Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# So funktioniert Amazon Keyspaces mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Keyspaces zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Keyspaces verfügbar sind. *Einen allgemeinen Überblick darüber, wie Amazon Keyspaces und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Identitätsbasierte Richtlinien von Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien von Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf Amazon Keyspaces-Tags](#security_iam_service-with-iam-tags)
+ [IAM-Rollen in Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien von Amazon Keyspaces
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Keyspaces unterstützt bestimmte Aktionen und Ressourcen sowie Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
*Die servicespezifischen Ressourcen und Aktionen von Amazon Keyspaces sowie Bedingungskontextschlüssel, die für IAM-Berechtigungsrichtlinien verwendet werden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) in der Service Authorization Reference.*
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon Keyspaces verwenden das folgende Präfix vor der Aktion:`cassandra:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, einen Amazon Keyspaces-Schlüsselraum mit der Amazon `CREATE` Keyspaces-CQL-Anweisung zu erstellen, nehmen Sie die `cassandra:Create` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Keyspaces definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Eine Liste der Amazon Keyspaces-Aktionen finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) in der *Service* Authorization Reference.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
In Amazon Keyspaces können Schlüsselräume, Tabellen und Streams im `Resource` Element der IAM-Berechtigungen verwendet werden.
**Anmerkung**
Um auf Benutzerschlüsselbereiche und Tabellen in Amazon Keyspaces zuzugreifen, muss Ihre IAM-Richtlinie `cassandra:Select` Berechtigungen für Systemtabellen enthalten:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Dies gilt für die folgenden Szenarien:
AWS Zugriff auf die Managementkonsole
SDK-Ressourcenoperationen, zum Beispiel `GetKeyspace``GetTable`,`ListKeyspaces`, und `ListTables`
Standardmäßige Apache Cassandra-Clienttreiberverbindungen, da Treiber bei der Verbindungsinitialisierung automatisch Systemtabellen lesen
Systemtabellen sind schreibgeschützt und können nicht geändert werden.
Die Amazon Keyspace-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
Die Amazon Keyspaces-Tabellenressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
Die Amazon Keyspaces-Stream-Ressource hat den folgenden ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise den `mykeyspace` Schlüsselraum in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Um alle Schlüsselräume anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Einige Amazon Keyspaces-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Um beispielsweise einem IAM-Prinzipal `SELECT` Berechtigungen für `mytable` in zu erteilen`mykeyspace`, muss der Principal sowohl über Leseberechtigungen als auch verfügen. `mytable` `keyspace/system*` Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
Eine Liste der Amazon Keyspaces-Ressourcentypen und ihrer ARNs Typen finden Sie unter [Von Amazon Keyspaces definierte Ressourcen (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) in der *Service* Authorization Reference. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Keyspaces definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Alle Amazon Keyspaces-Aktionen unterstützen die Schlüssel `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, die und die `aws:TagKeys` Bedingungstasten. Weitere Informationen finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Eine Liste der Amazon Keyspaces-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Keyspaces (für Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) in der *Service* Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Keyspaces definierte Aktionen (für Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien von Amazon Keyspaces
Amazon Keyspaces unterstützt keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisierung basierend auf Amazon Keyspaces-Tags
Sie können den Zugriff auf Ihre Amazon Keyspaces-Ressourcen mithilfe von Tags verwalten. Um den Ressourcenzugriff auf der Grundlage von Tags zu verwalten, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `cassandra:ResourceTag/key-name``aws:RequestTag/key-name`, oder ein. Weitere Informationen zum Taggen von Amazon Keyspaces-Ressourcen finden Sie unter. [Arbeiten mit Tags und Labels für Amazon Keyspaces-Ressourcen](tagging-keyspaces.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Amazon Keyspaces-Ressourcenzugriff basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## IAM-Rollen in Amazon Keyspaces
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Keyspaces verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Keyspaces unterstützt die Verwendung temporärer Anmeldeinformationen mit dem AWS Signature Version 4 (Sigv4) -Authentifizierungs-Plugin, das im Github-Repo für die folgenden Sprachen verfügbar ist:
+ Java:. [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin)
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Geh:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Beispiele und Tutorials, die das Authentifizierungs-Plugin für den programmgesteuerten Zugriff auf Amazon Keyspaces implementieren, finden Sie unter. [Verwenden eines Cassandra-Client-Treibers für den programmgesteuerten Zugriff auf Amazon Keyspaces](programmatic.drivers.md)
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon Keyspaces-Rollen finden Sie unter. **[Verwenden von serviceverknüpften Rollen für Amazon Keyspaces](using-service-linked-roles.md)**
### Servicerollen
Amazon Keyspaces unterstützt keine Servicerollen.