Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer l'accès entre comptes à Amazon Keyspaces avec des points de terminaison VPC
Vous pouvez créer et utiliser séparément Comptes AWS pour isoler les ressources et pour les utiliser dans différents environnements, par exemple le développement et la production. Cette rubrique vous explique comment accéder à plusieurs comptes pour Amazon Keyspaces à l'aide de points de terminaison VPC d'interface dans un. Amazon Virtual Private Cloud Pour plus d'informations sur la configuration de l'accès entre comptes IAM, voir [Exemple de scénario utilisant des comptes de développement et de production distincts](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example) dans le guide de l'utilisateur IAM.
Pour plus d'informations sur Amazon Keyspaces et les points de terminaison VPC privés, consultez. [Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface](vpc-endpoints.md)
**Topics**
+ [Configuration de l'accès entre comptes dans un VPC partagé](access.cross-account.sharedVPC.md)
+ [Configuration de l'accès entre comptes sans VPC partagé](access.cross-account.noVPC.setup.md)
# Configurer l'accès entre comptes à Amazon Keyspaces à l'aide de points de terminaison VPC dans un VPC partagé
Vous pouvez créer des ressources différentes Comptes AWS pour séparer les applications. Par exemple, vous pouvez créer un compte pour vos tables Amazon Keyspaces, un compte différent pour les applications dans un environnement de développement et un autre compte pour les applications dans un environnement de production. Cette rubrique décrit les étapes de configuration requises pour configurer l'accès entre comptes pour Amazon Keyspaces à l'aide de points de terminaison VPC d'interface dans un VPC partagé.
Pour connaître les étapes détaillées de configuration d'un point de terminaison VPC pour Amazon Keyspaces, consultez. [Étape 3 : créer un point de terminaison VPC pour Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md)
Dans cet exemple, nous utilisons les trois comptes suivants dans un VPC partagé :
+ `Account A:111111111111`— Ce compte contient l'infrastructure, notamment les points de terminaison VPC, les sous-réseaux VPC et les tables Amazon Keyspaces.
+ `Account B:222222222222`— Ce compte contient une application dans un environnement de développement qui doit se connecter à la table Amazon Keyspaces dans. `Account A:111111111111`
+ `Account C:333333333333`— Ce compte contient une application dans un environnement de production qui doit se connecter à la table Amazon Keyspaces dans. `Account A:111111111111`
![\[Schéma illustrant trois comptes différents appartenant à la même Région AWS organisation et utilisant un VPC partagé.\]](http://docs.aws.amazon.com/fr_fr/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)
`Account A:111111111111`est le compte qui contient les ressources (une table Amazon Keyspaces) auxquelles `Account B:222222222222` et `Account C:333333333333` dont vous avez besoin pour accéder, tout comme le compte de *confiance*. `Account A:111111111111` `Account B:222222222222`et `Account C:333333333333` sont les comptes dont les principaux ont besoin d'accéder aux ressources (une table Amazon Keyspaces)`Account A:111111111111`, de même `Account B:222222222222` que `Account C:333333333333` *les* comptes de confiance. Le compte de confiance accorde les autorisations aux comptes approuvés en partageant un rôle IAM. La procédure suivante décrit les étapes de configuration requises dans`Account A:111111111111`.
**Configuration pour `Account A:111111111111`**
1. AWS Resource Access Manager À utiliser pour créer un partage de ressources pour le sous-réseau et partager le sous-réseau privé avec `Account B:222222222222` et. `Account C:333333333333`
`Account B:222222222222`et `Account C:333333333333` peuvent désormais voir et créer des ressources dans le sous-réseau qui a été partagé avec eux.
1. Créez un point de terminaison VPC privé Amazon Keyspaces alimenté par. AWS PrivateLink Cela crée plusieurs points de terminaison sur des sous-réseaux partagés et des entrées DNS pour le point de terminaison du service Amazon Keyspaces.
1. Créez un espace de touches et un tableau Amazon Keyspaces.
1. Créez un rôle IAM doté d'un accès complet à la table Amazon Keyspaces, d'un accès en lecture aux tables du système Amazon Keyspaces et capable de décrire les ressources Amazon EC2 VPC comme indiqué dans l'exemple de politique suivant. `Account A:111111111111`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints",
"cassandra:*"
],
"Resource": "*"
}
]
}
```
1. Configurez une politique de confiance pour le rôle IAM `Account A:111111111111` afin que `Account B:222222222222` et `Account C:333333333333` puissiez assumer le rôle en tant que comptes approuvés. Voici un exemple :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Pour plus d'informations sur les politiques IAM entre comptes, voir Politiques [entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) dans le Guide de l'utilisateur IAM.
**Configuration dans `Account B:222222222222` et `Account C:333333333333`**
1. Dans `Account B:222222222222` et`Account C:333333333333`, créez de nouveaux rôles et associez la politique suivante qui permet au directeur d'assumer le rôle partagé créé dans`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Permettre au principal d'assumer le rôle partagé est implémenté à l'aide de l'`AssumeRole`API du AWS Security Token Service (AWS STS). Pour plus d'informations, consultez la section [Fournir un accès à un utilisateur IAM dans un autre utilisateur Compte AWS dont vous êtes le propriétaire](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'utilisateur IAM.
1. Dans `Account B:222222222222` et`Account C:333333333333`, vous pouvez créer des applications qui utilisent le plug-in SIGV4 d'authentification, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces située `Account A:111111111111` via le point de terminaison du VPC dans le VPC partagé. Pour plus d'informations sur le plug-in SIGV4 d'authentification, consultez[Créez des informations d'identification pour un accès programmatique à Amazon Keyspaces](programmatic.credentials.md). Pour plus d'informations sur la configuration d'une application afin qu'elle assume un rôle dans un autre AWS compte, consultez [Authentification et accès](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) dans le *Guide de référence des outils AWS SDKs et*.
# Configuration de l'accès entre comptes à Amazon Keyspaces sans VPC partagé
Si la table Amazon Keyspaces et le point de terminaison VPC privé appartiennent à des comptes différents mais ne partagent pas de VPC, les applications peuvent toujours se connecter entre comptes à l'aide de points de terminaison VPC. Parce que les comptes ne partagent pas les points de terminaison VPC, `Account A:111111111111``Account B:222222222222`, et `Account C:333333333333` nécessitent leurs propres points de terminaison VPC. Pour le pilote du client Cassandra, Amazon Keyspaces apparaît comme un nœud unique au lieu d'un cluster à nœuds multiples. Lors de la connexion, le pilote client atteint le serveur DNS qui renvoie l'un des points de terminaison disponibles dans le VPC du compte.
Vous pouvez également accéder aux tables Amazon Keyspaces sur différents comptes sans point de terminaison VPC partagé en utilisant les points de terminaison publics ou en déployant un point de terminaison VPC privé dans chaque compte. Lorsque vous n'utilisez pas de VPC partagé, chaque compte a besoin de son propre point de terminaison VPC. Dans cet exemple `Account A:111111111111``Account B:222222222222`, et `Account C:333333333333` ont besoin de leurs propres points de terminaison VPC pour accéder à la table dans. `Account A:111111111111` Lorsque vous utilisez des points de terminaison VPC dans cette configuration, Amazon Keyspaces apparaît comme un cluster à nœud unique pour le pilote client Cassandra au lieu d'un cluster à nœuds multiples. Lors de la connexion, le pilote client atteint le serveur DNS qui renvoie l'un des points de terminaison disponibles dans le VPC du compte. Mais le pilote client n'est pas en mesure d'accéder à la `system.peers` table pour découvrir des points de terminaison supplémentaires. Comme il y a moins d'hôtes disponibles, le pilote établit moins de connexions. Pour régler cela, multipliez par trois le paramètre du pool de connexions du pilote.
![\[Schéma montrant trois comptes différents détenus par la même organisation au sein de la même organisation Région AWS sans VPC partagé.\]](http://docs.aws.amazon.com/fr_fr/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)
`Account A:111111111111`est le compte qui contient les ressources (une table Amazon Keyspaces) auxquelles `Account B:222222222222` et `Account C:333333333333` dont vous avez besoin pour accéder, tout comme le compte de *confiance*. `Account A:111111111111` `Account B:222222222222`et `Account C:333333333333` sont les comptes dont les principaux ont besoin d'accéder aux ressources (une table Amazon Keyspaces)`Account A:111111111111`, de même `Account B:222222222222` que `Account C:333333333333` *les* comptes de confiance. Le compte de confiance accorde les autorisations aux comptes approuvés en partageant un rôle IAM. La procédure suivante décrit les étapes de configuration requises dans`Account A:111111111111`.
**Configuration pour `Account A:111111111111`**
1. Créez un espace de saisie Amazon Keyspaces et ajoutez-le. `Account A:111111111111`
1. Créez un rôle IAM offrant un accès complet à la table Amazon Keyspaces et un accès en lecture aux tables du système Amazon Keyspaces. `Account A:111111111111`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
]
}
]
}
```
1. Configurez une politique de confiance pour le rôle IAM dans `Account A:111111111111` afin que les principaux `Account C:333333333333` puissent assumer le rôle en `Account B:222222222222` tant que comptes approuvés. Voici un exemple :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Pour plus d'informations sur les politiques IAM entre comptes, voir Politiques [entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) dans le Guide de l'utilisateur IAM.
1. Configurez le point de terminaison VPC dans le point de terminaison `Account A:111111111111` et attachez-lui des autorisations qui permettent aux rôles d'assumer le rôle d'utilisateur du point `Account C:333333333333` de terminaison VPC `Account B:222222222222` et d'assumer le rôle dans son `Account A` utilisation. Ces autorisations sont valides pour le point de terminaison VPC auquel elles sont attachées. Pour plus d'informations sur les politiques relatives aux points de terminaison VPC, consultez. [Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies)
```
{{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessfromSpecificIAMroles",
"Effect": "Allow",
"Action": "cassandra:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
}
}
}
]
}
```
**Configuration dans `Account B:222222222222` et `Account C:333333333333`**
1. Dans `Account B:222222222222` et`Account C:333333333333`, créez de nouveaux rôles et associez la politique suivante qui permet au directeur d'assumer le rôle partagé créé dans`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
}
}
```
Permettre au principal d'assumer le rôle partagé est implémenté à l'aide de l'`AssumeRole`API du AWS Security Token Service (AWS STS). Pour plus d'informations, consultez la section [Fournir un accès à un utilisateur IAM dans un autre utilisateur Compte AWS dont vous êtes le propriétaire](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'utilisateur IAM.
1. Dans `Account B:222222222222` et`Account C:333333333333`, vous pouvez créer des applications qui utilisent le plug-in SIGV4 d'authentification, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces située dans. `Account A:111111111111` Pour plus d'informations sur le plug-in SIGV4 d'authentification, consultez[Créez des informations d'identification pour un accès programmatique à Amazon Keyspaces](programmatic.credentials.md). Pour plus d'informations sur la configuration d'une application afin qu'elle assume un rôle dans un autre AWS compte, consultez [Authentification et accès](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) dans le *Guide de référence des outils AWS SDKs et*.