Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon Keyspaces (para Apache Cassandra)
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener información sobre los programas de conformidad que se aplican a Amazon Keyspaces, consulte [Servicios en el ámbito del programa de conformidad de AWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayudará a comprender cómo aplicar el modelo de responsabilidad compartida al utilizar Amazon Keyspaces. En los siguientes temas le mostramos cómo configurar Amazon Keyspaces para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que pueden ayudarle a supervisar y proteger sus recursos de Amazon Keyspaces.
**Topics**
+ [Protección de datos en Amazon Keyspaces](data-protection.md)
+ [AWS Identity and Access Management para Amazon Keyspaces](security-iam.md)
+ [Validación de conformidad para Amazon Keyspaces (para Apache Cassandra)](Keyspaces-compliance.md)
+ [Resiliencia y recuperación de desastres en Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en Amazon Keyspaces](infrastructure-security.md)
+ [Configuración y análisis de vulnerabilidades para Amazon Keyspaces](configuration-vulnerability.md)
+ [Prácticas recomendadas de seguridad para Amazon Keyspaces](best-practices-security.md)
# Protección de datos en Amazon Keyspaces
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Keyspaces (para Apache Cassandra). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los. Nube de AWS Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon Keyspaces u otros Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**Topics**
+ [Cifrado en reposo en Amazon Keyspaces](EncryptionAtRest.md)
+ [Cifrado en tránsito en Amazon Keyspaces](encryption-in-transit.md)
+ [Privacidad del tráfico entre redes en Amazon Keyspaces](inter-network-traffic-privacy.md)
# Cifrado en reposo en Amazon Keyspaces
El *cifrado en reposo* de Amazon Keyspaces (para Apache Cassandra) proporciona mayor seguridad al cifrar todos sus datos en reposo mediante claves de cifrado almacenadas en [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que cumplan estrictos requisitos normativos y de conformidad para la protección de datos.
El cifrado en reposo de Amazon Keyspaces cifra sus datos utilizando el estándar de cifrado avanzado de 256 bits (AES-256). Esto ayuda a proteger los datos del acceso no autorizado al almacenamiento subyacente.
Amazon Keyspaces cifra y descifra los datos de las tablas y las transmisiones de forma transparente. Amazon Keyspaces utiliza el cifrado de sobre y una jerarquía de claves para proteger las claves de cifrado de datos. Se integra con AWS KMS para almacenar y administrar la clave de cifrado raíz. Para obtener más información sobre jerarquía de claves de cifrado, consulte [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md). *Para obtener más información sobre AWS KMS conceptos como el cifrado de sobres, consulte los conceptos de los [servicios AWS KMS de administración en la Guía para desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).AWS Key Management Service *
Al crear una nueva tabla, puede elegir una de las siguientes *claves AWS KMS (claves KMS)*:
+ Clave propiedad de AWS — Este es el tipo de cifrado predeterminado. La clave es propiedad de Amazon Keyspaces (sin cargo adicional).
+ Clave administrada por el cliente): esta clave se almacena en la cuenta y usted la crea, posee y administra. Usted tiene el control total sobre la clave gestionada por el cliente (de AWS KMS pago).
Amazon Keyspaces cifra automáticamente las transmisiones de captura de datos de cambios (CDC) con la misma clave que la tabla subyacente. Para obtener más información sobre los CDC, consulte. [Trabajar con transmisiones de captura de datos de cambios (CDC) en Amazon Keyspaces](cdc.md)
Puede cambiar entre la clave gestionada por el cliente Clave propiedad de AWS y la clave gestionada por el cliente en cualquier momento. Puede especificar una clave administrada por el cliente al crear una nueva tabla o cambiar la clave KMS de una tabla existente ya sea con la consola o mediante programación utilizando instrucciones CQL. Para aprender a hacerlo, consulte [Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.](encryption.customermanaged.md).
El cifrado en reposo mediante la opción predeterminada de Claves propiedad de AWS se ofrece sin coste adicional. Sin embargo, se aplican cargos de AWS KMS para las claves administradas por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS KMS](https://aws.amazon.com/kms/pricing).
El cifrado en reposo de Amazon Keyspaces está disponible en todas las regiones Regiones de AWS, incluidas las regiones de AWS China (Pekín) y AWS China (Ningxia). Para obtener más información, consulte [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Cifrado en reposo: Cómo funciona en Amazon Keyspaces](encryption.howitworks.md)
+ [Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.](encryption.customermanaged.md)
# Cifrado en reposo: Cómo funciona en Amazon Keyspaces
El *cifrado en reposo* de Amazon Keyspaces (para Apache Cassandra) cifra sus datos utilizando el estándar de cifrado avanzado de 256 bits (AES-256). Esto ayuda a proteger los datos del acceso no autorizado al almacenamiento subyacente. Todos los datos de clientes en las tablas de Amazon Keyspaces se cifran en reposo de forma predeterminada y el cifrado del lado del servidor es transparente, lo que significa que no es necesario realizar cambios en las aplicaciones.
El cifrado en reposo se integra con AWS Key Management Service (AWS KMS) para administrar la clave de cifrado que se utiliza para cifrar las tablas. Al crear una tabla nueva o actualizar una existente, puede elegir una de las siguientes opciones de *clave de AWS KMS *:
+ Clave propiedad de AWS — Este es el tipo de cifrado predeterminado. La clave es propiedad de Amazon Keyspaces (sin cargo adicional).
+ Clave administrada por el cliente): esta clave se almacena en la cuenta y usted la crea, posee y administra. Usted tiene el control total sobre la clave gestionada por el cliente (de AWS KMS pago).
**AWS KMS clave (clave KMS)**
El cifrado en reposo protege todos los datos de Amazon Keyspaces con una AWS KMS clave. De forma predeterminada, Amazon Keyspaces utiliza una [Clave propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), una clave de cifrado multiusuario que se crea y administra en una cuenta de servicio de Amazon Keyspaces.
Sin embargo, puede cifrar sus tablas de Amazon Keyspaces utilizando una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en su Cuenta de AWS. Puede seleccionar una clave KMS diferente para cada tabla de un espacio de claves. La clave KMS que seleccione para una tabla también se utiliza para cifrar todos sus metadatos y copias de seguridad restaurables.
Al crear o actualizar la tabla, seleccione la clave KMS para una tabla. Puede cambiar la clave KMS de una tabla en cualquier momento, ya sea en la consola de Amazon Keyspaces o mediante la instrucción [ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). El proceso de cambio de claves KMS es fluido y no requiere tiempo de inactividad ni causa una degradación del servicio.
**Jerarquía de claves**
Amazon Keyspaces utiliza una jerarquía de claves para cifrar los datos. En esta jerarquía de claves, la clave KMS es la clave raíz. Se utiliza para cifrar y descifrar la clave de cifrado de la tabla de Amazon Keyspaces. La clave de cifrado de la tabla se utiliza para cifrar las claves de cifrado utilizadas internamente por Amazon Keyspaces para cifrar y descifrar datos al realizar operaciones de lectura y escritura.
Con la jerarquía de claves de cifrado, puede realizar cambios en la clave KMS sin tener que volver a cifrar los datos ni afectar a las aplicaciones y a las operaciones de datos en curso.
![\[Jerarquía de claves que muestra la clave raíz, la clave de cifrado de tablas y la clave de cifrado de datos utilizada para el cifrado en reposo.\]](http://docs.aws.amazon.com/es_es/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Clave de tabla**
La clave de tabla de Amazon Keyspaces se utiliza como clave de cifrado de datos. Amazon Keyspaces utiliza la clave de tabla para proteger las claves internas de cifrado de datos que se utilizan para cifrar los datos almacenados en tablas, archivos de registro y copias de seguridad restaurables. Amazon Keyspaces genera una clave de cifrado de datos única para cada estructura subyacente de una tabla. Sin embargo, es posible que varias filas de una tabla estén protegidas por la misma clave de cifrado de datos.
La primera vez que configura la clave de KMS como una clave administrada por el cliente, AWS KMS genera una *clave de datos*. La clave AWS KMS de datos hace referencia a la clave de tabla de Amazon Keyspaces.
Cuando accedes a una tabla cifrada, Amazon Keyspaces envía una solicitud para usar la clave de KMS AWS KMS para descifrar la clave de la tabla. A continuación, utiliza la clave de tabla de texto sin formato para descifrar las claves de cifrado de datos de Amazon Keyspaces y utiliza las claves de cifrado de datos de texto sin formato para descifrar los datos de la tabla.
Amazon Keyspaces usa y almacena la clave de tabla y las claves de cifrado de datos fuera de ella. AWS KMS Protege todas las claves con cifrado [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) y claves de cifrado de 256 bits. A continuación, almacena las claves cifradas con los datos cifrados para que estén disponibles para descifrar los datos de la tabla bajo demanda.
**Almacenamiento en caché de las claves de tabla**
Para evitar tener que realizar AWS KMS todas las operaciones de Amazon Keyspaces, Amazon Keyspaces almacena en caché las claves de tabla de texto sin formato de cada conexión en la memoria. Si Amazon Keyspaces recibe una solicitud para la clave de tabla almacenada en caché después de cinco minutos de inactividad, envía una nueva solicitud AWS KMS a para descifrar la clave de tabla. Esta llamada captura cualquier cambio realizado en las políticas de acceso de la clave KMS AWS Identity and Access Management ( AWS KMS o IAM) desde la última solicitud para descifrar la clave de la tabla.
**Cifrado de sobre**
Si cambia la clave administrada por el cliente para su tabla, Amazon Keyspaces genera una nueva clave de tabla. A continuación, utiliza la nueva clave de tabla para volver a cifrar las claves de cifrado de datos. También utiliza la nueva clave de tabla para cifrar las claves de tabla anteriores que se utilizan para proteger las copias de seguridad restaurables. Este proceso se denomina cifrado de sobre. Esto garantiza que pueda acceder a las copias de seguridad restaurables aunque rote la clave administrada por el cliente. Para obtener más información sobre el cifrado de sobre, consulte [Cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) en la *Guía para desarrolladores de AWS Key Management Service *.
**Topics**
+ [AWS claves propias](#keyspaces-owned)
+ [Claves administradas por el cliente](#customer-managed)
+ [Notas de uso del cifrado en reposo](#encryption.usagenotes)
## AWS claves propias
Claves propiedad de AWS no están almacenados en su. Cuenta de AWS Forman parte de una colección de claves de KMS que AWS posee y administra para su uso en múltiples direcciones Cuentas de AWS. AWS los servicios que puede utilizar Claves propiedad de AWS para proteger sus datos.
No puede ver, administrar Claves propiedad de AWS, usar ni auditar su uso. Sin embargo, no es necesario que realice ninguna acción ni que cambie programas para proteger las claves que cifran sus datos.
No se te cobra una cuota mensual ni una cuota de uso por el uso de tu cuenta Claves propiedad de AWS, y estas no se tienen en cuenta para AWS KMS las cuotas de tu cuenta.
## Claves administradas por el cliente
Las claves administradas por el cliente son claves Cuenta de AWS tuyas que tú creas, posees y administras. Usted tiene el control total sobre estas claves KMS.
Utilice una clave administrada por el cliente para obtener las siguientes características:
+ Usted crea y administra la clave gestionada por el cliente, lo que incluye establecer y mantener las [políticas de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) y [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para controlar el acceso a la clave gestionada por el cliente. Puede [habilitar y deshabilitar](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la clave administrada por el cliente, habilitar y deshabilitar la [rotación automática de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) y [programar la clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) para eliminarla cuando ya no esté en uso. Puede crear etiquetas y alias para las claves administradas por el cliente que administre.
+ Puede utilizar una clave administrada por el cliente con [material de claves importado](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) o una clave administrada por el cliente en un [almacén de claves personalizado](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que tenga y administre.
+ Puedes usar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Amazon Keyspaces envía AWS KMS en tu nombre. Para obtener más información, consulte [Paso 6: Configure la supervisión con AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Las claves administradas por el cliente [conllevan un cargo](https://aws.amazon.com/kms/pricing/) por cada llamada a la API y se aplican AWS KMS cuotas a estas claves de KMS. Para obtener más información, consulte [cuotas de solicitudes o de recursos de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Al especificar una clave administrada por el cliente como clave de cifrado raíz para una tabla, las copias de seguridad restaurables se cifran con la misma clave de cifrado que se especifica para la tabla en el momento de crear la copia de seguridad. Si se rota la clave KMS para la tabla, el sobre de claves garantiza que la clave KMS más reciente tenga acceso a todas las copias de seguridad restaurables.
Amazon Keyspaces debe tener acceso a su clave administrada por el cliente para proporcionarle acceso a los datos de su tabla. Si el estado de la clave de cifrado es deshabilitado o su eliminación está programada, Amazon Keyspaces no puede cifrar ni descifrar datos. Como resultado, no puede realizar operaciones de lectura ni de escritura en la tabla. En cuanto el servicio detecte que su clave de cifrado es inaccesible, Amazon Keyspaces le enviará una notificación por correo electrónico para avisarle.
Debe restablecer el acceso a su clave de cifrado en un plazo de siete días o Amazon Keyspaces eliminará automáticamente su tabla. Como medida de precaución, Amazon Keyspaces crea una copia de seguridad restaurable de los datos de su tabla antes de eliminarla. Amazon Keyspaces mantiene la copia de seguridad restaurable durante 35 días. Transcurridos 35 días, ya no podrá restaurar los datos de su tabla. No se le factura por la copia de seguridad restaurable, pero se aplican los [cargos de restauración](https://aws.amazon.com/keyspaces/pricing) estándar.
Puede utilizar esta copia de seguridad restaurable para restaurar sus datos en una nueva tabla. Para iniciar la restauración, la última clave administrada por el cliente utilizada para la tabla debe estar habilitada y Amazon Keyspaces debe tener acceso a ella.
**nota**
Al crear una tabla cifrada con una clave administrada por el cliente inaccesible o programada para eliminación antes de que finalice el proceso de creación, se produce un error. La operación de creación de la tabla falla y se le envía una notificación por correo electrónico.
## Notas de uso del cifrado en reposo
Tenga en cuenta lo siguiente cuando utilice el cifrado en reposo en Amazon Keyspaces.
+ El cifrado en reposo del lado del servidor está habilitado en todas las tablas de Amazon Keyspaces y no se puede deshabilitar. Toda la tabla se cifra en reposo, no puede seleccionar columnas ni filas específicas para su cifrado.
+ De forma predeterminada, Amazon Keyspaces utiliza una clave predeterminada de servicio único (Clave propiedad de AWS) para cifrar todas sus tablas. Si esta clave no existe, se crea una para usted. Las claves predeterminadas de servicio no se pueden deshabilitar.
+ El cifrado en reposo solo cifra los datos mientras estén estáticos (en reposo) en un medio de almacenamiento persistente. Si le preocupa la seguridad de los datos en tránsito o en uso, debe adoptar medidas adicionales:
+ Datos en tránsito: todos los datos de Amazon Keyspaces se cifran en tránsito. De forma predeterminada, las comunicaciones hacia y desde Amazon Keyspaces están protegidas mediante el cifrado Capa de conexión segura (SSL)/Seguridad de la capa de transporte (TLS).
+ Datos en uso: proteja sus datos antes de enviarlos a Amazon Keyspaces utilizando el cifrado del cliente.
+ Claves administradas por el cliente: los datos en reposo de sus tablas se cifran siempre utilizando sus claves administradas por el cliente. Sin embargo, las operaciones que realizan actualizaciones atómicas de varias filas cifran los datos que se utilizan temporalmente Claves propiedad de AWS durante el procesamiento. Esto incluye las operaciones de eliminación de rangos y las operaciones que accedan simultáneamente a datos estáticos y no estáticos.
+ Una única clave administrada por el cliente puede tener hasta 50 000 [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Cada tabla de Amazon Keyspaces asociada a una clave administrada por el cliente consume 2 concesiones. Una concesión se libera cuando se elimina la tabla. La segunda concesión se utiliza para crear una instantánea automática de la tabla para protegerla de la pérdida de datos en caso de que Amazon Keyspaces perdiera el acceso a la clave administrada por el cliente de forma involuntaria. Esta concesión se otorga 42 días después de la eliminación de la tabla.
# Cifrado en reposo: Cómo utilizar claves administradas por el cliente para cifrar tablas en Amazon Keyspacess.
Puede utilizar la consola o las sentencias CQL AWS KMS key para especificar las tablas nuevas y actualizar las claves de cifrado de las tablas existentes en Amazon Keyspaces. En el siguiente tema se describe cómo implementar claves administradas por el cliente para tablas nuevas y existentes.
**Topics**
+ [Requisitos previos: Crear una clave gestionada por el cliente AWS KMS y conceder permisos a Amazon Keyspaces](#encryption.createCMKMS)
+ [Paso 3: Especificar una clave administrada por el cliente para una tabla nueva](#encryption.tutorial-creating)
+ [Paso 4: Actualizar la clave de cifrado de una tabla existente](#encryption.tutorial-update)
+ [Paso 5: Utilizar el contexto de cifrado de Amazon Keyspaces en los registros](#encryption-context)
+ [Paso 6: Configure la supervisión con AWS CloudTrail](#encryption-cmk-trail)
## Requisitos previos: Crear una clave gestionada por el cliente AWS KMS y conceder permisos a Amazon Keyspaces
Para poder proteger una tabla de Amazon Keyspaces con una [clave gestionada por el cliente](encryption.howitworks.md#customer-managed), primero debe crear la clave en AWS Key Management Service (AWS KMS) y, a continuación, autorizar a Amazon Keyspaces a utilizarla.
### Paso 1: Cree una clave gestionada por el cliente mediante AWS KMS
Para crear una clave gestionada por el cliente que se utilice para proteger una tabla de Amazon Keyspaces, puede seguir los pasos que se indican en [Creación de claves KMS de cifrado simétrico](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) mediante la consola o la API. AWS
### Paso 2: Autorizar el uso de su clave administrada por el cliente
Para que pueda elegir una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger una tabla de Amazon Keyspaces, las políticas de dicha clave administrada por el cliente deben conceder a Amazon Keyspaces permiso para utilizarla en su nombre. Usted tiene el control total sobre las políticas y concesiones de la clave administrada por el cliente. Puede proporcionar estos permisos en una [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), una [política de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) o una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Amazon Keyspaces no necesita autorización adicional para utilizar la [Clave propiedad de AWS](encryption.howitworks.md#keyspaces-owned) predeterminada para proteger las tablas de Amazon Keyspaces en su cuenta de AWS .
En los siguientes temas se muestra cómo configurar los permisos necesarios mediante las políticas de IAM y las concesiones que permiten que las tablas de Amazon Keyspaces utilicen una clave administrada por el cliente.
**Topics**
+ [Política de claves para claves administradas por el cliente](#encryption-customer-managed-policy)
+ [Ejemplo de política de claves de](#encryption-customer-managed-policy-sample)
+ [Uso de concesiones para autorizar a Amazon Keyspaces](#encryption-grants)
#### Política de claves para claves administradas por el cliente
Al seleccionar una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger una tabla de Amazon Keyspaces, Amazon Keyspaces obtiene permiso para utilizar la clave administrada por el cliente en nombre de la entidad principal que realiza la selección. Esa entidad principal, un usuario o rol debe tener en la clave administrada por el cliente los permisos que Amazon Keyspaces requiere.
Como mínimo, Amazon Keyspaces requiere los siguientes permisos en una clave administrada por el cliente:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (para kms: ReEncryptFrom y) kms: ReEncryptTo
+ kms: GenerateDataKey \$1 (para [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) y [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [kilómetros: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Ejemplo de política de claves de
Por ejemplo, la política de claves de ejemplo siguiente proporciona solo los permisos necesarios. La política tiene las siguientes consecuencias:
+ Permite a Amazon Keyspaces utilizar la clave administrada por el cliente en operaciones de cifrado y crear concesiones, pero solo cuando actúa en nombre de entidades principales de la cuenta que tienen permiso para utilizar Amazon Keyspaces. Si las entidades principales especificadas en la declaración de la política no tienen permiso para utilizar Amazon Keyspaces, la llamada falla, aunque proceda del servicio Amazon Keyspaces.
+ La clave [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) condition permite los permisos solo cuando la solicitud proviene de Amazon Keyspaces en nombre de las entidades principales que figuran en la declaración de política. Estas entidades principales no pueden llamar a estas operaciones directamente. Tenga en cuenta que el valor `kms:ViaService`, `cassandra.*.amazonaws.com`, tiene un asterisco (\$1) en la posición Región. Amazon Keyspaces requiere el permiso para ser independiente de cualquier elemento concreto. Región de AWS
+ Otorga a los administradores de la clave administrada por el cliente (usuarios que pueden asumir la función `db-team`) acceso de solo lectura a la clave administrada por el cliente y permiso para revocar concesiones, incluyendo las [concesiones que Amazon Keyspaces requiere](#encryption-grants) para proteger la tabla.
+ Otorga a Amazon Keyspaces acceso de solo lectura a la clave administrada por el cliente. En este caso, Amazon Keyspaces puede llamar directamente a estas operaciones. No tiene que actuar en nombre de una entidad principal de la cuenta.
Antes de utilizar un ejemplo de política de claves, sustituya los principios de ejemplo por los principios reales de su empresa. Cuenta de AWS
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Uso de concesiones para autorizar a Amazon Keyspaces
Además de las políticas de claves, Amazon Keyspaces utiliza concesiones para establecer permisos en una clave administrada por el cliente. Para ver las concesiones que tiene una clave administrada por el cliente en su cuenta, utilice la operación [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). Amazon Keyspaces no necesita concesiones, ni ningún permiso adicional, para utilizar la [Clave propiedad de AWS](encryption.howitworks.md#keyspaces-owned) para proteger su tabla.
Amazon Keyspaces utiliza los permisos de concesión cuando realiza tareas de mantenimiento del sistema en segundo plano y de protección continua de datos. También utiliza las concesiones para generar las claves de la tabla.
Cada concesión es específica de una tabla. Si la cuenta incluye múltiples tablas cifradas bajo la misma clave administrada por el cliente, existe una concesión de cada tipo para cada tabla. La concesión está limitada por el contexto de [cifrado de Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), que incluye el nombre de la tabla y Cuenta de AWS el ID. La concesión incluye el [permiso para retirar la concesión](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) si ya no fuera necesaria.
Para crear las concesiones, Amazon Keyspaces debe tener permiso para llamar a `CreateGrant` en nombre del usuario que creó la tabla cifrada.
La política de claves también puede permitir a la cuenta [revocar la concesión](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) en la clave administrada por el cliente. Sin embargo, si revoca la concesión en una tabla cifrada activa, Amazon Keyspaces no podrá proteger ni mantener la tabla.
## Paso 3: Especificar una clave administrada por el cliente para una tabla nueva
Siga estos pasos para especificar la clave administrada por el cliente en una tabla nueva mediante la consola de Amazon Keyspaces o CQL.
### Creación de una tabla cifrada utilizando una clave administrada por el cliente (consola)
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. En el panel de navegación, elija **Tablas** y, a continuación, seleccione **Crear tabla**.
1. En la página **Crear tabla**, en la sección **Detalles de la tabla**, seleccione un espacio de claves y proporcione un nombre para la nueva tabla.
1. En la sección **Esquema**, cree el esquema para su tabla.
1. En la sección **Configuración de la tabla**, elija **Personalizar configuración**.
1. Continúe en **Configuración del cifrado**.
En este paso, usted selecciona la configuración del cifrado para la tabla.
En la sección **Cifrado en reposo**, en **Elegir una AWS KMS key**, elija la opción **Elegir una clave de KMS diferente (avanzada)** y, en el campo de búsqueda, elija AWS KMS key o introduzca un nombre de recurso de Amazon (ARN).
**nota**
Si no se puede acceder a la clave que ha seleccionado o le faltan los permisos necesarios, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
1. Elija **Crear** para crear la tabla cifrada.
### Creación de una tabla nueva mediante una clave administrada por el cliente para el cifrado en reposo (CQL)
Para crear una nueva tabla que utilice una clave administrada por el cliente para el cifrado en reposo, puede utilizar la instrucción `CREATE TABLE` como se muestra en el siguiente ejemplo. Asegúrese de sustituir el ARN de la clave por el ARN de una clave válida con permisos concedidos a Amazon Keyspaces.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si recibe una `Invalid Request Exception`, debe confirmar que la clave administrada por el cliente sea válida y que Amazon Keyspaces disponga de los permisos necesarios. Para confirmar que la clave se ha configurado correctamente, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
## Paso 4: Actualizar la clave de cifrado de una tabla existente
También puede utilizar la consola Amazon Keyspaces o el CQL para cambiar las claves de cifrado de una tabla existente entre una clave de KMS gestionada por el cliente Clave propiedad de AWS y una clave de KMS gestionada por el cliente en cualquier momento.
### Actualización de una tabla existente con la nueva clave administrada por el cliente (consola)
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. En el panel de navegación, elija **Tablas**.
1. Elija la tabla que desee actualizar y luego la pestaña **Configuración adicional**.
1. En la sección **Cifrado en reposo**, elija **Administrar cifrado** para editar la configuración del cifrado de la tabla.
En **Elegir una AWS KMS key**, selecciona la opción **Elige una clave de KMS diferente (avanzada)** y, en el campo de búsqueda, selecciona AWS KMS key o introduce un nombre de recurso de Amazon (ARN).
**nota**
Si la clave que ha seleccionado no es válida, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
Como alternativa, puede elegir una Clave propiedad de AWS para una tabla cifrada con una clave gestionada por el cliente.
1. Elija **Guardar** para guardar los cambios en la tabla.
### Actualización de la clave de cifrado utilizada en una tabla existente
Para cambiar la clave de cifrado de una tabla existente, utilice la instrucción `ALTER TABLE` para especificar una clave administrada por el cliente para el cifrado en reposo. Asegúrese de sustituir el ARN de la clave por el ARN de una clave válida con permisos concedidos a Amazon Keyspaces.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si recibe una `Invalid Request Exception`, debe confirmar que la clave administrada por el cliente sea válida y que Amazon Keyspaces disponga de los permisos necesarios. Para confirmar que la clave se ha configurado correctamente, consulte [Solución de problemas de acceso a claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) en la Guía para AWS Key Management Service desarrolladores.
Para volver a cambiar la clave de cifrado por la opción de cifrado en reposo predeterminada Claves propiedad de AWS, puede utilizar la `ALTER TABLE` sentencia que se muestra en el siguiente ejemplo.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Paso 5: Utilizar el contexto de cifrado de Amazon Keyspaces en los registros
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.
Amazon Keyspaces utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas. Si utiliza una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger su tabla de Amazon Keyspaces, puede utilizar el contexto de cifrado para identificar el uso de la clave administrada por el cliente en los registros de auditoría y en los registros. También aparece en texto plano en los registros, como en los registros de Amazon Logs [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)y [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
En sus solicitudes AWS KMS, Amazon Keyspaces utiliza un contexto de cifrado con tres pares clave-valor.
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Espacio de claves**: el primer par clave-valor identifica el espacio de claves que incluye la tabla que Amazon Keyspaces está cifrando. La clave es `aws:cassandra:keyspaceName`. El valor es el nombre del espacio de claves.
```
"aws:cassandra:keyspaceName": ""
```
Por ejemplo:
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Tabla**: el segundo par clave-valor identifica la tabla que Amazon Keyspaces está cifrando. La clave es `aws:cassandra:tableName`. El valor es el nombre de la tabla.
```
"aws:cassandra:tableName": ""
```
Por ejemplo:
```
"aws:cassandra:tableName": "my_table"
```
+ **Cuenta**: el tercer par clave-valor identifica la Cuenta de AWS. La clave es `aws:cassandra:subscriberId`. El valor es el ID de la cuenta.
```
"aws:cassandra:subscriberId": ""
```
Por ejemplo:
```
"aws:cassandra:subscriberId": "111122223333"
```
## Paso 6: Configure la supervisión con AWS CloudTrail
Si utilizas una [clave gestionada por el cliente](encryption.howitworks.md#customer-managed) para proteger tus tablas de Amazon Keyspaces, puedes utilizar AWS CloudTrail los registros para realizar un seguimiento de las solicitudes que Amazon Keyspaces envía en tu nombre. AWS KMS
Las solicitudes `GenerateDataKey`, `DescribeKey`, `Decrypt` y `CreateGrant` se tratan en esta sección. Además, Amazon Keyspaces utiliza una [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operación para eliminar una concesión cuando se elimina una tabla.
**nota**
Cuando trabaja con Amazon Keyspaces, algunas operaciones pueden generar CloudTrail eventos con un `invokedBy` campo de. `dynamodb.amazonaws.com` Esto es de esperar y se debe a que Amazon Keyspaces se integra con Amazon DynamoDB para proporcionar su servicio.
**GenerateDataKey**
Amazon Keyspaces crea una clave de tabla única para cifrar los datos en reposo. Envía una *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*solicitud a la AWS KMS que se especifica la clave KMS de la tabla.
El evento que registra la operación `GenerateDataKey` es similar al siguiente evento de ejemplo. El usuario es la cuenta de servicio de Amazon Keyspaces. Los parámetros incluyen el Nombre de recurso de Amazon (ARN) de la clave administrada por el cliente, un especificador de clave que requiere una clave de 256 bits y el [contexto de cifrado](#encryption-context) que identifica la tabla y la Cuenta de AWS.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces utiliza una [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para determinar si la clave de KMS que ha seleccionado existe en la cuenta y la región.
El evento que registra la operación `DescribeKey` es similar al siguiente evento de ejemplo. El usuario es la cuenta de servicio de Amazon Keyspaces. Los parámetros incluyen el ARN de la clave administrada por el cliente y un especificador de clave que requiere una clave de 256 bits.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Al acceder a una tabla de Amazon Keyspaces cifrada, Amazon Keyspaces necesita descifrar la clave de la tabla de manera que pueda descifrar las claves de menor nivel en la jerarquía. A continuación, descifra los datos de la tabla. Para descifrar la clave de la tabla, Amazon Keyspaces envía [una](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) solicitud de descifrado AWS KMS a la que se especifica la clave de KMS de la tabla.
El evento que registra la operación `Decrypt` es similar al siguiente evento de ejemplo. El usuario principal que accede a la tabla es el Cuenta de AWS usuario principal. Los parámetros incluyen la clave de la tabla cifrada (como un bloque de texto cifrado) y el [contexto de cifrado](#encryption-context) que identifica la tabla y la. Cuenta de AWS AWS KMS obtiene el ID de la clave gestionada por el cliente a partir del texto cifrado.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Al utilizar una [clave administrada por el cliente](encryption.howitworks.md#customer-managed) para proteger su tabla de Amazon Keyspaces, Amazon Keyspaces utiliza [concesiones](#encryption-grants) para permitir que el servicio realice tareas continuas de protección, mantenimiento y durabilidad de los datos. Estas concesiones no son necesarias en las [Claves propiedad de AWS](encryption.howitworks.md#keyspaces-owned).
Las concesiones que Amazon Keyspaces crea son específicas de una tabla. La entidad principal en la solicitud [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) es el usuario que creó la tabla.
El evento que registra la operación `CreateGrant` es similar al siguiente evento de ejemplo. Los parámetros incluyen el ARN de la clave administrada por el cliente para la tabla, la entidad principal que recibe la concesión y la entidad principal que la retira (el servicio Amazon Keyspaces), y las operaciones que cubre la concesión. También incluye una restricción que exige que todas las operaciones de cifrado utilicen el [contexto de cifrado](#encryption-context) especificado.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Cifrado en tránsito en Amazon Keyspaces
Amazon Keyspaces solo acepta conexiones seguras utilizando Seguridad de la capa de transporte (TLS). El cifrado en tránsito proporciona una capa adicional de protección de datos al cifrar sus datos mientras viajan hacia y desde Amazon Keyspaces. Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad suelen requerir el uso del cifrado en tránsito para aumentar la seguridad de los datos de las aplicaciones cuando transmiten datos a la red.
Para obtener información sobre cómo cifrar las conexiones de `cqlsh` a Amazon Keyspaces utilizando TLS, consulte [Configuración manual de conexiones de `cqlsh` para TLS](programmatic.cqlsh.md#encrypt_using_tls). Para obtener información sobre cómo utilizar el cifrado TLS con controladores de cliente, consulte [Uso de un controlador de cliente de Cassandra para acceder a Amazon Keyspaces mediante programación](programmatic.drivers.md).
# Privacidad del tráfico entre redes en Amazon Keyspaces
En este tema se describe cómo Amazon Keyspaces (para Apache Cassandra) protege las conexiones de las aplicaciones locales a Amazon Keyspaces y entre Amazon Keyspaces AWS y otros recursos dentro de las mismas. Región de AWS
## Tráfico entre el servicio y las aplicaciones y clientes locales
Dispone de dos opciones de conectividad entre su red privada y: AWS
+ Una AWS Site-to-Site VPN conexión. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) en la *Guía del usuario de AWS Site-to-Site VPN *.
+ Una Direct Connect conexión. Para obtener más información, consulte [¿Qué es Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) en la *Guía del usuario de Direct Connect *.
Como servicio gestionado, Amazon Keyspaces (para Apache Cassandra) está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad [AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon Keyspaces a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Amazon Keyspaces admite dos métodos de autenticación de solicitudes de clientes. El primer método utiliza credenciales específicas del servicio, que son credenciales basadas en contraseña generadas para un usuario de IAM específico. Puede crear y administrar la contraseña mediante la consola de IAM AWS CLI, la o la AWS API. Para obtener más información, consulte [Uso de IAM con Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
El segundo método utiliza un complemento de autenticación para el controlador DataStax Java de código abierto para Cassandra. Este complemento permite a los [usuarios, roles e identidades federadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) añadir información de autenticación a las solicitudes de la API de Amazon Keyspaces (para Apache Cassandra) mediante el proceso [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Para obtener más información, consulte [Creación y configuración de AWS credenciales para Amazon Keyspaces](access.credentials.md).
## Tráfico entre AWS recursos de la misma región
Los puntos de conexión de VPC de interfaz habilitan la comunicación privada entre su nube privada virtual (VPC), que se ejecuta en Amazon VPC, y Amazon Keyspaces. Los puntos finales de la VPC de la interfaz funcionan con AWS PrivateLink, que es un AWS servicio que permite la comunicación privada entre los VPCs servicios. AWS AWS PrivateLink lo habilita mediante el uso de una interfaz de red elástica con privacidad IPs en la VPC para que el tráfico de red no salga de la red de Amazon. Los puntos finales de la interfaz VPC no requieren una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Para obtener más información, consulte [Nube privada virtual de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Interfaz de puntos de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Para ver ejemplos de políticas, consulte [Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).
# AWS Identity and Access Management para Amazon Keyspaces
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y *autorizar* (tener permisos) para utilizar los recursos de Amazon Keyspaces. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso a Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Uso de roles vinculados a servicios para Amazon Keyspaces](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Funcionamiento de Amazon Keyspaces con IAM
Antes de utilizar IAM para administrar el acceso a Amazon Keyspaces, debe comprender qué características de IAM están disponibles para uso con Amazon Keyspaces. *Para obtener una visión general de cómo funcionan Amazon Keyspaces y otros AWS servicios con IAM, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Políticas basadas en identidades de Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Roles de IAM de Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Políticas basadas en identidades de Amazon Keyspaces
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Keyspaces admite acciones y recursos específicos, así como claves de condición. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Para ver los recursos y acciones específicos del servicio Amazon Keyspaces y las claves de contexto de condición que se pueden utilizar para las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) en la *Referencia de autorización de servicios*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de política en Amazon Keyspaces utilizan el siguiente prefijo antes de la acción: `cassandra:`. Por ejemplo, para conceder a alguien permiso para crear un espacio de claves de Amazon Keyspaces con la instrucción CQL `CREATE` de Amazon Keyspaces, incluya la acción `cassandra:Create` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Keyspaces define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Para ver una lista de las acciones de Amazon Keyspaces, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) en la *Referencia de autorización de servicios*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
En Amazon Keyspaces, los espacios clave, las tablas y las transmisiones se pueden utilizar como `Resource` elemento de los permisos de IAM.
**nota**
Para acceder a los espacios clave y las tablas de los usuarios en Amazon Keyspaces, su política de IAM debe `cassandra:Select` incluir permisos en las tablas del sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Esto se aplica a los siguientes escenarios:
AWS Acceso a la consola de administración
Las operaciones de recursos del SDK`GetKeyspace`, por ejemplo`GetTable`,`ListKeyspaces`, y `ListTables`
Conexiones estándar del controlador del cliente Apache Cassandra, ya que los controladores leen automáticamente las tablas del sistema durante la inicialización de la conexión
Las tablas del sistema son de solo lectura y no se pueden modificar.
El recurso de espacio de claves de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
El recurso de tabla de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
El recurso de transmisión de Amazon Keyspaces tiene el siguiente ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Para obtener más información sobre el formato de ARNs, consulte [Nombres de recursos de Amazon (ARNs) y espacios de nombres AWS de servicios](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar el espacio de claves `mykeyspace` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Para especificar todos los espacios de claves que pertenezcan a una cuenta en concreto, utilice el comodín (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Algunas acciones de Amazon Keyspaces, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Por ejemplo, para conceder `SELECT` permisos a una entidad principal de IAM para `mytable` entrar`mykeyspace`, la entidad principal debe tener permisos para leer tanto como. `mytable` `keyspace/system*` Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Para ver una lista de los tipos de recursos de Amazon Keyspaces y sus correspondientes ARNs, consulte [Recursos definidos por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) en la Referencia de autorización de servicios.* Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Amazon Keyspaces define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
Todas las acciones de Amazon Keyspaces admiten las claves de condición `aws:RequestTag/${TagKey}`, `aws:ResourceTag/${TagKey}` y `aws:TagKeys`. Para obtener más información, consulte [Acceso a recursos de Amazon Keyspaces basado en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Para ver una lista de las claves de condición de Amazon Keyspaces, consulte [Claves de condición para Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) en la *Referencia de autorización de servicios*. Para obtener información sobre con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en identidades de Amazon Keyspaces, consulte [Ejemplos de políticas basadas en identidades de Amazon Keyspaces](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Amazon Keyspaces
Amazon Keyspaces no admite políticas basadas en recursos. Para ver un ejemplo de una página detallada de política basada en recursos, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorización basada en etiquetas de Amazon Keyspaces
Puede administrar el acceso a sus recursos de Amazon Keyspaces mediante etiquetas. Para administrar el acceso a recursos en función de etiquetas, proporcione información de etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre el etiquetado de recursos de Amazon Keyspaces, consulte [Trabajo con etiquetas para los recursos de Amazon Keyspaces](tagging-keyspaces.md).
Para ver ejemplos de políticas basadas en identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Acceso a recursos de Amazon Keyspaces basado en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Roles de IAM de Amazon Keyspaces
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad dentro de usted Cuenta de AWS que tiene permisos específicos.
### Uso de credenciales temporales con Amazon Keyspaces
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Keyspaces admite el uso de credenciales temporales con el complemento de autenticación AWS Signature Version 4 (SiGv4) disponible en el repositorio de Github para los siguientes idiomas:
+ Java: [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js: [https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Go: [https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Para ver ejemplos y tutoriales en los que se implementa el complemento de autenticación para acceder a Amazon Keyspaces mediante programación, consulte [Uso de un controlador de cliente de Cassandra para acceder a Amazon Keyspaces mediante programación](programmatic.drivers.md).
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener detalles sobre creación o administración de roles vinculados a servicios de Amazon Keyspaces, consulte **[Uso de roles vinculados a servicios para Amazon Keyspaces](using-service-linked-roles.md)**.
### Roles de servicio
Amazon Keyspaces no admite roles de servicio.
# Ejemplos de políticas basadas en identidades de Amazon Keyspaces
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar recursos de Amazon Keyspaces. Tampoco pueden realizar tareas mediante la consola, el CQLSH o la API. AWS CLI AWS Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acceso a las tablas de Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Acceso a recursos de Amazon Keyspaces basado en etiquetas](#security_iam_id-based-policy-examples-tags)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar recursos de Amazon Keyspaces en su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Amazon Keyspaces
Amazon Keyspaces no requiere permisos específicos para acceder a la consola de Amazon Keyspaces. Necesita al menos permisos de solo lectura para enumerar y ver detalles sobre los recursos de Amazon Keyspaces en su sitio. Cuenta de AWS Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Hay dos políticas AWS administradas disponibles para que las entidades puedan acceder a la consola de Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html): esta política otorga acceso de solo lectura a Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Esta política otorga permisos para usar Amazon Keyspaces con acceso total a todas las funciones.
Para obtener más información sobre las políticas administradas de Amazon Keyspaces, consulte [AWS políticas gestionadas para Amazon Keyspaces](security-iam-awsmanpol.md).
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso a las tablas de Amazon Keyspaces
**nota**
Para acceder a los espacios clave y las tablas de los usuarios en Amazon Keyspaces, su política de IAM debe `cassandra:Select` incluir permisos en las tablas del sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Esto se aplica a los siguientes escenarios:
AWS Acceso a la consola de administración
Las operaciones de recursos del SDK`GetKeyspace`, por ejemplo`GetTable`,`ListKeyspaces`, y `ListTables`
Conexiones estándar del controlador del cliente Apache Cassandra, ya que los controladores leen automáticamente las tablas del sistema durante la inicialización de la conexión
Las tablas del sistema son de solo lectura y no se pueden modificar.
A continuación se muestra un ejemplo de política que concede acceso de solo lectura (`SELECT`) a las tablas del sistema de Amazon Keyspaces. En todos los ejemplos, sustituya la región y el ID de cuenta en el nombre de recurso de Amazon (ARN) por los suyos.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política añade acceso de solo lectura a la tabla de usuario `mytable` en el espacio de claves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política asigna el read/write acceso a una tabla de usuarios y el acceso de lectura a las tablas del sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política permite a un usuario crear tablas en el espacio de claves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
El siguiente ejemplo de política asigna el acceso de lectura a las tablas del sistema, pero restringe el acceso `SELECT` (lectura) y `MODIFY` (escritura) a la tabla de usuarios. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Acceso a recursos de Amazon Keyspaces basado en etiquetas
Puede utilizar condiciones en su política basada en identidades para controlar el acceso a los recursos de Amazon Keyspaces en función de etiquetas. Estas políticas controlan la visibilidad de los espacios de claves y las tablas de la cuenta. Tenga en cuenta que los permisos basados en etiquetas para las tablas del sistema se comportan de manera diferente cuando las solicitudes se realizan mediante el AWS SDK en comparación con las llamadas a la API de Cassandra Query Language (CQL) mediante los controladores y las herramientas de desarrollo de Cassandra.
+ Para realizar solicitudes de recursos `List` y `Get` con el SDK de AWS al utilizar el acceso basado en etiquetas, la persona que realiza la llamada necesita tener acceso de lectura a las tablas del sistema. Por ejemplo, se requieren permisos de acción `Select` para leer datos de las tablas del sistema a través de la operación `GetTable`. Si la persona que llama solo tiene acceso basado en etiquetas a una tabla específica, una operación que requiera acceso adicional a una tabla del sistema fallará.
+ Por compatibilidad con el comportamiento establecido de los controladores de Cassandra, las políticas de autorización basadas en etiquetas no se aplican cuando se realizan operaciones en tablas del sistema mediante llamadas a la API de Cassandra Query Language (CQL) a través de los controladores y las herramientas para desarrolladores de Cassandra.
En el siguiente ejemplo se muestra cómo puede crear una política que conceda permisos a un usuario para ver una tabla si el `Owner` de la tabla contiene el valor del nombre de usuario de ese usuario. En este ejemplo, también concede acceso de lectura a las tablas del sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario llamado `richard-roe` intenta ver una tabla de Amazon Keyspaces, la tabla debe tener la etiqueta `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
La siguiente política concede permisos a un usuario para crear tablas con etiquetas si el `Owner` de la tabla contiene el valor del nombre de usuario de ese usuario.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS políticas gestionadas para Amazon Keyspaces
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonKeyspacesReadOnlyAccess \$1v2
Puede asociar la política `AmazonKeyspacesReadOnlyAccess_v2` a las identidades de IAM.
Esta política concede acceso de solo lectura a Amazon Keyspaces e incluye los permisos necesarios al conectarse a través de puntos de conexión de VPC privados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: proporciona acceso de solo lectura a Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite a los directores ver las transmisiones de los CDC de Amazon Keyspaces.
+ `Application Auto Scaling`: permite a las entidades principales ver las configuraciones de Application Auto Scaling. Esto es necesario para que los usuarios puedan ver las políticas de escalado automático que se vinculan a una tabla.
+ `CloudWatch`— Permite a los directores ver los datos métricos y las alarmas configuradas en. CloudWatch Esto es necesario para que los usuarios puedan ver el tamaño de la tabla facturable y CloudWatch las alarmas que se han configurado para una tabla.
+ `AWS KMS`— Permite a los directores ver las claves configuradas en. AWS KMS Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
+ `Amazon EC2`: permite a las entidades principales que se conectan a Amazon Keyspaces a través de puntos de conexión de VPC consultar la VPC de su instancia de Amazon EC2 para obtener información sobre el punto de conexión y la interfaz en red. Este acceso de solo lectura a la instancia de Amazon EC2 es necesario para que Amazon Keyspaces pueda buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla `system.peers` que se utiliza para el equilibrio de carga de conexiones.
[Para revisar el `JSON` formato de la política, consulte AmazonKeyspacesReadOnlyAccess \$1v2.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)
## AWS política gestionada: AmazonKeyspacesReadOnlyAccess
Puede asociar la política `AmazonKeyspacesReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso de solo lectura a Amazon Keyspaces.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: proporciona acceso de solo lectura a Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite a los directores ver las transmisiones de los CDC de Amazon Keyspaces.
+ `Application Auto Scaling`: permite a las entidades principales ver las configuraciones de Application Auto Scaling. Esto es necesario para que los usuarios puedan ver las políticas de escalado automático que se vinculan a una tabla.
+ `CloudWatch`— Permite a los directores ver los datos métricos y las alarmas configuradas en. CloudWatch Esto es necesario para que los usuarios puedan ver el tamaño de la tabla facturable y CloudWatch las alarmas que se han configurado para una tabla.
+ `AWS KMS`— Permite a los directores ver las claves configuradas en. AWS KMS Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
Para revisar el `JSON` formato de la política, consulte. [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)
## AWS política gestionada: AmazonKeyspacesFullAccess
Puede asociar la política `AmazonKeyspacesFullAccess` a las identidades de IAM.
Esta política concede permisos administrativos que permiten a sus administradores acceder sin restricciones a Amazon Keyspaces.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `Amazon Keyspaces`: permite a las entidades principales acceder a cualquier recurso de Amazon Keyspaces y realizar todas las acciones.
+ `Application Auto Scaling`: permite a las entidades principales crear, ver y eliminar políticas de escalado automático para las tablas de Amazon Keyspaces. Esto es necesario para que los administradores puedan administrar las políticas de escalado automático de las tablas de Amazon Keyspaces.
+ `CloudWatch`— Permite a los directores ver el tamaño de la tabla facturable, así como crear, ver y eliminar CloudWatch alarmas para las políticas de escalado automático de Amazon Keyspaces. Esto es necesario para que los administradores puedan ver el tamaño de la tabla facturable y crear un panel. CloudWatch
+ `IAM`: permite a Amazon Keyspaces crear automáticamente roles vinculados a servicios con IAM cuando están activadas las siguientes características:
+ `Amazon Keyspaces CDC streams`— Cuando un administrador habilita una transmisión para una tabla, Amazon Keyspaces crea el rol [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculado al servicio para publicar CloudWatch las métricas en tu cuenta en tu nombre.
+ `Application Auto Scaling`— Cuando un administrador habilita Application Auto Scaling para una tabla, Amazon Keyspaces crea el rol vinculado al servicio [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)para realizar acciones de escalado automáticas en su nombre.
+ `Amazon Keyspaces multi-Region replication`— Cuando un administrador crea un nuevo espacio de claves multirregión o añade uno nuevo Región de AWS a un espacio de claves de una sola región existente, Amazon Keyspaces crea la [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)función vinculada al servicio para realizar la replicación de tablas, datos y metadatos en las regiones seleccionadas en su nombre.
+ `AWS KMS`: permite a las entidades principales ver las claves configuradas en AWS KMS. Esto es necesario para que los usuarios puedan ver AWS KMS las claves que crean y administran en su cuenta y confirmar que la clave asignada a Amazon Keyspaces es una clave de cifrado simétrica que está habilitada.
+ `Amazon EC2`: permite a las entidades principales que se conectan a Amazon Keyspaces a través de puntos de conexión de VPC consultar la VPC de su instancia de Amazon EC2 para obtener información sobre el punto de conexión y la interfaz en red. Este acceso de solo lectura a la instancia de Amazon EC2 es necesario para que Amazon Keyspaces pueda buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla `system.peers` que se utiliza para el equilibrio de carga de conexiones.
Para revisar el `JSON` formato de la política, consulte. [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)
## AWS política gestionada: Keyspaces CDCService RolePolicy
No puede asociar `KeyspacesCDCServiceRolePolicy` a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que permite a Amazon Keyspaces realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Esta política otorga los permisos necesarios al rol vinculado al servicio para publicar en su nombre `AWSServiceRoleForAmazonKeyspacesCDC` los datos de las métricas de transmisión de los CDC de Amazon Keyspaces. CloudWatch
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `CloudWatch`— Permite a los service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) publicar datos de métricas de Amazon Keyspaces que los CDC transmiten en su CloudWatch cuenta `"cloudwatch:namespace": "AWS/Cassandra"` en su nombre.
Para revisar el `JSON` formato de la política, consulta [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces actualiza las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para Amazon Keyspaces desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos de Amazon Keyspaces (para Apache Cassandra)](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Keyspaces CDCServiceRolePolicy: nueva](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) política | Amazon Keyspaces ha añadido una nueva política gestionada `KeyspacesCDCServiceRolePolicy` que concede los permisos necesarios al rol vinculado al servicio para publicar los datos de las métricas de streaming de los CDC de `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces en su nombre. CloudWatch Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 de julio de 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2): actualización de una política existente | Amazon Keyspaces agregó nuevos permisos para permitir a los directores de IAM ver las transmisiones de Amazon Keyspaces CDC. Para obtener más información, consulte [Vea las transmisiones de los CDC en Amazon Keyspaces](keyspaces-view-cdc.md). | 2 de julio de 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los directores de IAM ver las transmisiones de Amazon Keyspaces CDC. Para obtener más información, consulte [Vea las transmisiones de los CDC en Amazon Keyspaces](keyspaces-view-cdc.md). | 2 de julio de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces creó la política `KeyspacesCDCServiceRolePolicy` administrada para el rol [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculado al servicio con el fin de añadir los permisos que se requieren cuando un administrador habilita una transmisión para una tabla. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesCDC` para publicar CloudWatch las métricas en su cuenta en su nombre. Para obtener más información, consulte [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 de julio de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces actualizó el `KeyspacesReplicationServiceRolePolicy` rol vinculado al servicio [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)para añadir los permisos necesarios cuando un administrador añade un espacio de claves nuevo Región de AWS a un espacio de claves único o multirregional. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesReplication` para replicar las tablas, su configuración y los datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 de noviembre de 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces ha añadido nuevos permisos para permitir a Amazon Keyspaces crear un rol vinculado a un servicio cuando un administrador añade una nueva región a un espacio de claves único o multirregional. Amazon Keyspaces utiliza el rol vinculado a servicios para realizar tareas de réplica de datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 de octubre de 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2: nueva política](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) | Amazon Keyspaces creó una nueva política para añadir permisos de solo lectura a los clientes que se conecten a Amazon Keyspaces a través de puntos de enlace de la interfaz de la VPC para acceder a la instancia de Amazon EC2 y buscar información de la red. Amazon Keyspaces almacena los puntos de conexión de VPC de interfaz disponibles en la tabla de `system.peers` para equilibrar la carga de conexión. Para obtener más información, consulte [Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz](vpc-endpoints.md). | 12 de septiembre de 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces ha añadido nuevos permisos para permitir a Amazon Keyspaces crear un rol vinculado a servicios cuando un administrador crea un espacio de claves multirregión. Amazon Keyspaces utiliza la función vinculada al servicio `AWSServiceRoleForAmazonKeyspacesReplication` para realizar tareas de replicación de datos en su nombre. Para obtener más información, consulte [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 de junio de 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver el tamaño facturable de una tabla utilizando. CloudWatch Amazon Keyspaces se integra con Amazon CloudWatch para que puedas controlar el tamaño de la mesa facturable. Para obtener más información, consulte [Métricas de Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julio de 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver el tamaño facturable de una tabla utilizando. CloudWatch Amazon Keyspaces se integra con Amazon CloudWatch para que puedas controlar el tamaño de la mesa facturable. Para obtener más información, consulte [Métricas de Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julio de 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver AWS KMS las claves que se han configurado para el cifrado de Amazon Keyspaces en reposo. El cifrado en reposo de Amazon Keyspaces se integra AWS KMS para proteger y administrar las claves de cifrado utilizadas para cifrar los datos en reposo. Para ver la AWS KMS clave configurada para Amazon Keyspaces, se han añadido permisos de solo lectura. | 1 de junio de 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): actualización de una política actual | Amazon Keyspaces agregó nuevos permisos para permitir a los usuarios ver AWS KMS las claves que se han configurado para el cifrado de Amazon Keyspaces en reposo. El cifrado en reposo de Amazon Keyspaces se integra AWS KMS para proteger y administrar las claves de cifrado utilizadas para cifrar los datos en reposo. Para ver la AWS KMS clave configurada para Amazon Keyspaces, se han añadido permisos de solo lectura. | 1 de junio de 2021 |
| Amazon Keyspaces ha comenzado a hacer el seguimiento de los cambios | Amazon Keyspaces comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |
# Solución de problemas de identidad y acceso a Amazon Keyspaces
Utilice la siguiente información como ayuda para diagnosticar y solucionar problemas comunes que pueda encontrar al trabajar con Amazon Keyspaces e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [He modificado un usuario o rol de IAM y los cambios no han surtido efecto de inmediato.](#security_iam_troubleshoot-effect)
+ [No puedo restaurar una tabla mediante la point-in-time recuperación de Amazon Keyspaces (PITR)](#security_iam_troubleshoot-pitr)
+ [No estoy autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Soy administrador y quiero permitir que otros accedan a Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Amazon Keyspaces
Si Consola de administración de AWS te indica que no estás autorizado a realizar una acción, debes ponerte en contacto con tu administrador para que te ayude. El administrador es la persona que le facilitó el nombre de usuario y la contraseña.
El siguiente ejemplo de error se produce cuando el usuario de `mateojackson` IAM intenta utilizar la consola para ver los detalles de una tabla*table*, pero no tiene `cassandra:Select` permisos para acceder a ella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `mytable` mediante la acción `cassandra:Select`.
## He modificado un usuario o rol de IAM y los cambios no han surtido efecto de inmediato.
Los cambios en la política de IAM pueden tardar hasta 10 minutos en surtir efecto para las aplicaciones con conexiones existentes y establecidas a Amazon Keyspaces. Los cambios en la política de IAM surten efecto de inmediato cuando las aplicaciones establecen una nueva conexión. Si ha realizado modificaciones en un usuario o rol de IAM existente y no ha surtido efecto de inmediato, espere 10 minutos o desconéctese de Amazon Keyspaces y vuelva a conectarse.
## No puedo restaurar una tabla mediante la point-in-time recuperación de Amazon Keyspaces (PITR)
Si está intentando restaurar una tabla de Amazon Keyspaces con point-in-time recuperación (PITR) y ve que el proceso de restauración comienza, pero no se completa correctamente, es posible que no haya configurado todos los permisos necesarios para el proceso de restauración. Debe ponerse en contacto con su administrador para obtener ayuda y pedirle que actualice sus políticas a fin de permitirle restaurar una tabla en Amazon Keyspaces.
Además de los permisos de usuario, Amazon Keyspaces podría requerir permisos para realizar acciones durante el proceso de restauración en nombre de su entidad principal. Este es el caso si la tabla está cifrada con una clave administrada por el cliente, o si está utilizando políticas de IAM que restrinjan el tráfico entrante. Por ejemplo, si utiliza claves de condición en su política de IAM para restringir el tráfico de origen a puntos de conexión o rangos de IP específicos, la operación de restauración falla. Para permitir que Amazon Keyspaces realice la operación de restauración de tablas en nombre de su entidad principal, debe añadir una clave de condición global `aws:ViaAWSService` en la política de IAM.
Para obtener más información sobre los permisos para restaurar tablas, consulte [Configuración de los permisos de IAM para la restauración de tablas con la PITR de Amazon Keyspaces](howitworks_restore_permissions.md).
## No estoy autorizado a realizar iam: PassRole
Si recibe un error que indica que no está autorizado a realizar la acción `iam:PassRole`, se deben actualizar sus políticas para permitirle pasar un rol a Amazon Keyspaces.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM llamado `marymajor` intenta utilizar la consola para realizar una acción en Amazon Keyspaces. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Soy administrador y quiero permitir que otros accedan a Amazon Keyspaces
Para permitir que otras personas accedan a Amazon Keyspaces, debe conceder permiso a las personas o aplicaciones que lo necesiten. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que les conceda los permisos correctos en Amazon Keyspaces. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Keyspaces
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para informarse de si Amazon Keyspaces admite estas características, consulte [Funcionamiento de Amazon Keyspaces con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios para Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Uso de roles para el escalado automático de aplicaciones de Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Uso de roles para la réplica multirregión de Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Uso de roles para las transmisiones de los CDC de Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Uso de roles para el escalado automático de aplicaciones de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos de Amazon Keyspaces porque no puede eliminar inadvertidamente el permiso para acceder a los recursos.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**para permitir que Application Auto Scaling llame a Amazon Keyspaces y a Amazon en su nombre. CloudWatch
El rol AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculado al servicio confía en los siguientes servicios para que lo asuman:
+ `cassandra.application-autoscaling.amazonaws.com`
La política de permisos del rol permite a Application Auto Scaling realizar las siguientes acciones en los recursos de Amazon Keyspaces especificados:
+ Acción: `cassandra:Select` en `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Acción: `cassandra:Select` en el recurso `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Acción: `cassandra:Select` en el recurso `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Acción: `cassandra:Alter` en el recurso `arn:*:cassandra:*:*:"*"`
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No es necesario crear manualmente un rol vinculado a servicios para el escalado automático de Amazon Keyspaces. Cuando habilita el escalado automático de Amazon Keyspaces en una tabla con el CQL Consola de administración de AWS, la o la AWS API AWS CLI, Application Auto Scaling crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el escalado automático de Amazon Keyspaces para una tabla, Application Auto Scaling vuelve a crear el rol vinculado a servicios por usted.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Apareció [un nuevo rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) en mi. Cuenta de AWS
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al AWSServiceRoleForApplicationAutoScaling\$1CassandraTable servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para Amazon Keyspaces
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, primero debe deshabilitar el escalado automático en todas las tablas de la cuenta para Regiones de AWS poder eliminar manualmente el rol vinculado al servicio. Para deshabilitar el escalado automático en las tablas de Amazon Keyspaces, consulte [Desactivación del escalado automático de Amazon Keyspaces para una tabla](autoscaling.turnoff.md).
**nota**
Si el escalado automático de Amazon Keyspaces utiliza el rol en el momento de intentar modificar los recursos, es posible que la anulación del registro falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForApplicationAutoScaling\$1CassandraTable servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
**nota**
Para eliminar el rol vinculado a servicios utilizado por el escalado automático de Amazon Keyspaces, primero debe deshabilitar el escalado automático en todas las tablas de la cuenta.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión del servicio para Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Uso de roles para la réplica multirregión de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos de Amazon Keyspaces porque no puede eliminar inadvertidamente el permiso para acceder a los recursos.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado para permitir que **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces añada nuevos elementos Regiones de AWS a un espacio de claves en su nombre y replique las tablas y todos sus datos y configuraciones en la nueva región. El rol también permite a Amazon Keyspaces replicar escrituras en tablas de todas las regiones en su nombre.
El rol AWSService RoleForAmazonKeyspacesReplication vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `replication.cassandra.amazonaws.com`
La política de permisos de roles denominada KeyspacesReplicationServiceRolePolicy permite a Amazon Keyspaces realizar las siguientes acciones:
+ Acción: `cassandra:Select`
+ Acción: `cassandra:SelectMultiRegionResource`
+ Acción: `cassandra:Modify`
+ Acción: `cassandra:ModifyMultiRegionResource`
+ Acción: `cassandra:AlterMultiRegionResource`
+ Acción: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces utiliza los permisos de escalado automático de la aplicación cuando se añade una réplica a una sola tabla de regiones en el modo aprovisionado con el escalado automático activado.
+ Acción: `application-autoscaling:DeregisterScalableTarget`
+ Acción: `application-autoscaling:DescribeScalableTargets`
+ Acción: `application-autoscaling:PutScalingPolicy`
+ Acción: `application-autoscaling:DescribeScalingPolicies`
+ Acción: `cassandra:Alter`
+ Acción: `cloudwatch:DeleteAlarms`
+ Acción: `cloudwatch:DescribeAlarms`
+ Acción: `cloudwatch:PutMetricAlarm`
Si bien el rol vinculado al servicio Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication proporciona los permisos: «Acción:» para el nombre de recurso de Amazon (ARN) especificado «arn: \$1» en la política, Amazon Keyspaces proporciona el ARN de su cuenta.
Los permisos para crear el rol vinculado al servicio se incluyen en la política gestionada. AWSService RoleForAmazonKeyspacesReplication `AmazonKeyspacesFullAccess` Para obtener más información, consulte [AWS política gestionada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No puede crear manualmente un rol vinculado a servicios. Al crear un espacio de claves multirregional en la Consola de administración de AWS, la o la AWS API AWS CLI, Amazon Keyspaces crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un espacio de claves multirregión, Amazon Keyspaces vuelve a crear el rol vinculado a servicios para usted.
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al AWSService RoleForAmazonKeyspacesReplication servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para Amazon Keyspaces
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, primero debe eliminar todos los espacios de claves multirregionales de la cuenta para Regiones de AWS poder eliminar manualmente el rol vinculado al servicio.
### Saneamiento de un rol vinculado a servicios
Para poder utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los espacios de claves y tablas multirregión utilizados por el rol.
**nota**
Si el servicio de Amazon Keyspaces utiliza el rol en el momento en que intenta eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Amazon Keyspaces utilizados por la AWSService RoleForAmazonKeyspacesReplication (consola)**
1. [Inicia sesión en la Consola de administración de AWS consola de Amazon Keyspaces y ábrela desde casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Elija **Espacios de claves** en el panel izquierdo.
1. Seleccione todos los espacios de claves multirregión de la lista.
1. Elija **Eliminar**, confirme la eliminación y luego elija **Eliminar espacios de claves**.
También puede eliminar espacios de claves multirregión mediante programación utilizando cualquiera de los siguientes métodos.
+ La instrucción [DROP KEYSPACE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop) de Cassandra Query Language (CQL).
+ La operación de [eliminación del espacio de claves](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) de la CLI. AWS
+ El [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)funcionamiento de la API de Amazon Keyspaces.
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al AWSService RoleForAmazonKeyspacesReplication servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Puede usar el AWSService RoleForAmazonKeyspacesReplication rol en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Admitida en Amazon Keyspaces |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (EE. UU.-Oeste) | us-gov-west-1 | No |
# Uso de roles para las transmisiones de los CDC de Amazon Keyspaces
[Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM vinculado directamente a Amazon Keyspaces. Amazon Keyspaces predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
No puede eliminar el rol vinculado al servicio.
## Permisos de roles vinculados a servicios para Amazon Keyspaces
Amazon Keyspaces utiliza el rol vinculado al servicio denominado CDC **AWSServiceRoleForAmazonKeyspacespara** permitir que las transmisiones de CDC de Amazon Keyspaces publiquen CloudWatch métricas en su cuenta en su nombre.
El rol vinculado al servicio de AWSService RoleForAmazonKeyspaces los CDC confía en que el siguiente servicio asuma el rol:
+ `cassandra-streams.amazonaws.com`
La política de permisos de roles denominada [Keyspaces permite](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) a CDCService RolePolicy Amazon Keyspaces realizar la siguiente acción en los recursos del espacio de nombres: CloudWatch `AWS/Cassandra`
+ Acción: `cloudwatch:PutMetricData` en `*`
El AWSService RoleForAmazonKeyspaces CDC proporciona los permisos: Acción: cloudwatch: PutMetricData en todos los recursos que cumplan la siguiente condición:. `"cloudwatch:namespace": "AWS/Cassandra"`
Para obtener más información sobre los Keyspaces CDCServiceRolePolicy, consulte. [AWS política gestionada: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Para habilitar las transmisiones de los CDC para una tabla, lo que crea automáticamente el rol AWSService RoleForAmazonKeyspaces CDC vinculado al servicio, el director de IAM necesita los siguientes permisos.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Los permisos para crear el rol AWSService RoleForAmazonKeyspaces CDC vinculado al servicio están incluidos en la política administrada. `AmazonKeyspacesFullAccess` Para obtener más información, consulte [AWS política gestionada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Creación de un rol vinculado a servicios para Amazon Keyspaces
No necesitas crear manualmente un rol vinculado a un servicio para las transmisiones de Amazon Keyspaces CDC. Cuando habilita las transmisiones CDC de Amazon Keyspaces en una tabla con el CQL Consola de administración de AWS, la o la API AWS CLI AWS , Amazon Keyspaces crea el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar las transmisiones de Amazon Keyspaces CDC para una tabla, Amazon Keyspaces vuelve a crear el rol vinculado al servicio para usted.
## Edición de un rol vinculado a servicios para Amazon Keyspaces
Amazon Keyspaces no le permite editar el rol vinculado al servicio de los AWSService RoleForAmazonKeyspaces CDC. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces
Amazon Keyspaces admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Validación de conformidad para Amazon Keyspaces (para Apache Cassandra)
Los auditores externos evalúan la seguridad y el cumplimiento de Amazon Keyspaces (para Apache Cassandra) como parte de varios AWS programas de cumplimiento. Entre ellos se incluyen:
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Para obtener más información, consulte [Certificaciones y servicios ISO y CSA STAR de AWS](https://aws.amazon.com/compliance/iso-certified/).
+ Controles del Sistema y Organizaciones (System and Organization Controls, SOC)
+ Industria de tarjetas de pago (PCI)
+ Programa Federal de Administración de Riesgos y Autorizaciones-Alto (FedRAMP-High)
+ Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU (Health Insurance Portability and Accountability Act, HIPAA).
Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia y recuperación de desastres en Amazon Keyspaces
La infraestructura AWS global se basa Regiones de AWS en zonas de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Amazon Keyspaces replica los datos automáticamente tres veces en varias zonas de AWS disponibilidad dentro de la misma Región de AWS para garantizar una mayor durabilidad y alta disponibilidad.
Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte la infraestructura [AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Además de la infraestructura AWS global, Amazon Keyspaces ofrece varias funciones que ayudan a respaldar sus necesidades de respaldo y resiliencia de datos.
**Replicación multirregional**
Amazon Keyspaces ofrece replicación multirregional si necesita replicar sus datos o aplicaciones a grandes distancias geográficas. Puede replicar sus tablas de Amazon Keyspaces en las diferentes tablas que Regiones de AWS desee. Para obtener más información, consulte [Replicación multirregional para Amazon Keyspaces (para Apache Cassandra)](multiRegion-replication.md).
**Point-in-time recuperación (PITR)**
PITR ayuda a proteger sus tablas de Amazon Keyspaces de operaciones accidentales de escritura o eliminación proporcionándole copias de seguridad continuas de los datos de sus tablas. Para obtener más información, consulte [oint-in-timeRecuperación de P para Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).
# Seguridad de la infraestructura en Amazon Keyspaces
Como servicio gestionado, Amazon Keyspaces (para Apache Cassandra) está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad [AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon Keyspaces a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Amazon Keyspaces admite dos métodos de autenticación de solicitudes de clientes. El primer método utiliza credenciales específicas del servicio, que son credenciales basadas en contraseña generadas para un usuario de IAM específico. Puede crear y administrar la contraseña mediante la consola de IAM AWS CLI, la o la AWS API. Para obtener más información, consulte [Uso de IAM con Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
El segundo método utiliza un complemento de autenticación para el controlador DataStax Java de código abierto para Cassandra. Este complemento permite a los [usuarios, roles e identidades federadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) añadir información de autenticación a las solicitudes de la API de Amazon Keyspaces (para Apache Cassandra) mediante el proceso [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Para obtener más información, consulte [Creación y configuración de AWS credenciales para Amazon Keyspaces](access.credentials.md).
Puede llamar a estas operaciones de API desde cualquier ubicación de la red, pero Amazon Keyspaces admite políticas de acceso basadas en recursos, que pueden incluir restricciones basadas en la dirección IP de origen. También puede utilizar las políticas de Amazon Keyspaces para controlar el acceso desde puntos de enlace específicos o específicos de Amazon Virtual Private Cloud (Amazon VPC). VPCs De hecho, esto aísla el acceso a la red a un recurso de Amazon Keyspaces determinado únicamente de la VPC específica de la red. AWS
Puede utilizar un punto de conexión de VPC de interfaz para evitar que el tráfico entre su Amazon VPC y Amazon Keyspaces salga de la red de Amazon. Los puntos de enlace de la interfaz VPC funcionan con una AWS tecnología que permite la comunicación privada entre AWS servicios mediante una interfaz de red elástica y privada en IPs su Amazon VPC. AWS PrivateLink Para obtener más información, consulte [Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz](vpc-endpoints.md).
# Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz
Los puntos de conexión de VPC de interfaz habilitan la comunicación privada entre su nube privada virtual (VPC), que se ejecuta en Amazon VPC, y Amazon Keyspaces. Los puntos finales de la VPC de la interfaz funcionan con AWS PrivateLink, que es un AWS servicio que permite la comunicación privada entre los VPCs servicios. AWS
AWS PrivateLink lo habilita mediante una interfaz de red elástica con direcciones IP privadas en la VPC para que el tráfico de red no salga de la red de Amazon. Los puntos de conexión de VPC de interfaz no requieren una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN ni una conexión de Direct Connect . Para obtener más información, consulte [Nube privada virtual de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Interfaz de puntos de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Relleno de entradas de la tabla `system.peers` con información del punto de conexión de VPC de interfaz](#system_peers)
+ [Control de acceso a puntos de conexión de VPC de interfaz para Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Disponibilidad.](#availability)
+ [Políticas de puntos de conexión de VPC y recuperación de Amazon Keyspaces point-in-time (PITR)](#VPC_PITR_restore)
+ [Errores y advertencias comunes](#vpc_troubleshooting)
## Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces
Puede crear un punto de conexión de VPC de interfaz para que el tráfico entre Amazon Keyspaces y sus recursos de Amazon VPC comience a fluir a través del punto de conexión de VPC de interfaz. Para comenzar, siga los pasos necesarios para [crear un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint). A continuación, edite el grupo de seguridad asociado al punto de conexión que creó en el paso anterior y configure una regla de entrada para el puerto 9142. Para obtener más información, consulte [Adición, eliminación y actualización de reglas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).
Para ver un step-by-step tutorial sobre cómo configurar una conexión a Amazon Keyspaces a través de un punto de enlace de VPC, consulte. [Tutorial: Conéctese a Amazon Keyspaces mediante un punto de enlace de VPC de interfaz](vpc-endpoints-tutorial.md) Para obtener información sobre cómo configurar el acceso multicuenta a los recursos de Amazon Keyspaces separados de las aplicaciones de una Cuentas de AWS VPC, consulte. [Configuración del acceso entre cuentas a Amazon Keyspaces con puntos de conexión de VPC](access.cross-account.md)
## Relleno de entradas de la tabla `system.peers` con información del punto de conexión de VPC de interfaz
Los controladores de Apache Cassandra utilizan la tabla `system.peers` para consultar información de los nodos sobre el clúster. Los controladores de Cassandra utilizan la información de los nodos para equilibrar la carga de las conexiones y reintentar las operaciones. Amazon Keyspaces rellena nueve entradas en la tabla `system.peers` de forma automática para los clientes que se conecten a través del punto de conexión público.
Para proporcionar a los clientes que se conecten a través de puntos de conexión de VPC de interfaz una funcionalidad similar, Amazon Keyspaces rellena la tabla `system.peers` de su cuenta con una entrada para cada zona de disponibilidad en la que esté disponible un punto de conexión de VPC. Para buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla `system.peers`, Amazon Keyspaces requiere que conceda a la entidad de IAM utilizada para conectarse a Amazon Keyspaces permisos de acceso para consultar su VPC en busca de información sobre el punto de conexión y la interfaz en red.
**importante**
Rellenar la `system.peers` tabla con los puntos finales de VPC de la interfaz disponibles mejora el equilibrio de carga y aumenta el rendimiento. read/write Se recomienda para todos los clientes que accedan a Amazon Keyspaces mediante puntos de conexión de VPC de interfaz y es necesario para Apache Spark.
Para conceder a la entidad de IAM utilizada para conectarse a Amazon Keyspaces permisos para buscar la información necesaria del punto de conexión de VPC de interfaz, puede actualizar la política de usuario o el rol de IAM existentes, o crear una nueva política de IAM como se muestra en el siguiente ejemplo.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**nota**
Las políticas administradas `AmazonKeyspacesReadOnlyAccess_v2` y `AmazonKeyspacesFullAccess` incluyen los permisos necesarios para permitir que Amazon Keyspaces acceda a la instancia de Amazon EC2 para leer la información sobre los puntos de conexión de VPC de interfaz disponibles.
Para confirmar que la política se haya configurado correctamente, consulte la tabla `system.peers` para ver la información de conexión en red. Si la tabla `system.peers` está vacía, podría indicar que la política no se ha configurado correctamente o que ha superado la cuota de tasa de solicitudes para las acciones `DescribeNetworkInterfaces` y `DescribeVPCEndpoints` de la API. `DescribeVPCEndpoints` entra en la categoría `Describe*` y se considera una acción *no mutante*. `DescribeNetworkInterfaces` entra en el subconjunto de *acciones no mutantes, no filtradas y no paginadas*, y se aplican cuotas diferentes. Para obtener más información, consulte [Tasas de solicitud de llenado y tamaños de bucket de token](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) en la Referencia de la API de Amazon EC2.
Si ve una tabla vacía, inténtelo de nuevo unos minutos más tarde para descartar problemas de cuota de tasa de solicitud. Para comprobar que ha configurado correctamente los puntos de conexión de VPC, consulte [Mi punto de conexión de VPC no funciona correctamente](troubleshooting.connecting.md#troubleshooting.connection.vpce). Si su consulta devuelve resultados de la tabla, su política se ha configurado correctamente.
## Control de acceso a puntos de conexión de VPC de interfaz para Amazon Keyspaces
Con las políticas de punto de conexión de VPC, puede controlar el acceso a los recursos de dos maneras:
+ **Política de IAM**: puede controlar las solicitudes, usuarios o grupos a los que se permite acceder a Amazon Keyspaces a través de un punto de conexión de VPC específico. Puede hacerlo mediante una [clave de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la política que se vincula a un usuario, grupo o rol de IAM.
+ **Política de VPC**: puede controlar qué puntos de conexión de VPC tienen acceso a sus recursos de Amazon Keyspaces mediante la vinculación de políticas a los mismos. Para restringir el acceso a un espacio de claves o tabla específicos y permitir solo el tráfico que llega a través de un punto de conexión de VPC específico, edite la política de IAM existente que restringe el acceso a los recursos y añada ese punto de conexión de VPC.
A continuación se muestran ejemplos de políticas de punto de conexión para acceder a los recursos de Amazon Keyspaces.
+ **Ejemplo de política de IAM: Restringir todo el acceso a una tabla específica de Amazon Keyspaces a menos que el tráfico proceda del punto de conexión de VPC especificado**: esta política de ejemplo se puede vincular a un usuario, rol o grupo de IAM. Restringe el acceso a una tabla de Amazon Keyspaces especificada a menos que el tráfico entrante se origine en un punto de conexión de VPC especificado.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**nota**
Para restringir el acceso a una tabla específica, debe incluir también el acceso a las tablas del sistema. Las tablas del sistema son de solo lectura.
+ **Ejemplo de política VPC: Acceso de solo lectura**: esta política de ejemplo puede vincularse a un punto de conexión de VPC. (Para obtener más información, consulte [Control de acceso a recursos de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Restringe las acciones al acceso de solo lectura a los recursos de Amazon Keyspaces a través del punto de conexión de VPC al que esté vinculado.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Ejemplo de política de VPC: Restringir el acceso a una tabla específica de Amazon Keyspaces**: esta política de ejemplo puede vincularse a un punto de conexión de VPC. Limita el acceso a una tabla específica a través del punto de conexión de VPC al que esté vinculado.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**nota**
Para restringir el acceso a una tabla específica, debe incluir también el acceso a las tablas del sistema. Las tablas del sistema son de solo lectura.
## Disponibilidad.
Amazon Keyspaces admite el uso de puntos de enlace de VPC de interfaz en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte [Puntos de conexión de servicio para Amazon Keyspaces](programmatic.endpoints.md).
## Políticas de puntos de conexión de VPC y recuperación de Amazon Keyspaces point-in-time (PITR)
Si utiliza políticas de IAM con [claves de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) para restringir el tráfico entrante, la operación de restauración de la tabla podría fallar. Por ejemplo, si restringe el tráfico de origen a puntos de conexión de VPC específicos mediante `aws:SourceVpce`claves de condición, la operación de restauración de la tabla falla. Para permitir que Amazon Keyspaces realice una operación de restauración en nombre de su entidad principal, debe añadir una clave de condición `aws:ViaAWSService` a su política de IAM. La clave de `aws:ViaAWSService` condición permite el acceso cuando cualquier AWS servicio realiza una solicitud con las credenciales del director. Para obtener más información, consulte [Elementos JSON de la política de IAM: Clave de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*. La siguiente política es un ejemplo de esto.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Errores y advertencias comunes
**Si utiliza Amazon Virtual Private Cloud y se conecta a Amazon Keyspaces, es posible que vea la siguiente advertencia.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Esta advertencia se produce porque la tabla `system.peers` contiene entradas para todos los puntos de conexión de VPC de Amazon para los que Amazon Keyspaces tiene permisos de visualización, incluyendo el punto de conexión de VPC de Amazon a través del cual está conectado. Puede ignorar sin problemas esta advertencia.
Para otros errores, consulte [Mi punto de conexión de VPC no funciona correctamente](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Uso de Amazon Keyspaces: transmisiones de CDC con puntos de enlace de VPC de interfaz
Los puntos de conexión de VPC de interfaz habilitan la comunicación privada entre su nube privada virtual (VPC), que se ejecuta en Amazon VPC, y Amazon Keyspaces. Los puntos finales de la VPC de la interfaz funcionan con AWS PrivateLink, que es un AWS servicio que permite la comunicación privada entre los VPCs servicios. AWS
AWS PrivateLink lo habilita mediante una interfaz de red elástica con direcciones IP privadas en la VPC para que el tráfico de red no salga de la red de Amazon. Los puntos de conexión de VPC de interfaz no requieren una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN ni una conexión de Direct Connect . Para obtener más información, consulte [Nube privada virtual de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Interfaz de puntos de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).
**Topics**
+ [Uso de puntos de enlace de VPC de interfaz para transmisiones CDC de Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Amazon Keyspaces CDC transmite puntos de enlace de VPC de interfaz](#interface-vpc-endpoints-streams-types)
+ [Cree Amazon Keyspaces, interfaz de transmisión de CDC, punto final de VPC](#create-interface-vpc-endpoints-streams)
+ [Actualizar un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces](#update-interface-vpc-endpoints-streams)
+ [Enumere las transmisiones mediante un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces](#list-interface-vpc-endpoints-streams)
+ [Cree una política para un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces](#interface-vpc-endpoints-streams-policy)
## Uso de puntos de enlace de VPC de interfaz para transmisiones CDC de Amazon Keyspaces
Puede usar un punto de enlace de VPC de interfaz para que el tráfico entre las transmisiones de CDC de Amazon Keyspaces y sus recursos de Amazon VPC comience a fluir a través del punto de enlace de VPC de interfaz. Puede usar las políticas de puntos finales de VPC para restringir el acceso a sus transmisiones de los CDC.
Para obtener más información sobre las transmisiones de los CDC de Amazon Keyspaces, consulte. [Trabajar con transmisiones de captura de datos de cambios (CDC) en Amazon Keyspaces](cdc.md)
## Amazon Keyspaces CDC transmite puntos de enlace de VPC de interfaz
**Al crear un punto de enlace de interfaz, las transmisiones de CDC de Amazon Keyspaces generan dos tipos de nombres DNS específicos del punto de enlace para la transmisión: regional y zonal.**
**Regional**
El nombre DNS regional incluye la siguiente información:
+ un ID de punto final de Amazon VPC único
+ un identificador de servicio
+ el Región de AWS
+ el `vpce.amazonaws.com` sufijo
Para un punto final de Amazon VPC con el ID`vpce-1a2b3c4d`, el nombre de DNS generado podría tener un aspecto similar al siguiente ejemplo:. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`
**Zonal**
El nombre DNS zonal incluye la [zona de disponibilidad](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) además de la información del nombre DNS regional. El nombre de DNS generado para el punto de enlace de Amazon VPC con el ID se `vpce-1a2b3c4d` vería como en el siguiente ejemplo. Tenga en cuenta que Región de AWS ahora incluye la zona de disponibilidad: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Puede usar esta opción si su arquitectura aísla las zonas de disponibilidad. Por ejemplo, podría usarlo para la contención de fallos o para reducir los costos de transferencia de datos regionales.
Para lograr una confiabilidad óptima, recomendamos implementar el servicio en un mínimo de tres zonas de disponibilidad.
## Cree Amazon Keyspaces, interfaz de transmisión de CDC, punto final de VPC
Puede utilizar el AWS SDK AWS CLI o el mismo para acceder a las operaciones de la API CDC Streams de Amazon Keyspaces a través de los puntos de enlace de la interfaz CDC Streams de Amazon Keyspaces. Para obtener una lista completa de todas las operaciones de API disponibles, consulte [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html).
Para obtener más información sobre cómo crear puntos de enlace de VPC, consulte [crear un punto de enlace de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) en la Guía del usuario de Amazon VPC.
Para crear un punto final de VPC, puede usar la sintaxis del siguiente ejemplo.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Actualizar un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces
Para actualizar un punto final de VPC, puede usar la sintaxis del siguiente ejemplo.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Enumere las transmisiones mediante un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces
Para enumerar las transmisiones que utilizan un punto final de VPC, puede utilizar la sintaxis del siguiente ejemplo. Asegúrese de reemplazar la región y el nombre DNS del ID del punto final de la VPC por su propia información.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Cree una política para un punto final de VPC de la interfaz de transmisiones CDC de Amazon Keyspaces
Puede adjuntar una política de punto final a su punto de enlace de Amazon VPC que controle el acceso a las transmisiones de los CDC de Amazon Keyspaces. La política especifica la siguiente información:
+ El director AWS Identity and Access Management (IAM) que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones
Para restringir el acceso a transmisiones de CDC específicas de Amazon Keyspaces y permitir solo AWS servicios específicos en su acceso a Amazon VPC, puede usar el siguiente ejemplo.
La siguiente política de transmisión otorga acceso a cualquier entidad principal de IAM para las acciones `cassandra:GetStream` y `cassandra:GetRecords` para la transmisión especificada `2025-02-20T11:22:33.444` asociada al recurso que `/keyspace/mykeyspace/table/mytable/` pertenece a la cuenta. `123456788901` Para usar esta política de puntos finales, asegúrate de reemplazar la región, el ID de cuenta y el recurso por la etiqueta de transmisión.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**nota**
Amazon Keyspaces no admite puntos de enlace Gateway para las transmisiones de CDC.
# Configuración y análisis de vulnerabilidades para Amazon Keyspaces
AWS gestiona las tareas de seguridad básicas, como la aplicación de parches al sistema operativo (SO) huésped y a las bases de datos, la configuración del firewall y la recuperación ante desastres. Estos procedimientos han sido revisados y certificados por los terceros pertinentes. Para obtener más detalles, consulte los siguientes recursos de :
+ [Modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: información general de procesos de seguridad](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (documento técnico)
# Prácticas recomendadas de seguridad para Amazon Keyspaces
Amazon Keyspaces (para Apache Cassandra) proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
**Topics**
+ [Prácticas recomendadas de seguridad preventivas para Amazon Keyspaces](best-practices-security-preventative.md)
+ [Prácticas recomendadas de detección de seguridad para Amazon Keyspaces](best-practices-security-detective.md)
# Prácticas recomendadas de seguridad preventivas para Amazon Keyspaces
Las siguientes prácticas recomendadas de seguridad se consideran preventivas porque pueden ayudarle a anticipar y evitar incidentes de seguridad en Amazon Keyspaces.
**Uso del cifrado en reposo**
Amazon Keyspaces cifra en reposo todos los datos de usuario que se almacenan en tablas mediante claves de cifrado almacenadas en [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Esto proporciona una capa adicional de protección de datos al proteger los datos del acceso no autorizado al almacenamiento subyacente.
De forma predeterminada, Amazon Keyspaces utiliza un Clave propiedad de AWS para cifrar todas las tablas. Si esta clave no existe, se crea una para usted. Las claves predeterminadas de servicio no se pueden deshabilitar.
Como alternativa, puede utilizar una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para el cifrado en reposo. Para obtener más información, consulte [Cifrado en reposo de Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).
**Uso de roles de IAM para autenticar el acceso a Amazon Keyspaces**
Para que los usuarios, las aplicaciones y otros AWS servicios puedan acceder a Amazon Keyspaces, deben incluir AWS credenciales válidas en sus solicitudes de AWS API. No debe almacenar AWS las credenciales directamente en la aplicación o en la instancia de EC2. Estas son las credenciales a largo plazo que no rotan automáticamente, por lo tanto, podrían tener un impacto empresarial significativo si se comprometen. Un rol de IAM lo habilita a obtener claves de acceso temporal que se pueden utilizar para tener acceso a los servicios y recursos de AWS .
Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Uso de políticas de IAM para autorización base de Amazon Keyspaces**
Al conceder permisos, tú decides quién los va a obtener, para qué Amazon Keyspaces APIs van a obtener permisos y las acciones específicas que quieres permitir en esos recursos. La implementación del privilegio mínimo es clave para reducir los riesgos de seguridad y el impacto que podría resultar de errores o intenciones maliciosas.
Vincule políticas de permisos a las identidades de IAM (es decir, usuarios, grupos y roles) y conceda así permisos para realizar operaciones en los recursos de Amazon Keyspaces.
Para hacerlo, utilice lo siguiente:
+ [AWS políticas gestionadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Uso de condiciones de políticas de IAM para control de acceso preciso**
Al conceder permisos en Amazon Keyspaces, puede especificar condiciones que determinen cómo se aplica una política de permisos. La implementación del privilegio mínimo es clave para reducir los riesgos de seguridad y el impacto que podría resultar de errores o intenciones maliciosas.
Puede especificar las condiciones al conceder permisos utilizando la política de IAM. Por ejemplo, puede hacer lo siguiente:
+ Conceder permisos para permitir a los usuarios el acceso de solo lectura a determinados espacios de claves o tablas.
+ Conceder permisos para permitir a un usuario el acceso de escritura a una tabla determinada en función de la identidad de dicho usuario.
Para obtener más información, consulte [Ejemplos de políticas basadas en identidades](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Tenga en cuenta el cifrado del lado del cliente**
Si almacena datos sensibles o confidenciales en Amazon Keyspaces, es posible que desee cifrar dichos datos lo más cerca posible de su origen para que estén protegidos durante todo su ciclo de vida. El cifrado de su información confidencial en tránsito y en reposo ayuda a garantizar que los datos de texto no cifrado no estén disponibles para ningún tercero.
# Prácticas recomendadas de detección de seguridad para Amazon Keyspaces
Las siguientes prácticas recomendadas de seguridad se consideran de detección porque pueden ayudarle a detectar posibles debilidades e incidentes de seguridad.
**Se usa AWS CloudTrail para monitorear AWS Key Management Service (AWS KMS) el uso de AWS KMS claves**
Si utilizas una [AWS KMS clave gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para el cifrado en reposo, se inicia sesión en el uso de esta clave AWS CloudTrail. CloudTrail proporciona visibilidad de la actividad de los usuarios al registrar las acciones realizadas en tu cuenta. CloudTrail registra información importante sobre cada acción, como quién realizó la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el AWS servicio. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus AWS recursos y a solucionar problemas operativos. CloudTrail facilita garantizar el cumplimiento de las políticas internas y las normas reglamentarias.
Se puede utilizar CloudTrail para auditar el uso de las claves. CloudTrail crea archivos de registro que contienen un historial de llamadas a la AWS API y eventos relacionados para tu cuenta. Estos archivos de registro incluyen todas las solicitudes a la AWS KMS API que se realizaron mediante la consola y las herramientas de línea de comandos, además de las realizadas a través de los AWS servicios integrados. AWS SDKs Puede utilizar estos archivos de registro para obtener información sobre cuándo se utilizó la AWS KMS clave, la operación que se solicitó, la identidad del solicitante, la dirección IP de la que procedía la solicitud, etc. Para obtener más información, consulte [Registro de llamadas a la API de AWS Key Management Service con AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) en la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Úselo CloudTrail para supervisar las operaciones del lenguaje de definición de datos (DDL) de Amazon Keyspaces**
CloudTrail proporciona visibilidad de la actividad de los usuarios al registrar las acciones realizadas en su cuenta. CloudTrail registra información importante sobre cada acción, como quién realizó la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el AWS servicio. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus AWS recursos y a solucionar problemas operativos. CloudTrail facilita la garantía del cumplimiento de las políticas internas y las normas reglamentarias.
Todas las [operaciones de DDL](cql.ddl.md) de Amazon Keyspaces se registran automáticamente. CloudTrail Las operaciones DDL le permiten crear y administrar espacios de claves y tablas de Amazon Keyspaces.
Cuando se produce actividad en Amazon Keyspaces, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Para obtener más información, consulte [Registro de operaciones de Amazon Keyspaces mediante AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Puede ver, buscar y descargar los eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del AWS CloudTrail usuario*.
[Para tener un registro continuo de los eventos en su Cuenta de AWS entorno, incluidos los eventos de Amazon Keyspaces, cree una ruta.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un registro permite CloudTrail entregar los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, al crear un registro de seguimiento en la consola, este se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos.
**Etiquetado de recursos de Amazon Keyspaces para identificación y automatización**
Puede asignar metadatos a sus AWS recursos en forma de etiquetas. Cada etiqueta es un simple rótulo que consta de una clave definida por el cliente y un valor opcional que puede facilitar la administración, búsqueda y filtrado de recursos.
El etiquetado permite implementar controles agrupados. Aunque no hay tipos inherentes de etiquetas, lo habilitan a clasificar los recursos según su finalidad, propietario, entorno u otros criterios. A continuación se muestran algunos ejemplos:
+ Acceso: se utiliza para controlar el acceso a los recursos de Amazon Keyspaces en función de las etiquetas. Para obtener más información, consulte [Autorización basada en etiquetas de Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Seguridad: se utiliza para determinar requisitos como la configuración de la protección de datos.
+ Confidencialidad: identificador del nivel específico de confidencialidad de datos que admite un recurso.
+ Entorno: utilizado para distinguir entre el desarrollo, la prueba y la infraestructura de producción.
Para obtener más información, consulte [Estrategias de etiquetado de AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) y [Adición de etiquetas y rótulos a los recursos](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).