Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Configuración del acceso entre cuentas a Amazon Keyspaces mediante puntos de conexión de VPC en una VPC compartida Puede crear diferentes recursos Cuentas de AWS para separarlos de las aplicaciones. Por ejemplo, puede crear una cuenta para sus tablas de Amazon Keyspaces, una cuenta diferente para las aplicaciones en un entorno de desarrollo y otra cuenta para las aplicaciones en un entorno de producción. En este tema se describen los pasos de configuración necesarios para establecer el acceso entre cuentas para Amazon Keyspaces mediante puntos de conexión de VPC de interfaz en una VPC compartida. Para obtener información detallada sobre cómo configurar un punto de conexión de VPC para Amazon Keyspaces, consulte [Paso 3: crear un punto de conexión de VPC para Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md). En este ejemplo se utilizan las tres cuentas siguientes en una VPC compartida: + `Account A:111111111111`: esta cuenta contiene la infraestructura, incluyendo los puntos de conexión de VPC, las subredes de VPC y las tablas de Amazon Keyspaces. + `Account B:222222222222`: esta cuenta contiene una aplicación en un entorno de desarrollo que necesita conectarse a la tabla de Amazon Keyspaces en `Account A:111111111111`. + `Account C:333333333333`: esta cuenta contiene una aplicación en un entorno de producción que necesita conectarse a la tabla de Amazon Keyspaces en `Account A:111111111111`. ![\[Diagrama que muestra tres cuentas diferentes propiedad de la misma organización en la misma Región de AWS que utilizan una VPC compartida.\]](http://docs.aws.amazon.com/es_es/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png) `Account A:111111111111`es la cuenta que contiene los recursos (una tabla de Amazon Keyspaces) a los que `Account C:333333333333` hay que `Account B:222222222222` acceder, al igual que `Account A:111111111111` la cuenta de *confianza*. `Account B:222222222222`y `Account C:333333333333` son las cuentas con los principales las que necesitan acceso a los recursos (una tabla de Amazon Keyspaces)`Account A:111111111111`, `Account B:222222222222` también lo son `Account C:333333333333` *las* cuentas de confianza. La cuenta de confianza concede los permisos a las cuentas confiadas compartiendo un rol de IAM. El siguiente procedimiento describe los pasos de configuración necesarios en `Account A:111111111111`. **Configuración de `Account A:111111111111`** 1. Se utiliza AWS Resource Access Manager para crear un recurso compartido para la subred y compartir la subred privada con y. `Account B:222222222222` `Account C:333333333333` `Account B:222222222222` y `Account C:333333333333` ya pueden ver y crear recursos en la subred que se ha compartido con ellos. 1. Cree un punto final de VPC privado de Amazon Keyspaces con la tecnología de. AWS PrivateLink Esto crea varios puntos de conexión a través de subredes compartidas y entradas DNS para el punto de conexión del servicio de Amazon Keyspaces. 1. Cree un espacio de claves y una tabla de Amazon Keyspaces. 1. Cree un rol de IAM `Account A:111111111111` que tenga acceso total a la tabla Amazon Keyspaces, lea las tablas del sistema Amazon Keyspaces y pueda describir los recursos de Amazon EC2 VPC, como se muestra en el siguiente ejemplo de política. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] } ``` 1. Configure una política de confianza para el rol de IAM para que `Account A:111111111111` `Account C:333333333333` pueda asumir el rol `Account B:222222222222` como cuentas de confianza. Esto se muestra en el siguiente ejemplo. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:role/Cross-Account-Role-B", "arn:aws:iam::333333333333:role/Cross-Account-Role-C" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` Para obtener más información sobre las políticas de IAM entre cuentas, consulte [Políticas entre cuentas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) en la Guía del usuario de IAM. **Configuración de `Account B:222222222222` y `Account C:333333333333`** 1. En `Account B:222222222222` y `Account C:333333333333`, cree nuevos roles y vincule la siguiente política que permite a la entidad principal asumir el rol compartido creado en `Account A:111111111111`. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` Permitir que el director asuma el rol compartido se implementa mediante la `AssumeRole` API de AWS Security Token Service (AWS STS). Para obtener más información, consulte [Proporcionar acceso a un usuario de IAM a otro de su Cuenta de AWS propiedad](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la Guía del usuario de IAM. 1. En `Account B:222222222222` y`Account C:333333333333`, puede crear aplicaciones que utilicen el complemento de SIGV4 autenticación, que permite que una aplicación asuma la función compartida para conectarse a la tabla Amazon Keyspaces ubicada a `Account A:111111111111` través del punto de enlace de la VPC en la VPC compartida. Para obtener más información sobre el complemento de SIGV4 autenticación, consulte. [Creación de credenciales para el acceso programático a Amazon Keyspaces](programmatic.credentials.md) Para obtener más información sobre cómo configurar una aplicación para que asuma un rol en otra AWS cuenta, consulta [Autenticación y acceso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) en la *Guía de referencia de herramientas AWS SDKs y herramientas*.