Comment créer et configurer des AWS informations d'identification pour Amazon Keyspaces - Amazon Keyspaces (pour Apache Cassandra)
Informations d'identification requises pour AWS l'authentificationAjout d'un utilisateur IAM pour un accès programmatiqueCréation de nouvelles clés d'accèsComment gérer les clés d'accèsUtilisation d'informations d'identification temporaires pour se connecter à Amazon Keyspaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment créer et configurer des AWS informations d'identification pour Amazon Keyspaces

Pour accéder à Amazon Keyspaces par programmation avec le AWS SDK ou avec les AWS CLI pilotes clients Cassandra et le plugin SigV4, vous avez besoin d'un utilisateur ou d'un rôle IAM avec des clés d'accès. Lorsque vous utilisez AWS par programmation, vous fournissez vos clés AWS d'accès AWS afin de vérifier votre identité lors d'appels programmatiques. Vos clés d'accès se composent d'un identifiant de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et d'une clé d'accès secrète (par exemple,). wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Cette rubrique décrit les étapes nécessaires à ce processus.

Les meilleures pratiques en matière de sécurité recommandent de créer des utilisateurs IAM dotés d'autorisations limitées et d'associer les rôles IAM aux autorisations nécessaires pour effectuer des tâches spécifiques. Les utilisateurs IAM peuvent ensuite assumer temporairement des rôles IAM pour effectuer les tâches requises. Par exemple, les utilisateurs IAM de votre compte utilisant la console Amazon Keyspaces peuvent passer à un rôle afin d'utiliser temporairement les autorisations du rôle dans la console. Les utilisateurs abandonnent leurs autorisations d'origine et acceptent les autorisations attribuées au rôle. Lorsque les utilisateurs quittent le rôle, leurs autorisations d'origine sont restaurées. Les informations d'identification utilisées par les utilisateurs pour assumer le rôle sont temporaires. Au contraire, les utilisateurs IAM disposent d'informations d'identification à long terme, ce qui présente un risque de sécurité si, au lieu d'assumer des rôles, des autorisations leur sont directement attribuées. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces utilisateurs lorsqu'ils ne sont plus nécessaires. Pour plus d'informations sur les rôles, consultez la section Scénarios courants pour les rôles : utilisateurs, applications et services dans le guide de l'utilisateur IAM.

Informations d'identification requises par AWS CLI le AWS SDK ou le plugin Amazon Keyspaces SigV4 pour les pilotes clients Cassandra

Les informations d'identification suivantes sont requises pour authentifier l'utilisateur ou le rôle IAM :

AWS_ACCESS_KEY_ID

Spécifie une clé AWS d'accès associée à un utilisateur ou à un rôle IAM.

La clé d'accès aws_access_key_id est requise pour se connecter à Amazon Keyspaces par programmation.

AWS_SECRET_ACCESS_KEY

Indique la clé secrète associée à la clé d'accès. Il s'agit du « mot de passe » de la clé d'accès.

aws_secret_access_keyIl est nécessaire pour se connecter à Amazon Keyspaces par programmation.

AWS_SESSION_TOKEN— Facultatif

Spécifie la valeur du jeton de session requise si vous utilisez des informations d'identification de sécurité temporaires que vous avez extraites directement des opérations AWS Security Token Service . Pour plus d’informations, consultez Utilisation d'informations d'identification temporaires pour se connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plug-in SigV4.

Si vous vous connectez avec un utilisateur IAM, ce n'aws_session_tokenest pas obligatoire.

Création d'un utilisateur IAM pour un accès programmatique à Amazon Keyspaces dans votre compte AWS

Pour obtenir les informations d'identification nécessaires à l'accès programmatique à Amazon Keyspaces avec AWS CLI le plugin, AWS le SDK ou le plugin SigV4, vous devez d'abord créer un utilisateur ou un rôle IAM. Le processus de création d'un utilisateur IAM et de configuration de cet utilisateur IAM pour qu'il dispose d'un accès programmatique à Amazon Keyspaces est illustré dans les étapes suivantes :

  1. Créez l'utilisateur dans AWS Management Console les AWS CLI outils pour Windows PowerShell ou à l'aide d'une opération d' AWS API. Si vous créez l'utilisateur dans le AWS Management Console, les informations d'identification sont créées automatiquement.

  2. Si vous créez l'utilisateur par programmation, vous devez créer une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur lors d'une étape supplémentaire.

  3. Donnez à l'utilisateur l'autorisation d'accéder à Amazon Keyspaces.

Pour plus d'informations sur les autorisations dont vous avez besoin pour créer un utilisateur, consultez la section Autorisations requises pour accéder aux ressources IAM.

Création d'utilisateurs IAM (console)

Vous pouvez utiliser le AWS Management Console pour créer des utilisateurs IAM.

Pour créer un utilisateur IAM avec accès par programmation (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Users (Utilisateurs), puis Add users (Ajouter des utilisateurs).

  3. Tapez le nom d'utilisateur du nouvel utilisateur. Il s'agit du nom de connexion pour AWS.

    Note

    Les noms d'utilisateur peuvent combiner jusqu'à 64 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@), trait de soulignement (_) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux utilisateurs nommés TESTUSER et testuser.

  4. Sélectionnez Clé d'accès - Accès par programmation pour créer une clé d'accès pour le nouvel utilisateur. Vous pouvez consulter ou télécharger la clé d'accès lorsque vous arrivez sur la page finale.

    Sélectionnez Next: Permissions (Étape suivante : autorisations).

  5. Sur la page Définir les autorisations, choisissez Joindre directement les politiques existantes pour attribuer des autorisations au nouvel utilisateur.

    Cette option affiche la liste des politiques AWS gérées et gérées par le client disponibles dans votre compte. Vous pouvez keyspaces entrer dans le champ de recherche pour afficher uniquement les politiques relatives à Amazon Keyspaces.

    Pour Amazon Keyspaces, les politiques gérées disponibles sont AmazonKeyspacesFullAccess et. AmazonKeyspacesReadOnlyAccess Pour plus d'informations sur chaque politique, consultezAWSpolitiques gérées pour Amazon Keyspaces.

    À des fins de test et pour suivre les didacticiels de connexion, sélectionnez la AmazonKeyspacesReadOnlyAccess politique pour le nouvel utilisateur IAM. Remarque : En tant que bonne pratique, nous vous recommandons de suivre le principe du moindre privilège et de créer des politiques personnalisées qui limitent l'accès à des ressources spécifiques et n'autorisent que les actions requises. Pour plus d'informations sur les politiques IAM et pour consulter des exemples de politiques pour Amazon Keyspaces, consultez. Politiques basées sur l'identité d'Amazon Keyspaces Après avoir créé des politiques d'autorisation personnalisées, associez vos politiques aux rôles, puis laissez les utilisateurs assumer temporairement les rôles appropriés.

    Choisissez Suivant : Balises.

  6. Sur la page Ajouter des balises (facultatif), vous pouvez ajouter des balises pour l'utilisateur ou choisir Suivant : Réviser.

  7. Sur la page Révision, vous pouvez voir tous les choix que vous avez faits jusqu'à présent. Lorsque vous êtes prêt à continuer, choisissez Create user.

  8. Pour afficher les clés d'accès de l'utilisateur (ID de clé d'accès et clés d'accès secrètes), choisissez Afficher en regard du mot de passe et de la clé d'accès. Pour enregistrer les clés d'accès, choisissez télécharger .csv, puis enregistrez le fichier dans un emplacement sûr sur votre ordinateur.

    Important

    Il s'agit de votre seule opportunité de visualiser ou de télécharger les clés d'accès secrètes, et vous avez besoin de ces informations pour qu'ils puissent utiliser le plugin SigV4. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

Création d'utilisateurs IAM (AWS CLI)

Vous pouvez utiliser le AWS CLI pour créer un utilisateur IAM.

Pour créer un utilisateur IAM avec accès par programmation ()AWS CLI

  1. Créez un utilisateur avec le AWS CLI code suivant.

  2. Donnez à l'utilisateur un accès programmatique. Cela nécessite des clés d'accès, qui peuvent être générées de différentes manières.

    • AWS CLI: aws iam create-access-key

    • Outils pour Windows PowerShell : New-IAMAccessKey

    • API IAM : CreateAccessKey

      Important

      Il s'agit de votre seule opportunité de visualiser ou de télécharger les clés d'accès secrètes, et vous avez besoin de ces informations pour qu'ils puissent utiliser le plugin SigV4. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

  3. Attachez à l'utilisateur la AmazonKeyspacesReadOnlyAccess politique qui définit les autorisations de l'utilisateur. Remarque : il est recommandé de gérer les autorisations des utilisateurs en ajoutant l'utilisateur à un groupe et en attachant une politique au groupe au lieu de l'associer directement à un utilisateur.

Création de nouvelles clés d'accès pour un utilisateur IAM

Si vous avez déjà un utilisateur IAM, vous pouvez créer de nouvelles clés d'accès à tout moment. Pour plus d'informations sur la gestion des clés, par exemple comment mettre à jour les clés d'accès, consultez la section Gestion des clés d'accès pour les utilisateurs IAM.

Pour créer des clés d'accès pour un utilisateur IAM (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez créer les clés d'accès.

  4. Sur la page Résumé de l'utilisateur, choisissez l'onglet Informations d'identification de sécurité.

  5. Dans la section Access keys (Clés d'accès), choisissez Create access key (Créer une clé d'accès).

    Pour afficher la nouvelle clé d'accès, choisissez Show (Afficher). Vos informations d'identification s'afficheront comme suit :

    • ID de clé d'accès : AKIAIOSFODNN7EXAMPLE

    • Clé d'accès secrète : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    Note

    Vous ne pourrez pas accéder à la clé d’accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée.

  6. Pour télécharger la paire de clés, choisissez Télécharger le fichier .csv. Stockez les clés dans un emplacement sûr.

  7. Après avoir téléchargé le fichier CSV, sélectionnez Close (Fermer).

Lorsque vous créez une clé d'accès, la paire de clés est activée par défaut et vous pouvez utiliser la paire immédiatement.

Comment gérer les clés d'accès pour les utilisateurs IAM

Il est recommandé de ne pas intégrer les clés d'accès directement dans le code. Les AWS SDK et les outils de ligne de AWS commande vous permettent de placer les clés d'accès dans des emplacements connus afin de ne pas avoir à les conserver dans le code. Placez les clés d'accès à l'un des emplacements suivants :

  • Variables d'environnement : sur un système mutualisé, choisissez les variables d'environnement utilisateur et non les variables d'environnement système.

  • Fichier d'informations d'identification CLI — Le config fichier credentials et est mis à jour lorsque vous exécutez la commandeaws configure. Le credentials fichier se trouve sous ~/.aws/credentials Linux, macOS ou Unix, ou C:\Users\USERNAME\.aws\credentials sous Windows. Ce fichier contient les informations d'identification du profil default et de tous les profils nommés.

  • Fichier de configuration CLI — Le config fichier credentials et est mis à jour lorsque vous exécutez la commandeaws configure. Le config fichier se trouve sous ~/.aws/config Linux, macOS ou Unix, ou C:\Users\USERNAME\.aws\config sous Windows. Ce fichier contient les paramètres de configuration du profil par défaut et des profils nommés.

Le stockage des clés d'accès en tant que variables d'environnement est une condition préalable au. Un tep-by-step tutoriel pour se connecter à Amazon Keyspaces à l'aide du pilote DataStax Java 4.x pour Apache Cassandra et du plugin d'authentification SigV4 Le client recherche les informations d'identification à l'aide de la chaîne de fournisseurs d'informations d'identification par défaut, et les clés d'accès stockées sous forme de variables d'environnement ont priorité sur tous les autres emplacements, par exemple les fichiers de configuration. Pour plus d'informations, consultez la section Paramètres de configuration et priorité.

Les exemples suivants montrent comment vous pouvez configurer des variables d'environnement pour l'utilisateur par défaut.

Linux, macOS, or Unix
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
$ export AWS_SESSION_TOKEN=AQoDYXdzEJr...<remainder of security token>

La définition de la variable d'environnement permet de modifier la valeur utilisée jusqu'à la fin de votre session shell, ou jusqu'à ce que vous définissiez la variable sur une autre valeur. Vous pouvez rendre les variables persistantes dans de futures sessions en les définissant dans votre script de démarrage de shell.

Windows Command Prompt
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
C:\> setx AWS_SESSION_TOKEN AQoDYXdzEJr...<remainder of security token>

L'utilisation de set pour définir une variable d'environnement modifie la valeur utilisée jusqu'à la fin de la session d'invite de commande en cours, ou jusqu'à ce que vous définissiez la variable sur une autre valeur. L'utilisation de setx pour définir une variable d'environnement modifie la valeur utilisée dans la session d'invite de commande en cours et toutes les sessions d'invite de commande que vous créez après l'exécution de la commande. Cela n'affecte pas les autres shells de commande qui sont déjà en cours d'exécution lorsque vous exécutez la commande.

PowerShell
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
PS C:\> $Env:AWS_SESSION_TOKEN="AQoDYXdzEJr...<remainder of security token>"

Si vous définissez une variable d'environnement à l' PowerShell invite, comme indiqué dans les exemples précédents, elle enregistre la valeur uniquement pendant la durée de la session en cours. Pour que le paramètre de variable d'environnement soit persistant dans toutes les sessions PowerShell et dans les sessions d'invite de commande, stockez-le à l'aide de l'application système du Panneau de configuration. Vous pouvez également définir la variable pour toutes les PowerShell sessions futures en l'ajoutant à votre PowerShell profil. Consultez la PowerShell documentation pour plus d'informations sur le stockage des variables d'environnement ou leur persistance d'une session à l'autre.

Utilisation d'informations d'identification temporaires pour se connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plug-in SigV4

Pour améliorer la sécurité, vous pouvez utiliser des informations d'identification temporaires pour vous authentifier avec le plug-in SigV4. Dans de nombreux cas, vous n'avez pas besoin d'une clé d'accès à long terme qui n'expire jamais (comme dans le cas d'un utilisateur IAM). Vous pouvez plutôt créer un rôle IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires consistent en un ID de clé d'accès et une clé d'accès secrète, mais elles comprennent également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Pour en savoir plus sur l'utilisation des rôles IAM plutôt que des clés d'accès à long terme, consultez la section Passer à un rôle IAM (AWS API).

Pour commencer à utiliser des informations d'identification temporaires, vous devez d'abord créer un rôle IAM.

Créez un rôle IAM qui accorde un accès en lecture seule à Amazon Keyspaces

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.

  3. Sur la page Créer un rôle, sous Sélectionner le type d'entité de confiance, sélectionnez AWS service. Sous Choisir un cas d'utilisation, choisissez Amazon EC2, puis Next.

  4. Sur la page Ajouter des autorisations, sous Politiques d'autorisations, choisissez Amazon Keyspaces Read Only Access dans la liste des politiques, puis choisissez Next.

  5. Sur la page Nom, révision et création, entrez le nom du rôle et consultez les sections Sélectionner des entités fiables et Ajouter des autorisations. Vous pouvez également ajouter des balises facultatives pour le rôle sur cette page. Lorsque vous avez terminé, sélectionnez Créer un rôle. N'oubliez pas ce nom car vous en aurez besoin lorsque vous lancerez votre instance Amazon EC2.

Pour utiliser des informations d'identification de sécurité temporaires dans le code, vous devez appeler par programmation une AWS Security Token Service API similaire AssumeRole et extraire les informations d'identification et le jeton de session qui en résultent de votre rôle IAM que vous avez créé à l'étape précédente. Vous utilisez ensuite ces valeurs comme informations d'identification pour les appels suivants à AWS. L'exemple suivant montre un pseudocode expliquant comment utiliser les informations d'identification de sécurité temporaires :

assumeRoleResult = AssumeRole(role-arn);
tempCredentials = new SessionAWSCredentials(
   assumeRoleResult.AccessKeyId, 
   assumeRoleResult.SecretAccessKey, 
   assumeRoleResult.SessionToken);
cassandraRequest = CreateAmazoncassandraClient(tempCredentials);

Pour un exemple qui implémente des informations d'identification temporaires à l'aide du pilote Python pour accéder à Amazon Keyspaces, consultez. Connectez-vous à Amazon Keyspaces à l'aide du pilote DataStax Python pour Apache Cassandra et du plugin d'authentification SigV4

Pour plus d'informations sur la façon d'appeler AssumeRole, GetFederationToken et d'autres opérations d'API, consultez la Référence sur l'API AWS Security Token Service. Pour plus d'informations sur l'obtention des informations d'identification de sécurité temporaires et du jeton de session à partir des résultats, consultez la documentation du kit SDK que vous utilisez. Vous trouverez la documentation de tous les AWS SDK sur la page de AWS documentation principale, dans la section SDK et boîtes à outils.