:*:cassandra:*:*:"*"`
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie müssen keine serviceverknüpfte Rolle für die automatische Skalierung von Amazon Keyspaces manuell erstellen. Wenn Sie Amazon Keyspaces Auto Scaling für eine Tabelle mit der AWS-Managementkonsole, CQL, der oder der AWS API aktivieren AWS CLI, erstellt Application Auto Scaling die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Amazon Keyspaces Auto Scaling für eine Tabelle aktivieren, erstellt Application Auto Scaling die serviceverknüpfte Rolle erneut für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist erschienen in meinem](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). AWS-Konto
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die AWSServiceRoleForApplicationAutoScaling\$1CassandraTable serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Keyspaces
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch zuerst die automatische Skalierung für alle Tabellen im Konto für alle deaktivieren, AWS-Regionen bevor Sie die serviceverknüpfte Rolle manuell löschen können. Informationen zum Deaktivieren der automatischen Skalierung für Amazon Keyspaces-Tabellen finden Sie unter[auto Skalierung von Amazon Keyspaces für eine Tabelle ausschalten](autoscaling.turnoff.md).
**Anmerkung**
Wenn die automatische Skalierung von Amazon Keyspace die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu ändern, schlägt die Abmeldung möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForApplicationAutoScaling\$1CassandraTable Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
**Anmerkung**
Um die serviceverknüpfte Rolle zu löschen, die von der automatischen Skalierung von Amazon Keyspace verwendet wird, müssen Sie zunächst die automatische Skalierung für alle Tabellen im Konto deaktivieren.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Service-Endpunkte für Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Keyspaces-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die mit dem Service verknüpfte Rolle namens **AWSServiceRoleForAmazonKeyspacesReplication**, um Amazon Keyspaces zu ermöglichen, in Ihrem Namen neue Daten AWS-Regionen zu einem Schlüsselraum hinzuzufügen und Tabellen mit all ihren Daten und Einstellungen in die neue Region zu replizieren. Die Rolle ermöglicht es Amazon Keyspaces auch, Schreibvorgänge in Tabellen in allen Regionen in Ihrem Namen zu replizieren.
Die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `replication.cassandra.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie KeyspacesReplicationServiceRolePolicy ermöglicht es Amazon Keyspaces, die folgenden Aktionen durchzuführen:
+ Aktion: `cassandra:Select`
+ Aktion: `cassandra:SelectMultiRegionResource`
+ Aktion: `cassandra:Modify`
+ Aktion: `cassandra:ModifyMultiRegionResource`
+ Aktion: `cassandra:AlterMultiRegionResource`
+ Aktion: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces verwendet die Auto Scaling-Berechtigungen der Anwendung, wenn Sie im Bereitstellungsmodus mit aktiviertem Auto Scaling ein Replikat zu einer einzelnen Regionstabelle hinzufügen.
+ Aktion: `application-autoscaling:DeregisterScalableTarget`
+ Aktion: `application-autoscaling:DescribeScalableTargets`
+ Aktion: `application-autoscaling:PutScalingPolicy`
+ Aktion: `application-autoscaling:DescribeScalingPolicies`
+ Aktion: `cassandra:Alter`
+ Aktion: `cloudwatch:DeleteAlarms`
+ Aktion: `cloudwatch:DescribeAlarms`
+ Aktion: `cloudwatch:PutMetricAlarm`
Obwohl die mit dem Service verknüpfte Amazon Keyspaces-Rolle die folgenden Berechtigungen AWSService RoleForAmazonKeyspacesReplication bereitstellt: „Action:“ für den angegebenen Amazon-Ressourcennamen (ARN) „arn: \$1“ in der Richtlinie, Amazon Keyspaces stellt den ARN Ihres Kontos bereit.
Die Berechtigungen zum Erstellen der dienstbezogenen Rolle AWSService RoleForAmazonKeyspacesReplication sind in der verwalteten Richtlinie enthalten. `AmazonKeyspacesFullAccess` Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie können eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API einen Schlüsselraum für mehrere Regionen erstellen AWS CLI, erstellt Amazon Keyspaces die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Schlüsselraum für mehrere Regionen erstellen, erstellt Amazon Keyspaces die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Keyspaces
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch zuerst alle Schlüsselräume für mehrere Regionen im Konto für alle löschen, AWS-Regionen bevor Sie die serviceverknüpfte Rolle manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst alle von der Rolle verwendeten Schlüsselräume und Tabellen mit mehreren Regionen löschen.
**Anmerkung**
Wenn der Amazon Keyspaces-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon Keyspaces-Ressourcen zu löschen, die von der AWSService RoleForAmazonKeyspacesReplication (Konsole) verwendet werden**
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie in der linken Seitenleiste die Option „**Keyspaces**“.
1. Wählen Sie alle Schlüsselräume mit mehreren Regionen aus der Liste aus.
1. Wählen Sie **Löschen**, bestätigen Sie den Löschvorgang und wählen Sie Schlüsselräume **löschen**.
Sie können Schlüsselräume mit mehreren Regionen auch programmgesteuert löschen, indem Sie eine der folgenden Methoden verwenden.
+ Die Cassandra Query Language (CQL) -Anweisung. [SCHLÜSSELRAUM LÖSCHEN](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ Der [Delete-Keyspace-Vorgang](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) der CLI. AWS
+ Der [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)Betrieb der Amazon Keyspaces-API.
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSService RoleForAmazonKeyspacesReplication Rolle in den folgenden Regionen verwenden.
****
| Name der Region | Regions-ID | Support in Amazon Keyspaces |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US-Ost) | us-gov-east-1 | Nein |
| AWS GovCloud (US-West) | us-gov-west-1 | Nein |
# Rollen für Amazon Keyspaces CDC-Streams verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können die serviceverknüpfte Rolle nicht löschen.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForAmazonKeyspacesCDC, um Amazon Keyspaces CDC-Streams** zu ermöglichen, in Ihrem Namen CloudWatch Metriken in Ihrem Konto zu veröffentlichen.
Die dienstbezogene AWSService RoleForAmazonKeyspaces CDC-Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt:
+ `cassandra-streams.amazonaws.com`
Die Rollenberechtigungsrichtlinie mit dem Namen [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) ermöglicht Amazon Keyspaces, die folgende Aktion für Ressourcen im CloudWatch Namespace durchzuführen: `AWS/Cassandra`
+ Aktion: `cloudwatch:PutMetricData` für `*`
Das AWSService RoleForAmazonKeyspaces CDC stellt die Berechtigungen bereit: Aktion: Cloudwatch: für alle Ressourcen, die die folgende PutMetricData Bedingung erfüllen:. `"cloudwatch:namespace": "AWS/Cassandra"`
Weitere Informationen zu Keyspaces finden Sie CDCService RolePolicy unter[AWS verwaltete Richtlinie: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy).
Um CDC-Streams für eine Tabelle zu aktivieren, wodurch automatisch die dienstverknüpfte Rolle AWSService RoleForAmazonKeyspaces CDC erstellt wird, benötigt der IAM-Prinzipal die folgenden Berechtigungen.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Die Berechtigungen zum Erstellen der dienstverknüpften Rolle AWSService RoleForAmazonKeyspaces CDC sind in der verwalteten Richtlinie enthalten. `AmazonKeyspacesFullAccess` Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie müssen keine serviceverknüpfte Rolle für Amazon Keyspaces CDC-Streams manuell erstellen. Wenn Sie Amazon Keyspaces CDC-Streams für eine Tabelle mit der AWS-Managementkonsole, CQL, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Keyspaces die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Amazon Keyspaces CDC-Streams für eine Tabelle aktivieren, erstellt Amazon Keyspaces die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die mit dem AWSService RoleForAmazonKeyspaces CDC-Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).