Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les IAM autorisations de restauration des tables pour Amazon Keyspaces PITR
Cette section explique comment configurer les autorisations pour un AWS Identity and Access Management (IAM) principal pour restaurer les tables Amazon Keyspaces. DansIAM, le AWS la politique gérée AmazonKeyspacesFullAccess inclut les autorisations de restauration des tables Amazon Keyspaces. Pour mettre en œuvre une politique personnalisée avec les autorisations minimales requises, tenez compte des exigences décrites dans la section suivante.
Pour restaurer correctement une table, le IAM principal doit disposer des autorisations minimales suivantes :
cassandra:Restore— L'action de restauration est requise pour que la table cible soit restaurée.cassandra:Select— L'action de sélection est requise pour lire dans la table source.cassandra:TagResource— L'action de balise est facultative et n'est requise que si l'opération de restauration ajoute des balises.
Il s'agit d'un exemple de politique qui accorde les autorisations minimales requises à un utilisateur pour restaurer des tables dans Keyspacemykeyspace.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Restore", "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }
Des autorisations supplémentaires pour restaurer une table peuvent être requises en fonction d'autres fonctionnalités sélectionnées. Par exemple, si la table source est chiffrée au repos à l'aide d'une clé gérée par le client, Amazon Keyspaces doit être autorisé à accéder à la clé gérée par le client de la table source pour pouvoir restaurer correctement la table. Pour de plus amples informations, veuillez consulter PITRrestauration de tables chiffrées.
Si vous utilisez des IAM politiques comportant des clés de condition pour limiter le trafic entrant à des sources spécifiques, vous devez vous assurer qu'Amazon Keyspaces est autorisé à effectuer une opération de restauration pour le compte de votre principal. Vous devez ajouter une clé de aws:ViaAWSService condition à votre IAM politique si celle-ci limite le trafic entrant à l'une des conditions suivantes :
VPCpoints de terminaison avec
aws:SourceVpceplages d'adresses IP avec
aws:SourceIpVPCsavec
aws:SourceVpc
La clé de aws:ViaAWSService condition permet l'accès quand il y en a AWS le service fait une demande en utilisant les informations d'identification du principal. Pour plus d'informations, voir Éléments IAM JSON de politique : clé de condition dans le guide de IAM l'utilisateur.
Voici un exemple de politique qui limite le trafic source à une adresse IP spécifique et permet à Amazon Keyspaces de restaurer une table pour le compte du principal.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CassandraAccessForCustomIp", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"false" }, "ForAnyValue:IpAddress":{ "aws:SourceIp":[ "123.45.167.89" ] } } }, { "Sid":"CassandraAccessForAwsService", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"true" } } } ] }
Pour un exemple de politique utilisant la clé de condition aws:ViaAWSService globale, voirPolitiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR).
