Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité de l'infrastructure dans Amazon Keyspaces
En tant que service géré, Amazon Keyspaces (pour Apache Cassandra) est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Keyspaces via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Amazon Keyspaces prend en charge deux méthodes pour authentifier les demandes des clients. La première méthode utilise des informations d'identification spécifiques au service, qui sont des informations d'identification basées sur un mot de passe générées pour un utilisateur IAM spécifique. Vous pouvez créer et gérer le mot de passe à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Pour plus d'informations, consultez la section [Utilisation d'IAM avec Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
La seconde méthode utilise un plugin d'authentification pour le pilote DataStax Java open source pour Cassandra. Ce plugin permet aux [utilisateurs, aux rôles et aux identités fédérées IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) d'ajouter des informations d'authentification aux demandes d'API Amazon Keyspaces (pour Apache Cassandra) à l'aide du processus [AWS Signature Version 4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Pour de plus amples informations, veuillez consulter [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](access.credentials.md).
Vous pouvez appeler ces opérations d'API depuis n'importe quel emplacement réseau, mais Amazon Keyspaces prend en charge les politiques d'accès basées sur les ressources, qui peuvent inclure des restrictions basées sur l'adresse IP source. Vous pouvez également utiliser les politiques d'Amazon Keyspaces pour contrôler l'accès depuis des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) spécifiques ou spécifiques. VPCs En fait, cela isole l'accès réseau à une ressource Amazon Keyspaces donnée uniquement du VPC spécifique au sein du réseau. AWS
Vous pouvez utiliser un point de terminaison VPC d'interface pour empêcher le trafic entre votre Amazon VPC et Amazon Keyspaces de quitter le réseau Amazon. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec private dans IPs votre Amazon VPC. Pour de plus amples informations, veuillez consulter [Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface](vpc-endpoints.md).
# Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS
AWS PrivateLink permet cela en utilisant une interface réseau élastique avec des adresses IP privées dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison de VPC d'interface n'ont pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion Direct Connect . Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink
**Topics**
+ [Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Remplissage des entrées de `system.peers` table avec les informations de point de terminaison VPC de l'interface](#system_peers)
+ [Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Disponibilité](#availability)
+ [Politiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR)](#VPC_PITR_restore)
+ [Erreurs et avertissements courants](#vpc_troubleshooting)
## Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces
Vous pouvez créer un point de terminaison VPC d'interface afin que le trafic entre Amazon Keyspaces et vos ressources Amazon VPC commence à passer par le point de terminaison VPC d'interface. Pour commencer, suivez les étapes pour [créer un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint). Ensuite, modifiez le groupe de sécurité associé au point de terminaison que vous avez créé à l'étape précédente et configurez une règle entrante pour le port 9142. Pour plus d'informations, consultez la section [Ajout, suppression et mise à jour de règles](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).
Pour un step-by-step didacticiel sur la configuration d'une connexion à Amazon Keyspaces via un point de terminaison VPC, consultez. [Tutoriel : Connectez-vous à Amazon Keyspaces à l'aide d'un point de terminaison VPC d'interface](vpc-endpoints-tutorial.md) Pour savoir comment configurer l'accès entre comptes pour les ressources Amazon Keyspaces séparément des applications présentes dans Comptes AWS un VPC, consultez. [Configurer l'accès entre comptes à Amazon Keyspaces avec des points de terminaison VPC](access.cross-account.md)
## Remplissage des entrées de `system.peers` table avec les informations de point de terminaison VPC de l'interface
Les pilotes Apache Cassandra utilisent la `system.peers` table pour demander des informations sur les nœuds du cluster. Les pilotes Cassandra utilisent les informations du nœud pour équilibrer la charge des connexions et relancer les opérations. Amazon Keyspaces remplit automatiquement neuf entrées du `system.peers` tableau pour les clients qui se connectent via le point de terminaison public.
Pour fournir aux clients qui se connectent via des points de terminaison VPC d'interface des fonctionnalités similaires, Amazon Keyspaces remplit le `system.peers` tableau de votre compte avec une entrée pour chaque zone de disponibilité dans laquelle un point de terminaison VPC est disponible. Pour rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau`system.peers`, Amazon Keyspaces exige que vous accordiez à l'entité IAM utilisée pour se connecter à Amazon Keyspaces les autorisations d'accès lui permettant de demander à votre VPC les informations relatives au point de terminaison et à l'interface réseau.
**Important**
Le remplissage du `system.peers` tableau avec les points de terminaison VPC de votre interface disponibles améliore l'équilibrage de charge et augmente le débit. read/write Il est recommandé à tous les clients accédant à Amazon Keyspaces via des points de terminaison VPC d'interface et est requis pour Apache Spark.
Pour accorder à l'entité IAM utilisée pour se connecter à Amazon Keyspaces l'autorisation de rechercher les informations nécessaires sur le point de terminaison VPC de l'interface, vous pouvez mettre à jour votre rôle IAM ou votre politique utilisateur existants, ou créer une nouvelle politique IAM comme indiqué dans l'exemple suivant.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**Note**
Les politiques gérées `AmazonKeyspacesFullAccess` incluent `AmazonKeyspacesReadOnlyAccess_v2` les autorisations requises pour permettre à Amazon Keyspaces d'accéder à l'instance Amazon EC2 afin de lire les informations sur les points de terminaison VPC d'interface disponibles.
Pour vérifier que la politique a été correctement configurée, interrogez le `system.peers` tableau pour consulter les informations réseau. Si le `system.peers` tableau est vide, cela peut indiquer que la politique n'a pas été configurée correctement ou que vous avez dépassé le quota de demandes `DescribeNetworkInterfaces` et les actions `DescribeVPCEndpoints` d'API. `DescribeVPCEndpoints`entre dans `Describe*` cette catégorie et est considérée comme une action *non mutante.* `DescribeNetworkInterfaces`appartient au sous-ensemble des *actions non mutantes non filtrées et non paginées, et différents* quotas s'appliquent. Pour plus d'informations, consultez la section [Taille des compartiments de jetons de demande et taux de recharge](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) dans le manuel Amazon EC2 API Reference.
Si vous voyez un tableau vide, réessayez quelques minutes plus tard pour exclure tout problème de quota de taux de demandes. Pour vérifier que vous avez correctement configuré les points de terminaison VPC, consultez. [La connexion de mon point de terminaison VPC ne fonctionne pas correctement](troubleshooting.connecting.md#troubleshooting.connection.vpce) Si votre requête renvoie les résultats du tableau, cela signifie que votre politique a été correctement configurée.
## Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces
Avec les politiques de point de terminaison VPC, vous pouvez contrôler l'accès aux ressources de deux manières :
+ **Politique IAM** : vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés à accéder à Amazon Keyspaces via un point de terminaison VPC spécifique. Pour ce faire, utilisez une [clé de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans la stratégie attachée à un utilisateur, un groupe ou un rôle IAM.
+ **Politique VPC** : vous pouvez contrôler quels points de terminaison VPC ont accès à vos ressources Amazon Keyspaces en leur associant des politiques. Pour restreindre l'accès à un keyspace ou à une table spécifique afin d'autoriser uniquement le trafic passant par un point de terminaison VPC spécifique, modifiez la stratégie IAM existante qui restreint l'accès aux ressources et ajoutez ce point de terminaison VPC.
Vous trouverez ci-dessous des exemples de politiques relatives aux points de terminaison permettant d'accéder aux ressources Amazon Keyspaces.
+ **Exemple de politique IAM : limitez tout accès à une table Amazon Keyspaces spécifique, sauf si le trafic provient du point de terminaison VPC spécifié**. Cet exemple de politique peut être associé à un utilisateur, un rôle ou un groupe IAM. Il restreint l'accès à une table Amazon Keyspaces spécifiée, sauf si le trafic entrant provient d'un point de terminaison VPC spécifié.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**Note**
Pour restreindre l'accès à une table spécifique, vous devez également inclure l'accès aux tables système. Les tables système sont en lecture seule.
+ Exemple de **politique VPC : accès en lecture seule — Cet exemple** de politique peut être attaché à un point de terminaison VPC. (Pour plus d'informations, consultez la section [Contrôle de l'accès aux ressources Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Il limite les actions à l'accès en lecture seule aux ressources Amazon Keyspaces via le point de terminaison VPC auquel il est connecté.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Exemple de politique VPC : restreindre l'accès à une table Amazon Keyspaces spécifique** — Cet exemple de politique peut être attaché à un point de terminaison VPC. Il limite l'accès à une table spécifique via le point de terminaison VPC auquel il est attaché.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**Note**
Pour restreindre l'accès à une table spécifique, vous devez également inclure l'accès aux tables système. Les tables système sont en lecture seule.
## Disponibilité
Amazon Keyspaces prend en charge l'utilisation des points de terminaison VPC d'interface partout Régions AWS où le service est disponible. Pour de plus amples informations, veuillez consulter [Points de terminaison de service pour Amazon Keyspaces](programmatic.endpoints.md).
## Politiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR)
Si vous utilisez des politiques IAM avec des [clés de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) pour restreindre le trafic entrant, l'opération de restauration des tables risque d'échouer. Par exemple, si vous limitez le trafic source à des points de terminaison VPC spécifiques à l'aide de clés de `aws:SourceVpce` condition, l'opération de restauration de table échoue. Pour autoriser Amazon Keyspaces à effectuer une opération de restauration pour le compte de votre mandant, vous devez ajouter une clé de `aws:ViaAWSService` condition à votre politique IAM. La clé de `aws:ViaAWSService` condition permet l'accès lorsqu'un AWS service fait une demande en utilisant les informations d'identification du principal. Pour plus d'informations, voir [Éléments de politique IAM JSON : clé de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le guide de l'*utilisateur IAM*. La politique suivante en est un exemple.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Erreurs et avertissements courants
**Si vous utilisez Amazon Virtual Private Cloud et que vous vous connectez à Amazon Keyspaces, l'avertissement suivant peut s'afficher.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Cet avertissement se produit car le `system.peers` tableau contient des entrées pour tous les points de terminaison Amazon VPC qu'Amazon Keyspaces est autorisé à consulter, y compris le point de terminaison Amazon VPC via lequel vous êtes connecté. Vous pouvez ignorer cet avertissement en toute sécurité.
Pour les autres erreurs, consultez[La connexion de mon point de terminaison VPC ne fonctionne pas correctement](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Utilisation des flux CDC d'Amazon Keyspaces avec des points de terminaison VPC d'interface
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS
AWS PrivateLink permet cela en utilisant une interface réseau élastique avec des adresses IP privées dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison de VPC d'interface n'ont pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion Direct Connect . Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink
**Topics**
+ [Utilisation des points de terminaison VPC de l'interface pour les flux CDC d'Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Points de terminaison VPC de l'interface de diffusion (CDC) d'Amazon Keyspaces](#interface-vpc-endpoints-streams-types)
+ [Création d'un point de terminaison VPC avec l'interface de flux CDC d'Amazon Keyspaces](#create-interface-vpc-endpoints-streams)
+ [Mettre à jour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces](#update-interface-vpc-endpoints-streams)
+ [Répertorier les flux à l'aide d'une interface de flux CDC Amazon Keyspaces (point de terminaison VPC)](#list-interface-vpc-endpoints-streams)
+ [Création d'une politique pour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces](#interface-vpc-endpoints-streams-policy)
## Utilisation des points de terminaison VPC de l'interface pour les flux CDC d'Amazon Keyspaces
Vous pouvez utiliser un point de terminaison VPC d'interface afin que le trafic entre les flux CDC d'Amazon Keyspaces et vos ressources Amazon VPC commence à passer par le point de terminaison VPC de l'interface. Vous pouvez utiliser les politiques de point de terminaison VPC pour restreindre l'accès à vos flux CDC.
Pour plus d'informations sur les flux CDC d'Amazon Keyspaces, consultez. [Utilisation des flux de capture des données modifiées (CDC) dans Amazon Keyspaces](cdc.md)
## Points de terminaison VPC de l'interface de diffusion (CDC) d'Amazon Keyspaces
**Lorsque vous créez un point de terminaison d'interface, Amazon Keyspaces CDC streams génère deux types de noms DNS spécifiques au point de terminaison pour le flux : régional et zonal.**
**Régional**
Le nom DNS régional inclut les informations suivantes :
+ un identifiant de point de terminaison Amazon VPC unique
+ un identifiant de service
+ le Région AWS
+ le `vpce.amazonaws.com` suffixe
Pour un point de terminaison Amazon VPC avec l'ID`vpce-1a2b3c4d`, le nom DNS généré peut ressembler à l'exemple suivant :. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`
**Zonal**
Le nom DNS de zone inclut la [zone de disponibilité](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) en plus des informations contenues dans le nom DNS régional. Le nom DNS généré pour le point de terminaison Amazon VPC avec l'ID `vpce-1a2b3c4d` ressemble à celui de l'exemple suivant. Notez que la zone de disponibilité Région AWS est désormais incluse : `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Vous pouvez utiliser cette option si votre architecture isole des zones de disponibilité. Par exemple, vous pouvez l’utiliser pour contenir les pannes ou réduire les coûts de transfert de données Régionaux.
Pour obtenir une fiabilité optimale, nous vous recommandons de déployer votre service dans un minimum de trois zones de disponibilité.
## Création d'un point de terminaison VPC avec l'interface de flux CDC d'Amazon Keyspaces
Vous pouvez utiliser le AWS CLI ou le AWS SDK pour accéder aux opérations de l'API Amazon Keyspaces CDC Streams via les points de terminaison de l'interface Amazon Keyspaces CDC Streams. Pour obtenir la liste complète de toutes les opérations d'API disponibles, consultez le manuel de référence des [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html).
Pour plus d'informations sur la création de points de terminaison VPC, consultez la section [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon VPC.
Pour créer un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Mettre à jour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces
Pour mettre à jour un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Répertorier les flux à l'aide d'une interface de flux CDC Amazon Keyspaces (point de terminaison VPC)
Pour répertorier les flux qui utilisent un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant. Assurez-vous de remplacer la région et le nom DNS de l'ID de point de terminaison du VPC par vos propres informations.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Création d'une politique pour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces
Vous pouvez associer une politique de point de terminaison à votre point de terminaison Amazon VPC qui contrôle l'accès aux flux CDC d'Amazon Keyspaces. La politique spécifie les informations suivantes :
+ Le principal Gestion des identités et des accès AWS (IAM) qui peut effectuer des actions
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour restreindre l'accès à des flux CDC Amazon Keyspaces spécifiques afin de n'autoriser l'accès qu'à des AWS services spécifiques dans votre Amazon VPC, vous pouvez utiliser l'exemple suivant.
La politique de flux suivante accorde l'accès à n'importe quel principal IAM pour les actions `cassandra:GetStream` et `cassandra:GetRecords` pour le flux spécifié `2025-02-20T11:22:33.444` attaché à la ressource `/keyspace/mykeyspace/table/mytable/` appartenant au compte`123456788901`. Pour utiliser cette politique de point de terminaison, assurez-vous de remplacer la région, l'ID de compte et la ressource par le libellé du flux.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**Note**
Amazon Keyspaces ne prend pas en charge les points de terminaison Gateway pour les flux CDC.