Configurer l'accès entre comptes à Amazon Keyspaces à l'VPCaide de points de terminaison dans un environnement partagé VPC - Amazon Keyspaces (pour Apache Cassandra)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'accès entre comptes à Amazon Keyspaces à l'VPCaide de points de terminaison dans un environnement partagé VPC

Vous pouvez créer différents Comptes AWS pour séparer les ressources des applications. Par exemple, vous pouvez créer un compte pour vos tables Amazon Keyspaces, un compte différent pour les applications dans un environnement de développement et un autre compte pour les applications dans un environnement de production. Cette rubrique décrit les étapes de configuration requises pour configurer l'accès entre comptes pour Amazon Keyspaces à l'aide de points de terminaison d'VPCinterface dans un espace partagé. VPC

Pour connaître les étapes détaillées de configuration d'un VPC point de terminaison pour Amazon Keyspaces, consultez. Étape 3 : créer un VPC point de terminaison pour Amazon Keyspaces

Dans cet exemple, nous utilisons les trois comptes suivants dans un partage VPC :

  • Account A— Ce compte contient l'infrastructure, notamment les VPC points de terminaison, les VPC sous-réseaux et les tables Amazon Keyspaces.

  • Account B— Ce compte contient une application dans un environnement de développement qui doit se connecter à la table Amazon Keyspaces dans. Account A

  • Account C— Ce compte contient une application dans un environnement de production qui doit se connecter à la table Amazon Keyspaces dans. Account A

Schéma montrant trois comptes différents détenus par la même organisation Région AWS qui utilisent un partageVPC.

Account Aest le compte qui contient les ressources auxquelles Account B et Account C dont vous avez besoin pour accéder, de même Account A que le compte fiduciaire. Account Bet Account C sont les comptes dont les mandants ont besoin d'accéder aux ressourcesAccount A, de même que Account B Account C les comptes fiables. Le compte de confiance accorde les autorisations aux comptes de confiance en partageant un IAM rôle. La procédure suivante décrit les étapes de configuration requises dansAccount A.

Configuration pour Account A

  1. Utiliser AWS Resource Access Manager pour créer un partage de ressources pour le sous-réseau et partager le sous-réseau privé avec Account B et. Account C

    Account Bet Account C peuvent désormais voir et créer des ressources dans le sous-réseau qui a été partagé avec eux.

  2. Créez un point de VPC terminaison privé Amazon Keyspaces alimenté par AWS PrivateLink. Cela crée plusieurs points de terminaison sur des sous-réseaux et DNS entrées partagés pour le point de terminaison du service Amazon Keyspaces.

  3. Créez un espace de touches et un tableau Amazon Keyspaces.

  4. Créez un IAM rôle ayant un accès complet à la table Amazon Keyspaces, un accès en lecture aux tables du système Amazon Keyspaces et capable de décrire les EC2 VPC ressources Amazon comme indiqué dans l'exemple de politique suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. Configurez la politique de confiance des IAM rôles que Account B et Account C pouvez assumer en tant que comptes approuvés, comme indiqué dans l'exemple suivant. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    Pour plus d'informations sur les politiques multicomptes, consultez la section IAM Politiques multicomptes dans le Guide de l'IAMutilisateur.

Configuration dans Account B et Account C

  1. Dans Account B etAccount C, créez de nouveaux rôles et associez la politique suivante qui permet au directeur d'assumer le rôle partagé créé dansAccount A.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Le fait de permettre au directeur d'assumer le rôle partagé est mis en œuvre à l'aide AssumeRole API du AWS Security Token Service (AWS STS). Pour plus d'informations, voir Fournir un accès à un IAM utilisateur dans un autre Compte AWS dont vous êtes propriétaire dans le guide de IAM l'utilisateur.

  2. Dans Account B etAccount C, vous pouvez créer des applications qui utilisent le plug-in SIGV4 d'authentification, qui permet à une application d'assumer le rôle partagé pour se connecter à la table Amazon Keyspaces située Account A via le VPC point de terminaison dans le partage. VPC Pour plus d'informations sur le plug-in SIGV4 d'authentification, consultezCréez des informations d'identification pour un accès programmatique à Amazon Keyspaces .