Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Keyspaces (für Apache Cassandra)
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud selbst und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für Amazon Keyspaces gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Keyspaces anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Keyspaces konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen können, Ihre Amazon Keyspaces-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz in Amazon Keyspaces](data-protection.md)
+ [AWS Identity and Access Management für Amazon Keyspaces](security-iam.md)
+ [Konformitätsprüfung für Amazon Keyspaces (für Apache Cassandra)](Keyspaces-compliance.md)
+ [Resilienz und Notfallwiederherstellung in Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Keyspaces](infrastructure-security.md)
+ [Konfiguration und Schwachstellenanalyse für Amazon Keyspaces](configuration-vulnerability.md)
+ [Bewährte Sicherheitsmethoden für Amazon Keyspaces](best-practices-security.md)
# Datenschutz in Amazon Keyspaces
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in Amazon Keyspaces (für Apache Cassandra). Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen. AWS Cloud Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Keyspaces oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Verschlüsselung im Ruhezustand in Amazon Keyspaces](EncryptionAtRest.md)
+ [Verschlüsselung bei der Übertragung in Amazon Keyspaces](encryption-in-transit.md)
+ [Datenschutz im Netzwerkverkehr in Amazon Keyspaces](inter-network-traffic-privacy.md)
# Verschlüsselung im Ruhezustand in Amazon Keyspaces
[Die *Verschlüsselung im Ruhezustand* von Amazon Keyspaces (für Apache Cassandra) bietet erhöhte Sicherheit, indem alle Ihre Daten im Ruhezustand mit Verschlüsselungsschlüsseln verschlüsselt werden, die in AWS Key Management Service () gespeichert sind.AWS KMS](https://aws.amazon.com/kms/) Diese Funktionalität trägt zur Verringerung des Betriebsaufwands und der Komplexität bei, die mit dem Schutz sensibler Daten einhergeht. Mit Encryption at Rest können Sie sicherheitsrelevante Anwendungen entwickeln, die strenge Compliance- und behördliche Anforderungen an den Datenschutz erfüllen.
Amazon Keyspaces Encryption at Rest verschlüsselt Ihre Daten mit dem 256-Bit-Advanced Encryption Standard (AES-256). Dies trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen.
Amazon Keyspaces verschlüsselt und entschlüsselt die Daten in Tabellen und Streams transparent. Amazon Keyspaces verwendet Umschlagverschlüsselung und eine Schlüsselhierarchie, um Datenverschlüsselungsschlüssel zu schützen. Es lässt sich AWS KMS zum Speichern und Verwalten des Root-Verschlüsselungsschlüssels integrieren. Weitere Informationen zur Hierarchie der Verschlüsselungsschlüssel finden Sie unter[Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md). Weitere Informationen zu AWS KMS Konzepten wie der Envelope-Verschlüsselung finden Sie unter [AWS KMS Management Service Concepts](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) im *AWS Key Management Service Developer Guide*.
Wenn Sie eine neue Tabelle erstellen, können Sie einen der folgenden *AWS KMS Schlüssel (KMS-Schlüssel)* wählen:
+ AWS-eigener Schlüssel — Dies ist der Standardverschlüsselungstyp. Der Schlüssel gehört Amazon Keyspaces (ohne zusätzliche Kosten).
+ Vom Kunden verwalteter Schlüssel — Dieser Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).
Amazon Keyspaces verschlüsselt automatisch Change Data Capture (CDC) -Streams mit demselben Schlüssel wie die zugrunde liegende Tabelle. Weitere Informationen zu CDC finden Sie unter. [Arbeiten mit Change Data Capture (CDC) -Streams in Amazon Keyspaces](cdc.md)
Sie können jederzeit zwischen dem AWS-eigener Schlüssel und dem vom Kunden verwalteten Schlüssel wechseln. Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie eine neue Tabelle erstellen oder den KMS-Schlüssel einer vorhandenen Tabelle mithilfe der Konsole oder programmgesteuert mithilfe von CQL-Anweisungen ändern. Um zu erfahren wie dies geht, vgl. [Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces](encryption.customermanaged.md).
Die Verschlüsselung im Ruhezustand mit der Standardoption von AWS-eigene Schlüssel wird ohne zusätzliche Kosten angeboten. Für vom Kunden verwaltete Schlüssel fallen jedoch AWS KMS Gebühren an. Weitere Informationen zu Preisen finden Sie unter [AWS KMS Preise](https://aws.amazon.com/kms/pricing).
Die Amazon Keyspaces-Verschlüsselung im Ruhezustand ist in allen Regionen verfügbar AWS-Regionen, auch in den AWS Regionen China (Peking) und AWS China (Ningxia). Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md)
+ [Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces](encryption.customermanaged.md)
# Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces
Die *Verschlüsselung im Ruhezustand* von Amazon Keyspaces (für Apache Cassandra) verschlüsselt Ihre Daten mit dem 256-Bit-Advanced Encryption Standard (AES-256). Dies trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen. Alle Kundendaten in Amazon Keyspaces-Tabellen werden standardmäßig im Ruhezustand verschlüsselt, und die serverseitige Verschlüsselung ist transparent, sodass keine Änderungen an Anwendungen erforderlich sind.
Encryption at Rest ist in AWS Key Management Service (AWS KMS) integriert, um den Verschlüsselungsschlüssel zu verwalten, der zur Verschlüsselung Ihrer Tabellen verwendet wird. Wenn Sie eine neue Tabelle erstellen oder eine bestehende Tabelle aktualisieren, können Sie eine der folgenden *AWS KMS Schlüsseloptionen* wählen:
+ AWS-eigener Schlüssel — Dies ist der Standardverschlüsselungstyp. Der Schlüssel gehört Amazon Keyspaces (ohne zusätzliche Kosten).
+ Vom Kunden verwalteter Schlüssel — Dieser Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).
**AWS KMS Schlüssel (KMS-Schlüssel)**
Die Verschlüsselung im Ruhezustand schützt all Ihre Amazon Keyspaces-Daten mit einem AWS KMS Schlüssel. Standardmäßig verwendet Amazon Keyspaces einen Mehrmandanten-Verschlüsselungsschlüssel [AWS-eigener Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), der in einem Amazon Keyspaces-Servicekonto erstellt und verwaltet wird.
Sie können Ihre Amazon Keyspaces-Tabellen jedoch mit einem vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) in Ihrem verschlüsseln. AWS-Konto Sie können für jede Tabelle in einem Schlüsselraum einen anderen KMS-Schlüssel auswählen. Der KMS-Schlüssel, den Sie für eine Tabelle auswählen, wird auch zum Verschlüsseln aller Metadaten und wiederherstellbaren Backups verwendet.
Sie wählen den KMS-Schlüssel für eine Tabelle aus, wenn Sie die Tabelle erstellen oder aktualisieren. Sie können den KMS-Schlüssel für eine Tabelle jederzeit ändern, entweder in der Amazon Keyspaces-Konsole oder mithilfe der [ALTER TABLE-Anweisung](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). Der Wechsel der KMS-Schlüssel erfolgt nahtlos und erfordert keine Ausfallzeiten und führt auch nicht zu einer Beeinträchtigung des Services.
**Schlüsselhierarchie**
Amazon Keyspaces verwendet eine Schlüsselhierarchie zur Verschlüsselung von Daten. In dieser Schlüsselhierarchie ist der KMS-Schlüssel der Stammschlüssel. Es wird verwendet, um den Amazon Keyspaces-Tabellenverschlüsselungsschlüssel zu verschlüsseln und zu entschlüsseln. Der Tabellenverschlüsselungsschlüssel wird verwendet, um die Verschlüsselungsschlüssel zu verschlüsseln, die intern von Amazon Keyspaces verwendet werden, um Daten bei Lese- und Schreibvorgängen zu verschlüsseln und zu entschlüsseln.
Mit der Hierarchie der Verschlüsselungsschlüssel können Sie Änderungen am KMS-Schlüssel vornehmen, ohne Daten erneut verschlüsseln zu müssen oder Anwendungen und laufende Datenoperationen zu beeinträchtigen.
![\[Die Schlüsselhierarchie zeigt den Stammschlüssel, den Tabellenverschlüsselungsschlüssel und den Datenverschlüsselungsschlüssel, der für die Verschlüsselung im Ruhezustand verwendet wird.\]](http://docs.aws.amazon.com/de_de/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Tabellenschlüssel**
Der Amazon Keyspaces-Tabellenschlüssel wird als Schlüsselverschlüsselungsschlüssel verwendet. Amazon Keyspaces verwendet den Tabellenschlüssel, um die internen Datenverschlüsselungsschlüssel zu schützen, die zur Verschlüsselung der in Tabellen, Protokolldateien und wiederherstellbaren Backups gespeicherten Daten verwendet werden. Amazon Keyspaces generiert einen eindeutigen Datenverschlüsselungsschlüssel für jede zugrunde liegende Struktur in einer Tabelle. Es kann jedoch sein, dass mehrere Tabellenzeilen durch denselben Datenverschlüsselungsschlüssel geschützt werden.
Wenn Sie den KMS-Schlüssel zum ersten Mal auf einen vom Kunden verwalteten Schlüssel festlegen, AWS KMS wird ein *Datenschlüssel* generiert. Der AWS KMS Datenschlüssel bezieht sich auf den Tabellenschlüssel in Amazon Keyspaces.
Wenn Sie auf eine verschlüsselte Tabelle zugreifen, sendet Amazon Keyspaces eine Anfrage an, den KMS-Schlüssel AWS KMS zur Entschlüsselung des Tabellenschlüssels zu verwenden. Anschließend verwendet es den Klartext-Tabellenschlüssel, um die Amazon Keyspaces-Datenverschlüsselungsschlüssel zu entschlüsseln, und es verwendet die Klartext-Datenverschlüsselungsschlüssel, um Tabellendaten zu entschlüsseln.
Amazon Keyspaces verwendet und speichert den Tabellenschlüssel und die Datenverschlüsselungsschlüssel außerhalb von AWS KMS. Alle Schlüssel werden mit [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES)-Verschlüsselung und 256-Bit-Verschlüsselungsschlüsseln geschützt. Anschließend werden die verschlüsselten Schlüssel zusammen mit den verschlüsselten Daten gespeichert, sodass sie bei Bedarf zur Entschlüsselung der Tabellendaten zur Verfügung stehen.
**Tabellenschlüssel-Caching**
Um zu vermeiden, AWS KMS dass jeder Amazon Keyspaces-Vorgang aufgerufen wird, speichert Amazon Keyspaces die Klartext-Tabellenschlüssel für jede Verbindung im Speicher zwischen. Wenn Amazon Keyspaces nach fünf Minuten Inaktivität eine Anfrage für den zwischengespeicherten Tabellenschlüssel erhält, sendet es eine neue Anfrage an, um den Tabellenschlüssel AWS KMS zu entschlüsseln. Dieser Aufruf erfasst alle Änderungen, die seit der letzten Anfrage zur Entschlüsselung des Tabellenschlüssels an den Zugriffsrichtlinien des KMS-Schlüssels in AWS KMS oder AWS Identity and Access Management (IAM) vorgenommen wurden.
**Umschlagverschlüsselung**
Wenn Sie den vom Kunden verwalteten Schlüssel für Ihre Tabelle ändern, generiert Amazon Keyspaces einen neuen Tabellenschlüssel. Anschließend verwendet es den neuen Tabellenschlüssel, um die Datenverschlüsselungsschlüssel erneut zu verschlüsseln. Außerdem wird der neue Tabellenschlüssel verwendet, um frühere Tabellenschlüssel zu verschlüsseln, die zum Schutz wiederherstellbarer Backups verwendet werden. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Dadurch wird sichergestellt, dass Sie auch dann auf wiederherstellbare Backups zugreifen können, wenn Sie den vom Kunden verwalteten Schlüssel rotieren. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope Encryption](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service Entwicklerhandbuch*.
**Topics**
+ [AWS eigene Schlüssel](#keyspaces-owned)
+ [Kundenverwaltete Schlüssel](#customer-managed)
+ [Verwendungshinweise zur Verschlüsselung im Ruhezustand](#encryption.usagenotes)
## AWS eigene Schlüssel
AWS-eigene Schlüssel sind nicht in Ihrem AWS-Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die mehrere AWS besitzen und verwalten, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. AWS Dienste, die Sie AWS-eigene Schlüssel zum Schutz Ihrer Daten verwenden können.
Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Arbeit verrichten oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden.
Ihnen wird weder eine monatliche Gebühr noch eine Nutzungsgebühr für die Nutzung von berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.
## Kundenverwaltete Schlüssel
Kundenverwaltete Schlüssel sind Schlüssel in Ihrem System AWS-Konto , die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel.
Verwenden Sie einen kundenverwalteten KMS-Schlüssel, um die folgenden Funktionen zu erhalten:
+ Sie erstellen und verwalten den vom Kunden verwalteten Schlüssel, einschließlich der Festlegung und Verwaltung der [wichtigsten Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [IAM-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) und [Zuweisungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel. Sie können den vom Kunden verwalteten Schlüssel [aktivieren und deaktivieren](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html), die [automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) aktivieren und deaktivieren und [den vom Kunden verwalteten Schlüssel so planen](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html), dass er gelöscht wird, wenn er nicht mehr verwendet wird. Sie können Tags und Aliase für die von Ihnen verwalteten, vom Kunden verwalteten Schlüssel erstellen.
+ Sie können einen kundenverwalteten Schlüssel mit [importiertem Schlüsselmaterial](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) oder einen kundenverwalteten Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) verwenden, den Sie besitzen und verwalten.
+ Sie können Amazon AWS CloudTrail CloudWatch Logs verwenden, um die Anfragen zu verfolgen, an die Amazon Keyspaces in AWS KMS Ihrem Namen sendet. Weitere Informationen finden Sie unter [Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Für vom Kunden verwaltete Schlüssel [fällt für jeden API-Aufruf eine Gebühr](https://aws.amazon.com/kms/pricing/) an, und für diese KMS-Schlüssel gelten AWS KMS Kontingente. Weitere Informationen finden Sie unter [AWS KMS Ressourcen- oder Anforderungskontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Wenn Sie einen vom Kunden verwalteten Schlüssel als Stammverschlüsselungsschlüssel für eine Tabelle angeben, werden wiederherstellbare Backups mit demselben Verschlüsselungsschlüssel verschlüsselt, der bei der Erstellung des Backups für die Tabelle angegeben wurde. Wenn der KMS-Schlüssel für die Tabelle rotiert wird, stellt die Schlüsselumhüllung sicher, dass der neueste KMS-Schlüssel Zugriff auf alle wiederherstellbaren Backups hat.
Amazon Keyspaces muss Zugriff auf Ihren vom Kunden verwalteten Schlüssel haben, um Ihnen Zugriff auf Ihre Tabellendaten zu gewähren. Wenn der Status des Verschlüsselungsschlüssels auf „Deaktiviert“ gesetzt ist oder sein Löschen geplant ist, kann Amazon Keyspaces keine Daten ver- oder entschlüsseln. Daher können Sie keine Lese- und Schreibvorgänge für die Tabelle ausführen. Sobald der Service feststellt, dass auf Ihren Verschlüsselungsschlüssel nicht zugegriffen werden kann, sendet Amazon Keyspaces eine E-Mail-Benachrichtigung, um Sie zu benachrichtigen.
Sie müssen den Zugriff auf Ihren Verschlüsselungsschlüssel innerhalb von sieben Tagen wiederherstellen. Andernfalls löscht Amazon Keyspaces Ihre Tabelle automatisch. Als Vorsichtsmaßnahme erstellt Amazon Keyspaces vor dem Löschen der Tabelle eine wiederherstellbare Sicherungskopie Ihrer Tabellendaten. Amazon Keyspaces bewahrt das wiederherstellbare Backup 35 Tage lang auf. Nach 35 Tagen können Sie Ihre Tabellendaten nicht mehr wiederherstellen. Das wiederherstellbare Backup wird Ihnen nicht in Rechnung gestellt, es fallen jedoch die üblichen [Wiederherstellungsgebühren](https://aws.amazon.com/keyspaces/pricing) an.
Sie können dieses wiederherstellbare Backup verwenden, um Ihre Daten in einer neuen Tabelle wiederherzustellen. Um die Wiederherstellung einzuleiten, muss der letzte vom Kunden verwaltete Schlüssel, der für die Tabelle verwendet wurde, aktiviert sein und Amazon Keyspaces muss Zugriff darauf haben.
**Anmerkung**
Wenn Sie eine Tabelle erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, auf den nicht zugegriffen werden kann oder der vor Abschluss des Erstellungsvorgangs gelöscht werden soll, tritt ein Fehler auf. Der Vorgang zum Erstellen einer Tabelle schlägt fehl und Sie erhalten eine E-Mail-Benachrichtigung.
## Verwendungshinweise zur Verschlüsselung im Ruhezustand
Beachten Sie Folgendes, wenn Sie Verschlüsselung im Ruhezustand in Amazon Keyspaces verwenden.
+ Die serverseitige Verschlüsselung im Ruhezustand ist für alle Amazon Keyspaces-Tabellen aktiviert und kann nicht deaktiviert werden. Die gesamte Tabelle ist im Ruhezustand verschlüsselt. Sie können keine bestimmten Spalten oder Zeilen für die Verschlüsselung auswählen.
+ Standardmäßig verwendet Amazon Keyspaces einen einzigen Service-Standardschlüssel (AWS-eigener Schlüssel) für die Verschlüsselung all Ihrer Tabellen. Wenn dieser Schlüssel nicht existiert, wird er für Sie erstellt. Die Standardschlüssel des Dienstes können nicht deaktiviert werden.
+ Bei der Verschlüsselung im Ruhezustand werden nur Daten verschlüsselt, solange sie sich auf einem persistenten Speichermedium befinden (im Ruhezustand). Wenn die Datensicherheit bei der Übertragung oder bei der Verwendung von Daten ein Problem darstellt, müssen Sie zusätzliche Maßnahmen ergreifen:
+ Daten während der Übertragung: Alle Ihre Daten in Amazon Keyspaces werden während der Übertragung verschlüsselt. Standardmäßig wird die Kommunikation zu und von Amazon Keyspaces durch Secure Sockets Layer (SSL) /Transport Layer Security (TLS) -Verschlüsselung geschützt.
+ Verwendete Daten: Schützen Sie Ihre Daten, bevor Sie sie an Amazon Keyspaces senden, indem Sie clientseitige Verschlüsselung verwenden.
+ Vom Kunden verwaltete Schlüssel: Daten, die sich in Ihren Tabellen befinden, werden immer mit Ihren vom Kunden verwalteten Schlüsseln verschlüsselt. Bei Operationen, die atomare Aktualisierungen mehrerer Zeilen durchführen, werden Daten jedoch vorübergehend AWS-eigene Schlüssel während der Verarbeitung verschlüsselt. Dazu gehören Operationen zum Löschen von Bereichen und Operationen, die gleichzeitig auf statische und nicht statische Daten zugreifen.
+ Für einen einzelnen vom Kunden verwalteten Schlüssel können bis zu 50.000 [Zuschüsse gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) werden. Jede Amazon Keyspaces-Tabelle, die einem vom Kunden verwalteten Schlüssel zugeordnet ist, verbraucht 2 Grants. Ein Grant wird freigegeben, wenn die Tabelle gelöscht wird. Der zweite Zuschuss wird verwendet, um einen automatischen Snapshot der Tabelle zu erstellen, um vor Datenverlust zu schützen, falls Amazon Keyspaces versehentlich den Zugriff auf den vom Kunden verwalteten Schlüssel verliert. Dieser Zuschuss wird 42 Tage nach dem Löschen der Tabelle freigegeben.
# Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces
Sie können die Konsolen- oder CQL-Anweisungen verwenden, um die AWS KMS key für neue Tabellen anzugeben und die Verschlüsselungsschlüssel vorhandener Tabellen in Amazon Keyspaces zu aktualisieren. Im folgenden Thema wird beschrieben, wie vom Kunden verwaltete Schlüssel für neue und bestehende Tabellen implementiert werden.
**Topics**
+ [Voraussetzungen: Erstellen Sie einen vom Kunden verwalteten Schlüssel mithilfe von Amazon Keyspaces AWS KMS und gewähren Sie ihm Berechtigungen](#encryption.createCMKMS)
+ [Schritt 3: Geben Sie einen vom Kunden verwalteten Schlüssel für eine neue Tabelle an](#encryption.tutorial-creating)
+ [Schritt 4: Aktualisieren Sie den Verschlüsselungsschlüssel einer vorhandenen Tabelle](#encryption.tutorial-update)
+ [Schritt 5: Verwenden Sie den Amazon Keyspaces-Verschlüsselungskontext in Protokollen](#encryption-context)
+ [Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail](#encryption-cmk-trail)
## Voraussetzungen: Erstellen Sie einen vom Kunden verwalteten Schlüssel mithilfe von Amazon Keyspaces AWS KMS und gewähren Sie ihm Berechtigungen
Bevor Sie eine Amazon Keyspaces-Tabelle mit einem vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) schützen können, müssen Sie zuerst den Schlüssel in AWS Key Management Service (AWS KMS) erstellen und dann Amazon Keyspaces autorisieren, diesen Schlüssel zu verwenden.
### Schritt 1: Erstellen Sie einen vom Kunden verwalteten Schlüssel mit AWS KMS
Um einen vom Kunden verwalteten Schlüssel zu erstellen, der zum Schutz einer Amazon Keyspaces-Tabelle verwendet werden soll, können Sie die Schritte unter [KMS-Schlüssel mit symmetrischer Verschlüsselung mithilfe der Konsole oder der AWS API erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) befolgen.
### Schritt 2: Autorisieren Sie die Verwendung Ihres vom Kunden verwalteten Schlüssels
Bevor Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) zum Schutz einer Amazon Keyspaces-Tabelle auswählen können, müssen die Richtlinien für diesen vom Kunden verwalteten Schlüssel Amazon Keyspaces die Erlaubnis geben, ihn in Ihrem Namen zu verwenden. Sie haben die volle Kontrolle über die Richtlinien und Zuschüsse für den vom Kunden verwalteten Schlüssel. Sie können diese Berechtigungen in einer [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), einer [IAM-Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) oder einer [Erteilung](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) bereitstellen.
Amazon Keyspaces benötigt keine zusätzliche Autorisierung, um den Standard [AWS-eigener Schlüssel](encryption.howitworks.md#keyspaces-owned)zum Schutz der Amazon Keyspaces-Tabellen in Ihrem AWS Konto zu verwenden.
Die folgenden Themen zeigen, wie Sie die erforderlichen Berechtigungen mithilfe von IAM-Richtlinien und -Zuschüssen konfigurieren, die es Amazon Keyspaces-Tabellen ermöglichen, einen vom Kunden verwalteten Schlüssel zu verwenden.
**Topics**
+ [Wichtige Richtlinie für vom Kunden verwaltete Schlüssel](#encryption-customer-managed-policy)
+ [Beispiel für eine Schlüsselrichtlinie](#encryption-customer-managed-policy-sample)
+ [Verwendung von Zuschüssen zur Autorisierung von Amazon Keyspaces](#encryption-grants)
#### Wichtige Richtlinie für vom Kunden verwaltete Schlüssel
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) zum Schutz einer Amazon Keyspaces-Tabelle auswählen, erhält Amazon Keyspaces die Erlaubnis, den vom Kunden verwalteten Schlüssel im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Principal, ein Benutzer oder eine Rolle, muss über die Berechtigungen für den vom Kunden verwalteten Schlüssel verfügen, die Amazon Keyspaces benötigt.
Amazon Keyspaces benötigt mindestens die folgenden Berechtigungen für einen vom Kunden verwalteten Schlüssel:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (für kms: ReEncryptFrom und kms:ReEncryptTo)
+ kms: GenerateDataKey \$1 (für [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) und [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Beispiel für eine Schlüsselrichtlinie
Beispielsweise bietet die folgende Beispiel-Schlüsselrichtlinie nur die erforderlichen Berechtigungen. Die Richtlinie hat folgende Auswirkungen:
+ Erlaubt Amazon Keyspaces, den vom Kunden verwalteten Schlüssel für kryptografische Operationen zu verwenden und Zuschüsse zu gewähren — aber nur, wenn Amazon Keyspaces im Namen von Prinzipalen des Kontos handelt, die die Erlaubnis haben, Amazon Keyspaces zu verwenden. Wenn die in der Datenschutzerklärung angegebenen Principals nicht berechtigt sind, Amazon Keyspaces zu verwenden, schlägt der Anruf fehl, auch wenn er vom Amazon Keyspaces-Service stammt.
+ Der ViaService Bedingungsschlüssel [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) erlaubt die Berechtigungen nur, wenn die Anfrage von Amazon Keyspaces im Namen der in der Datenschutzerklärung aufgeführten Prinzipale kommt. Diese Prinzipale können diese Operationen nicht direkt aufrufen. Beachten Sie, dass der `kms:ViaService`-Wert, `cassandra.*.amazonaws.com`, in der Region-Position ein Sternchen (\$1) hat. Amazon Keyspaces benötigt die Genehmigung, unabhängig von einer bestimmten AWS-Region Person zu sein.
+ Gewährt den vom Kunden verwalteten Schlüsseladministratoren (Benutzern, die die `db-team` Rolle übernehmen können) schreibgeschützten Zugriff auf den vom Kunden verwalteten Schlüssel und die Berechtigung, Zuschüsse zu widerrufen, einschließlich der [Zuweisungen, die Amazon Keyspaces zum Schutz der Tabelle benötigt](#encryption-grants).
+ Gewährt Amazon Keyspaces schreibgeschützten Zugriff auf den vom Kunden verwalteten Schlüssel. In diesem Fall kann Amazon Keyspaces diese Operationen direkt aufrufen. Es muss nicht im Namen eines Kontoinhabers handeln.
Bevor Sie ein Beispiel für eine Schlüsselrichtlinie verwenden, ersetzen Sie die Beispielprinzipale durch tatsächliche Prinzipale aus Ihrem. AWS-Konto
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Verwendung von Zuschüssen zur Autorisierung von Amazon Keyspaces
Zusätzlich zu den wichtigsten Richtlinien verwendet Amazon Keyspaces Zuschüsse, um Berechtigungen für einen vom Kunden verwalteten Schlüssel festzulegen. Um die Erteilungen für den kundenverwalteten Schlüssel in Ihrem Konto anzuzeigen, verwenden Sie die [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)-Operation. Amazon Keyspaces benötigt keine Zuschüsse oder zusätzliche Berechtigungen, um Ihre Tabelle [AWS-eigener Schlüssel](encryption.howitworks.md#keyspaces-owned)zu schützen.
Amazon Keyspaces verwendet die gewährten Berechtigungen, wenn es Systemwartungs- und kontinuierliche Datenschutzaufgaben im Hintergrund ausführt. Außerdem werden Erteilungen verwenden, um Tabellenschlüssel zu generieren.
Jede Erteilung ist tabellenspezifisch. Wenn das Konto mehrere Tabellen enthält, die unter demselben vom Kunden verwalteten Schlüssel verschlüsselt sind, gibt es für jede Tabelle eine Genehmigung jedes Typs. Die Gewährung wird durch den [Amazon Keyspaces-Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html) eingeschränkt, der den Tabellennamen und die AWS-Konto ID umfasst. Der Zuschuss beinhaltet die Erlaubnis, [den Zuschuss zurückzuziehen](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), wenn er nicht mehr benötigt wird.
Um die Grants zu erstellen, muss Amazon Keyspaces über die Berechtigung verfügen, `CreateGrant` im Namen des Benutzers, der die verschlüsselte Tabelle erstellt hat, anzurufen.
Die Schlüsselrichtlinie kann es dem Konto auch erlauben, die [Erteilung für den kundenverwalteten Schlüssel zu widerrufen](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html). Wenn Sie jedoch den Zuschuss für eine aktive verschlüsselte Tabelle widerrufen, kann Amazon Keyspaces die Tabelle nicht schützen und verwalten.
## Schritt 3: Geben Sie einen vom Kunden verwalteten Schlüssel für eine neue Tabelle an
Gehen Sie wie folgt vor, um den vom Kunden verwalteten Schlüssel in einer neuen Tabelle mithilfe der Amazon Keyspaces-Konsole oder CQL anzugeben.
### Erstellen Sie eine verschlüsselte Tabelle mit einem vom Kunden verwalteten Schlüssel (Konsole)
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) und anschließend **Create table** (Tabelle erstellen) aus.
1. Wählen Sie auf der Seite **Tabelle erstellen** im Abschnitt **Tabellendetails** einen Schlüsselraum aus und geben Sie einen Namen für die neue Tabelle ein.
1. Erstellen Sie im Abschnitt **Schema** das Schema für Ihre Tabelle.
1. Wählen Sie im Abschnitt **Tabelleneinstellungen** die Option **Einstellungen anpassen** aus.
1. Fahren Sie mit den **Verschlüsselungseinstellungen** fort.
In diesem Schritt wählen Sie die Verschlüsselungseinstellungen für die Tabelle aus.
Wählen Sie im Abschnitt **Verschlüsselung im Ruhezustand** unter **Wählen Sie eine AWS KMS key** die Option **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** und wählen Sie im Suchfeld einen Amazon-Ressourcennamen (ARN) aus AWS KMS key oder geben Sie einen ein.
**Anmerkung**
Wenn auf den ausgewählten Schlüssel nicht zugegriffen werden kann oder die erforderlichen Berechtigungen fehlen, finden Sie weitere Informationen unter [Problembehandlung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
1. Wählen Sie **Create** (Erstellen) , um die verschlüsselte Tabelle zu erstellen.
### Erstellen Sie eine neue Tabelle mit einem vom Kunden verwalteten Schlüssel für Verschlüsselung im Ruhezustand (CQL)
Um eine neue Tabelle zu erstellen, die einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand verwendet, können Sie die `CREATE TABLE` Anweisung verwenden, wie im folgenden Beispiel gezeigt. Stellen Sie sicher, dass Sie den Schlüssel ARN durch einen ARN für einen gültigen Schlüssel mit Amazon Keyspaces erteilten Berechtigungen ersetzen.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Wenn Sie einen erhalten`Invalid Request Exception`, müssen Sie bestätigen, dass der vom Kunden verwaltete Schlüssel gültig ist und Amazon Keyspaces über die erforderlichen Berechtigungen verfügt. Informationen zur Bestätigung, dass der Schlüssel korrekt konfiguriert wurde, finden Sie unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
## Schritt 4: Aktualisieren Sie den Verschlüsselungsschlüssel einer vorhandenen Tabelle
Sie können auch die Amazon Keyspaces-Konsole oder CQL verwenden, um die Verschlüsselungsschlüssel einer vorhandenen Tabelle jederzeit zwischen einem AWS-eigener Schlüssel und einem vom Kunden verwalteten KMS-Schlüssel zu ändern.
### Aktualisieren Sie eine bestehende Tabelle mit dem neuen vom Kunden verwalteten Schlüssel (Konsole)
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.
1. Wählen Sie die Tabelle aus, die Sie aktualisieren möchten, und wählen Sie dann den Tab **Zusätzliche Einstellungen**.
1. Wählen Sie im Abschnitt **Verschlüsselung im Ruhezustand** die Option **Verschlüsselung verwalten** aus, um die Verschlüsselungseinstellungen für die Tabelle zu bearbeiten.
**Wählen Sie** unter Wählen Sie die Option **Anderen KMS-Schlüssel auswählen (erweitert)** und wählen Sie im Suchfeld einen Amazon-Ressourcennamen (ARN) aus AWS KMS key oder geben Sie einen ein. AWS KMS key
**Anmerkung**
Wenn der von Ihnen gewählte Schlüssel nicht gültig ist, finden Sie weitere Informationen unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
Alternativ können Sie eine AWS-eigener Schlüssel für eine Tabelle wählen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.
1. Wählen Sie **Änderungen speichern**, um Ihre Änderungen an der Tabelle zu speichern.
### Aktualisieren Sie den Verschlüsselungsschlüssel, der für eine bestehende Tabelle verwendet wurde
Um den Verschlüsselungsschlüssel einer vorhandenen Tabelle zu ändern, verwenden Sie die `ALTER TABLE` Anweisung, um einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand anzugeben. Stellen Sie sicher, dass Sie den Schlüssel ARN durch einen ARN für einen gültigen Schlüssel mit Amazon Keyspaces erteilten Berechtigungen ersetzen.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Wenn Sie einen erhalten`Invalid Request Exception`, müssen Sie bestätigen, dass der vom Kunden verwaltete Schlüssel gültig ist und Amazon Keyspaces über die erforderlichen Berechtigungen verfügt. Informationen zur Bestätigung, dass der Schlüssel korrekt konfiguriert wurde, finden Sie unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
Um den Verschlüsselungsschlüssel wieder auf die Standardoption Verschlüsselung im Ruhezustand zurückzusetzen AWS-eigene Schlüssel, können Sie die `ALTER TABLE` Anweisung verwenden, wie im folgenden Beispiel gezeigt.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Schritt 5: Verwenden Sie den Amazon Keyspaces-Verschlüsselungskontext in Protokollen
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Amazon Keyspaces verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabelle zu schützen, können Sie den Verschlüsselungskontext verwenden, um die Verwendung des vom Kunden verwalteten Schlüssels in Prüfaufzeichnungen und Protokollen zu identifizieren. Es erscheint auch im Klartext in Protokollen, z. B. in Protokollen für [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
In seinen Anfragen verwendet Amazon Keyspaces einen Verschlüsselungskontext mit drei Schlüssel-Wert-Paaren. AWS KMS
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace** — Das erste Schlüssel-Wert-Paar identifiziert den Schlüsselraum, der die Tabelle enthält, die Amazon Keyspaces verschlüsselt. Der Schlüssel lautet `aws:cassandra:keyspaceName`. Der Wert ist der Name des Schlüsselraums.
```
"aws:cassandra:keyspaceName": ""
```
Beispiel:
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Tabelle** — Das zweite Schlüssel-Wert-Paar identifiziert die Tabelle, die Amazon Keyspaces verschlüsselt. Der Schlüssel lautet `aws:cassandra:tableName`. Der Wert ist der Name der Tabelle.
```
"aws:cassandra:tableName": ""
```
Beispiel:
```
"aws:cassandra:tableName": "my_table"
```
+ **Konto** — Das dritte Schlüssel-Wert-Paar identifiziert die. AWS-Konto Der Schlüssel lautet `aws:cassandra:subscriberId`. Der Wert ist die Konto-ID.
```
"aws:cassandra:subscriberId": ""
```
Beispiel:
```
"aws:cassandra:subscriberId": "111122223333"
```
## Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabellen zu schützen, können Sie AWS CloudTrail Protokolle verwenden, um die Anfragen zu verfolgen, an die Amazon Keyspaces in AWS KMS Ihrem Namen sendet.
Die `CreateGrant` Anfragen `GenerateDataKey``DescribeKey`,`Decrypt`, und werden in diesem Abschnitt behandelt. Darüber hinaus verwendet Amazon Keyspaces eine [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Operation, um einen Zuschuss zu entfernen, wenn Sie eine Tabelle löschen.
**Anmerkung**
Wenn Sie mit Amazon Keyspaces arbeiten, können bei einigen Vorgängen CloudTrail Ereignisse mit dem `invokedBy` Feld von `dynamodb.amazonaws.com` generiert werden. Dies ist zu erwarten und tritt auf, weil Amazon Keyspaces in Amazon DynamoDB integriert ist, um seinen Service bereitzustellen.
**GenerateDataKey**
Amazon Keyspaces erstellt einen eindeutigen Tabellenschlüssel, um Daten im Ruhezustand zu verschlüsseln. Es sendet eine *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*Anfrage an AWS KMS , die den KMS-Schlüssel für die Tabelle spezifiziert.
Das Ereignis, das die `GenerateDataKey`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Amazon Keyspaces-Servicekonto. Zu den Parametern gehören der Amazon-Ressourcenname (ARN) des vom Kunden verwalteten Schlüssels, ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist, und der [Verschlüsselungskontext](#encryption-context), der den Schlüsselraum, die Tabelle und den identifiziert. AWS-Konto
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces verwendet einen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um festzustellen, ob der von Ihnen ausgewählte KMS-Schlüssel im Konto und in der Region vorhanden ist.
Das Ereignis, das die `DescribeKey`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Amazon Keyspaces-Servicekonto. Zu den Parametern gehören der ARN des vom Kunden verwalteten Schlüssels und ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Wenn Sie auf eine Amazon Keyspaces-Tabelle zugreifen, muss Amazon Keyspaces den Tabellenschlüssel entschlüsseln, damit es die Schlüssel entschlüsseln kann, die sich in der Hierarchie darunter befinden. Anschließend werden die Daten in der Tabelle entschlüsselt. Um den Tabellenschlüssel zu entschlüsseln, sendet Amazon Keyspaces eine [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , die den KMS-Schlüssel für die Tabelle angibt.
Das Ereignis, das die `Decrypt`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist Ihr Hauptbenutzer, der auf AWS-Konto die Tabelle zugreift. Zu den Parametern gehören der verschlüsselte Tabellenschlüssel (als Chiffretext-Blob) und der [Verschlüsselungskontext](#encryption-context), der die Tabelle und den identifiziert. AWS-Konto AWS KMS leitet die ID des vom Kunden verwalteten Schlüssels aus dem Chiffretext ab.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabelle zu schützen, verwendet Amazon Keyspaces [Zuschüsse](#encryption-grants), damit der Service kontinuierliche Datenschutz-, Wartungs- und Haltbarkeitsaufgaben durchführen kann. Diese Zuschüsse sind am nicht erforderlich. [AWS-eigene Schlüssel](encryption.howitworks.md#keyspaces-owned)
Die Zuschüsse, die Amazon Keyspaces erstellt, sind tabellenspezifisch. Der Principal in der [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage ist der Benutzer, der die Tabelle erstellt hat.
Das Ereignis, das die `CreateGrant`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Zu den Parametern gehören der ARN des vom Kunden verwalteten Schlüssels für die Tabelle, der Principal des Empfängers und der ausscheidende Principal (der Amazon Keyspaces-Service) sowie die Vorgänge, die durch den Zuschuss abgedeckt werden. [Es enthält auch eine Einschränkung, nach der alle Verschlüsselungsvorgänge den angegebenen Verschlüsselungskontext verwenden müssen.](#encryption-context)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Verschlüsselung bei der Übertragung in Amazon Keyspaces
Amazon Keyspaces akzeptiert nur sichere Verbindungen mit Transport Layer Security (TLS). Die Verschlüsselung bei der Übertragung bietet eine zusätzliche Datenschutzebene, indem Ihre Daten auf dem Weg zu und von Amazon Keyspaces verschlüsselt werden. Unternehmensrichtlinien, Branchen- oder Regierungsvorschriften und Compliance-Anforderungen erfordern häufig die Verwendung von Verschlüsselung bei der Übertragung, um die Datensicherheit Ihrer Anwendungen bei der Übertragung von Daten über das Netzwerk zu erhöhen.
Informationen zum Verschlüsseln von `cqlsh` Verbindungen zu Amazon Keyspaces mithilfe von TLS finden Sie unter. [Wie konfiguriert man `cqlsh` Verbindungen für TLS manuell](programmatic.cqlsh.md#encrypt_using_tls) Informationen zur Verwendung der TLS-Verschlüsselung mit Client-Treibern finden Sie unter. [Verwenden eines Cassandra-Client-Treibers für den programmgesteuerten Zugriff auf Amazon Keyspaces](programmatic.drivers.md)
# Datenschutz im Netzwerkverkehr in Amazon Keyspaces
In diesem Thema wird beschrieben, wie Amazon Keyspaces (für Apache Cassandra) Verbindungen von lokalen Anwendungen zu Amazon Keyspaces und zwischen Amazon Keyspaces und anderen Ressourcen innerhalb derselben sichert. AWS AWS-Region
## Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen
Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und: AWS
+ Eine AWS Site-to-Site VPN Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) im *AWS Site-to-Site VPN -Benutzerhandbuch*.
+ Eine Direct Connect Verbindung. Weitere Informationen finden Sie unter [Was ist Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) im *Direct Connect -Benutzerhandbuch*.
Als verwalteter Service ist Amazon Keyspaces (für Apache Cassandra) durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Keyspaces zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Amazon Keyspaces unterstützt zwei Methoden zur Authentifizierung von Kundenanfragen. Die erste Methode verwendet dienstspezifische Anmeldeinformationen, bei denen es sich um passwortbasierte Anmeldeinformationen handelt, die für einen bestimmten IAM-Benutzer generiert wurden. Sie können das Passwort mithilfe der IAM-Konsole, der oder der API erstellen AWS CLI und verwalten. AWS Weitere Informationen finden Sie unter [Verwenden von IAM mit Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
Die zweite Methode verwendet ein Authentifizierungs-Plugin für den DataStax Open-Source-Java-Treiber für Cassandra. Mit diesem Plugin können [IAM-Benutzer, -Rollen und föderierte Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) mithilfe des [AWS Signature Version 4-Prozesses](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) Authentifizierungsinformationen zu API-Anfragen von Amazon Keyspaces (für Apache Cassandra) hinzufügen. Weitere Informationen finden Sie unter [AWS Anmeldeinformationen für Amazon Keyspaces erstellen und konfigurieren](access.credentials.md).
## Verkehr zwischen Ressourcen in derselben Region AWS
Schnittstellen-VPC-Endpunkte ermöglichen die private Kommunikation zwischen Ihrer Virtual Private Cloud (VPC), die in Amazon VPC ausgeführt wird, und Amazon Keyspaces. Schnittstelle AWS PrivateLink, über die VPC-Endpunkte betrieben werden. Dabei handelt es sich um einen AWS Dienst, der die private Kommunikation zwischen VPCs Diensten ermöglicht. AWS AWS PrivateLink ermöglicht dies durch die Verwendung einer elastic network interface mit Private IPs in Ihrer VPC, sodass der Netzwerkverkehr das Amazon-Netzwerk nicht verlässt. Schnittstellen-VPC-Endpunkte benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder Direct Connect Verbindung. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) und [Interface VPC-Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Beispiele für Richtlinien finden Sie unter [Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).
# AWS Identity and Access Management für Amazon Keyspaces
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Keyspaces-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon Keyspaces mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon Keyspaces](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Keyspaces mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Keyspaces mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Keyspaces zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Keyspaces verfügbar sind. *Einen allgemeinen Überblick darüber, wie Amazon Keyspaces und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Identitätsbasierte Richtlinien von Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien von Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf Amazon Keyspaces-Tags](#security_iam_service-with-iam-tags)
+ [IAM-Rollen in Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien von Amazon Keyspaces
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Keyspaces unterstützt bestimmte Aktionen und Ressourcen sowie Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
*Die servicespezifischen Ressourcen und Aktionen von Amazon Keyspaces sowie Bedingungskontextschlüssel, die für IAM-Berechtigungsrichtlinien verwendet werden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) in der Service Authorization Reference.*
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon Keyspaces verwenden das folgende Präfix vor der Aktion:`cassandra:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, einen Amazon Keyspaces-Schlüsselraum mit der Amazon `CREATE` Keyspaces-CQL-Anweisung zu erstellen, nehmen Sie die `cassandra:Create` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Keyspaces definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Eine Liste der Amazon Keyspaces-Aktionen finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) in der *Service* Authorization Reference.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
In Amazon Keyspaces können Schlüsselräume, Tabellen und Streams im `Resource` Element der IAM-Berechtigungen verwendet werden.
**Anmerkung**
Um auf Benutzerschlüsselbereiche und Tabellen in Amazon Keyspaces zuzugreifen, muss Ihre IAM-Richtlinie `cassandra:Select` Berechtigungen für Systemtabellen enthalten:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Dies gilt für die folgenden Szenarien:
AWS Zugriff auf die Managementkonsole
SDK-Ressourcenoperationen, zum Beispiel `GetKeyspace``GetTable`,`ListKeyspaces`, und `ListTables`
Standardmäßige Apache Cassandra-Clienttreiberverbindungen, da Treiber bei der Verbindungsinitialisierung automatisch Systemtabellen lesen
Systemtabellen sind schreibgeschützt und können nicht geändert werden.
Die Amazon Keyspace-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
Die Amazon Keyspaces-Tabellenressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
Die Amazon Keyspaces-Stream-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise den `mykeyspace` Schlüsselraum in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Um alle Schlüsselräume anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Einige Amazon Keyspaces-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Um beispielsweise einem IAM-Prinzipal `SELECT` Berechtigungen für `mytable` in zu erteilen`mykeyspace`, muss der Principal sowohl über Leseberechtigungen als auch verfügen. `mytable` `keyspace/system*` Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
Eine Liste der Amazon Keyspaces-Ressourcentypen und ihrer ARNs Typen finden Sie unter [Von Amazon Keyspaces definierte Ressourcen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) in der *Service* Authorization Reference. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Keyspaces definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Alle Amazon Keyspaces-Aktionen unterstützen die Schlüssel `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, die und die `aws:TagKeys` Bedingungstasten. Weitere Informationen finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Eine Liste der Amazon Keyspaces-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) in der *Service* Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien von Amazon Keyspaces
Amazon Keyspaces unterstützt keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisierung basierend auf Amazon Keyspaces-Tags
Sie können den Zugriff auf Ihre Amazon Keyspaces-Ressourcen mithilfe von Tags verwalten. Um den Ressourcenzugriff auf der Grundlage von Tags zu verwalten, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `cassandra:ResourceTag/key-name``aws:RequestTag/key-name`, oder ein. Weitere Informationen zum Taggen von Amazon Keyspaces-Ressourcen finden Sie unter. [Arbeiten mit Tags und Labels für Amazon Keyspaces-Ressourcen](tagging-keyspaces.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## IAM-Rollen in Amazon Keyspaces
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Keyspaces verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Keyspaces unterstützt die Verwendung temporärer Anmeldeinformationen mit dem AWS Signature Version 4 (Sigv4) -Authentifizierungs-Plugin, das im Github-Repo für die folgenden Sprachen verfügbar ist:
+ Java:. [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin)
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Geh:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Beispiele und Tutorials, die das Authentifizierungs-Plugin für den programmgesteuerten Zugriff auf Amazon Keyspaces implementieren, finden Sie unter. [Verwenden eines Cassandra-Client-Treibers für den programmgesteuerten Zugriff auf Amazon Keyspaces](programmatic.drivers.md)
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon Keyspaces-Rollen finden Sie unter. **[Verwenden von serviceverknüpften Rollen für Amazon Keyspaces](using-service-linked-roles.md)**
### Servicerollen
Amazon Keyspaces unterstützt keine Servicerollen.
# Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Keyspaces-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben über die Konsole, CQLSH oder API ausführen. AWS CLI AWS Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Keyspaces-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugreifen auf Amazon Keyspaces-Tabellen](#security_iam_id-based-policy-examples-access-one-table)
+ [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](#security_iam_id-based-policy-examples-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Keyspaces-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Keyspaces-Konsole
Amazon Keyspaces benötigt keine speziellen Berechtigungen für den Zugriff auf die Amazon Keyspaces-Konsole. Sie benötigen mindestens Leseberechtigungen, um Details zu den Amazon Keyspaces-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Den Entitäten stehen zwei AWS verwaltete Richtlinien für den Zugriff auf die Amazon Keyspaces-Konsole zur Verfügung.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Diese Richtlinie gewährt Berechtigungen zur Nutzung von Amazon Keyspaces mit vollem Zugriff auf alle Funktionen.
Weitere Informationen zu den verwalteten Richtlinien von Amazon Keyspaces finden Sie unter[AWS verwaltete Richtlinien für Amazon Keyspaces](security-iam-awsmanpol.md).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI API oder. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf Amazon Keyspaces-Tabellen
**Anmerkung**
Um auf Benutzerschlüsselbereiche und Tabellen in Amazon Keyspaces zuzugreifen, muss Ihre IAM-Richtlinie `cassandra:Select` Berechtigungen für Systemtabellen enthalten:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Dies gilt für die folgenden Szenarien:
AWS Zugriff auf die Managementkonsole
SDK-Ressourcenoperationen, zum Beispiel `GetKeyspace``GetTable`,`ListKeyspaces`, und `ListTables`
Standardmäßige Apache Cassandra-Clienttreiberverbindungen, da Treiber bei der Verbindungsinitialisierung automatisch Systemtabellen lesen
Systemtabellen sind schreibgeschützt und können nicht geändert werden.
Im Folgenden finden Sie eine Beispielrichtlinie, die nur Lesezugriff (`SELECT`) auf die Amazon Keyspaces-Systemtabellen gewährt. Ersetzen Sie für alle Beispiele die Region und die Konto-ID im Amazon-Ressourcennamen (ARN) durch Ihre eigenen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie fügt schreibgeschützten Zugriff auf die Benutzertabelle `mytable` im Schlüsselraum hinzu. `mykeyspace`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie weist read/write Zugriff auf eine Benutzertabelle und Lesezugriff auf die Systemtabellen zu.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Tabellen im `mykeyspace` Schlüsselraum zu erstellen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
Die folgende Beispielrichtlinie weist den Systemtabellen Lesezugriff zu, schränkt jedoch den `SELECT` (Lese-) und `MODIFY` (Schreib-) Zugriff auf die Benutzertabelle ein. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Amazon Keyspaces-Ressourcenzugriff basierend auf Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Keyspaces-Ressourcen anhand von Tags zu steuern. Diese Richtlinien steuern die Sichtbarkeit der Schlüsselbereiche und Tabellen im Konto. Beachten Sie, dass sich tagbasierte Berechtigungen für Systemtabellen anders verhalten, wenn Anfragen über das AWS SDK gestellt werden, als bei API-Aufrufen der Cassandra Query Language (CQL) über Cassandra-Treiber und Entwicklertools.
+ Um Anfragen mit dem AWS SDK stellen `List` und `Get` Ressourcen bereitstellen zu können, wenn der Tag-basierte Zugriff verwendet wird, benötigt der Aufrufer Lesezugriff auf Systemtabellen. Beispielsweise sind `Select` Aktionsberechtigungen erforderlich, um mithilfe der Operation Daten aus Systemtabellen zu lesen. `GetTable` Wenn der Aufrufer nur Tag-basierten Zugriff auf eine bestimmte Tabelle hat, schlägt ein Vorgang fehl, der zusätzlichen Zugriff auf eine Systemtabelle erfordert.
+ Aus Gründen der Kompatibilität mit dem etablierten Cassandra-Treiberverhalten werden tagbasierte Autorisierungsrichtlinien nicht durchgesetzt, wenn Operationen an Systemtabellen mithilfe von Cassandra Query Language (CQL) -API-Aufrufen über Cassandra-Treiber und Entwicklertools ausgeführt werden.
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die einem Benutzer Berechtigungen zum Anzeigen einer Tabelle gewährt, wenn die Tabelle den Wert des Benutzernamens dieses Benutzers `Owner` enthält. In diesem Beispiel gewähren Sie auch Lesezugriff auf die Systemtabellen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein benannter Benutzer `richard-roe` versucht, eine Amazon Keyspaces-Tabelle aufzurufen, muss die Tabelle mit `Owner=richard-roe` oder `owner=richard-roe` gekennzeichnet sein. Andernfalls wird der Zugriff abgelehnt. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Die folgende Richtlinie gewährt einem Benutzer die Erlaubnis, Tabellen mit Tags zu erstellen, wenn die Tabelle den Wert des Benutzernamens dieses Benutzers `Owner` enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS verwaltete Richtlinien für Amazon Keyspaces
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonKeyspacesReadOnlyAccess \$1v2
Sie können die `AmazonKeyspacesReadOnlyAccess_v2`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces und beinhaltet die erforderlichen Berechtigungen, wenn eine Verbindung über private VPC-Endpunkte hergestellt wird.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Bietet schreibgeschützten Zugriff auf Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Ermöglicht Prinzipalen das Ansehen von Amazon Keyspaces CDC-Streams.
+ `Application Auto Scaling` – Ermöglicht Prinzipalen, Konfigurationen Application Auto Scaling anzuzeigen. Dies ist erforderlich, damit Benutzer Richtlinien für die automatische Skalierung anzeigen können, die an eine Tabelle angehängt sind.
+ `CloudWatch`— Ermöglicht Prinzipalen das Anzeigen von Metrikdaten und Alarmen, die in konfiguriert sind. CloudWatch Dies ist erforderlich, damit Benutzer die Größe der Fakturierungstabelle und die CloudWatch Alarme, die für eine Tabelle konfiguriert wurden, einsehen können.
+ `AWS KMS`— Ermöglicht es den Hauptbenutzern, die in konfigurierten Schlüssel anzuzeigen. AWS KMS Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
+ `Amazon EC2`— Ermöglicht Principals, die sich über VPC-Endpunkte mit Amazon Keyspaces verbinden, die VPC auf Ihrer Amazon EC2 EC2-Instance nach Endpunkt- und Netzwerkschnittstelleninformationen abzufragen. Dieser schreibgeschützte Zugriff auf die Amazon EC2 EC2-Instance ist erforderlich, damit Amazon Keyspaces verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle suchen und speichern kann, die für den Verbindungslastenausgleich verwendet wird.
[Um die Richtlinie im Format zu überprüfen, siehe \$1v2. `JSON` AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)
## AWS verwaltete Richtlinie: AmazonKeyspacesReadOnlyAccess
Sie können die `AmazonKeyspacesReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Lesezugriff auf Amazon Keyspaces.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Bietet schreibgeschützten Zugriff auf Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Ermöglicht Prinzipalen das Ansehen von Amazon Keyspaces CDC-Streams.
+ `Application Auto Scaling` – Ermöglicht Prinzipalen, Konfigurationen Application Auto Scaling anzuzeigen. Dies ist erforderlich, damit Benutzer Richtlinien für die automatische Skalierung anzeigen können, die an eine Tabelle angehängt sind.
+ `CloudWatch`— Ermöglicht Prinzipalen das Anzeigen von Metrikdaten und Alarmen, die in konfiguriert sind. CloudWatch Dies ist erforderlich, damit Benutzer die Größe der Fakturierungstabelle und die CloudWatch Alarme, die für eine Tabelle konfiguriert wurden, einsehen können.
+ `AWS KMS`— Ermöglicht es den Hauptbenutzern, die in konfigurierten Schlüssel anzuzeigen. AWS KMS Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
Informationen zur `JSON` Formatierung der Richtlinie finden Sie unter. [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)
## AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess
Sie können die `AmazonKeyspacesFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die Ihren Administratoren uneingeschränkten Zugriff auf Amazon Keyspaces ermöglichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Keyspaces`— Ermöglicht Prinzipalen den Zugriff auf jede Amazon Keyspaces-Ressource und die Ausführung aller Aktionen.
+ `Application Auto Scaling`— Ermöglicht Prinzipalen das Erstellen, Anzeigen und Löschen automatischer Skalierungsrichtlinien für Amazon Keyspaces-Tabellen. Dies ist erforderlich, damit Administratoren automatische Skalierungsrichtlinien für Amazon Keyspaces-Tabellen verwalten können.
+ `CloudWatch`— Ermöglicht Prinzipalen, die Größe der fakturierbaren Tabelle zu sehen sowie CloudWatch Alarme für automatische Skalierungsrichtlinien von Amazon Keyspace zu erstellen, anzuzeigen und zu löschen. Dies ist erforderlich, damit Administratoren die Größe der fakturierbaren Tabelle einsehen und ein Dashboard erstellen können. CloudWatch
+ `IAM`— Ermöglicht Amazon Keyspaces, automatisch serviceverknüpfte Rollen mit IAM zu erstellen, wenn die folgenden Funktionen aktiviert sind:
+ `Amazon Keyspaces CDC streams`— Wenn ein Administrator einen Stream für eine Tabelle aktiviert, erstellt Amazon Keyspaces die serviceverknüpfte Rolle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams), um in Ihrem Namen CloudWatch Metriken in Ihrem Konto zu veröffentlichen.
+ `Application Auto Scaling`— Wenn ein Administrator Application Auto Scaling für eine Tabelle aktiviert, erstellt Amazon Keyspaces die serviceverknüpfte Rolle, [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)um automatische Skalierungsaktionen in Ihrem Namen durchzuführen.
+ `Amazon Keyspaces multi-Region replication`— Wenn ein Administrator einen neuen Schlüsselraum für mehrere Regionen erstellt oder einem vorhandenen Schlüsselraum mit einer Region einen neuen AWS-Region hinzufügt, erstellt Amazon Keyspaces die serviceverknüpfte Rolle, [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)um die Replikation von Tabellen, Daten und Metadaten in den ausgewählten Regionen in Ihrem Namen durchzuführen.
+ `AWS KMS` – Ermöglicht es Prinzipalen, in AWS KMS konfigurierte Schlüssel anzuzeigen. Dies ist erforderlich, damit Benutzer die AWS KMS Schlüssel einsehen können, die sie in ihrem Konto erstellen und verwalten, um zu bestätigen, dass es sich bei dem Amazon Keyspaces zugewiesenen Schlüssel um einen aktivierten symmetrischen Verschlüsselungsschlüssel handelt.
+ `Amazon EC2`— Ermöglicht Principals, die sich über VPC-Endpunkte mit Amazon Keyspaces verbinden, die VPC auf Ihrer Amazon EC2 EC2-Instance nach Endpunkt- und Netzwerkschnittstelleninformationen abzufragen. Dieser schreibgeschützte Zugriff auf die Amazon EC2 EC2-Instance ist erforderlich, damit Amazon Keyspaces verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle suchen und speichern kann, die für den Verbindungslastenausgleich verwendet wird.
Informationen zur Formatierung der Richtlinie finden Sie unter. `JSON` [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)
## AWS verwaltete Richtlinie: Keyspaces CDCService RolePolicy
Sie können `KeyspacesCDCServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon Keyspaces ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md).
Diese Richtlinie gewährt der serviceverknüpften Rolle die erforderlichen Berechtigungen`AWSServiceRoleForAmazonKeyspacesCDC`, um Amazon Keyspaces CDC-Stream-Metrikdaten in Ihrem Namen zu CloudWatch veröffentlichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `CloudWatch`— Ermöglicht dem service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams), in Ihrem Namen Metrikdaten aus Amazon Keyspaces CDC-Streams `"cloudwatch:namespace": "AWS/Cassandra"` in Ihrem CloudWatch Konto zu veröffentlichen.
Informationen zur `JSON` Formatierung der Richtlinie finden Sie unter [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces-Aktualisierungen der AWS verwalteten Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Keyspaces an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für Amazon Keyspaces (für Apache Cassandra)](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) — Neue Richtlinie | Amazon Keyspaces hat eine neue verwaltete Richtlinie hinzugefügt`KeyspacesCDCServiceRolePolicy`, die der serviceverknüpften Rolle die erforderlichen Berechtigungen erteilt, `AWSServiceRoleForAmazonKeyspacesCDC` um Amazon Keyspaces CDC-Stream-Metrikdaten in Ihrem Namen zu CloudWatch veröffentlichen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md). | 02. Juli 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Aktualisierung einer bestehenden Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um es IAM-Prinzipalen zu ermöglichen, Amazon Keyspaces CDC-Streams anzusehen. Weitere Informationen finden Sie unter [CDC-Streams in Amazon Keyspaces anzeigen](keyspaces-view-cdc.md). | 02. Juli 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um es IAM-Prinzipalen zu ermöglichen, Amazon Keyspaces CDC-Streams anzusehen. Weitere Informationen finden Sie unter [CDC-Streams in Amazon Keyspaces anzeigen](keyspaces-view-cdc.md). | 02. Juli 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat die `KeyspacesCDCServiceRolePolicy` verwaltete Richtlinie für die serviceverknüpfte Rolle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) erstellt, um die Berechtigungen hinzuzufügen, die erforderlich sind, wenn ein Administrator einen Stream für eine Tabelle aktiviert. Amazon Keyspaces verwendet die serviceverknüpfte Rolle`AWSServiceRoleForAmazonKeyspacesCDC`, um in Ihrem CloudWatch Namen Kennzahlen in Ihrem Konto zu veröffentlichen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md). | 02. Juli 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat die mit dem `KeyspacesReplicationServiceRolePolicy` Service verknüpfte Rolle aktualisiert [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication), um die Berechtigungen hinzuzufügen, die erforderlich sind, wenn ein Administrator einem einzelnen oder mehreren Regionen einen neuen AWS-Region Schlüsselraum hinzufügt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle, `AWSServiceRoleForAmazonKeyspacesReplication` um Tabellen, deren Einstellungen und Daten in Ihrem Namen zu replizieren. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 19. November 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, damit Amazon Keyspaces eine dienstbezogene Rolle erstellen kann, wenn ein Administrator einem Schlüsselraum mit einer oder mehreren Regionen eine neue Region hinzufügt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle, um Datenreplikationsaufgaben in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 3. Oktober 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) — Neue Richtlinie | Amazon Keyspaces hat eine neue Richtlinie erstellt, um Nur-Lese-Berechtigungen für Clients hinzuzufügen, die sich über VPC-Schnittstellen-Endpunkte mit Amazon Keyspaces verbinden, um auf die Amazon EC2 EC2-Instance zuzugreifen, um Netzwerkinformationen abzurufen. Amazon Keyspaces speichert verfügbare VPC-Schnittstellen-Endpunkte in der `system.peers` Tabelle für den Verbindungslastenausgleich. Weitere Informationen finden Sie unter [Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten](vpc-endpoints.md). | 12. September 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, die es Amazon Keyspaces ermöglichen, eine servicebezogene Rolle zu erstellen, wenn ein Administrator einen Schlüsselraum mit mehreren Regionen erstellt. Amazon Keyspaces verwendet die serviceverknüpfte Rolle`AWSServiceRoleForAmazonKeyspacesReplication`, um Datenreplikationsaufgaben in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md). | 5. Juni 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, mit denen Benutzer die abrechnungsfähige Größe einer Tabelle mithilfe von anzeigen können. CloudWatch Amazon Keyspaces ist in Amazon integriert CloudWatch , sodass Sie die Größe der fakturierbaren Tabelle überwachen können. Weitere Informationen finden Sie unter [Amazon-Keyspaces-Metriken](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7. Juli 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, mit denen Benutzer die abrechnungsfähige Größe einer Tabelle mithilfe von anzeigen können. CloudWatch Amazon Keyspaces ist in Amazon integriert CloudWatch , sodass Sie die Größe der fakturierbaren Tabelle überwachen können. Weitere Informationen finden Sie unter [Amazon-Keyspaces-Metriken](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7. Juli 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um Benutzern das Anzeigen von AWS KMS Schlüsseln zu ermöglichen, die für die Amazon Keyspaces-Verschlüsselung im Ruhezustand konfiguriert wurden. Amazon Keyspaces Encryption at Rest lässt sich integrieren, um die Verschlüsselungsschlüssel zu schützen und zu verwalten, die zur Verschlüsselung von Daten im Ruhezustand verwendet werden. AWS KMS Um den für Amazon Keyspaces konfigurierten AWS KMS Schlüssel anzuzeigen, wurden Nur-Lese-Berechtigungen hinzugefügt. | 1. Juni 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Keyspaces hat neue Berechtigungen hinzugefügt, um Benutzern das Anzeigen von AWS KMS Schlüsseln zu ermöglichen, die für die Amazon Keyspaces-Verschlüsselung im Ruhezustand konfiguriert wurden. Amazon Keyspaces Encryption at Rest lässt sich integrieren, um die Verschlüsselungsschlüssel zu schützen und zu verwalten, die zur Verschlüsselung von Daten im Ruhezustand verwendet werden. AWS KMS Um den für Amazon Keyspaces konfigurierten AWS KMS Schlüssel anzuzeigen, wurden Nur-Lese-Berechtigungen hinzugefügt. | 1. Juni 2021 |
| Amazon Keyspaces hat begonnen, Änderungen zu verfolgen | Amazon Keyspaces hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. Juni 2021 |
# Fehlerbehebung bei Identität und Zugriff auf Amazon Keyspaces
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Keyspaces und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Keyspaces durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich habe einen IAM-Benutzer oder eine IAM-Rolle geändert und die Änderungen wurden nicht sofort wirksam](#security_iam_troubleshoot-effect)
+ [Ich kann eine Tabelle mit Amazon Keyspaces point-in-time Recovery (PITR) nicht wiederherstellen](#security_iam_troubleshoot-pitr)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich bin Administrator und möchte anderen den Zugriff auf Amazon Keyspaces ermöglichen](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Keyspaces-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Keyspaces durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einer Tabelle anzuzeigen, *table* aber keine `cassandra:Select` Berechtigungen für die Tabelle besitzt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `mytable` auf die Ressource `cassandra:Select` zugreifen zu können.
## Ich habe einen IAM-Benutzer oder eine IAM-Rolle geändert und die Änderungen wurden nicht sofort wirksam
Es kann bis zu 10 Minuten dauern, bis Änderungen der IAM-Richtlinien für Anwendungen mit bestehenden, etablierten Verbindungen zu Amazon Keyspaces wirksam werden. Änderungen der IAM-Richtlinien werden sofort wirksam, wenn Anwendungen eine neue Verbindung herstellen. Wenn Sie Änderungen an einem vorhandenen IAM-Benutzer oder einer vorhandenen IAM-Rolle vorgenommen haben und diese nicht sofort wirksam wurden, warten Sie entweder 10 Minuten oder trennen Sie die Verbindung und stellen Sie erneut eine Verbindung zu Amazon Keyspaces her.
## Ich kann eine Tabelle mit Amazon Keyspaces point-in-time Recovery (PITR) nicht wiederherstellen
Wenn Sie versuchen, eine Amazon Keyspaces-Tabelle mit point-in-time Wiederherstellung (PITR) wiederherzustellen, und Sie sehen, dass der Wiederherstellungsvorgang beginnt, aber nicht erfolgreich abgeschlossen wird, haben Sie möglicherweise nicht alle erforderlichen Berechtigungen konfiguriert, die für den Wiederherstellungsvorgang erforderlich sind. Sie müssen sich an Ihren Administrator wenden, um Unterstützung zu erhalten, und diese Person bitten, Ihre Richtlinien zu aktualisieren, damit Sie eine Tabelle in Amazon Keyspaces wiederherstellen können.
Zusätzlich zu den Benutzerberechtigungen benötigt Amazon Keyspaces möglicherweise Berechtigungen, um während des Wiederherstellungsvorgangs im Namen Ihres Auftraggebers Aktionen durchzuführen. Dies ist der Fall, wenn die Tabelle mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist oder wenn Sie IAM-Richtlinien verwenden, die den eingehenden Datenverkehr einschränken. Wenn Sie beispielsweise Bedingungsschlüssel in Ihrer IAM-Richtlinie verwenden, um den Quelldatenverkehr auf bestimmte Endpunkte oder IP-Bereiche zu beschränken, schlägt der Wiederherstellungsvorgang fehl. Damit Amazon Keyspaces die Tabellenwiederherstellung im Namen Ihres Prinzipals durchführen kann, müssen Sie der IAM-Richtlinie einen `aws:ViaAWSService` globalen Bedingungsschlüssel hinzufügen.
Weitere Informationen zu Berechtigungen zum Wiederherstellen von Tabellen finden Sie unter. [Konfigurieren Sie die IAM-Berechtigungen zum Wiederherstellen von Tabellen für Amazon Keyspaces PITR](howitworks_restore_permissions.md)
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Keyspaces übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Keyspaces auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen den Zugriff auf Amazon Keyspaces ermöglichen
Um anderen den Zugriff auf Amazon Keyspaces zu ermöglichen, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die Erlaubnis erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie beifügen, die ihr die richtigen Berechtigungen in Amazon Keyspaces gewährt. Nachdem die Berechtigungen erteilt wurden, stellen Sie dem Benutzer oder Anwendungsentwickler die Anmeldeinformationen zur Verfügung. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Keyspaces-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Keyspaces diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Keyspaces mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für Amazon Keyspaces
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
**Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Serviceverknüpfte Rollen nach den Diensten, für die **Ja** steht.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Rollen für die auto Skalierung von Amazon Keyspaces-Anwendungen verwenden](using-service-linked-roles-app-auto-scaling.md)
+ [Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden](using-service-linked-roles-multi-region-replication.md)
+ [Rollen für Amazon Keyspaces CDC-Streams verwenden](using-service-linked-roles-CDC-streams.md)
# Rollen für die auto Skalierung von Amazon Keyspaces-Anwendungen verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Keyspaces-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die benannte dienstbezogene Rolle **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**, damit Application Auto Scaling Amazon Keyspaces und Amazon in CloudWatch Ihrem Namen aufrufen kann.
Die AWSServiceRoleForApplicationAutoScaling\$1CassandraTable dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `cassandra.application-autoscaling.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Application Auto Scaling, die folgenden Aktionen für die angegebenen Amazon Keyspaces-Ressourcen durchzuführen:
+ Aktion: `cassandra:Select` für `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Aktion:`cassandra:Select` auf die Ressource `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Aktion:`cassandra:Select` auf die Ressource `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Aktion:`cassandra:Alter` auf Ressource`arn:*:cassandra:*:*:"*"`
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie müssen keine serviceverknüpfte Rolle für die automatische Skalierung von Amazon Keyspaces manuell erstellen. Wenn Sie Amazon Keyspaces Auto Scaling für eine Tabelle mit der AWS-Managementkonsole, CQL, der oder der AWS API aktivieren AWS CLI, erstellt Application Auto Scaling die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Amazon Keyspaces Auto Scaling für eine Tabelle aktivieren, erstellt Application Auto Scaling die serviceverknüpfte Rolle erneut für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist erschienen in meinem](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). AWS-Konto
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die AWSServiceRoleForApplicationAutoScaling\$1CassandraTable serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Keyspaces
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch zuerst die automatische Skalierung für alle Tabellen im Konto für alle deaktivieren, AWS-Regionen bevor Sie die serviceverknüpfte Rolle manuell löschen können. Informationen zum Deaktivieren der automatischen Skalierung für Amazon Keyspaces-Tabellen finden Sie unter[auto Skalierung von Amazon Keyspaces für eine Tabelle ausschalten](autoscaling.turnoff.md).
**Anmerkung**
Wenn die automatische Skalierung von Amazon Keyspace die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu ändern, schlägt die Abmeldung möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForApplicationAutoScaling\$1CassandraTable Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
**Anmerkung**
Um die serviceverknüpfte Rolle zu löschen, die von der automatischen Skalierung von Amazon Keyspace verwendet wird, müssen Sie zunächst die automatische Skalierung für alle Tabellen im Konto deaktivieren.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Service-Endpunkte für Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Rollen für Amazon Keyspaces Multi-Region-Replikation verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Keyspaces-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die mit dem Service verknüpfte Rolle namens **AWSServiceRoleForAmazonKeyspacesReplication**, um Amazon Keyspaces zu ermöglichen, in Ihrem Namen neue Daten AWS-Regionen zu einem Schlüsselraum hinzuzufügen und Tabellen mit all ihren Daten und Einstellungen in die neue Region zu replizieren. Die Rolle ermöglicht es Amazon Keyspaces auch, Schreibvorgänge in Tabellen in allen Regionen in Ihrem Namen zu replizieren.
Die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `replication.cassandra.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie KeyspacesReplicationServiceRolePolicy ermöglicht es Amazon Keyspaces, die folgenden Aktionen durchzuführen:
+ Aktion: `cassandra:Select`
+ Aktion: `cassandra:SelectMultiRegionResource`
+ Aktion: `cassandra:Modify`
+ Aktion: `cassandra:ModifyMultiRegionResource`
+ Aktion: `cassandra:AlterMultiRegionResource`
+ Aktion: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces verwendet die Auto Scaling-Berechtigungen der Anwendung, wenn Sie im Bereitstellungsmodus mit aktiviertem Auto Scaling ein Replikat zu einer einzelnen Regionstabelle hinzufügen.
+ Aktion: `application-autoscaling:DeregisterScalableTarget`
+ Aktion: `application-autoscaling:DescribeScalableTargets`
+ Aktion: `application-autoscaling:PutScalingPolicy`
+ Aktion: `application-autoscaling:DescribeScalingPolicies`
+ Aktion: `cassandra:Alter`
+ Aktion: `cloudwatch:DeleteAlarms`
+ Aktion: `cloudwatch:DescribeAlarms`
+ Aktion: `cloudwatch:PutMetricAlarm`
Obwohl die mit dem Service verknüpfte Amazon Keyspaces-Rolle die folgenden Berechtigungen AWSService RoleForAmazonKeyspacesReplication bereitstellt: „Action:“ für den angegebenen Amazon-Ressourcennamen (ARN) „arn: \$1“ in der Richtlinie, Amazon Keyspaces stellt den ARN Ihres Kontos bereit.
Die Berechtigungen zum Erstellen der dienstbezogenen Rolle AWSService RoleForAmazonKeyspacesReplication sind in der verwalteten Richtlinie enthalten. `AmazonKeyspacesFullAccess` Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie können eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS-Managementkonsole, der oder der AWS API einen Schlüsselraum für mehrere Regionen erstellen AWS CLI, erstellt Amazon Keyspaces die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Schlüsselraum für mehrere Regionen erstellen, erstellt Amazon Keyspaces die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Keyspaces
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch zuerst alle Schlüsselräume für mehrere Regionen im Konto für alle löschen, AWS-Regionen bevor Sie die serviceverknüpfte Rolle manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst alle von der Rolle verwendeten Schlüsselräume und Tabellen mit mehreren Regionen löschen.
**Anmerkung**
Wenn der Amazon Keyspaces-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon Keyspaces-Ressourcen zu löschen, die von der AWSService RoleForAmazonKeyspacesReplication (Konsole) verwendet werden**
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie in der linken Seitenleiste die Option „**Keyspaces**“.
1. Wählen Sie alle Schlüsselräume mit mehreren Regionen aus der Liste aus.
1. Wählen Sie **Löschen**, bestätigen Sie den Löschvorgang und wählen Sie Schlüsselräume **löschen**.
Sie können Schlüsselräume mit mehreren Regionen auch programmgesteuert löschen, indem Sie eine der folgenden Methoden verwenden.
+ Die Cassandra Query Language (CQL) -Anweisung. [SCHLÜSSELRAUM LÖSCHEN](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ Der [Delete-Keyspace-Vorgang](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) der CLI. AWS
+ Der [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)Betrieb der Amazon Keyspaces-API.
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForAmazonKeyspacesReplication serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSService RoleForAmazonKeyspacesReplication Rolle in den folgenden Regionen verwenden.
****
| Name der Region | Regions-ID | Support in Amazon Keyspaces |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US-Ost) | us-gov-east-1 | Nein |
| AWS GovCloud (US-West) | us-gov-west-1 | Nein |
# Rollen für Amazon Keyspaces CDC-Streams verwenden
[Amazon Keyspaces (für Apache Cassandra) verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Keyspaces verknüpft ist. Servicebezogene Rollen sind von Amazon Keyspaces vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Keyspaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Keyspaces definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Keyspaces seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können die serviceverknüpfte Rolle nicht löschen.
## Servicebezogene Rollenberechtigungen für Amazon Keyspaces
Amazon Keyspaces verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForAmazonKeyspacesCDC, um Amazon Keyspaces CDC-Streams** zu ermöglichen, in Ihrem Namen CloudWatch Metriken in Ihrem Konto zu veröffentlichen.
Die dienstbezogene AWSService RoleForAmazonKeyspaces CDC-Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt:
+ `cassandra-streams.amazonaws.com`
Die Rollenberechtigungsrichtlinie mit dem Namen [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) ermöglicht Amazon Keyspaces, die folgende Aktion für Ressourcen im CloudWatch Namespace durchzuführen: `AWS/Cassandra`
+ Aktion: `cloudwatch:PutMetricData` für `*`
Das AWSService RoleForAmazonKeyspaces CDC stellt die Berechtigungen bereit: Aktion: Cloudwatch: für alle Ressourcen, die die folgende PutMetricData Bedingung erfüllen:. `"cloudwatch:namespace": "AWS/Cassandra"`
Weitere Informationen zu Keyspaces finden Sie CDCService RolePolicy unter[AWS verwaltete Richtlinie: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy).
Um CDC-Streams für eine Tabelle zu aktivieren, wodurch automatisch die dienstverknüpfte Rolle AWSService RoleForAmazonKeyspaces CDC erstellt wird, benötigt der IAM-Prinzipal die folgenden Berechtigungen.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Die Berechtigungen zum Erstellen der dienstverknüpften Rolle AWSService RoleForAmazonKeyspaces CDC sind in der verwalteten Richtlinie enthalten. `AmazonKeyspacesFullAccess` Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Eine serviceverknüpfte Rolle für Amazon Keyspaces erstellen
Sie müssen keine serviceverknüpfte Rolle für Amazon Keyspaces CDC-Streams manuell erstellen. Wenn Sie Amazon Keyspaces CDC-Streams für eine Tabelle mit der AWS-Managementkonsole, CQL, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Keyspaces die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Amazon Keyspaces CDC-Streams für eine Tabelle aktivieren, erstellt Amazon Keyspaces die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon Keyspaces
Amazon Keyspaces erlaubt es Ihnen nicht, die mit dem AWSService RoleForAmazonKeyspaces CDC-Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Keyspaces-Rollen
Amazon Keyspaces unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Konformitätsprüfung für Amazon Keyspaces (für Apache Cassandra)
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon Keyspaces (für Apache Cassandra) im Rahmen mehrerer AWS Compliance-Programme. Dazu zählen:
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Weitere Informationen finden Sie unter [AWS ISO- und CSA STAR-Zertifizierungen](https://aws.amazon.com/compliance/iso-certified/) und -Services.
+ System and Organization Controls (SOC)
+ Payment Card Industry (PCI)
+ Federal Risk and Authorization Management Program (FedRAMP) Hoch
+ Health Insurance Portability and Accountability Act (HIPAA)
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm unter Umfang nach Compliance-Programm AWS-Services](https://aws.amazon.com/compliance/services-in-scope/) das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz und Notfallwiederherstellung in Amazon Keyspaces
Die AWS globale Infrastruktur basiert AWS-Regionen auf Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Amazon Keyspaces repliziert Daten automatisch dreimal in mehreren AWS Availability Zones innerhalb derselben, AWS-Region um Haltbarkeit und hohe Verfügbarkeit zu gewährleisten.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon Keyspaces mehrere Funktionen, um Ihre Datenstabilität und Backup-Anforderungen zu erfüllen.
**Replikation in mehreren Regionen**
Amazon Keyspaces bietet Replikation in mehreren Regionen, wenn Sie Ihre Daten oder Anwendungen über größere geografische Entfernungen replizieren müssen. Sie können Ihre Amazon Keyspaces-Tabellen auf verschiedene AWS-Regionen Ihrer Wahl replizieren. Weitere Informationen finden Sie unter [Multi-Region-Replikation für Amazon Keyspaces (für Apache Cassandra)](multiRegion-replication.md).
**Point-in-time Wiederherstellung (PITR)**
PITR schützt Ihre Amazon Keyspaces-Tabellen vor versehentlichen Schreib- oder Löschvorgängen, indem es Ihnen kontinuierliche Backups Ihrer Tabellendaten bereitstellt. Weitere Informationen finden Sie unter [oint-in-timeP-Wiederherstellung für Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).
# Infrastruktursicherheit in Amazon Keyspaces
Als verwalteter Service ist Amazon Keyspaces (für Apache Cassandra) durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Keyspaces zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Amazon Keyspaces unterstützt zwei Methoden zur Authentifizierung von Kundenanfragen. Die erste Methode verwendet dienstspezifische Anmeldeinformationen, bei denen es sich um passwortbasierte Anmeldeinformationen handelt, die für einen bestimmten IAM-Benutzer generiert wurden. Sie können das Passwort mithilfe der IAM-Konsole, der oder der API erstellen AWS CLI und verwalten. AWS Weitere Informationen finden Sie unter [Verwenden von IAM mit Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
Die zweite Methode verwendet ein Authentifizierungs-Plugin für den DataStax Open-Source-Java-Treiber für Cassandra. Mit diesem Plugin können [IAM-Benutzer, -Rollen und föderierte Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) mithilfe des [AWS Signature Version 4-Prozesses](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) Authentifizierungsinformationen zu API-Anfragen von Amazon Keyspaces (für Apache Cassandra) hinzufügen. Weitere Informationen finden Sie unter [AWS Anmeldeinformationen für Amazon Keyspaces erstellen und konfigurieren](access.credentials.md).
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen, Amazon Keyspaces unterstützt jedoch ressourcenbasierte Zugriffsrichtlinien, die Einschränkungen auf der Grundlage der Quell-IP-Adresse beinhalten können. Sie können auch Amazon Keyspaces-Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte Amazon Keyspaces-Ressource effektiv nur von der spezifischen VPC innerhalb des Netzwerks isoliert. AWS
Sie können einen VPC-Schnittstellen-Endpunkt verwenden, um zu verhindern, dass der Datenverkehr zwischen Ihrer Amazon VPC und Amazon Keyspaces das Amazon-Netzwerk verlässt. Interface VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, die private Kommunikation zwischen AWS Services über eine elastic network interface mit Private IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter [Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten](vpc-endpoints.md).
# Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten
Schnittstellen-VPC-Endpunkte ermöglichen die private Kommunikation zwischen Ihrer Virtual Private Cloud (VPC), die in Amazon VPC läuft, und Amazon Keyspaces. Schnittstelle AWS PrivateLink, über die VPC-Endpunkte betrieben werden. Dabei handelt es sich um einen AWS Dienst, der die private Kommunikation zwischen VPCs Diensten ermöglicht. AWS
AWS PrivateLink ermöglicht dies durch die Verwendung einer elastic network interface mit privaten IP-Adressen in Ihrer VPC, sodass der Netzwerkverkehr das Amazon-Netzwerk nicht verlässt. Schnittstellen-VPC-Endpunkte benötigen keinen Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung und keine Direct Connect -Verbindung. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) und [Interface VPC-Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Auffüllen von `system.peers` Tabelleneinträgen mit VPC-Endpunktinformationen der Schnittstelle](#system_peers)
+ [Steuerung des Zugriffs auf VPC-Schnittstellen-Endpunkte für Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Verfügbarkeit](#availability)
+ [VPC-Endpunktrichtlinien und Amazon point-in-time Keyspaces-Wiederherstellung (PITR)](#VPC_PITR_restore)
+ [Häufige Fehler und Warnungen](#vpc_troubleshooting)
## Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces
Sie können einen VPC-Schnittstellen-Endpunkt erstellen, sodass der Datenverkehr zwischen Amazon Keyspaces und Ihren Amazon VPC-Ressourcen über den VPC-Endpunkt der Schnittstelle fließt. Folgen Sie zunächst den Schritten zum [Erstellen eines](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Schnittstellen-Endpunkts. Bearbeiten Sie als Nächstes die Sicherheitsgruppe, die dem Endpunkt zugeordnet ist, den Sie im vorherigen Schritt erstellt haben, und konfigurieren Sie eine Regel für eingehenden Datenverkehr für Port 9142. Weitere Informationen finden Sie unter [Regeln hinzufügen, entfernen und aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).
Ein step-by-step Tutorial zur Konfiguration einer Verbindung zu Amazon Keyspaces über einen VPC-Endpunkt finden Sie unter. [Tutorial: Stellen Sie über einen VPC-Endpunkt mit einer Schnittstelle eine Verbindung zu Amazon Keyspaces her](vpc-endpoints-tutorial.md) Informationen zum Konfigurieren des kontoübergreifenden Zugriffs für Amazon Keyspaces-Ressourcen getrennt von Anwendungen AWS-Konten in verschiedenen VPC finden Sie unter. [Kontenübergreifenden Zugriff auf Amazon Keyspaces mit VPC-Endpunkten konfigurieren](access.cross-account.md)
## Auffüllen von `system.peers` Tabelleneinträgen mit VPC-Endpunktinformationen der Schnittstelle
Apache Cassandra-Treiber verwenden die `system.peers` Tabelle, um Knoteninformationen über den Cluster abzufragen. Cassandra-Treiber verwenden die Knoteninformationen für den Lastenausgleich bei Verbindungen und für Wiederholungsvorgänge. Amazon Keyspaces füllt automatisch neun Einträge in der `system.peers` Tabelle für Clients, die sich über den öffentlichen Endpunkt verbinden.
Um Kunden, die sich über VPC-Endpunkte mit Schnittstellen verbinden, ähnliche Funktionen zu bieten, füllt Amazon Keyspaces die `system.peers` Tabelle in Ihrem Konto mit einem Eintrag für jede Availability Zone, in der ein VPC-Endpunkt verfügbar ist. Um verfügbare Schnittstellen-VPC-Endpunkte in der `system.peers` Tabelle zu suchen und zu speichern, verlangt Amazon Keyspaces, dass Sie der IAM-Entität, die für die Verbindung mit Amazon Keyspaces verwendet wird, Zugriffsberechtigungen gewähren, um Ihre VPC nach den Endpunkt- und Netzwerkschnittstelleninformationen abzufragen.
**Wichtig**
Wenn Sie die `system.peers` Tabelle mit Ihren verfügbaren Schnittstellen-VPC-Endpunkten füllen, wird der Lastenausgleich verbessert und der Durchsatz erhöht. read/write Es wird für alle Clients empfohlen, die über VPC-Endpunkte auf Amazon Keyspaces zugreifen, und ist für Apache Spark erforderlich.
Um der IAM-Entität, die für die Verbindung mit Amazon Keyspaces verwendet wird, Berechtigungen zum Abrufen der erforderlichen VPC-Endpunktinformationen für die Schnittstelle zu gewähren, können Sie Ihre bestehende IAM-Rolle oder Benutzerrichtlinie aktualisieren oder eine neue IAM-Richtlinie erstellen, wie im folgenden Beispiel gezeigt.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**Anmerkung**
Die verwalteten Richtlinien `AmazonKeyspacesReadOnlyAccess_v2` `AmazonKeyspacesFullAccess` enthalten die erforderlichen Berechtigungen, damit Amazon Keyspaces auf die Amazon EC2 EC2-Instance zugreifen kann, um Informationen über verfügbare Schnittstellen-VPC-Endpunkte zu lesen.
Um zu überprüfen, ob die Richtlinie korrekt eingerichtet wurde, fragen Sie die `system.peers` Tabelle nach Netzwerkinformationen ab. Wenn die `system.peers` Tabelle leer ist, könnte dies darauf hinweisen, dass die Richtlinie nicht erfolgreich konfiguriert wurde oder dass Sie das Kontingent für die Anforderungsrate `DescribeNetworkInterfaces` und `DescribeVPCEndpoints` API-Aktionen überschritten haben. `DescribeVPCEndpoints`fällt in die `Describe*` Kategorie und wird als *nicht mutierende* Aktion angesehen. `DescribeNetworkInterfaces`fällt in die Untergruppe der *ungefilterten und nicht paginierten, nicht mutierenden Aktionen*, für die unterschiedliche Quoten gelten. Weitere Informationen finden Sie in der Amazon EC2 EC2-API-Referenz unter [Bucket-Größen und Nachfüllraten anfordern](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based).
Wenn Sie eine leere Tabelle sehen, versuchen Sie es einige Minuten später erneut, um Probleme mit der Quote für Anfragen auszuschließen. Informationen dazu, ob Sie die VPC-Endpoints korrekt konfiguriert haben, finden Sie unter. [Meine VPC-Endpunktverbindung funktioniert nicht richtig](troubleshooting.connecting.md#troubleshooting.connection.vpce) Wenn Ihre Abfrage Ergebnisse aus der Tabelle zurückgibt, wurde Ihre Richtlinie korrekt konfiguriert.
## Steuerung des Zugriffs auf VPC-Schnittstellen-Endpunkte für Amazon Keyspaces
Mit VPC-Endpunktrichtlinien können Sie den Zugriff auf Ressourcen auf zwei Arten steuern:
+ **IAM-Richtlinie** — Sie können die Anfragen, Benutzer oder Gruppen steuern, die über einen bestimmten VPC-Endpunkt auf Amazon Keyspaces zugreifen dürfen. Sie können dies tun, indem Sie einen [Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) in der Richtlinie verwenden, der einem IAM-Benutzer, einer IAM-Gruppe oder einer IAM-Rolle zugeordnet ist.
+ **VPC-Richtlinie** — Sie können kontrollieren, welche VPC-Endpunkte Zugriff auf Ihre Amazon Keyspaces-Ressourcen haben, indem Sie ihnen Richtlinien zuordnen. Um den Zugriff auf einen bestimmten Schlüsselraum oder eine Tabelle einzuschränken, sodass nur Datenverkehr über einen bestimmten VPC-Endpunkt zugelassen wird, bearbeiten Sie die bestehende IAM-Richtlinie, die den Ressourcenzugriff einschränkt, und fügen Sie diesen VPC-Endpunkt hinzu.
Im Folgenden finden Sie Beispiele für Endpunktrichtlinien für den Zugriff auf Amazon Keyspaces-Ressourcen.
+ **Beispiel für eine IAM-Richtlinie: Beschränken Sie den gesamten Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle, sofern der Datenverkehr nicht vom angegebenen VPC-Endpunkt stammt** — Diese Beispielrichtlinie kann einem IAM-Benutzer, einer IAM-Rolle oder einer IAM-Gruppe zugewiesen werden. Es schränkt den Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle ein, es sei denn, der eingehende Verkehr stammt von einem bestimmten VPC-Endpunkt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**Anmerkung**
Um den Zugriff auf eine bestimmte Tabelle einzuschränken, müssen Sie auch den Zugriff auf die Systemtabellen einbeziehen. Systemtabellen sind schreibgeschützt.
+ **Beispiel für eine VPC-Richtlinie: Schreibgeschützter Zugriff** — Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. (Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Amazon VPC-Ressourcen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Es beschränkt Aktionen auf den schreibgeschützten Zugriff auf Amazon Keyspaces-Ressourcen über den VPC-Endpunkt, mit dem es verbunden ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Beispiel für eine VPC-Richtlinie: Beschränken Sie den Zugriff auf eine bestimmte Amazon Keyspaces-Tabelle** — Diese Beispielrichtlinie kann an einen VPC-Endpunkt angehängt werden. Es schränkt den Zugriff auf eine bestimmte Tabelle über den VPC-Endpunkt ein, an den sie angehängt ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**Anmerkung**
Um den Zugriff auf eine bestimmte Tabelle einzuschränken, müssen Sie auch den Zugriff auf die Systemtabellen einbeziehen. Systemtabellen sind schreibgeschützt.
## Verfügbarkeit
Amazon Keyspaces unterstützt die Verwendung von VPC-Endpunkten mit Schnittstellen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter [Service-Endpunkte für Amazon Keyspaces](programmatic.endpoints.md).
## VPC-Endpunktrichtlinien und Amazon point-in-time Keyspaces-Wiederherstellung (PITR)
Wenn Sie IAM-Richtlinien mit [Bedingungsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) verwenden, um den eingehenden Datenverkehr einzuschränken, schlägt der Vorgang zur Wiederherstellung der Tabelle möglicherweise fehl. Wenn Sie beispielsweise den Quelldatenverkehr mithilfe von `aws:SourceVpce` Bedingungsschlüsseln auf bestimmte VPC-Endpunkte beschränken, schlägt die Tabellenwiederherstellung fehl. Damit Amazon Keyspaces im Namen Ihres Principals einen Wiederherstellungsvorgang durchführen kann, müssen Sie Ihrer IAM-Richtlinie einen `aws:ViaAWSService` Bedingungsschlüssel hinzufügen. Der `aws:ViaAWSService` Bedingungsschlüssel ermöglicht den Zugriff, wenn ein AWS Dienst unter Verwendung der Anmeldeinformationen des Prinzipals eine Anfrage stellt. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Die folgende Richtlinie ist ein Beispiel dafür.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Häufige Fehler und Warnungen
**Wenn Sie Amazon Virtual Private Cloud verwenden und eine Verbindung zu Amazon Keyspaces herstellen, wird möglicherweise die folgende Warnung angezeigt.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Diese Warnung tritt auf, weil die `system.peers` Tabelle Einträge für alle Amazon VPC-Endpoints enthält, zu deren Anzeige Amazon Keyspaces berechtigt ist, einschließlich des Amazon VPC-Endpunkts, über den Sie verbunden sind. Sie können diese Warnung getrost ignorieren.
Informationen zu anderen Fehlern finden Sie unter[Meine VPC-Endpunktverbindung funktioniert nicht richtig](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Verwendung von Amazon Keyspaces CDC-Streams mit Schnittstellen-VPC-Endpunkten
Schnittstellen-VPC-Endpunkte ermöglichen die private Kommunikation zwischen Ihrer Virtual Private Cloud (VPC), die in Amazon VPC läuft, und Amazon Keyspaces. Schnittstelle AWS PrivateLink, über die VPC-Endpunkte betrieben werden. Dabei handelt es sich um einen AWS Dienst, der die private Kommunikation zwischen VPCs Diensten ermöglicht. AWS
AWS PrivateLink ermöglicht dies durch die Verwendung einer elastic network interface mit privaten IP-Adressen in Ihrer VPC, sodass der Netzwerkverkehr das Amazon-Netzwerk nicht verlässt. Schnittstellen-VPC-Endpunkte benötigen keinen Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung und keine Direct Connect -Verbindung. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) und [Interface VPC-Endpoints ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces CDC-Streams](#using-interface-vpc-endpoints-streams)
+ [Amazon Keyspaces: CDC-Streaming-Schnittstelle, VPC-Endpunkte](#interface-vpc-endpoints-streams-types)
+ [VPC-Endpunkt für Amazon Keyspaces CDC-Streams-Schnittstelle erstellen](#create-interface-vpc-endpoints-streams)
+ [Aktualisieren Sie einen VPC-Endpunkt der Amazon Keyspaces CDC-Streams-Schnittstelle](#update-interface-vpc-endpoints-streams)
+ [Streams mithilfe eines VPC-Endpunkts der Amazon Keyspaces CDC-Streams-Schnittstelle auflisten](#list-interface-vpc-endpoints-streams)
+ [Erstellen Sie eine Richtlinie für einen VPC-Endpunkt der Amazon Keyspaces-CDC-Streams-Schnittstelle](#interface-vpc-endpoints-streams-policy)
## Verwenden von Schnittstellen-VPC-Endpunkten für Amazon Keyspaces CDC-Streams
Sie können einen VPC-Schnittstellen-Endpunkt verwenden, sodass der Datenverkehr zwischen Amazon Keyspaces CDC-Streams und Ihren Amazon VPC-Ressourcen über den VPC-Endpunkt der Schnittstelle fließt. Sie können VPC-Endpunktrichtlinien verwenden, um den Zugriff auf Ihre CDC-Streams einzuschränken.
Weitere Informationen zu Amazon Keyspaces CDC-Streams finden Sie unter. [Arbeiten mit Change Data Capture (CDC) -Streams in Amazon Keyspaces](cdc.md)
## Amazon Keyspaces: CDC-Streaming-Schnittstelle, VPC-Endpunkte
**Wenn Sie einen Schnittstellenendpunkt erstellen, generiert Amazon Keyspaces CDC Streams zwei Arten von endpunktspezifischen DNS-Namen für den Stream: Regional und Zonal.**
**Regional**
Der regionale DNS-Name enthält die folgenden Informationen:
+ eine eindeutige Amazon VPC-Endpunkt-ID
+ eine Service-ID
+ der AWS-Region
+ das `vpce.amazonaws.com` Suffix
Für einen Amazon VPC-Endpunkt mit der ID `vpce-1a2b3c4d` könnte der generierte DNS-Name dem folgenden Beispiel ähneln:`vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`.
**Zonal**
Der zonale DNS-Name umfasst zusätzlich zu den Informationen im regionalen DNS-Namen die [Availability Zone](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/). Der generierte DNS-Name für den Amazon VPC-Endpunkt mit der ID `vpce-1a2b3c4d` würde wie im folgenden Beispiel aussehen. Beachten Sie, dass der AWS-Region jetzt die Availability Zone umfasst: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Sie könnten sie beispielsweise zur Fehlereingrenzung oder zur Senkung der regionalen Datenübertragungskosten verwenden.
Um eine optimale Zuverlässigkeit zu erreichen, empfehlen wir, Ihren Service in mindestens drei Availability Zones bereitzustellen.
## VPC-Endpunkt für Amazon Keyspaces CDC-Streams-Schnittstelle erstellen
Sie können das AWS CLI oder das AWS SDK verwenden, um auf Amazon Keyspaces CDC Streams-API-Operationen über die Amazon Keyspaces CDC Streams-Schnittstellenendpunkte zuzugreifen. Eine vollständige Liste aller verfügbaren API-Operationen finden Sie unter [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html)
Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im Amazon VPC-Benutzerhandbuch.
Um einen VPC-Endpunkt zu erstellen, können Sie die Syntax im folgenden Beispiel verwenden.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Aktualisieren Sie einen VPC-Endpunkt der Amazon Keyspaces CDC-Streams-Schnittstelle
Um einen VPC-Endpunkt zu aktualisieren, können Sie die Syntax im folgenden Beispiel verwenden.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Streams mithilfe eines VPC-Endpunkts der Amazon Keyspaces CDC-Streams-Schnittstelle auflisten
Um die Streams aufzulisten, die einen VPC-Endpunkt verwenden, können Sie die Syntax im folgenden Beispiel verwenden. Stellen Sie sicher, dass Sie die Region und den DNS-Namen der VPC-Endpunkt-ID durch Ihre eigenen Informationen ersetzen.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Erstellen Sie eine Richtlinie für einen VPC-Endpunkt der Amazon Keyspaces-CDC-Streams-Schnittstelle
Sie können Ihrem Amazon VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon Keyspaces CDC-Streams steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Um den Zugriff auf bestimmte Amazon Keyspaces CDC-Streams so zu beschränken, dass nur bestimmte AWS Dienste in Ihrem Amazon VPC-Zugriff zugelassen werden, können Sie das folgende Beispiel verwenden.
Die folgende Stream-Richtlinie gewährt Zugriff auf jeden IAM-Principal für die Aktionen `cassandra:GetStream` und `cassandra:GetRecords` für den angegebenen Stream, der der zum Konto gehörenden Ressource `2025-02-20T11:22:33.444` `/keyspace/mykeyspace/table/mytable/` zugeordnet ist. `123456788901` Um diese Endpunktrichtlinie zu verwenden, stellen Sie sicher, dass Sie die Region, die Konto-ID und die Ressource durch das Stream-Label ersetzen.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**Anmerkung**
Amazon Keyspaces unterstützt keine Gateway-Endpunkte für CDC-Streams.
# Konfiguration und Schwachstellenanalyse für Amazon Keyspaces
AWS kümmert sich um grundlegende Sicherheitsaufgaben wie das Patchen von Gastbetriebssystemen (OS) und Datenbanken, die Firewall-Konfiguration und die Notfallwiederherstellung. Diese Verfahren wurden von qualifizierten Dritten überprüft und zertifiziert. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ Modell der [gemeinsamen Verantwortung Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der der
+ [Amazon Web Services: Übersicht über Sicherheitsverfahren](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (Whitepaper)
# Bewährte Sicherheitsmethoden für Amazon Keyspaces
Amazon Keyspaces (für Apache Cassandra) bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Topics**
+ [Bewährte Methoden zur präventiven Sicherheit für Amazon Keyspaces](best-practices-security-preventative.md)
+ [Bewährte Methoden zur Detektivsicherheit für Amazon Keyspaces](best-practices-security-detective.md)
# Bewährte Methoden zur präventiven Sicherheit für Amazon Keyspaces
Die folgenden bewährten Sicherheitsmethoden gelten als präventiv, da sie Ihnen helfen können, Sicherheitsvorfälle in Amazon Keyspaces zu antizipieren und zu verhindern.
**Verwenden Sie Verschlüsselung im Ruhezustand**
Amazon Keyspaces verschlüsselt im Ruhezustand alle Benutzerdaten, die in Tabellen gespeichert sind, mithilfe von Verschlüsselungsschlüsseln, die in [AWS Key Management Service ()AWS KMS](https://aws.amazon.com/kms/) gespeichert sind. Dies bietet eine zusätzliche Datenschutzebene, indem Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher geschützt werden.
Standardmäßig verwendet Amazon Keyspaces eine, AWS-eigener Schlüssel um all Ihre Tabellen zu verschlüsseln. Wenn dieser Schlüssel nicht existiert, wird er für Sie erstellt. Die Standardschlüssel des Dienstes können nicht deaktiviert werden.
Alternativ können Sie einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung im Ruhezustand verwenden. Weitere Informationen finden Sie unter [Amazon Keyspaces Encryption at Rest](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).
**Verwenden Sie IAM-Rollen, um den Zugriff auf Amazon Keyspaces zu authentifizieren**
Damit Benutzer, Anwendungen und andere AWS Dienste auf Amazon Keyspaces zugreifen können, müssen sie gültige AWS Anmeldeinformationen in ihren AWS API-Anfragen angeben. Sie sollten AWS Anmeldeinformationen nicht direkt in der Anwendung oder EC2-Instance speichern. Dies sind langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und daher erhebliche geschäftliche Auswirkungen haben können, wenn sie kompromittiert werden. Eine IAM-Rolle ermöglicht es Ihnen, temporäre Zugriffsschlüssel zu erhalten, mit denen Sie auf die AWS -Services und Ressourcen zugreifen können.
Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Verwenden Sie IAM-Richtlinien für die Amazon Keyspaces-Basisautorisierung**
Bei der Erteilung von Berechtigungen entscheiden Sie, wer sie erhält, für welche Amazon Keyspaces APIs sie Berechtigungen erhalten und welche spezifischen Aktionen Sie für diese Ressourcen zulassen möchten. Die Implementierung der geringsten Rechte ist entscheidend für die Reduzierung von Sicherheitsrisiken und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.
Hängen Sie Berechtigungsrichtlinien an IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) an und gewähren Sie so Berechtigungen zur Ausführung von Vorgängen auf Amazon Keyspaces-Ressourcen.
Sie können dies wie folgt tun:
+ [AWS verwaltete (vordefinierte) Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Kundenverwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Verwenden von IAM-Richtlinienbedingungen für eine differenzierte Zugriffssteuerung**
Wenn Sie Berechtigungen in Amazon Keyspaces gewähren, können Sie Bedingungen angeben, die bestimmen, wie eine Berechtigungsrichtlinie wirksam wird. Die Implementierung der geringsten Rechte ist entscheidend für die Reduzierung von Sicherheitsrisiken und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.
Sie können Bedingungen angeben, wenn Sie Berechtigungen mithilfe einer IAM-Richtlinie erteilen. Sie können z. B. Folgendes tun:
+ Erteilen Sie Berechtigungen, um Benutzern nur Lesezugriff auf bestimmte Schlüsselbereiche oder Tabellen zu gewähren.
+ Gewähren Sie einem Benutzer je nach Identität des Benutzers Schreibzugriff auf eine bestimmte Tabelle.
Weitere Informationen finden Sie unter Beispiele für [identitätsbasierte Richtlinien](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Clientseitige Verschlüsselung in Betracht ziehen**
Wenn Sie sensible oder vertrauliche Daten in Amazon Keyspaces speichern, möchten Sie diese Daten möglicherweise so nah wie möglich an ihrem Ursprung verschlüsseln, damit Ihre Daten während ihres gesamten Lebenszyklus geschützt sind. Die Verschlüsselung Ihrer sensiblen Daten während der Übertragung und im Ruhezustand stellt sicher, dass Ihre Klartextdaten nicht für Dritte verfügbar sind.
# Bewährte Methoden zur Detektivsicherheit für Amazon Keyspaces
Die folgenden bewährten Sicherheitsmethoden gelten als detektiv, da sie Ihnen helfen können, potenzielle Sicherheitslücken und Sicherheitsvorfälle zu erkennen.
**Wird verwendet AWS CloudTrail , um die Verwendung von AWS Key Management Service (AWS KMS) AWS KMS Schlüsseln zu überwachen**
Wenn Sie einen vom [Kunden verwalteten AWS KMS Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung im Ruhezustand verwenden, wird die Verwendung dieses Schlüssels angemeldet AWS CloudTrail. CloudTrail bietet Einblick in die Benutzeraktivitäten, indem die auf Ihrem Konto durchgeführten Aktionen aufgezeichnet werden. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, einschließlich der Person, die die Anfrage gestellt hat, die verwendeten Dienste, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS Dienst zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen dabei, Änderungen an Ihren AWS Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail macht es einfacher, die Einhaltung interner Richtlinien und regulatorischer Standards sicherzustellen.
Sie können es verwenden CloudTrail , um die Verwendung von Schlüsseln zu überprüfen. CloudTrail erstellt Protokolldateien, die einen Verlauf der AWS API-Aufrufe und verwandter Ereignisse für Ihr Konto enthalten. Diese Protokolldateien enthalten alle AWS KMS API-Anfragen, die über die Konsole und AWS SDKs Befehlszeilentools gestellt wurden, sowie alle API-Anfragen, die über integrierte AWS Dienste gestellt wurden. Sie können diese Protokolldateien verwenden, um Informationen darüber zu erhalten, wann der AWS KMS Schlüssel verwendet wurde, welcher Vorgang angefordert wurde, die Identität des Anfragenden, die IP-Adresse, von der die Anfrage kam, usw. Weitere Informationen finden Sie unter [Protokollierung von AWS Key Management Service -API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Wird CloudTrail zur Überwachung von DDL-Vorgängen (Data Definition Language) von Amazon Keyspaces verwendet**
CloudTrail bietet Einblick in die Benutzeraktivitäten, indem die auf Ihrem Konto durchgeführten Aktionen aufgezeichnet werden. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, einschließlich der Person, die die Anfrage gestellt hat, die verwendeten Dienste, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS Dienst zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen dabei, Änderungen an Ihren AWS Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail erleichtert die Sicherstellung der Einhaltung interner Richtlinien und regulatorischer Standards.
Alle Amazon Keyspaces [DDL-Operationen](cql.ddl.md) werden automatisch angemeldet CloudTrail . Mit DDL-Operationen können Sie Amazon Keyspaces und -Tabellen erstellen und verwalten.
Wenn Aktivitäten in Amazon Keyspaces auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Weitere Informationen finden Sie unter [Protokollieren von Amazon Keyspaces-Vorgängen mithilfe AWS CloudTrail von](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich Veranstaltungen für Amazon Keyspaces, erstellen Sie einen [Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket. Wenn Sie einen Trail auf der Konsole erstellen, gilt der Trail standardmäßig für alle AWS-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien für den von Ihnen angegebenen S3 Bucket bereit. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren.
**Kennzeichnen Sie Ihre Amazon Keyspaces-Ressourcen zur Identifizierung und Automatisierung**
Sie können Ihren AWS Ressourcen Metadaten in Form von Tags zuweisen. Jedes Tag ist eine einfache Bezeichnung, die aus einem vom Kunden definierten Schlüssel und einem optionalen Wert besteht, der die Verwaltung, Suche und Filterung von Ressourcen erleichtern kann.
Tagging ermöglicht die Implementierung gruppierter Steuerelemente. Obwohl es keine inhärenten Typen von Tags gibt, können Sie Ressourcen nach Zweck, Besitzer, Umgebung oder anderen Kriterien kategorisieren. Im Folgenden sind einige Beispiele aufgeführt:
+ Zugriff — Wird verwendet, um den Zugriff auf Amazon Keyspaces-Ressourcen anhand von Tags zu steuern. Weitere Informationen finden Sie unter [Autorisierung basierend auf Amazon Keyspaces-Tags](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sicherheit — Wird verwendet, um Anforderungen wie Datenschutzeinstellungen festzulegen.
+ Vertraulichkeit — Eine Kennung für die spezifische Datenvertraulichkeitsstufe, die eine Ressource unterstützt.
+ Umgebung – Wird verwendet, um zwischen Entwicklungs-, Test- und Produktionsinfrastruktur zu unterscheiden.
Weitere Informationen finden Sie unter [AWS Tagging-Strategien](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) und [Hinzufügen von Tags und Labels zu Ressourcen](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).