Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración del acceso entre cuentas a Amazon Keyspaces con puntos de conexión de VPC
Puede crear y usar recursos separados Cuentas de AWS para aislar y usarlos en diferentes entornos, por ejemplo, desarrollo y producción. En este tema se explica el acceso entre cuentas para Amazon Keyspaces mediante puntos de conexión de VPC de interfaz en una Amazon Virtual Private Cloud. Para obtener más información sobre la configuración del acceso entre cuentas de IAM, consulte [Escenario de ejemplo con cuentas de desarrollo y producción separadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example) en la Guía del usuario de IAM.
Para obtener más información sobre Amazon Keyspaces y los puntos de conexión de VPC privados, consulte [Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz](vpc-endpoints.md).
**Topics**
+ [Configuración del acceso entre cuentas en una VPC compartida](access.cross-account.sharedVPC.md)
+ [Configuración del acceso entre cuentas sin una VPC compartida](access.cross-account.noVPC.setup.md)
# Configuración del acceso entre cuentas a Amazon Keyspaces mediante puntos de conexión de VPC en una VPC compartida
Puede crear diferentes recursos Cuentas de AWS para separarlos de las aplicaciones. Por ejemplo, puede crear una cuenta para sus tablas de Amazon Keyspaces, una cuenta diferente para las aplicaciones en un entorno de desarrollo y otra cuenta para las aplicaciones en un entorno de producción. En este tema se describen los pasos de configuración necesarios para establecer el acceso entre cuentas para Amazon Keyspaces mediante puntos de conexión de VPC de interfaz en una VPC compartida.
Para obtener información detallada sobre cómo configurar un punto de conexión de VPC para Amazon Keyspaces, consulte [Paso 3: crear un punto de conexión de VPC para Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md).
En este ejemplo se utilizan las tres cuentas siguientes en una VPC compartida:
+ `Account A:111111111111`: esta cuenta contiene la infraestructura, incluyendo los puntos de conexión de VPC, las subredes de VPC y las tablas de Amazon Keyspaces.
+ `Account B:222222222222`: esta cuenta contiene una aplicación en un entorno de desarrollo que necesita conectarse a la tabla de Amazon Keyspaces en `Account A:111111111111`.
+ `Account C:333333333333`: esta cuenta contiene una aplicación en un entorno de producción que necesita conectarse a la tabla de Amazon Keyspaces en `Account A:111111111111`.
![\[Diagrama que muestra tres cuentas diferentes propiedad de la misma organización en la misma Región de AWS que utilizan una VPC compartida.\]](http://docs.aws.amazon.com/es_es/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)
`Account A:111111111111`es la cuenta que contiene los recursos (una tabla de Amazon Keyspaces) a los que `Account C:333333333333` hay que `Account B:222222222222` acceder, al igual que `Account A:111111111111` la cuenta de *confianza*. `Account B:222222222222`y `Account C:333333333333` son las cuentas con los principales las que necesitan acceso a los recursos (una tabla de Amazon Keyspaces)`Account A:111111111111`, `Account B:222222222222` también lo son `Account C:333333333333` *las* cuentas de confianza. La cuenta de confianza concede los permisos a las cuentas confiadas compartiendo un rol de IAM. El siguiente procedimiento describe los pasos de configuración necesarios en `Account A:111111111111`.
**Configuración de `Account A:111111111111`**
1. Se utiliza AWS Resource Access Manager para crear un recurso compartido para la subred y compartir la subred privada con y. `Account B:222222222222` `Account C:333333333333`
`Account B:222222222222` y `Account C:333333333333` ya pueden ver y crear recursos en la subred que se ha compartido con ellos.
1. Cree un punto final de VPC privado de Amazon Keyspaces con la tecnología de. AWS PrivateLink Esto crea varios puntos de conexión a través de subredes compartidas y entradas DNS para el punto de conexión del servicio de Amazon Keyspaces.
1. Cree un espacio de claves y una tabla de Amazon Keyspaces.
1. Cree un rol de IAM `Account A:111111111111` que tenga acceso total a la tabla Amazon Keyspaces, lea las tablas del sistema Amazon Keyspaces y pueda describir los recursos de Amazon EC2 VPC, como se muestra en el siguiente ejemplo de política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints",
"cassandra:*"
],
"Resource": "*"
}
]
}
```
1. Configure una política de confianza para el rol de IAM para que `Account A:111111111111` `Account C:333333333333` pueda asumir el rol `Account B:222222222222` como cuentas de confianza. Esto se muestra en el siguiente ejemplo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Para obtener más información sobre las políticas de IAM entre cuentas, consulte [Políticas entre cuentas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) en la Guía del usuario de IAM.
**Configuración de `Account B:222222222222` y `Account C:333333333333`**
1. En `Account B:222222222222` y `Account C:333333333333`, cree nuevos roles y vincule la siguiente política que permite a la entidad principal asumir el rol compartido creado en `Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Permitir que el director asuma el rol compartido se implementa mediante la `AssumeRole` API de AWS Security Token Service (AWS STS). Para obtener más información, consulte [Proporcionar acceso a un usuario de IAM a otro de su Cuenta de AWS propiedad](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la Guía del usuario de IAM.
1. En `Account B:222222222222` y`Account C:333333333333`, puede crear aplicaciones que utilicen el complemento de SIGV4 autenticación, que permite que una aplicación asuma la función compartida para conectarse a la tabla Amazon Keyspaces ubicada a `Account A:111111111111` través del punto de enlace de la VPC en la VPC compartida. Para obtener más información sobre el complemento de SIGV4 autenticación, consulte. [Creación de credenciales para el acceso programático a Amazon Keyspaces](programmatic.credentials.md) Para obtener más información sobre cómo configurar una aplicación para que asuma un rol en otra AWS cuenta, consulta [Autenticación y acceso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) en la *Guía de referencia de herramientas AWS SDKs y herramientas*.
# Configuración del acceso entre cuentas a Amazon Keyspaces sin una VPC compartida
Si la tabla de Amazon Keyspaces y el punto de conexión de VPC privado pertenecen a cuentas diferentes pero no comparten una VPC, las aplicaciones podrán seguir conectándose entre cuentas mediante puntos de conexión de VPC. Dado que las cuentas no comparten los puntos de conexión de VPC, `Account A:111111111111`, `Account B:222222222222` y `Account C:333333333333` requieren sus propios puntos de conexión de VPC. Para el controlador de cliente de Cassandra, Amazon Keyspaces aparece como un único nodo en lugar de un clúster multinodo. Al conectarse, el controlador de cliente llega al servidor DNS que devuelve uno de los puntos de conexión disponibles en la VPC de la cuenta.
También puede acceder a las tablas de Amazon Keyspaces en diferentes cuentas sin un punto de enlace de VPC compartido mediante los puntos de enlace públicos o mediante la implementación de un punto de enlace de VPC privado en cada cuenta. Cuando no se utiliza una VPC compartida, cada cuenta requiere su propio punto de conexión de VPC. En este ejemplo, `Account A:111111111111`, `Account B:222222222222` y `Account C:333333333333` requieren sus propios puntos de conexión de VPC para acceder a la tabla de `Account A:111111111111`. Cuando se utilizan puntos de conexión de VPC en esta configuración, Amazon Keyspaces aparece como un clúster de nodo único para el controlador de cliente de Cassandra en lugar de un clúster multinodo. Al conectarse, el controlador de cliente llega al servidor DNS que devuelve uno de los puntos de conexión disponibles en la VPC de la cuenta. Sin embargo, el controlador de cliente no puede acceder a la tabla de `system.peers` para descubrir puntos de conexión adicionales. Dado que hay menos hosts disponibles, el controlador realiza menos conexiones. Para ajustar esto, aumente la configuración del grupo de conexiones del controlador en un factor de tres.
![\[Diagrama que muestra tres cuentas diferentes propiedad de la misma organización en la misma Región de AWS sin una VPC compartida.\]](http://docs.aws.amazon.com/es_es/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)
`Account A:111111111111`es la cuenta que contiene los recursos (una tabla de Amazon Keyspaces) a los que `Account C:333333333333` hay que `Account B:222222222222` acceder, al igual que `Account A:111111111111` la cuenta de *confianza*. `Account B:222222222222`y `Account C:333333333333` son las cuentas con los principales las que necesitan acceso a los recursos (una tabla de Amazon Keyspaces)`Account A:111111111111`, `Account B:222222222222` también lo son `Account C:333333333333` *las* cuentas de confianza. La cuenta de confianza concede los permisos a las cuentas confiadas compartiendo un rol de IAM. El siguiente procedimiento describe los pasos de configuración necesarios en `Account A:111111111111`.
**Configuración de `Account A:111111111111`**
1. Crea un espacio de claves y una tabla en Amazon Keyspaces. `Account A:111111111111`
1. Cree un rol de IAM `Account A:111111111111` que tenga acceso total a la tabla Amazon Keyspaces y acceso de lectura a las tablas del sistema Amazon Keyspaces.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
]
}
]
}
```
1. Configure una política de confianza para la función de IAM de `Account A:111111111111` forma que los directores puedan entrar en cuentas de confianza `Account B:222222222222` y `Account C:333333333333` puedan asumirla como cuentas de confianza. Esto se muestra en el siguiente ejemplo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Para obtener más información sobre las políticas de IAM entre cuentas, consulte [Políticas entre cuentas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) en la Guía del usuario de IAM.
1. Configure el punto de enlace de la VPC `Account A:111111111111` y adjunte permisos al punto de enlace que permitan que las funciones se envíen `Account B:222222222222` y `Account C:333333333333` asuman la función de `Account A` uso del punto de enlace de la VPC. Estos permisos son válidos para el punto final de la VPC al que están conectados. Para obtener más información sobre las políticas de punto de conexión de VPC, consulte [Control de acceso a puntos de conexión de VPC de interfaz para Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies).
```
{{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessfromSpecificIAMroles",
"Effect": "Allow",
"Action": "cassandra:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
}
}
}
]
}
```
**Configuración de `Account B:222222222222` y `Account C:333333333333`**
1. En `Account B:222222222222` y `Account C:333333333333`, cree nuevos roles y vincule la siguiente política que permite a la entidad principal asumir el rol compartido creado en `Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
}
}
```
Permitir que el director asuma la función compartida se implementa mediante la `AssumeRole` API de AWS Security Token Service (AWS STS). Para obtener más información, consulte [Proporcionar acceso a un usuario de IAM a otro de su Cuenta de AWS propiedad](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la Guía del usuario de IAM.
1. En `Account B:222222222222` y`Account C:333333333333`, puede crear aplicaciones que utilicen el complemento de SIGV4 autenticación, que permite que una aplicación asuma el rol compartido para conectarse a la tabla Amazon Keyspaces ubicada en. `Account A:111111111111` Para obtener más información sobre el complemento SIGV4 de autenticación, consulte[Creación de credenciales para el acceso programático a Amazon Keyspaces](programmatic.credentials.md). Para obtener más información sobre cómo configurar una aplicación para que asuma un rol en otra AWS cuenta, consulta [Autenticación y acceso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) en la *Guía de referencia de herramientas AWS SDKs y herramientas*.