Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon Keyspaces con puntos de conexión de VPC de interfaz

Los puntos de conexión de VPC de interfaz habilitan la comunicación privada entre su nube privada virtual (VPC), que se ejecuta en Amazon VPC, y Amazon Keyspaces. Los puntos finales de la interfaz VPC funcionan con AWS PrivateLink, que es un AWS servicio que permite la comunicación privada entre las VPC y los servicios. AWS

AWS PrivateLink lo habilita mediante una interfaz de red elástica con direcciones IP privadas en la VPC para que el tráfico de red no salga de la red de Amazon. Los puntos de conexión de VPC de interfaz no requieren una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN ni una conexión de AWS Direct Connect . Para obtener más información, consulte Nube privada virtual de Amazon e Interfaz de puntos de conexión de VPC (AWS PrivateLink).

Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces

Puede crear un punto de conexión de VPC de interfaz para que el tráfico entre Amazon Keyspaces y sus recursos de Amazon VPC comience a fluir a través del punto de conexión de VPC de interfaz. Para comenzar, siga los pasos necesarios para crear un punto de conexión de interfaz. A continuación, edite el grupo de seguridad asociado al punto de conexión que creó en el paso anterior y configure una regla de entrada para el puerto 9142. Para obtener más información, consulte Adición, eliminación y actualización de reglas.

Para ver un step-by-step tutorial sobre cómo configurar una conexión a Amazon Keyspaces a través de un punto de enlace de VPC, consulte. Tutorial: Conexión a Amazon Keyspaces mediante un punto final de interfaz VPC Para obtener información sobre cómo configurar el acceso multicuenta a los recursos de Amazon Keyspaces separados de las aplicaciones en Cuentas de AWS diferentes áreas de una VPC, consulte. Configure el acceso multicuenta a Amazon VPC Keyspaces con puntos de enlace

Relleno de entradas de la tabla system.peers con información del punto de conexión de VPC de interfaz

Los controladores de Apache Cassandra utilizan la tabla system.peers para consultar información de los nodos sobre el clúster. Los controladores de Cassandra utilizan la información de los nodos para equilibrar la carga de las conexiones y reintentar las operaciones. Amazon Keyspaces rellena nueve entradas en la tabla system.peers de forma automática para los clientes que se conecten a través del punto de conexión público.

Para proporcionar a los clientes que se conecten a través de puntos de conexión de VPC de interfaz una funcionalidad similar, Amazon Keyspaces rellena la tabla system.peers de su cuenta con una entrada para cada zona de disponibilidad en la que esté disponible un punto de conexión de VPC. Para buscar y almacenar los puntos de conexión de VPC de interfaz disponibles en la tabla system.peers, Amazon Keyspaces requiere que conceda a la entidad de IAM utilizada para conectarse a Amazon Keyspaces permisos de acceso para consultar su VPC en busca de información sobre el punto de conexión y la interfaz en red.

importante

Rellenar la tabla system.peers con sus puntos de conexión de VPC de interfaz disponibles mejora el equilibrio de la carga y aumenta el rendimiento de lectura/escritura. Se recomienda para todos los clientes que accedan a Amazon Keyspaces mediante puntos de conexión de VPC de interfaz y es necesario para Apache Spark.

Para conceder a la entidad de IAM utilizada para conectarse a Amazon Keyspaces permisos para buscar la información necesaria del punto de conexión de VPC de interfaz, puede actualizar la política de usuario o el rol de IAM existentes, o crear una nueva política de IAM como se muestra en el siguiente ejemplo.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListVPCEndpoints", "Effect":"Allow", "Action":[ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints" ], "Resource":"*" } ] }
nota

Las políticas administradas AmazonKeyspacesReadOnlyAccess_v2 y AmazonKeyspacesFullAccess incluyen los permisos necesarios para permitir que Amazon Keyspaces acceda a la instancia de Amazon EC2 para leer la información sobre los puntos de conexión de VPC de interfaz disponibles.

Para confirmar que la política se haya configurado correctamente, consulte la tabla system.peers para ver la información de conexión en red. Si la tabla system.peers está vacía, podría indicar que la política no se ha configurado correctamente o que ha superado la cuota de tasa de solicitudes para las acciones DescribeNetworkInterfaces y DescribeVPCEndpoints de la API. DescribeVPCEndpoints entra en la categoría Describe* y se considera una acción no mutante. DescribeNetworkInterfaces entra en el subconjunto de acciones no mutantes, no filtradas y no paginadas, y se aplican cuotas diferentes. Para obtener más información, consulte Tasas de solicitud de llenado y tamaños de bucket de token en la Referencia de la API de Amazon EC2.

Si ve una tabla vacía, inténtelo de nuevo unos minutos más tarde para descartar problemas de cuota de tasa de solicitud. Para comprobar que ha configurado correctamente los puntos de conexión de VPC, consulte La conexión de mi VPC punto final no funciona correctamente. Si su consulta devuelve resultados de la tabla, su política se ha configurado correctamente.

Control de acceso a puntos de conexión de VPC de interfaz para Amazon Keyspaces

Con las políticas de punto de conexión de VPC, puede controlar el acceso a los recursos de dos maneras:

  • Política de IAM: puede controlar las solicitudes, usuarios o grupos a los que se permite acceder a Amazon Keyspaces a través de un punto de conexión de VPC específico. Puede hacerlo mediante una clave de condición en la política que se vincula a un usuario, grupo o rol de IAM.

  • Política de VPC: puede controlar qué puntos de conexión de VPC tienen acceso a sus recursos de Amazon Keyspaces mediante la vinculación de políticas a los mismos. Para restringir el acceso a un espacio de claves o tabla específicos y permitir solo el tráfico que llega a través de un punto de conexión de VPC específico, edite la política de IAM existente que restringe el acceso a los recursos y añada ese punto de conexión de VPC.

A continuación se muestran ejemplos de políticas de punto de conexión para acceder a los recursos de Amazon Keyspaces.

  • Ejemplo de política de IAM: Restringir todo el acceso a una tabla específica de Amazon Keyspaces a menos que el tráfico proceda del punto de conexión de VPC especificado: esta política de ejemplo se puede vincular a un usuario, rol o grupo de IAM. Restringe el acceso a una tabla de Amazon Keyspaces especificada a menos que el tráfico entrante se origine en un punto de conexión de VPC especificado.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "UserOrRolePolicyToDenyAccess", "Action": "cassandra:*", "Effect": "Deny", "Resource": [ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ], "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } } } ] }
    nota

    Para restringir el acceso a una tabla específica, debe incluir también el acceso a las tablas del sistema. Las tablas del sistema son de solo lectura.

  • Ejemplo de política VPC: Acceso de solo lectura: esta política de ejemplo puede vincularse a un punto de conexión de VPC. (Para obtener más información, consulte Control de acceso a recursos de Amazon VPC). Restringe las acciones al acceso de solo lectura a los recursos de Amazon Keyspaces a través del punto de conexión de VPC al que esté vinculado.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "cassandra:Select" ], "Effect": "Allow", "Resource": "*" } ] }
  • Ejemplo de política de VPC: Restringir el acceso a una tabla específica de Amazon Keyspaces: esta política de ejemplo puede vincularse a un punto de conexión de VPC. Limita el acceso a una tabla específica a través del punto de conexión de VPC al que esté vinculado.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTable", "Principal": "*", "Action": "cassandra:*", "Effect": "Allow", "Resource": [ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }
    nota

    Para restringir el acceso a una tabla específica, debe incluir también el acceso a las tablas del sistema. Las tablas del sistema son de solo lectura.

Disponibilidad

Amazon Keyspaces admite el uso de puntos de enlace de VPC de interfaz en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte Puntos de conexión de servicio para Amazon Keyspaces.

Políticas de puntos de conexión de VPC y recuperación de Amazon Keyspaces point-in-time (PITR)

Si utiliza políticas de IAM con claves de condición para restringir el tráfico entrante, la operación de restauración de la tabla podría fallar. Por ejemplo, si restringe el tráfico de origen a puntos de conexión de VPC específicos mediante aws:SourceVpceclaves de condición, la operación de restauración de la tabla falla. Para permitir que Amazon Keyspaces realice una operación de restauración en nombre de su entidad principal, debe añadir una clave de condición aws:ViaAWSService a su política de IAM. La clave de aws:ViaAWSService condición permite el acceso cuando cualquier AWS servicio realiza una solicitud con las credenciales del director. Para obtener más información, consulte Elementos JSON de la política de IAM: Clave de condición en la Guía del usuario de IAM. La siguiente política es un ejemplo de esto.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"CassandraAccessForVPCE", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"false" }, "StringEquals":{ "aws:SourceVpce":[ "vpce-12345678901234567" ] } } }, { "Sid":"CassandraAccessForAwsService", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"true" } } } ] }

Errores y advertencias comunes

Si utiliza Amazon Virtual Private Cloud y se conecta a Amazon Keyspaces, es posible que vea la siguiente advertencia.

Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.

Esta advertencia se produce porque la tabla system.peers contiene entradas para todos los puntos de conexión de VPC de Amazon para los que Amazon Keyspaces tiene permisos de visualización, incluyendo el punto de conexión de VPC de Amazon a través del cual está conectado. Puede ignorar sin problemas esta advertencia.

Para otros errores, consulte La conexión de mi VPC punto final no funciona correctamente.