Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Identity and Access Management para Amazon Keyspaces
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y *autorizar* (tener permisos) para utilizar los recursos de Amazon Keyspaces. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso a Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Uso de roles vinculados a servicios para Amazon Keyspaces](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Funcionamiento de Amazon Keyspaces con IAM
Antes de utilizar IAM para administrar el acceso a Amazon Keyspaces, debe comprender qué características de IAM están disponibles para uso con Amazon Keyspaces. *Para obtener una visión general de cómo funcionan Amazon Keyspaces y otros AWS servicios con IAM, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Políticas basadas en identidades de Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Roles de IAM de Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Políticas basadas en identidades de Amazon Keyspaces
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Keyspaces admite acciones y recursos específicos, así como claves de condición. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Para ver los recursos y acciones específicos del servicio Amazon Keyspaces y las claves de contexto de condición que se pueden utilizar para las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) en la *Referencia de autorización de servicios*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de política en Amazon Keyspaces utilizan el siguiente prefijo antes de la acción: `cassandra:`. Por ejemplo, para conceder a alguien permiso para crear un espacio de claves de Amazon Keyspaces con la instrucción CQL `CREATE` de Amazon Keyspaces, incluya la acción `cassandra:Create` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Keyspaces define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Para ver una lista de las acciones de Amazon Keyspaces, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) en la *Referencia de autorización de servicios*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
En Amazon Keyspaces, los espacios clave, las tablas y las transmisiones se pueden utilizar como `Resource` elemento de los permisos de IAM.
**nota**
Para acceder a los espacios clave y las tablas de los usuarios en Amazon Keyspaces, su política de IAM debe `cassandra:Select` incluir permisos en las tablas del sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Esto se aplica a los siguientes escenarios:
AWS Acceso a la consola de administración
Las operaciones de recursos del SDK`GetKeyspace`, por ejemplo`GetTable`,`ListKeyspaces`, y `ListTables`
Conexiones estándar del controlador del cliente Apache Cassandra, ya que los controladores leen automáticamente las tablas del sistema durante la inicialización de la conexión
Las tablas del sistema son de solo lectura y no se pueden modificar.
El recurso de espacio de claves de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
El recurso de tabla de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
El recurso de transmisión de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Para obtener más información sobre el formato de ARNs, consulte [Nombres de recursos de Amazon (ARNs) y espacios de nombres AWS de servicios](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar el espacio de claves `mykeyspace` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Para especificar todos los espacios de claves que pertenezcan a una cuenta en concreto, utilice el comodín (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Algunas acciones de Amazon Keyspaces, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Por ejemplo, para conceder `SELECT` permisos a una entidad principal de IAM para `mytable` entrar`mykeyspace`, la entidad principal debe tener permisos para leer tanto como. `mytable` `keyspace/system*` Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Para ver una lista de los tipos de recursos de Amazon Keyspaces y sus correspondientes ARNs, consulte [Recursos definidos por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) en la Referencia de autorización de servicios.* Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Amazon Keyspaces define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
Todas las acciones de Amazon Keyspaces admiten las claves de condición `aws:RequestTag/${TagKey}`, `aws:ResourceTag/${TagKey}` y `aws:TagKeys`. Para obtener más información, consulte [Acceso a recursos de Amazon Keyspaces basado en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Para ver una lista de las claves de condición de Amazon Keyspaces, consulte [Claves de condición para Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) en la *Referencia de autorización de servicios*. Para obtener información sobre con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en identidades de Amazon Keyspaces, consulte [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Amazon Keyspaces
Amazon Keyspaces no admite políticas basadas en recursos. Para ver un ejemplo de una página detallada de política basada en recursos, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorización basada en etiquetas de Amazon Keyspaces
Puede administrar el acceso a sus recursos de Amazon Keyspaces mediante etiquetas. Para administrar el acceso a recursos en función de etiquetas, proporcione información de etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre el etiquetado de recursos de Amazon Keyspaces, consulte [Trabajo con etiquetas para los recursos de Amazon Keyspaces](tagging-keyspaces.md).
Para ver ejemplos de políticas basadas en identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Acceso a recursos de Amazon Keyspaces basado en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Roles de IAM de Amazon Keyspaces
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad dentro de usted Cuenta de AWS que tiene permisos específicos.
### Uso de credenciales temporales con Amazon Keyspaces
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Keyspaces admite el uso de credenciales temporales con el complemento de autenticación AWS Signature Version 4 (SiGv4) disponible en el repositorio de Github para los siguientes idiomas:
+ Java: [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js: [https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Go: [https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Para ver ejemplos y tutoriales en los que se implementa el complemento de autenticación para acceder a Amazon Keyspaces mediante programación, consulte [Uso de un controlador de cliente de Cassandra para acceder a Amazon Keyspaces mediante programación](programmatic.drivers.md).
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener detalles sobre creación o administración de roles vinculados a servicios de Amazon Keyspaces, consulte **[Uso de roles vinculados a servicios para Amazon Keyspaces](using-service-linked-roles.md)**.
### Roles de servicio
Amazon Keyspaces no admite roles de servicio.
# Ejemplos de políticas basadas en identidades de Amazon Keyspaces
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar recursos de Amazon Keyspaces. Tampoco pueden realizar tareas mediante la consola, el CQLSH o la API. AWS CLI AWS Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acceso a las tablas de Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Acceso a recursos de Amazon Keyspaces basado en etiquetas](#security_iam_id-based-policy-examples-tags)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar recursos de Amazon Keyspaces en su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Amazon Keyspaces
Amazon Keyspaces no requiere permisos específicos para acceder a la consola de Amazon Keyspaces. Necesita al menos permisos de solo lectura para enumerar y ver detalles sobre los recursos de Amazon Keyspaces en su sitio. Cuenta de AWS Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Hay dos políticas AWS administradas disponibles para que las entidades puedan acceder a la consola de Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html): esta política otorga acceso de solo lectura a Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Esta política otorga permisos para usar Amazon Keyspaces con acceso total a todas las funciones.
Para obtener más información sobre las políticas administradas de Amazon Keyspaces, consulte [AWS políticas gestionadas para Amazon Keyspaces](security-iam-awsmanpol.md).
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso a las tablas de Amazon Keyspaces
**nota**
Para acceder a los espacios clave y las tablas de los usuarios en Amazon Keyspaces, su política de IAM debe `cassandra:Select` incluir permisos en las tablas del sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Esto se aplica a los siguientes escenarios:
AWS Acceso a la consola de administración
Las operaciones de recursos del SDK`GetKeyspace`, por ejemplo`GetTable`,`ListKeyspaces`, y `ListTables`
Conexiones estándar del controlador del cliente Apache Cassandra, ya que los controladores leen automáticamente las tablas del sistema durante la inicialización de la conexión
Las tablas del sistema son de solo lectura y no se pueden modificar.
A continuación se muestra un ejemplo de política que concede acceso de solo lectura (`SELECT`) a las tablas del sistema de Amazon Keyspaces. En todos los ejemplos, sustituya la región y el ID de cuenta en el nombre de recurso de Amazon (ARN) por los suyos.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política añade acceso de solo lectura a la tabla de usuario `mytable` en el espacio de claves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política asigna el read/write acceso a una tabla de usuarios y el acceso de lectura a las tablas del sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política permite a un usuario crear tablas en el espacio de claves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política asigna el acceso de lectura a las tablas del sistema, pero restringe el acceso `SELECT` (lectura) y `MODIFY` (escritura) a la tabla de usuarios. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Acceso a recursos de Amazon Keyspaces basado en etiquetas
Puede utilizar condiciones en su política basada en identidades para controlar el acceso a los recursos de Amazon Keyspaces en función de etiquetas. Estas políticas controlan la visibilidad de los espacios de claves y las tablas de la cuenta. Tenga en cuenta que los permisos basados en etiquetas para las tablas del sistema se comportan de manera diferente cuando las solicitudes se realizan mediante el AWS SDK en comparación con las llamadas a la API de Cassandra Query Language (CQL) mediante los controladores y las herramientas de desarrollo de Cassandra.
+ Para realizar solicitudes de recursos `List` y `Get` con el SDK de AWS al utilizar el acceso basado en etiquetas, la persona que realiza la llamada necesita tener acceso de lectura a las tablas del sistema. Por ejemplo, se requieren permisos de acción `Select` para leer datos de las tablas del sistema a través de la operación `GetTable`. Si la persona que llama solo tiene acceso basado en etiquetas a una tabla específica, una operación que requiera acceso adicional a una tabla del sistema fallará.
+ Por compatibilidad con el comportamiento establecido de los controladores de Cassandra, las políticas de autorización basadas en etiquetas no se aplican cuando se realizan operaciones en tablas del sistema mediante llamadas a la API de Cassandra Query Language (CQL) a través de los controladores y las herramientas para desarrolladores de Cassandra.
En el siguiente ejemplo se muestra cómo puede crear una política que conceda permisos a un usuario para ver una tabla si el `Owner` de la tabla contiene el valor del nombre de usuario de ese usuario. En este ejemplo, también concede acceso de lectura a las tablas del sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario llamado `richard-roe` intenta ver una tabla de Amazon Keyspaces, la tabla debe tener la etiqueta `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
La siguiente política concede permisos a un usuario para crear tablas con etiquetas si el `Owner` de la tabla contiene el valor del nombre de usuario de ese usuario.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS políticas gestionadas para Amazon Keyspaces
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonKeyspacesReadOnlyAccess \$1v2
Puede asociar la política `AmazonKeyspacesReadOnlyAccess_v2` a las identidades de IAM.
Esta política concede acceso de solo lectura a Amazon Keyspaces e incluye los permisos necesarios al conectarse a través de puntos de conexión de VPC privados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: proporciona acceso de solo lectura a Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite a los directores ver las transmisiones de los CDC de Amazon Keyspaces.
+ `Application Auto Scaling`: permite a las entidades principales ver las configuraciones de Application Auto Scaling. Esto es necesario para que los usuarios puedan ver las políticas de escalado automático que se vinculan a una tabla.
+ `CloudWatch`— Permite a los directores ver los datos métricos y las alarmas configuradas en. CloudWatch Esto es necesario para que los usuarios puedan ver el tamaño de la tabla facturable y CloudWatch las alarmas que se han configurado para una tabla.
+ `AWS KMS`— Permite a los directores ver las claves configuradas en. AWS KMS Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
+ `Amazon EC2`: permite a las entidades principales que se conectan a Amazon Keyspaces a través de puntos de conexión de VPC consultar la VPC de su instancia de Amazon EC2 para obtener información sobre el punto de conexión y la interfaz en red. Este acceso de solo lectura a la instancia de Amazon EC2 es necesario para que Amazon Keyspaces pueda buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla `system.peers` que se utiliza para el equilibrio de carga de conexiones.
[Para revisar el `JSON` formato de la política, consulte AmazonKeyspacesReadOnlyAccess \$1v2.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)
## AWS política gestionada: AmazonKeyspacesReadOnlyAccess
Puede asociar la política `AmazonKeyspacesReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso de solo lectura a Amazon Keyspaces.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: proporciona acceso de solo lectura a Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite a los directores ver las transmisiones de los CDC de Amazon Keyspaces.
+ `Application Auto Scaling`: permite a las entidades principales ver las configuraciones de Application Auto Scaling. Esto es necesario para que los usuarios puedan ver las políticas de escalado automático que se vinculan a una tabla.
+ `CloudWatch`— Permite a los directores ver los datos métricos y las alarmas configuradas en. CloudWatch Esto es necesario para que los usuarios puedan ver el tamaño de la tabla facturable y CloudWatch las alarmas que se han configurado para una tabla.
+ `AWS KMS`— Permite a los directores ver las claves configuradas en. AWS KMS Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
Para revisar el `JSON` formato de la política, consulte. [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)
## AWS política gestionada: AmazonKeyspacesFullAccess
Puede asociar la política `AmazonKeyspacesFullAccess` a las identidades de IAM.
Esta política concede permisos administrativos que permiten a sus administradores acceder sin restricciones a Amazon Keyspaces.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: permite a las entidades principales acceder a cualquier recurso de Amazon Keyspaces y realizar todas las acciones.
+ `Application Auto Scaling`: permite a las entidades principales crear, ver y eliminar políticas de escalado automático para las tablas de Amazon Keyspaces. Esto es necesario para que los administradores puedan administrar las políticas de escalado automático de las tablas de Amazon Keyspaces.
+ `CloudWatch`— Permite a los directores ver el tamaño de la tabla facturable, así como crear, ver y eliminar CloudWatch alarmas para las políticas de escalado automático de Amazon Keyspaces. Esto es necesario para que los administradores puedan ver el tamaño de la tabla facturable y crear un panel. CloudWatch
+ `IAM`: permite a Amazon Keyspaces crear automáticamente roles vinculados a servicios con IAM cuando están activadas las siguientes características:
+ `Amazon Keyspaces CDC streams`— Cuando un administrador habilita una transmisión para una tabla, Amazon Keyspaces crea el rol [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculado al servicio para publicar CloudWatch las métricas en tu cuenta en tu nombre.
+ `Application Auto Scaling`— Cuando un administrador habilita Application Auto Scaling para una tabla, Amazon Keyspaces crea el rol vinculado al servicio [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)para realizar acciones de escalado automáticas en su nombre.
+ `Amazon Keyspaces multi-Region replication`— Cuando un administrador crea un nuevo espacio de claves multirregión o añade uno nuevo Región de AWS a un espacio de claves de una sola región existente, Amazon Keyspaces crea la [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)función vinculada al servicio para realizar la replicación de tablas, datos y metadatos en las regiones seleccionadas en su nombre.
+ `AWS KMS`: permite a las entidades principales ver las claves configuradas en AWS KMS. Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
+ `Amazon EC2`: permite a las entidades principales que se conectan a Amazon Keyspaces a través de puntos de conexión de VPC consultar la VPC de su instancia de Amazon EC2 para obtener información sobre el punto de conexión y la interfaz en red. Este acceso de solo lectura a la instancia de Amazon EC2 es necesario para que Amazon Keyspaces pueda buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla `system.peers` que se utiliza para el equilibrio de carga de conexiones.
Para revisar el `JSON` formato de la política, consulte. [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)
## AWS política gestionada: Keyspaces CDCService RolePolicy
No puede asociar `KeyspacesCDCServiceRolePolicy` a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que permite a Amazon Keyspaces realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Esta política otorga los permisos necesarios al rol vinculado al servicio para publicar en su nombre `AWSServiceRoleForAmazonKeyspacesCDC` los datos de las métricas de transmisión de los CDC de Amazon Keyspaces. CloudWatch
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `CloudWatch`— Permite a los service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) publicar datos de métricas de Amazon Keyspaces que los CDC transmiten en su CloudWatch cuenta `"cloudwatch:namespace": "AWS/Cassandra"` en su nombre.
Para revisar el `JSON` formato de la política, consulta [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces actualiza las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para Amazon Keyspaces desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos de Amazon Keyspaces (para Apache Cassandra)](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Keyspaces CDCServiceRolePolicy: nueva](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) política | Amazon Keyspaces ha añadido una nueva política gestionada `KeyspacesCDCServiceRolePolicy` que concede los permisos necesarios al rol vinculado al servicio para publicar los datos de las métricas de streaming de los CDC de `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces en su nombre. CloudWatch Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 de julio de 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2): actualización de una política existente | Amazon Keyspaces agregó nuevos permisos para permitir a los directores de IAM ver las transmisiones de Amazon Keyspaces CDC. Para obtener más información, consulte [Vea las transmisiones de los CDC en Amazon Keyspaces](keyspaces-view-cdc.md). | 2 de julio de 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los directores de IAM ver las transmisiones de Amazon Keyspaces CDC. Para obtener más información, consulte [Vea las transmisiones de los CDC en Amazon Keyspaces](keyspaces-view-cdc.md). | 2 de julio de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces creó la política `KeyspacesCDCServiceRolePolicy` administrada para el rol [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculado al servicio con el fin de añadir los permisos que se requieren cuando un administrador habilita una transmisión para una tabla. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesCDC` para publicar CloudWatch las métricas en su cuenta en su nombre. Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 de julio de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces actualizó el `KeyspacesReplicationServiceRolePolicy` rol vinculado al servicio [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)para añadir los permisos necesarios cuando un administrador añade un espacio de claves nuevo Región de AWS a un espacio de claves único o multirregional. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesReplication` para replicar las tablas, su configuración y los datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 de noviembre de 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces ha añadido nuevos permisos para permitir a Amazon Keyspaces crear un rol vinculado a un servicio cuando un administrador añade una nueva región a un espacio de claves único o multirregional. Amazon Keyspaces utiliza el rol vinculado a servicios para realizar tareas de réplica de datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 de octubre de 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2: nueva política](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) | Amazon Keyspaces creó una nueva política para añadir permisos de solo lectura a los clientes que se conecten a Amazon Keyspaces a través de puntos de enlace de la interfaz de la VPC para acceder a la instancia de Amazon EC2 y buscar información de la red. Amazon Keyspaces almacena los puntos de conexión de VPC de interfaz disponibles en la tabla de `system.peers` para equilibrar la carga de conexión. Para obtener más información, consulte [Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz](vpc-endpoints.md). | 12 de septiembre de 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces ha añadido nuevos permisos para permitir a Amazon Keyspaces crear un rol vinculado a servicios cuando un administrador crea un espacio de claves multirregión. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesReplication` para realizar tareas de replicación de datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 de junio de 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver el tamaño facturable de una tabla utilizando. CloudWatch Amazon Keyspaces se integra con Amazon CloudWatch para que puedas controlar el tamaño de la mesa facturable. Para obtener más información, consulte [Métricas de Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julio de 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver el tamaño facturable de una tabla utilizando. CloudWatch Amazon Keyspaces se integra con Amazon CloudWatch para que puedas controlar el tamaño de la mesa facturable. Para obtener más información, consulte [Métricas de Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julio de 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver AWS KMS las claves que se han configurado para el cifrado de Amazon Keyspaces en reposo. El cifrado en reposo de Amazon Keyspaces se integra AWS KMS para proteger y administrar las claves de cifrado utilizadas para cifrar los datos en reposo. Para ver la AWS KMS clave configurada para Amazon Keyspaces, se han añadido permisos de solo lectura. | 1 de junio de 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver AWS KMS las claves que se han configurado para el cifrado de Amazon Keyspaces en reposo. El cifrado en reposo de Amazon Keyspaces se integra AWS KMS para proteger y administrar las claves de cifrado utilizadas para cifrar los datos en reposo. Para ver la AWS KMS clave configurada para Amazon Keyspaces, se han añadido permisos de solo lectura. | 1 de junio de 2021 |
| Amazon Keyspaces ha comenzado a hacer el seguimiento de los cambios | Amazon Keyspaces comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |
# Solución de problemas de identidad y acceso a Amazon Keyspaces
Utilice la siguiente información como ayuda para diagnosticar y solucionar problemas comunes que pueda encontrar al trabajar con Amazon Keyspaces e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [He modificado un usuario o rol de IAM y los cambios no han surtido efecto de inmediato.](#security_iam_troubleshoot-effect)
+ [No puedo restaurar una tabla mediante la point-in-time recuperación de Amazon Keyspaces (PITR)](#security_iam_troubleshoot-pitr)
+ [No estoy autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Soy administrador y quiero permitir que otros accedan a Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Amazon Keyspaces
Si Consola de administración de AWS te indica que no estás autorizado a realizar una acción, debes ponerte en contacto con tu administrador para que te ayude. El administrador es la persona que le facilitó el nombre de usuario y la contraseña.
El siguiente ejemplo de error se produce cuando el usuario de `mateojackson` IAM intenta utilizar la consola para ver los detalles de una tabla*table*, pero no tiene `cassandra:Select` permisos para acceder a ella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `mytable` mediante la acción `cassandra:Select`.
## He modificado un usuario o rol de IAM y los cambios no han surtido efecto de inmediato.
Los cambios en la política de IAM pueden tardar hasta 10 minutos en surtir efecto para las aplicaciones con conexiones existentes y establecidas a Amazon Keyspaces. Los cambios en la política de IAM surten efecto de inmediato cuando las aplicaciones establecen una nueva conexión. Si ha realizado modificaciones en un usuario o rol de IAM existente y no ha surtido efecto de inmediato, espere 10 minutos o desconéctese de Amazon Keyspaces y vuelva a conectarse.
## No puedo restaurar una tabla mediante la point-in-time recuperación de Amazon Keyspaces (PITR)
Si está intentando restaurar una tabla de Amazon Keyspaces con point-in-time recuperación (PITR) y ve que el proceso de restauración comienza, pero no se completa correctamente, es posible que no haya configurado todos los permisos necesarios para el proceso de restauración. Debe ponerse en contacto con su administrador para obtener ayuda y pedirle que actualice sus políticas a fin de permitirle restaurar una tabla en Amazon Keyspaces.
Además de los permisos de usuario, Amazon Keyspaces podría requerir permisos para realizar acciones durante el proceso de restauración en nombre de su entidad principal. Este es el caso si la tabla está cifrada con una clave administrada por el cliente, o si está utilizando políticas de IAM que restrinjan el tráfico entrante. Por ejemplo, si utiliza claves de condición en su política de IAM para restringir el tráfico de origen a puntos de conexión o rangos de IP específicos, la operación de restauración falla. Para permitir que Amazon Keyspaces realice la operación de restauración de tablas en nombre de su entidad principal, debe añadir una clave de condición global `aws:ViaAWSService` en la política de IAM.
Para obtener más información sobre los permisos para restaurar tablas, consulte [Configuración de los permisos de IAM para la restauración de tablas con la PITR de Amazon Keyspaces](howitworks_restore_permissions.md).
## No estoy autorizado a realizar iam: PassRole
Si recibe un error que indica que no está autorizado a realizar la acción `iam:PassRole`, se deben actualizar sus políticas para permitirle pasar un rol a Amazon Keyspaces.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM llamado `marymajor` intenta utilizar la consola para realizar una acción en Amazon Keyspaces. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Soy administrador y quiero permitir que otros accedan a Amazon Keyspaces
Para permitir que otras personas accedan a Amazon Keyspaces, debe conceder permiso a las personas o aplicaciones que lo necesiten. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que les conceda los permisos correctos en Amazon Keyspaces. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Keyspaces
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para informarse de si Amazon Keyspaces admite estas características, consulte [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios para Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Uso de roles para el escalado automático de aplicaciones de Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Uso de roles para el escalado automático de aplicaciones de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos de Amazon Keyspaces porque no puede eliminar inadvertidamente el permiso para acceder a los recursos.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**para permitir que Application Auto Scaling llame a Amazon Keyspaces y a Amazon en su nombre. CloudWatch
El rol AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculado al servicio confía en los siguientes servicios para que lo asuman:
+ `cassandra.application-autoscaling.amazonaws.com`
La política de permisos del rol permite a Application Auto Scaling realizar las siguientes acciones en los recursos de Amazon Keyspaces especificados:
+ Acción: `cassandra:Select` en `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Acción: `cassandra:Select` en el recurso `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Acción: `cassandra:Select` en el recurso `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Acción: `cassandra:Alter` en el recurso `arn:*:cassandra:*:*:"*"`
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No es necesario crear manualmente un rol vinculado a servicios para el escalado automático de Amazon Keyspaces. Cuando habilita el escalado automático de Amazon Keyspaces en una tabla con el CQL Consola de administración de AWS, la o la AWS API AWS CLI, Application Auto Scaling crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el escalado automático de Amazon Keyspaces para una tabla, Application Auto Scaling vuelve a crear el rol vinculado a servicios por usted.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Apareció [un nuevo rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) en mi. Cuenta de AWS
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al AWSServiceRoleForApplicationAutoScaling\$1CassandraTable servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para Amazon Keyspaces
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, primero debe deshabilitar el escalado automático en todas las tablas de la cuenta para Regiones de AWS poder eliminar manualmente el rol vinculado al servicio. Para deshabilitar el escalado automático en las tablas de Amazon Keyspaces, consulte [Desactivación del escalado automático de Amazon Keyspaces para una tabla](autoscaling.turnoff.md).
**nota**
Si el escalado automático de Amazon Keyspaces utiliza el rol en el momento de intentar modificar los recursos, es posible que la anulación del registro falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForApplicationAutoScaling\$1CassandraTable servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
**nota**
Para eliminar el rol vinculado a servicios utilizado por el escalado automático de Amazon Keyspaces, primero debe deshabilitar el escalado automático en todas las tablas de la cuenta.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión del servicio para Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Uso de roles para la réplica multirregión de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos de Amazon Keyspaces porque no puede eliminar inadvertidamente el permiso para acceder a los recursos.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado para permitir que **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces añada nuevos elementos Regiones de AWS a un espacio de claves en su nombre y replique las tablas y todos sus datos y configuraciones en la nueva región. El rol también permite a Amazon Keyspaces replicar escrituras en tablas de todas las regiones en su nombre.
El rol AWSService RoleForAmazonKeyspacesReplication vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `replication.cassandra.amazonaws.com`
La política de permisos de roles denominada KeyspacesReplicationServiceRolePolicy permite a Amazon Keyspaces realizar las siguientes acciones:
+ Acción: `cassandra:Select`
+ Acción: `cassandra:SelectMultiRegionResource`
+ Acción: `cassandra:Modify`
+ Acción: `cassandra:ModifyMultiRegionResource`
+ Acción: `cassandra:AlterMultiRegionResource`
+ Acción: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces utiliza los permisos de escalado automático de la aplicación cuando se añade una réplica a una sola tabla de regiones en el modo aprovisionado con el escalado automático activado.
+ Acción: `application-autoscaling:DeregisterScalableTarget`
+ Acción: `application-autoscaling:DescribeScalableTargets`
+ Acción: `application-autoscaling:PutScalingPolicy`
+ Acción: `application-autoscaling:DescribeScalingPolicies`
+ Acción: `cassandra:Alter`
+ Acción: `cloudwatch:DeleteAlarms`
+ Acción: `cloudwatch:DescribeAlarms`
+ Acción: `cloudwatch:PutMetricAlarm`
Si bien el rol vinculado al servicio Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication proporciona los permisos: «Acción:» para el nombre de recurso de Amazon (ARN) especificado «arn: \$1» en la política, Amazon Keyspaces proporciona el ARN de su cuenta.
Los permisos para crear el rol vinculado al servicio se incluyen en la política gestionada. AWSService RoleForAmazonKeyspacesReplication `AmazonKeyspacesFullAccess` Para obtener más información, consulte [AWS política gestionada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No puede crear manualmente un rol vinculado a servicios. Al crear un espacio de claves multirregional en la Consola de administración de AWS, la o la AWS API AWS CLI, Amazon Keyspaces crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un espacio de claves multirregión, Amazon Keyspaces vuelve a crear el rol vinculado a servicios para usted.
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al AWSService RoleForAmazonKeyspacesReplication servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para Amazon Keyspaces
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, primero debe eliminar todos los espacios de claves multirregionales de la cuenta para Regiones de AWS poder eliminar manualmente el rol vinculado al servicio.
### Saneamiento de un rol vinculado a servicios
Para poder utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los espacios de claves y tablas multirregión utilizados por el rol.
**nota**
Si el servicio de Amazon Keyspaces utiliza el rol en el momento en que intenta eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Amazon Keyspaces utilizados por la AWSService RoleForAmazonKeyspacesReplication (consola)**
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Elija **Espacios de claves** en el panel izquierdo.
1. Seleccione todos los espacios de claves multirregión de la lista.
1. Elija **Eliminar**, confirme la eliminación y luego elija **Eliminar espacios de claves**.
También puede eliminar espacios de claves multirregión mediante programación utilizando cualquiera de los siguientes métodos.
+ La instrucción [DROP KEYSPACE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop) de Cassandra Query Language (CQL).
+ La operación de [eliminación del espacio de claves](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) de la CLI. AWS
+ El [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)funcionamiento de la API de Amazon Keyspaces.
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al AWSService RoleForAmazonKeyspacesReplication servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Puede usar el AWSService RoleForAmazonKeyspacesReplication rol en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Admitida en Amazon Keyspaces |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (EE. UU.-Oeste) | us-gov-west-1 | No |
# Uso de roles para las transmisiones de los CDC de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
No puede eliminar el rol vinculado al servicio.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado CDC **AWSServiceRoleForAmazonKeyspacespara** permitir que las transmisiones de CDC de Amazon Keyspaces publiquen CloudWatch métricas en su cuenta en su nombre.
El rol vinculado al servicio de AWSService RoleForAmazonKeyspaces los CDC confía en que el siguiente servicio asuma el rol:
+ `cassandra-streams.amazonaws.com`
La política de permisos de roles denominada [Keyspaces permite](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) a CDCService RolePolicy Amazon Keyspaces realizar la siguiente acción en los recursos del espacio de nombres: CloudWatch `AWS/Cassandra`
+ Acción: `cloudwatch:PutMetricData` en `*`
El AWSService RoleForAmazonKeyspaces CDC proporciona los permisos: Acción: cloudwatch: PutMetricData en todos los recursos que cumplan la siguiente condición:. `"cloudwatch:namespace": "AWS/Cassandra"`
Para obtener más información sobre los Keyspaces CDCServiceRolePolicy, consulte. [AWS política gestionada: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Para habilitar las transmisiones de los CDC para una tabla, lo que crea automáticamente el rol AWSService RoleForAmazonKeyspaces CDC vinculado al servicio, el director de IAM necesita los siguientes permisos.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Los permisos para crear el rol AWSService RoleForAmazonKeyspaces CDC vinculado al servicio están incluidos en la política administrada. `AmazonKeyspacesFullAccess` Para obtener más información, consulte [AWS política gestionada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No necesitas crear manualmente un rol vinculado a un servicio para las transmisiones de Amazon Keyspaces CDC. Cuando habilita las transmisiones CDC de Amazon Keyspaces en una tabla con el CQL Consola de administración de AWS, la o la API AWS CLI AWS , Amazon Keyspaces crea el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar las transmisiones de Amazon Keyspaces CDC para una tabla, Amazon Keyspaces vuelve a crear el rol vinculado al servicio para usted.
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al servicio de los AWSService RoleForAmazonKeyspaces CDC. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).