Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès AWS pour Amazon Keyspaces
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Keyspaces. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour Amazon Keyspaces](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon Keyspaces](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon Keyspaces fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon Keyspaces, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Keyspaces. *Pour obtenir une vue d'ensemble de la façon dont Amazon Keyspaces et les autres AWS services fonctionnent avec IAM, consultez les [AWS services compatibles avec IAM dans le guide de l'utilisateur d'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Politiques basées sur l'identité d'Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources d'Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Rôles IAM chez Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Politiques basées sur l'identité d'Amazon Keyspaces
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon Keyspaces prend en charge des actions et des ressources spécifiques, ainsi que des clés de condition. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
*Pour voir les ressources et actions spécifiques au service Amazon Keyspaces, ainsi que les clés contextuelles de condition qui peuvent être utilisées pour les politiques d'autorisation IAM, consultez les [actions, les ressources et les clés de condition pour Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)) dans le Service Authorization Reference.*
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans Amazon Keyspaces utilisent le préfixe suivant avant l'action :. `cassandra:` Par exemple, pour autoriser quelqu'un à créer un espace de touches Amazon Keyspaces à l'aide de l'instruction Amazon Keyspaces `CREATE` CQL, vous devez inclure l'action dans sa politique. `cassandra:Create` Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Amazon Keyspaces définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
*Pour consulter la liste des actions Amazon Keyspaces, consultez la section [Actions définies par Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) dans le Service Authorization Reference.*
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Dans Amazon Keyspaces, les espaces clés, les tables et les flux peuvent être utilisés dans le cadre des autorisations `Resource` IAM.
**Note**
Pour accéder aux espaces clés et aux tables des utilisateurs dans Amazon Keyspaces, votre politique IAM doit `cassandra:Select` inclure des autorisations sur les tables système :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Cela s'applique aux scénarios suivants :
AWS Accès à la console de gestion
les opérations sur les ressources du SDK`GetKeyspace`, par exemple `GetTable``ListKeyspaces`, et `ListTables`
Connexions au pilote client Apache Cassandra standard, car les pilotes lisent automatiquement les tables système lors de l'initialisation de la connexion
Les tables système sont en lecture seule et ne peuvent pas être modifiées.
La ressource keyspace Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
La ressource de table Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
La ressource de streaming Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et espaces de noms AWS de services](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Par exemple, pour spécifier le keyspace `mykeyspace` dans votre déclaration, utilisez l'ARN suivant :
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Pour spécifier toues les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Certaines actions Amazon Keyspaces, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Par exemple, pour accorder `SELECT` des autorisations à un principal IAM pour `mytable` in`mykeyspace`, le principal doit être autorisé à lire à la fois `mytable` et`keyspace/system*`. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Pour consulter la liste des types de ressources Amazon Keyspaces et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) dans le Service Authorization Reference.* Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Amazon Keyspaces définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Toutes les actions Amazon Keyspaces prennent en charge les clés `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, le et les clés de `aws:TagKeys` condition. Pour de plus amples informations, veuillez consulter [Accès aux ressources Amazon Keyspaces basé sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
*Pour consulter la liste des clés de condition Amazon Keyspaces, consultez la section Clés de [condition pour Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) dans le Service Authorization Reference.* Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Exemples
Pour consulter des exemples de politiques basées sur l'identité d'Amazon Keyspaces, consultez. [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources d'Amazon Keyspaces
Amazon Keyspaces ne prend pas en charge les politiques basées sur les ressources. Pour afficher un exemple de page de stratégie basée sur les ressources détaillée, consultez [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisation basée sur les tags Amazon Keyspaces
Vous pouvez gérer l'accès à vos ressources Amazon Keyspaces à l'aide de balises. Pour gérer l'accès aux ressources basé sur des balises, vous devez fournir les informations de balise dans l'[élément Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une stratégie utilisant les clés de condition `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources Amazon Keyspaces, consultez. [Utilisation de balises et d'étiquettes pour les ressources Amazon Keyspaces](tagging-keyspaces.md)
Pour visualiser un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, veuillez consulter [Accès aux ressources Amazon Keyspaces basé sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Rôles IAM chez Amazon Keyspaces
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité au sein de vous Compte AWS qui possède des autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec Amazon Keyspaces
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la fédération pour endosser un rôle IAM ou bien un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Keyspaces prend en charge l'utilisation d'informations d'identification temporaires avec le plugin d'authentification AWS Signature Version 4 (SigV4) disponible sur le référentiel Github pour les langues suivantes :
+ Java :[https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js :[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Allez :[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Pour des exemples et des didacticiels qui implémentent le plugin d'authentification pour accéder à Amazon Keyspaces par programmation, consultez. [Utilisation d'un pilote client Cassandra pour accéder à Amazon Keyspaces par programmation](programmatic.drivers.md)
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour en savoir plus sur la création ou la gestion des rôles liés aux services Amazon Keyspaces, consultez. **[Utilisation de rôles liés à un service pour Amazon Keyspaces](using-service-linked-roles.md)**
### Rôles du service
Amazon Keyspaces ne prend pas en charge les rôles de service.
# Exemples de politiques basées sur l'identité d'Amazon Keyspaces
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Amazon Keyspaces. Ils ne peuvent pas non plus effectuer de tâches à l'aide de la console, du CQLSH ou AWS de AWS CLI l'API. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour apprendre à créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, veuillez consulter [Création de politiques dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accès aux tables Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Accès aux ressources Amazon Keyspaces basé sur des balises](#security_iam_id-based-policy-examples-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Keyspaces de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Amazon Keyspaces
Amazon Keyspaces n'a pas besoin d'autorisations spécifiques pour accéder à la console Amazon Keyspaces. Vous devez disposer d'au moins des autorisations en lecture seule pour répertorier et consulter les informations relatives aux ressources Amazon Keyspaces dans votre. Compte AWS Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique.
Deux politiques AWS gérées sont à la disposition des entités pour l'accès à la console Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Cette politique accorde un accès en lecture seule à Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Cette politique accorde l'autorisation d'utiliser Amazon Keyspaces avec un accès complet à toutes les fonctionnalités.
Pour plus d'informations sur les politiques gérées par Amazon Keyspaces, consultez. [AWS politiques gérées pour Amazon Keyspaces](security-iam-awsmanpol.md)
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accès aux tables Amazon Keyspaces
**Note**
Pour accéder aux espaces clés et aux tables des utilisateurs dans Amazon Keyspaces, votre politique IAM doit `cassandra:Select` inclure des autorisations sur les tables système :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Cela s'applique aux scénarios suivants :
AWS Accès à la console de gestion
les opérations sur les ressources du SDK`GetKeyspace`, par exemple `GetTable``ListKeyspaces`, et `ListTables`
Connexions au pilote client Apache Cassandra standard, car les pilotes lisent automatiquement les tables système lors de l'initialisation de la connexion
Les tables système sont en lecture seule et ne peuvent pas être modifiées.
Voici un exemple de politique qui accorde un accès en lecture seule (`SELECT`) aux tables du système Amazon Keyspaces. Pour tous les exemples, remplacez la région et l'ID de compte dans le nom de ressource Amazon (ARN) par les vôtres.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant ajoute un accès en lecture seule à la table utilisateur `mytable` dans le keyspace. `mykeyspace`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant attribue read/write l'accès à une table utilisateur et un accès en lecture aux tables système.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de stratégie suivant permet à un utilisateur de créer des tables dans le keyspace `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant attribue un accès en lecture aux tables système, mais restreint l'accès `SELECT` (lecture) et `MODIFY` (écriture) à la table utilisateur. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Accès aux ressources Amazon Keyspaces basé sur des balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux ressources Amazon Keyspaces en fonction de balises. Ces politiques contrôlent la visibilité des espaces clés et des tables du compte. Notez que les autorisations basées sur des balises pour les tables système se comportent différemment lorsque les demandes sont effectuées à l'aide du AWS SDK par rapport aux appels d'API Cassandra Query Language (CQL) via les pilotes Cassandra et les outils de développement.
+ Pour effectuer `Get` des demandes `List` et y affecter des ressources avec le AWS SDK lors de l'utilisation de l'accès basé sur des balises, l'appelant doit disposer d'un accès en lecture aux tables système. Par exemple, des autorisations `Select` d'action sont nécessaires pour lire les données des tables système via l'`GetTable`opération. Si l'appelant ne dispose que d'un accès basé sur des balises à une table spécifique, une opération nécessitant un accès supplémentaire à une table système échouera.
+ Pour des raisons de compatibilité avec le comportement établi du pilote Cassandra, les politiques d'autorisation basées sur les balises ne sont pas appliquées lors de l'exécution d'opérations sur les tables système à l'aide d'appels d'API CQL (Cassandra Query Language) via des pilotes Cassandra et des outils de développement.
L'exemple suivant montre comment créer une stratégie qui accorde des autorisations à un utilisateur pour afficher une table si son `Owner` contient la valeur du nom d'utilisateur de cet utilisateur. Dans cet exemple, vous accordez également un accès en lecture aux tables système.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter une table Amazon Keyspaces, la table doit être `Owner=richard-roe` balisée ou. `owner=richard-roe` Dans le cas contraire, l’utilisateur se voit refuser l'accès. La clé de condition d'étiquette `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
La stratégie suivante autorise un utilisateur à créer des tables avec des balises si l'`Owner` de la table contient la valeur du nom d'utilisateur de cet utilisateur.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS politiques gérées pour Amazon Keyspaces
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonKeyspacesReadOnlyAccess \$1v2
Vous pouvez associer la politique `AmazonKeyspacesReadOnlyAccess_v2` à vos identités IAM.
Cette politique accorde un accès en lecture seule à Amazon Keyspaces et inclut les autorisations requises lors de la connexion via des points de terminaison VPC privés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Fournit un accès en lecture seule à Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permet aux directeurs d'écran de consulter les flux CDC d'Amazon Keyspaces.
+ `Application Auto Scaling` : permet aux principaux de visualiser les configurations à partir d’Application Auto Scaling. Cela est nécessaire pour que les utilisateurs puissent afficher les politiques de mise à l’échelle automatique associées à une table.
+ `CloudWatch`— Permet aux principaux de consulter les données métriques et les alarmes configurées dans CloudWatch. Cela est nécessaire pour que les utilisateurs puissent voir la taille de la table facturable et les CloudWatch alarmes configurées pour une table.
+ `AWS KMS`— Permet aux principaux d'afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
+ `Amazon EC2`— Permet aux principaux se connectant à Amazon Keyspaces via des points de terminaison VPC d'interroger le VPC de votre instance Amazon EC2 pour obtenir des informations sur le point de terminaison et l'interface réseau. Cet accès en lecture seule à l'instance Amazon EC2 est requis pour qu'Amazon Keyspaces puisse rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau utilisé pour l'équilibrage de charge de connexion. `system.peers`
Pour consulter le `JSON` format de la politique, consultez [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html).
## AWS politique gérée : AmazonKeyspacesReadOnlyAccess
Vous pouvez associer la politique `AmazonKeyspacesReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule à Amazon Keyspaces.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Fournit un accès en lecture seule à Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permet aux directeurs d'écran de consulter les flux CDC d'Amazon Keyspaces.
+ `Application Auto Scaling` : permet aux principaux de visualiser les configurations à partir d’Application Auto Scaling. Cela est nécessaire pour que les utilisateurs puissent afficher les politiques de mise à l’échelle automatique associées à une table.
+ `CloudWatch`— Permet aux principaux de consulter les données métriques et les alarmes configurées dans CloudWatch. Cela est nécessaire pour que les utilisateurs puissent voir la taille de la table facturable et les CloudWatch alarmes configurées pour une table.
+ `AWS KMS`— Permet aux principaux d'afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
Pour consulter le `JSON` format de la politique, voir [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html).
## AWS politique gérée : AmazonKeyspacesFullAccess
Vous pouvez associer la politique `AmazonKeyspacesFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent à vos administrateurs d'accéder sans restriction à Amazon Keyspaces.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Permet aux directeurs d'accéder à n'importe quelle ressource Amazon Keyspaces et d'effectuer toutes les actions.
+ `Application Auto Scaling`— Permet aux principaux de créer, de consulter et de supprimer des politiques de dimensionnement automatique pour les tables Amazon Keyspaces. Cela est nécessaire pour que les administrateurs puissent gérer les politiques de dimensionnement automatique pour les tables Amazon Keyspaces.
+ `CloudWatch`— Permet aux donneurs d'ordre de voir la taille de la table facturable ainsi que de créer, de consulter et de supprimer des CloudWatch alarmes conformément aux politiques de dimensionnement automatique d'Amazon Keyspaces. Cela est nécessaire pour que les administrateurs puissent consulter la taille de la table facturable et créer un CloudWatch tableau de bord.
+ `IAM`— Permet à Amazon Keyspaces de créer automatiquement des rôles liés à un service avec IAM lorsque les fonctionnalités suivantes sont activées :
+ `Amazon Keyspaces CDC streams`— Lorsqu'un administrateur active un flux pour une table, Amazon Keyspaces crée le rôle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) lié à un service pour publier des CloudWatch statistiques sur votre compte en votre nom.
+ `Application Auto Scaling`— Lorsqu'un administrateur active Application Auto Scaling pour une table, Amazon Keyspaces crée le rôle lié à un service [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)pour effectuer des actions de dimensionnement automatique en votre nom.
+ `Amazon Keyspaces multi-Region replication`— Lorsqu'un administrateur crée un nouvel espace clé multirégional ou en ajoute un nouveau Région AWS à un espace clé mono-régional existant, Amazon Keyspaces crée le [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)rôle lié à un service pour effectuer la réplication des tables, des données et des métadonnées dans les régions sélectionnées en votre nom.
+ `AWS KMS` : permet aux principaux d’afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
+ `Amazon EC2`— Permet aux principaux se connectant à Amazon Keyspaces via des points de terminaison VPC d'interroger le VPC de votre instance Amazon EC2 pour obtenir des informations sur le point de terminaison et l'interface réseau. Cet accès en lecture seule à l'instance Amazon EC2 est requis pour qu'Amazon Keyspaces puisse rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau utilisé pour l'équilibrage de charge de connexion. `system.peers`
Pour consulter le `JSON` format de la politique, voir [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html).
## AWS politique gérée : Keyspaces CDCService RolePolicy
Vous ne pouvez pas joindre de `KeyspacesCDCServiceRolePolicy` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Amazon Keyspaces d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Cette politique accorde les autorisations requises au rôle lié au service pour publier en votre `AWSServiceRoleForAmazonKeyspacesCDC` nom les données de métriques de flux CDC d'Amazon Keyspaces. CloudWatch
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `CloudWatch`— Permet au service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) de publier les données métriques provenant des flux CDC d'Amazon Keyspaces sur votre CloudWatch compte `"cloudwatch:namespace": "AWS/Cassandra"` en votre nom.
Pour consulter le `JSON` format de la politique, consultez [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces met à jour les politiques gérées AWS
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Keyspaces depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document pour Amazon Keyspaces (pour Apache Cassandra)](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy — Nouvelle](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) politique | Amazon Keyspaces a ajouté une nouvelle politique gérée `KeyspacesCDCServiceRolePolicy` qui accorde les autorisations requises au rôle lié à un service pour publier en votre nom les données des métriques de flux CDC d'`AWSServiceRoleForAmazonKeyspacesCDC`Amazon Keyspaces. CloudWatch Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 juillet 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Mise à jour d'une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux responsables de l'IAM de consulter les streams du CDC d'Amazon Keyspaces. Pour de plus amples informations, veuillez consulter [Afficher les streams du CDC sur Amazon Keyspaces](keyspaces-view-cdc.md). | 2 juillet 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux responsables de l'IAM de consulter les streams du CDC d'Amazon Keyspaces. Pour de plus amples informations, veuillez consulter [Afficher les streams du CDC sur Amazon Keyspaces](keyspaces-view-cdc.md). | 2 juillet 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a créé la politique `KeyspacesCDCServiceRolePolicy` gérée pour le rôle lié au service [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) afin d'ajouter les autorisations requises lorsqu'un administrateur active un flux pour une table. Amazon Keyspaces utilise le rôle lié au service `AWSServiceRoleForAmazonKeyspacesCDC` pour publier des CloudWatch statistiques sur votre compte en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 juillet 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a mis à jour le `KeyspacesReplicationServiceRolePolicy` rôle lié au service [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)afin d'ajouter les autorisations requises lorsqu'un administrateur ajoute un nouveau rôle Région AWS à un espace clé unique ou multirégional. Amazon Keyspaces utilise le rôle lié au service `AWSServiceRoleForAmazonKeyspacesReplication` pour répliquer les tables, leurs paramètres et les données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 novembre 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre à Amazon Keyspaces de créer un rôle lié à un service lorsqu'un administrateur ajoute une nouvelle région à un espace clé unique ou multirégional. Amazon Keyspaces utilise le rôle lié à un service pour effectuer des tâches de réplication de données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 octobre 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) — Nouvelle politique | Amazon Keyspaces a créé une nouvelle politique visant à ajouter des autorisations en lecture seule pour les clients se connectant à Amazon Keyspaces via des points de terminaison VPC d'interface afin d'accéder à l'instance Amazon EC2 afin de consulter des informations réseau. Amazon Keyspaces stocke les points de terminaison VPC d'interface disponibles dans le `system.peers` tableau pour l'équilibrage de charge de connexion. Pour de plus amples informations, veuillez consulter [Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface](vpc-endpoints.md). | 12 septembre 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre à Amazon Keyspaces de créer un rôle lié à un service lorsqu'un administrateur crée un espace de touches multirégional. Amazon Keyspaces utilise le rôle lié à un service `AWSServiceRoleForAmazonKeyspacesReplication` pour effectuer des tâches de réplication de données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 juin 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter la taille facturable d'une table en utilisant. CloudWatch Amazon Keyspaces s'intègre CloudWatch à Amazon pour vous permettre de contrôler la taille des tables facturables. Pour de plus amples informations, veuillez consulter [Métriques Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 juillet 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter la taille facturable d'une table en utilisant. CloudWatch Amazon Keyspaces s'intègre CloudWatch à Amazon pour vous permettre de contrôler la taille des tables facturables. Pour de plus amples informations, veuillez consulter [Métriques Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 juillet 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter AWS KMS les clés configurées pour le chiffrement Amazon Keyspaces au repos. Le chiffrement au repos d'Amazon Keyspaces s'intègre AWS KMS à la protection et à la gestion des clés de chiffrement utilisées pour chiffrer les données au repos. Pour afficher la AWS KMS clé configurée pour Amazon Keyspaces, des autorisations de lecture seule ont été ajoutées. | 1er juin 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter AWS KMS les clés configurées pour le chiffrement Amazon Keyspaces au repos. Le chiffrement au repos d'Amazon Keyspaces s'intègre AWS KMS à la protection et à la gestion des clés de chiffrement utilisées pour chiffrer les données au repos. Pour afficher la AWS KMS clé configurée pour Amazon Keyspaces, des autorisations de lecture seule ont été ajoutées. | 1er juin 2021 |
| Amazon Keyspaces a commencé à suivre les modifications | Amazon Keyspaces a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 1er juin 2021 |
# Résolution des problèmes d'identité et d'accès à Amazon Keyspaces
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Keyspaces et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [J'ai modifié un utilisateur ou un rôle IAM et les modifications n'ont pas pris effet immédiatement](#security_iam_troubleshoot-effect)
+ [Je ne parviens pas à restaurer une table à l'aide d'Amazon Keyspaces point-in-time Recovery (PITR)](#security_iam_troubleshoot-pitr)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon Keyspaces
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` IAM essaie d'utiliser la console pour afficher les détails d'une table *table* mais ne dispose pas `cassandra:Select` des autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `mytable` à l’aide de l’action `cassandra:Select`.
## J'ai modifié un utilisateur ou un rôle IAM et les modifications n'ont pas pris effet immédiatement
Les modifications de la politique IAM peuvent prendre jusqu'à 10 minutes pour prendre effet pour les applications disposant de connexions existantes et établies à Amazon Keyspaces. Les modifications de politique IAM prennent effet immédiatement lorsque les applications établissent une nouvelle connexion. Si vous avez apporté des modifications à un utilisateur ou à un rôle IAM existant et que cela n'a pas pris effet immédiatement, attendez 10 minutes ou déconnectez-vous et reconnectez-vous à Amazon Keyspaces.
## Je ne parviens pas à restaurer une table à l'aide d'Amazon Keyspaces point-in-time Recovery (PITR)
Si vous essayez de restaurer une table Amazon Keyspaces avec point-in-time restauration (PITR) et que le processus de restauration commence mais ne se termine pas correctement, vous n'avez peut-être pas configuré toutes les autorisations requises pour le processus de restauration. Vous devez contacter votre administrateur pour obtenir de l'aide et lui demander de mettre à jour vos politiques afin de vous permettre de restaurer une table dans Amazon Keyspaces.
Outre les autorisations des utilisateurs, Amazon Keyspaces peut avoir besoin d'autorisations pour effectuer des actions au nom de votre principal pendant le processus de restauration. C'est le cas si la table est chiffrée à l'aide d'une clé gérée par le client ou si vous utilisez des politiques IAM qui limitent le trafic entrant. Par exemple, si vous utilisez des clés de condition dans votre politique IAM pour limiter le trafic source à des points de terminaison ou à des plages d'adresses IP spécifiques, l'opération de restauration échoue. Pour permettre à Amazon Keyspaces d'effectuer l'opération de restauration des tables pour le compte de votre principal, vous devez ajouter une clé de condition `aws:ViaAWSService` globale dans la politique IAM.
Pour plus d'informations sur les autorisations de restauration de tables, consultez[Configurer les autorisations IAM de la table de restauration pour Amazon Keyspaces PITR](howitworks_restore_permissions.md).
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon Keyspaces.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon Keyspaces. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Amazon Keyspaces
Pour autoriser d'autres personnes à accéder à Amazon Keyspaces, vous devez accorder l'autorisation aux personnes ou aux applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite joindre une politique à l'entité qui lui accorde les autorisations appropriées dans Amazon Keyspaces. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon Keyspaces
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon Keyspaces prend en charge ces fonctionnalités, consultez. [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md)
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
**Topics**
+ [Utilisation des rôles pour le dimensionnement automatique des applications Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Utilisation des rôles pour le dimensionnement automatique des applications Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon Keyspaces, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié au service nommé **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**pour permettre à Application Auto Scaling d'appeler Amazon Keyspaces et Amazon en votre nom. CloudWatch
Le rôle AWSServiceRoleForApplicationAutoScaling\$1CassandraTable lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `cassandra.application-autoscaling.amazonaws.com`
La politique d'autorisation des rôles permet à Application Auto Scaling d'effectuer les actions suivantes sur les ressources Amazon Keyspaces spécifiées :
+ Action : `cassandra:Select` sur `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Action : `cassandra:Select` sur la ressource `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Action : `cassandra:Select` sur la ressource `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Action : `cassandra:Alter` sur la ressource `arn:*:cassandra:*:*:"*"`
## Création d'un rôle lié à un service pour Amazon Keyspaces
Il n'est pas nécessaire de créer manuellement un rôle lié à un service pour le dimensionnement automatique d'Amazon Keyspaces. Lorsque vous activez le dimensionnement automatique d'Amazon Keyspaces sur une table avec le CQL AWS Management Console, le ou l' AWS API AWS CLI, Application Auto Scaling crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez le dimensionnement automatique d'Amazon Keyspaces pour une table, Application Auto Scaling crée à nouveau le rôle lié à un service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au AWSServiceRoleForApplicationAutoScaling\$1CassandraTable service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon Keyspaces
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez d'abord désactiver le dimensionnement automatique sur toutes les tables du compte Régions AWS avant de pouvoir supprimer manuellement le rôle lié à un service. Pour désactiver le dimensionnement automatique sur les tables Amazon Keyspaces, consultez. [Désactiver la mise à l'échelle automatique d'Amazon Keyspaces pour un tableau](autoscaling.turnoff.md)
**Note**
Si le dimensionnement automatique d'Amazon Keyspaces utilise le rôle lorsque vous essayez de modifier les ressources, la désinscription risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForApplicationAutoScaling\$1CassandraTable service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
**Note**
Pour supprimer le rôle lié au service utilisé par le dimensionnement automatique d'Amazon Keyspaces, vous devez d'abord désactiver le dimensionnement automatique sur toutes les tables du compte.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez la section [Points de terminaison de service pour Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon Keyspaces, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié au service nommé pour permettre à **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces d'en ajouter un nouveau Régions AWS à un espace de touches en votre nom, et de répliquer les tables ainsi que toutes leurs données et paramètres dans la nouvelle région. Ce rôle permet également à Amazon Keyspaces de répliquer les écritures sur les tables de toutes les régions en votre nom.
Le rôle AWSService RoleForAmazonKeyspacesReplication lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `replication.cassandra.amazonaws.com`
La politique d'autorisation des rôles nommée KeyspacesReplicationServiceRolePolicy permet à Amazon Keyspaces d'effectuer les actions suivantes :
+ Action : `cassandra:Select`
+ Action : `cassandra:SelectMultiRegionResource`
+ Action : `cassandra:Modify`
+ Action : `cassandra:ModifyMultiRegionResource`
+ Action : `cassandra:AlterMultiRegionResource`
+ Action : `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces utilise les autorisations de dimensionnement automatique de l'application lorsque vous ajoutez une réplique à une seule table de régions en mode provisionné avec le dimensionnement automatique activé.
+ Action : `application-autoscaling:DeregisterScalableTarget`
+ Action : `application-autoscaling:DescribeScalableTargets`
+ Action : `application-autoscaling:PutScalingPolicy`
+ Action : `application-autoscaling:DescribeScalingPolicies`
+ Action : `cassandra:Alter`
+ Action : `cloudwatch:DeleteAlarms`
+ Action : `cloudwatch:DescribeAlarms`
+ Action : `cloudwatch:PutMetricAlarm`
Bien que le rôle lié au service Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication fournisse les autorisations suivantes : « Action : » pour le nom de ressource Amazon (ARN) « arn : \$1 » spécifié dans la politique, Amazon Keyspaces fournit l'ARN de votre compte.
Les autorisations permettant de créer le rôle lié au service AWSService RoleForAmazonKeyspacesReplication sont incluses dans la politique `AmazonKeyspacesFullAccess` gérée. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon Keyspaces
Vous ne pouvez pas créer manuellement un rôle lié à un service. Lorsque vous créez un espace de saisie multirégional dans l'API AWS Management Console, le ou l' AWS API AWS CLI, Amazon Keyspaces crée le rôle lié à un service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un espace clé multirégional, Amazon Keyspaces crée à nouveau le rôle lié à un service pour vous.
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au AWSService RoleForAmazonKeyspacesReplication service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon Keyspaces
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, vous devez d'abord supprimer tous les espaces clés multirégionaux du compte Régions AWS avant de pouvoir supprimer manuellement le rôle lié à un service.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord supprimer les espaces clés et les tables multirégionaux utilisés par le rôle.
**Note**
Si le service Amazon Keyspaces utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Amazon Keyspaces utilisées par AWSService RoleForAmazonKeyspacesReplication (console)**
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Choisissez **Keyspaces** dans le panneau de gauche.
1. Sélectionnez tous les espaces clés multirégionaux dans la liste.
1. Choisissez **Supprimer**, confirmez la suppression, puis sélectionnez **Supprimer les espaces clés.**
Vous pouvez également supprimer des espaces clés multirégionaux par programmation à l'aide de l'une des méthodes suivantes.
+ L'instruction Cassandra Query Language (CQL). [DROP KEYSPACE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ L'opération [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) de la CLI. AWS
+ [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)Fonctionnement de l'API Amazon Keyspaces.
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAmazonKeyspacesReplication service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSService RoleForAmazonKeyspacesReplication rôle dans les régions suivantes.
****
| Nom de la région | Identité de la région | Support sur Amazon Keyspaces |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (USA Est) | us-gov-east-1 | Non |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non |
# Utilisation de rôles pour les flux CDC d'Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous ne pouvez pas supprimer le rôle lié au service.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié à un service appelé CDC **AWSServiceRoleForAmazonKeyspacespour permettre aux** flux Amazon Keyspaces CDC de publier des CloudWatch statistiques sur votre compte en votre nom.
Le rôle lié au service AWSService RoleForAmazonKeyspaces CDC fait confiance au service suivant pour assumer le rôle :
+ `cassandra-streams.amazonaws.com`
La politique d'autorisation des rôles nommée [Keyspaces permet](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) à CDCService RolePolicy Amazon Keyspaces d'effectuer l'action suivante sur les ressources de l'espace de noms : CloudWatch `AWS/Cassandra`
+ Action : `cloudwatch:PutMetricData` sur `*`
Le AWSService RoleForAmazonKeyspaces CDC fournit les autorisations : Action : cloudwatch : PutMetricData sur toutes les ressources répondant à la condition suivante :`"cloudwatch:namespace": "AWS/Cassandra"`.
Pour plus d'informations sur les Keyspaces CDCServiceRolePolicy, consultez. [AWS politique gérée : Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Pour activer les flux CDC pour une table, qui crée automatiquement le rôle AWSService RoleForAmazonKeyspaces CDC lié à un service, le principal IAM a besoin des autorisations suivantes.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Les autorisations permettant de créer le rôle AWSService RoleForAmazonKeyspaces CDC lié à un service sont incluses dans la politique `AmazonKeyspacesFullAccess` gérée. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Création d'un rôle lié à un service pour Amazon Keyspaces
Il n'est pas nécessaire de créer manuellement un rôle lié à un service pour les flux CDC d'Amazon Keyspaces. Lorsque vous activez les flux CDC d'Amazon Keyspaces sur une table avec le CQL AWS Management Console, le ou l'API AWS CLI AWS , Amazon Keyspaces crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez les flux CDC d'Amazon Keyspaces pour une table, Amazon Keyspaces crée à nouveau le rôle lié à un service pour vous.
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au service AWSService RoleForAmazonKeyspaces CDC. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).