View a markdown version of this page

Uso de roles para las transmisiones de los CDC de Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)
Service-linked permisos de rol para Amazon KeyspacesCreación de un rol vinculado a servicios para Amazon KeyspacesEdición de un rol vinculado a servicios para Amazon KeyspacesRegiones admitidas para roles vinculados a servicios de Amazon Keyspaces

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles para las transmisiones de los CDC de Amazon Keyspaces

Amazon Keyspaces (para Apache Cassandra) usa roles vinculados a servicios AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon Keyspaces. Service-linked Los roles están predefinidos por Amazon Keyspaces e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a servicios facilita la configuración de Amazon Keyspaces dado que no tiene que añadir manualmente los permisos necesarios. Amazon Keyspaces define los permisos de sus roles vinculados a servicios y, a menos que se defina de manera diversa, solo Amazon Keyspaces puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

No puede eliminar el rol vinculado al servicio.

Service-linked permisos de rol para Amazon Keyspaces

Amazon Keyspaces utiliza el rol vinculado al servicio denominado para permitir que las transmisiones de AWSServiceRoleForAmazonKeyspacesCDCAmazon Keyspaces CDC publiquen CloudWatch métricas en su cuenta en su nombre.

El rol AWSServiceRoleForAmazonKeyspacesCDC vinculado al servicio confía en que el siguiente servicio asuma el rol:

  • cassandra-streams.amazonaws.com

La política de permisos de roles denominada KeyspacesCDCServiceRolePolicypermite a Amazon Keyspaces realizar la siguiente acción en los recursos del CloudWatch espacio de nombres: AWS/Cassandra

  • Acción: cloudwatch:PutMetricData en *

    AWSServiceRoleForAmazonKeyspacesCDC Proporciona los permisos: Acción: cloudwatch: PutMetricData en todos los recursos que cumplan la siguiente condición:. "cloudwatch:namespace": "AWS/Cassandra"

Para obtener más información sobre KeyspacesCDCServiceRolePolicy, consulteAWS política gestionada: KeyspacesCDCServiceRolePolicy.

Para habilitar las transmisiones de los CDC para una tabla, lo que crea automáticamente la función vinculada al servicio AWSServiceRoleForAmazonKeyspacesCDC, el director de IAM necesita los siguientes permisos.

{
    "Sid": "KeyspacesCDCServiceLinkedRole",
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
    "Condition": {
    "StringLike": {
        "iam:AWSServiceName": "cassandra-streams.amazonaws.com"
    }
}

Los permisos para crear el rol vinculado al servicio AWSServiceRoleForAmazonKeyspacesCDC se incluyen en la política administrada. AmazonKeyspacesFullAccess Para obtener más información, consulte AWS política gestionada: AmazonKeyspacesFullAccess.

Creación de un rol vinculado a servicios para Amazon Keyspaces

No necesitas crear manualmente un rol vinculado a un servicio para las transmisiones de Amazon Keyspaces CDC. Cuando habilita las transmisiones CDC de Amazon Keyspaces en una tabla con el CQL Consola de administración de AWS, la o la API AWS CLI AWS , Amazon Keyspaces crea el rol vinculado al servicio para usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar las transmisiones de Amazon Keyspaces CDC para una tabla, Amazon Keyspaces vuelve a crear el rol vinculado al servicio para usted.

Edición de un rol vinculado a servicios para Amazon Keyspaces

Amazon Keyspaces no le permite editar el rol vinculado al AWSServiceRoleForAmazonKeyspacesCDC servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para roles vinculados a servicios de Amazon Keyspaces

Amazon Keyspaces admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.