Configure el acceso multicuenta a Amazon Keyspaces VPC mediante puntos de enlace en un entorno compartido VPC - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure el acceso multicuenta a Amazon Keyspaces VPC mediante puntos de enlace en un entorno compartido VPC

Puedes crear diferentes Cuentas de AWS para separar los recursos de las aplicaciones. Por ejemplo, puede crear una cuenta para sus tablas de Amazon Keyspaces, una cuenta diferente para las aplicaciones en un entorno de desarrollo y otra cuenta para las aplicaciones en un entorno de producción. En este tema, se explican los pasos de configuración necesarios para configurar el acceso multicuenta a Amazon Keyspaces mediante puntos de enlace de VPC interfaz en un entorno compartido. VPC

Para ver los pasos detallados sobre cómo configurar un VPC punto de conexión para Amazon Keyspaces, consulte. Paso 3: Crear un VPC punto de conexión para Amazon Keyspaces

En este ejemplo, utilizamos las tres cuentas siguientes en una cuenta compartidaVPC:

  • Account A— Esta cuenta contiene la infraestructura, incluidos los VPC puntos de enlace, las VPC subredes y las tablas de Amazon Keyspaces.

  • Account B: esta cuenta contiene una aplicación en un entorno de desarrollo que necesita conectarse a la tabla de Amazon Keyspaces en Account A.

  • Account C: esta cuenta contiene una aplicación en un entorno de producción que necesita conectarse a la tabla de Amazon Keyspaces en Account A.

Diagrama que muestra tres cuentas diferentes que pertenecen a la misma organización y que pertenecen a la misma organización Región de AWS que utilizan un recurso compartidoVPC.

Account A es la cuenta que contiene los recursos a los que Account B y Account C necesitan acceder, por lo que Account A es la cuenta de confianza. y Account B y Account C son las cuentas con las entidades principales que necesitan acceder a los recursos de Account A, por lo que Account B y Account C son las cuentas confiadas. La cuenta de confianza concede los permisos a las cuentas de confianza al compartir un IAM rol. El siguiente procedimiento describe los pasos de configuración necesarios en Account A.

Configuración de Account A

  1. Uso AWS Resource Access Manager para crear un recurso compartido para la subred y compartir la subred privada con Account B y. Account C

    Account B y Account C ya pueden ver y crear recursos en la subred que se ha compartido con ellos.

  2. Cree un VPC punto de conexión privado de Amazon Keyspaces con la tecnología de AWS PrivateLink. Esto crea varios puntos de enlace en subredes y DNS entradas compartidas para el punto de enlace del servicio Amazon Keyspaces.

  3. Cree un espacio de claves y una tabla de Amazon Keyspaces.

  4. Cree un IAM rol que tenga acceso completo a la tabla Amazon Keyspaces, lea las tablas del sistema Amazon Keyspaces y pueda describir los EC2 VPC recursos de Amazon, tal y como se muestra en el siguiente ejemplo de política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configure la política de confianza de IAM roles que Account B Account C pueda asumir como cuentas de confianza, como se muestra en el siguiente ejemplo. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Para obtener más información sobre IAM las políticas multicuenta, consulte las políticas multicuenta en la Guía del IAM usuario.

Configuración de Account B y Account C

  1. En Account B y Account C, cree nuevos roles y vincule la siguiente política que permite a la entidad principal asumir el rol compartido creado en Account A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Permitir que el director asuma la función compartida se implementa mediante el AssumeRole API AWS Security Token Service (AWS STS). Para obtener más información, consulte Proporcionar acceso a un IAM usuario en otro Cuenta de AWS que le pertenezca en la Guía IAM del usuario.

  2. En Account B yAccount C, puede crear aplicaciones que utilicen el complemento de SIGV4 autenticación, que permite que una aplicación asuma la función compartida para conectarse a la tabla Amazon Keyspaces ubicada a Account A través del VPC punto de enlace de la tabla compartida. VPC Para obtener más información sobre el complemento SIGV4 de autenticación, consulteCree credenciales para el acceso programático a Amazon Keyspaces .