Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En esta sección se resume cómo configurar los permisos para que una entidad principal de AWS Identity and Access Management (IAM) restaure las tablas de Amazon Keyspaces. En IAM, la política administrada AmazonKeyspacesFullAccess
de AWS incluye los permisos para restaurar tablas de Amazon Keyspaces. Para implementar una política personalizada con los permisos mínimos requeridos, tenga en cuenta los requisitos que se describen en la siguiente sección.
Para restaurar correctamente una tabla, la entidad principal de IAM necesita los siguientes permisos mínimos:
cassandra:Restore
: la acción restaurar es necesaria para restaurar la tabla de destino.cassandra:Select
: la acción seleccionar es necesaria para leer desde la tabla de origen.cassandra:TagResource
: la acción etiquetar es opcional y solo se requiere si la operación de restauración añade etiquetas.
Este es un ejemplo de una política que concede los permisos mínimos necesarios a un usuario para restaurar tablas en el espacio de claves mykeyspace
.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Restore",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
Es posible que se requieran permisos adicionales para restaurar una tabla en función de otras características seleccionadas. Por ejemplo, si la tabla de origen está cifrada en reposo con una clave administrada por el cliente, Amazon Keyspaces debe tener permisos para acceder a la clave administrada por el cliente de la tabla de origen a fin de restaurar correctamente la tabla. Para obtener más información, consulte PITRrestauración de tablas cifradas.
Si utiliza políticas de IAM con claves de condición para restringir el tráfico entrante a orígenes específicos, debe asegurarse de que Amazon Keyspaces tenga permiso para realizar una operación de restauración en nombre de su entidad principal. Debe añadir una clave de condición aws:ViaAWSService
a su política de IAM si su política restringe el tráfico entrante a cualquiera de los siguientes:
Puntos de conexión de VPC con
aws:SourceVpce
Rangos IP con
aws:SourceIp
VPC con
aws:SourceVpc
La clave de condición aws:ViaAWSService
permite el acceso cuando cualquier servicio de AWS realiza una solicitud empleando las credenciales de la entidad principal. Para obtener más información, consulte Elementos JSON de la política de IAM: Clave de condición en la Guía del usuario de IAM.
A continuación se muestra un ejemplo de política que restringe el tráfico de origen a una dirección IP específica y permite a Amazon Keyspaces restaurar una tabla en nombre de la entidad principal.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForCustomIp",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"ForAnyValue:IpAddress":{
"aws:SourceIp":[
"123.45.167.89"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
Para ver un ejemplo de política que utilice la clave de condición global de aws:ViaAWSService
, consulte Políticas de punto de conexión de VPC y recuperación en un momento dado (PITR) de Amazon Keyspaces.