Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# La sécurité dans Amazon Keyspaces (pour Apache Cassandra)
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cela comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Keyspaces, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation ainsi que les lois et réglementations applicables.
Cette documentation vous aidera à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon Keyspaces. Les rubriques suivantes expliquent comment configurer Amazon Keyspaces pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui peuvent vous aider à surveiller et à sécuriser vos ressources Amazon Keyspaces.
**Topics**
+ [Protection des données dans Amazon Keyspaces](data-protection.md)
+ [Gestion des identités et des accès AWS pour Amazon Keyspaces](security-iam.md)
+ [Validation de conformité pour Amazon Keyspaces (pour Apache Cassandra)](Keyspaces-compliance.md)
+ [Résilience et reprise après sinistre dans Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans Amazon Keyspaces](infrastructure-security.md)
+ [Analyse de configuration et de vulnérabilité pour Amazon Keyspaces](configuration-vulnerability.md)
+ [Bonnes pratiques en matière de sécurité pour Amazon Keyspaces](best-practices-security.md)
# Protection des données dans Amazon Keyspaces
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon Keyspaces (pour Apache Cassandra). Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon Keyspaces ou d'autres utilisateurs à Services AWS l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Le chiffrement est au repos dans Amazon Keyspaces](EncryptionAtRest.md)
+ [Chiffrement en transit dans Amazon Keyspaces](encryption-in-transit.md)
+ [Confidentialité du trafic interréseau dans Amazon Keyspaces](inter-network-traffic-privacy.md)
# Le chiffrement est au repos dans Amazon Keyspaces
[Le *chiffrement au repos* d'Amazon Keyspaces (pour Apache Cassandra) améliore la sécurité en chiffrant toutes vos données au repos à l'aide des clés de chiffrement stockées dans ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Avec le chiffrement au repos, vous pouvez créer des applications sensibles à la sécurité qui répondent aux exigences réglementaires et de conformité strictes en matière de protection des données.
Le chiffrement au repos d'Amazon Keyspaces chiffre vos données à l'aide de la norme de chiffrement avancée 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent.
Amazon Keyspaces chiffre et déchiffre les données des tables et des flux de manière transparente. Amazon Keyspaces utilise le chiffrement des enveloppes et une hiérarchie de clés pour protéger les clés de chiffrement des données. Il s'intègre au stockage et AWS KMS à la gestion de la clé de chiffrement racine. Pour plus d'informations sur la hiérarchie des clés de chiffrement, consultez[Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md). Pour plus d'informations sur des AWS KMS concepts tels que le chiffrement des enveloppes, consultez les [concepts AWS KMS des services de gestion](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans le *Guide du AWS Key Management Service développeur*.
Lorsque vous créez une nouvelle table, vous pouvez choisir l'une des *AWS KMS clés suivantes (clés KMS)* :
+ Clé détenue par AWS — Il s'agit du type de cryptage par défaut. La clé appartient à Amazon Keyspaces (sans frais supplémentaires).
+ Clé gérée par le client — Cette clé est stockée dans votre compte et vous l'avez créée, détenue et gérée par vous. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).
Amazon Keyspaces chiffre automatiquement les flux de capture des données de modification (CDC) avec la même clé que la table sous-jacente. Pour plus d'informations sur le CDC, voir[Utilisation des flux de capture des données modifiées (CDC) dans Amazon Keyspaces](cdc.md).
Vous pouvez basculer entre la clé gérée par le client Clé détenue par AWS et la clé gérée par le client à tout moment. Vous pouvez spécifier une clé gérée par le client lorsque vous créez une nouvelle table ou que vous modifiez la clé KMS d'une table existante à l'aide de la console ou par programmation à l'aide d'instructions CQL. Pour savoir comment procéder, veuillez consulter la section [Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces](encryption.customermanaged.md).
Le chiffrement au repos à l'aide de l'option par défaut de Clés détenues par AWS est proposé sans frais supplémentaires. Toutefois, des AWS KMS frais s'appliquent pour les clés gérées par le client. Pour de plus amples informations sur la tarification, veuillez consulter [AWS KMS Tarification](https://aws.amazon.com/kms/pricing).
Le chiffrement au repos d'Amazon Keyspaces est disponible dans toutes les régions Régions AWS, y compris en AWS Chine (Pékin) et en AWS Chine (Ningxia). Pour de plus amples informations, veuillez consulter [Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md)
+ [Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces](encryption.customermanaged.md)
# Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces
Le *chiffrement au repos d'Amazon Keyspaces (pour Apache Cassandra) chiffre vos données à l'aide de la norme de chiffrement* avancée 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Toutes les données clients contenues dans les tables Amazon Keyspaces sont chiffrées au repos par défaut, et le chiffrement côté serveur est transparent, ce qui signifie qu'il n'est pas nécessaire de modifier les applications.
Encryption at rest s'intègre à AWS Key Management Service (AWS KMS) pour gérer la clé de chiffrement utilisée pour chiffrer vos tables. Lorsque vous créez une nouvelle table ou que vous mettez à jour une table existante, vous pouvez choisir l'une des *AWS KMS principales* options suivantes :
+ Clé détenue par AWS — Il s'agit du type de cryptage par défaut. La clé appartient à Amazon Keyspaces (sans frais supplémentaires).
+ Clé gérée par le client — Cette clé est stockée dans votre compte et vous l'avez créée, détenue et gérée par vous. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).
**AWS KMS clé (clé KMS)**
Le chiffrement au repos protège toutes vos données Amazon Keyspaces à l'aide d'une AWS KMS clé. Par défaut, Amazon Keyspaces utilise une [Clé détenue par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)clé de chiffrement multi-locataires créée et gérée dans un compte de service Amazon Keyspaces.
Cependant, vous pouvez chiffrer vos tables Amazon Keyspaces à l'aide d'[une clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans votre. Compte AWS Vous pouvez sélectionner une clé KMS différente pour chaque table dans un espace de touches. La clé KMS que vous sélectionnez pour une table est également utilisée pour chiffrer toutes ses métadonnées et ses sauvegardes restaurables.
Vous sélectionnez la clé KMS pour une table lorsque vous créez ou mettez à jour la table. Vous pouvez modifier la clé KMS d'une table à tout moment, soit dans la console Amazon Keyspaces, soit à l'aide de l'instruction [ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). Le processus de commutation des clés KMS est fluide et ne nécessite pas de temps d'arrêt ni de dégradation du service.
**Hiérarchie des clés**
Amazon Keyspaces utilise une hiérarchie de clés pour chiffrer les données. Dans cette hiérarchie de clés, la clé KMS est la clé racine. Il est utilisé pour chiffrer et déchiffrer la clé de chiffrement des tables Amazon Keyspaces. La clé de chiffrement de table est utilisée pour chiffrer les clés de chiffrement utilisées en interne par Amazon Keyspaces pour chiffrer et déchiffrer les données lors des opérations de lecture et d'écriture.
Grâce à la hiérarchie des clés de chiffrement, vous pouvez apporter des modifications à la clé KMS sans avoir à rechiffrer les données ou à affecter les applications et les opérations de données en cours.
![\[Hiérarchie des clés indiquant la clé racine, la clé de chiffrement de table et la clé de chiffrement des données utilisée pour le chiffrement au repos.\]](http://docs.aws.amazon.com/fr_fr/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Clé de table**
La clé de table Amazon Keyspaces est utilisée comme clé de chiffrement. Amazon Keyspaces utilise la clé de table pour protéger les clés de chiffrement des données internes utilisées pour chiffrer les données stockées dans les tables, les fichiers journaux et les sauvegardes restaurables. Amazon Keyspaces génère une clé de chiffrement de données unique pour chaque structure sous-jacente d'une table. Toutefois, plusieurs lignes du tableau peuvent être protégées par la même clé de chiffrement des données.
Lorsque vous définissez pour la première fois la clé KMS sur une clé gérée par le client, une *clé de données est AWS KMS générée*. La clé AWS KMS de données fait référence à la clé de table dans Amazon Keyspaces.
Lorsque vous accédez à une table chiffrée, Amazon Keyspaces envoie une demande d'utilisation de la clé KMS AWS KMS pour déchiffrer la clé de table. Il utilise ensuite la clé de table en texte brut pour déchiffrer les clés de chiffrement des données Amazon Keyspaces, et il utilise les clés de chiffrement des données en texte clair pour déchiffrer les données des tables.
Amazon Keyspaces utilise et stocke la clé de table et les clés de chiffrement des données en dehors de. AWS KMS Il protège toutes les clés avec les clés de chiffrement [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) et 256 bits. Ensuite, il stocke les clés cryptées avec les données cryptées afin qu'elles soient disponibles pour déchiffrer les données de la table à la demande.
**Mise en cache des clés de table**
Pour éviter d'avoir à faire appel AWS KMS à chaque opération Amazon Keyspaces, Amazon Keyspaces met en cache les clés de table en texte brut pour chaque connexion en mémoire. Si Amazon Keyspaces reçoit une demande pour la clé de table mise en cache après cinq minutes d'inactivité, il envoie une nouvelle demande pour déchiffrer la clé AWS KMS de table. Cet appel capture toutes les modifications apportées aux politiques d'accès de la clé KMS dans AWS KMS ou Gestion des identités et des accès AWS (IAM) depuis la dernière demande de déchiffrement de la clé de table.
**Chiffrement d’enveloppe**
Si vous modifiez la clé gérée par le client pour votre table, Amazon Keyspaces génère une nouvelle clé de table. Il utilise ensuite la nouvelle clé de table pour rechiffrer les clés de chiffrement des données. Il utilise également la nouvelle clé de table pour chiffrer les clés de table précédentes utilisées pour protéger les sauvegardes restaurables. Ce processus s'appelle le chiffrement des enveloppes. Cela garantit que vous pouvez accéder aux sauvegardes restaurables même si vous modifiez la clé gérée par le client. Pour plus d'informations sur le chiffrement des enveloppes, consultez la section [Chiffrement des enveloppes](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) dans le *manuel du AWS Key Management Service développeur*.
**Topics**
+ [AWS clés possédées](#keyspaces-owned)
+ [Clés gérées par le client](#customer-managed)
+ [Notes d'utilisation du chiffrement au repos](#encryption.usagenotes)
## AWS clés possédées
Clés détenues par AWS ne sont pas stockés dans votre Compte AWS. Elles font partie d'un ensemble de clés KMS qui AWS possède et gère pour une utilisation multiple Comptes AWS. AWS services que vous pouvez Clés détenues par AWS utiliser pour protéger vos données.
Vous ne pouvez ni afficher, ni gérer, ni utiliser Clés détenues par AWS, ni auditer leur utilisation. Cependant, vous n'avez pas besoin de travailler ou de modifier de programme pour protéger les clés qui chiffrent vos données.
Aucun frais mensuel ni aucun frais d'utilisation ne vous sont facturés pour l'utilisation de Clés détenues par AWS, et ils ne sont pas pris en compte dans les AWS KMS quotas de votre compte.
## Clés gérées par le client
Les clés gérées par le client sont des clés Compte AWS que vous créez, détenez et gérez. Vous avez un contrôle total sur ces clés KMS.
Utilisez une clé gérée par le client pour obtenir les fonctions suivantes.
+ Vous créez et gérez la clé gérée par le client, notamment en définissant et en gérant les [politiques clés, les politiques](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) [IAM et les](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) [autorisations](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour contrôler l'accès à la clé gérée par le client. Vous pouvez [activer et désactiver](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la clé gérée par le client, activer et désactiver la [rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) et [planifier la suppression de la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) lorsqu'elle n'est plus utilisée. Vous pouvez créer des balises et des alias pour les clés gérées par le client que vous gérez.
+ Vous pouvez utiliser une clé gérée par le client avec un [élément de clé importé](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) ou dans un [magasin de clés personnalisé](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que vous possédez et gérez.
+ Vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes qu'Amazon Keyspaces envoie en votre AWS KMS nom. Pour de plus amples informations, veuillez consulter [Étape 6 : Configuration de la surveillance avec AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Les clés gérées par le client [sont facturées](https://aws.amazon.com/kms/pricing/) pour chaque appel d'API, et AWS KMS des quotas s'appliquent à ces clés KMS. Pour plus d'informations, consultez la section [Quotas de AWS KMS ressources ou de demandes](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Lorsque vous spécifiez une clé gérée par le client comme clé de chiffrement racine pour une table, les sauvegardes restaurables sont chiffrées avec la même clé de chiffrement que celle spécifiée pour la table au moment de la création de la sauvegarde. Si la clé KMS de la table fait l'objet d'une rotation, l'encapsulation des clés garantit que la dernière clé KMS a accès à toutes les sauvegardes restaurables.
Amazon Keyspaces doit avoir accès à votre clé gérée par le client pour vous permettre d'accéder aux données de votre table. Si l'état de la clé de chiffrement est défini sur Désactivé ou si sa suppression est planifiée, Amazon Keyspaces n'est pas en mesure de chiffrer ou de déchiffrer les données. Par conséquent, vous ne pouvez pas effectuer d'opérations de lecture et d'écriture sur la table. Dès que le service détecte que votre clé de chiffrement n'est pas accessible, Amazon Keyspaces envoie une notification par e-mail pour vous avertir.
Vous devez rétablir l'accès à votre clé de chiffrement dans les sept jours, sinon Amazon Keyspaces supprimera automatiquement votre table. Par mesure de précaution, Amazon Keyspaces crée une sauvegarde restaurable des données de votre table avant de supprimer la table. Amazon Keyspaces conserve la sauvegarde restaurable pendant 35 jours. Après 35 jours, vous ne pouvez plus restaurer les données de votre table. La sauvegarde restaurable ne vous est pas facturée, mais les [frais de restauration](https://aws.amazon.com/keyspaces/pricing) standard s'appliquent.
Vous pouvez utiliser cette sauvegarde restaurable pour restaurer vos données dans une nouvelle table. Pour lancer la restauration, la dernière clé gérée par le client utilisée pour la table doit être activée et Amazon Keyspaces doit y avoir accès.
**Note**
Lorsque vous créez une table chiffrée à l'aide d'une clé gérée par le client qui est inaccessible ou dont la suppression est prévue avant la fin du processus de création, une erreur se produit. L'opération de création de table échoue et vous recevez une notification par e-mail.
## Notes d'utilisation du chiffrement au repos
Tenez compte des points suivants lorsque vous utilisez le chiffrement au repos dans Amazon Keyspaces.
+ Le chiffrement au repos côté serveur est activé sur toutes les tables Amazon Keyspaces et ne peut pas être désactivé. La table entière est chiffrée au repos, vous ne pouvez pas sélectionner de colonnes ou de lignes spécifiques pour le chiffrement.
+ Par défaut, Amazon Keyspaces utilise une clé par défaut à service unique (Clé détenue par AWS) pour chiffrer toutes vos tables. Si cette clé n'existe pas, elle a été créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.
+ Le chiffrement au repos ne chiffre les données que lorsqu'elles sont statiques (au repos) sur un support de stockage persistant. Si la sécurité des données est un élément important pour les données en transit ou en cours d'utilisation, vous devez prendre des mesures supplémentaires :
+ Données en transit : toutes vos données stockées dans Amazon Keyspaces sont cryptées pendant le transfert. Par défaut, les communications à destination et en provenance d'Amazon Keyspaces sont protégées à l'aide du chiffrement SSL (Secure Sockets Layer) /Transport Layer Security (TLS).
+ Données en cours d'utilisation : protégez vos données avant de les envoyer à Amazon Keyspaces en utilisant le chiffrement côté client.
+ Clés gérées par le client : les données stockées dans vos tables sont toujours chiffrées à l'aide des clés gérées par le client. Cependant, les opérations qui effectuent des mises à jour atomiques de plusieurs lignes chiffrent les données temporairement utilisées Clés détenues par AWS pendant le traitement. Cela inclut les opérations de suppression de plages et les opérations qui accèdent simultanément à des données statiques et non statiques.
+ Une seule clé gérée par le client peut générer jusqu'à 50 000 [subventions](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Chaque table Amazon Keyspaces associée à une clé gérée par le client consomme 2 subventions. Une subvention est accordée lorsque la table est supprimée. La deuxième subvention est utilisée pour créer un instantané automatique du tableau afin d'éviter toute perte de données au cas où Amazon Keyspaces perdrait involontairement l'accès à la clé gérée par le client. Cette subvention est débloquée 42 jours après la suppression du tableau.
# Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces
Vous pouvez utiliser la console ou les instructions CQL AWS KMS key pour spécifier les nouvelles tables et mettre à jour les clés de chiffrement des tables existantes dans Amazon Keyspaces. La rubrique suivante explique comment implémenter des clés gérées par le client pour les tables nouvelles et existantes.
**Topics**
+ [Conditions préalables : créer une clé gérée par le client en utilisant AWS KMS et octroyer des autorisations à Amazon Keyspaces](#encryption.createCMKMS)
+ [Étape 3 : Spécifier une clé gérée par le client pour une nouvelle table](#encryption.tutorial-creating)
+ [Étape 4 : Mettre à jour la clé de chiffrement d'une table existante](#encryption.tutorial-update)
+ [Étape 5 : Utiliser le contexte de chiffrement Amazon Keyspaces dans les journaux](#encryption-context)
+ [Étape 6 : Configuration de la surveillance avec AWS CloudTrail](#encryption-cmk-trail)
## Conditions préalables : créer une clé gérée par le client en utilisant AWS KMS et octroyer des autorisations à Amazon Keyspaces
Avant de protéger une table Amazon Keyspaces avec une [clé gérée par le client](encryption.howitworks.md#customer-managed), vous devez d'abord créer la clé dans AWS Key Management Service (AWS KMS), puis autoriser Amazon Keyspaces à utiliser cette clé.
### Étape 1 : Créez une clé gérée par le client à l'aide de AWS KMS
Pour créer une clé gérée par le client à utiliser pour protéger une table Amazon Keyspaces, vous pouvez suivre les étapes décrites dans [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) à l'aide de la console ou de l'API. AWS
### Étape 2 : Autoriser l'utilisation de votre clé gérée par le client
Avant de pouvoir choisir une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger une table Amazon Keyspaces, les politiques relatives à cette clé gérée par le client doivent autoriser Amazon Keyspaces à l'utiliser en votre nom. Vous avez un contrôle total sur les politiques et les autorisations relatives à la clé gérée par le client. Vous pouvez fournir ces autorisations dans une [politique de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), une [politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) ou un [octroi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Amazon Keyspaces n'a pas besoin d'autorisation supplémentaire pour utiliser la valeur par défaut [Clé détenue par AWS](encryption.howitworks.md#keyspaces-owned)afin de protéger les tables Amazon Keyspaces de votre compte. AWS
Les rubriques suivantes expliquent comment configurer les autorisations requises à l'aide de politiques et d'autorisations IAM qui autorisent les tables Amazon Keyspaces à utiliser une clé gérée par le client.
**Topics**
+ [Politique clé concernant les clés gérées par le client](#encryption-customer-managed-policy)
+ [Exemple de politique de clé](#encryption-customer-managed-policy-sample)
+ [Utiliser des subventions pour autoriser Amazon Keyspaces](#encryption-grants)
#### Politique clé concernant les clés gérées par le client
Lorsque vous sélectionnez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger une table Amazon Keyspaces, Amazon Keyspaces obtient l'autorisation d'utiliser la clé gérée par le client au nom du principal qui effectue la sélection. Ce principal, qu'il s'agisse d'un utilisateur ou d'un rôle, doit disposer des autorisations requises par Amazon Keyspaces sur la clé gérée par le client.
Amazon Keyspaces requiert au minimum les autorisations suivantes sur une clé gérée par le client :
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms : ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (pour kms: ReEncryptFrom et kms:ReEncryptTo)
+ kms : GenerateDataKey \$1 (pour [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) et [kms : GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [km : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Exemple de politique de clé
Par exemple, l’exemple de stratégie de clé suivant fournit uniquement les autorisations requises. La politique a les effets suivants :
+ Permet à Amazon Keyspaces d'utiliser la clé gérée par le client dans le cadre d'opérations cryptographiques et de créer des subventions, mais uniquement lorsqu'elle agit pour le compte des responsables du compte autorisés à utiliser Amazon Keyspaces. Si les principaux responsables spécifiés dans la déclaration de politique ne sont pas autorisés à utiliser Amazon Keyspaces, l'appel échoue, même s'il provient du service Amazon Keyspaces.
+ La clé de ViaService condition [kms :](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) autorise les autorisations uniquement lorsque la demande provient d'Amazon Keyspaces au nom des principaux acteurs répertoriés dans la déclaration de politique. Ces principals ne peuvent pas appeler ces opérations directement. Notez que la commande valeur `kms:ViaService`, `cassandra.*.amazonaws.com`, possède un astérisque (\$1) dans la position Région. Amazon Keyspaces a besoin d'une autorisation pour être indépendant de tout particulier. Région AWS
+ Permet aux administrateurs de clés gérés par le client (utilisateurs qui peuvent assumer le `db-team` rôle) d'accéder en lecture seule à la clé gérée par le client et de révoquer les autorisations, y compris celles [dont Amazon Keyspaces a besoin](#encryption-grants) pour protéger la table.
+ Permet à Amazon Keyspaces d'accéder en lecture seule à la clé gérée par le client. Dans ce cas, Amazon Keyspaces peut appeler ces opérations directement. Il n'est pas obligé d'agir pour le compte du principal d'un compte.
Avant d'utiliser un exemple de politique clé, remplacez les exemples de principes par des principes réels provenant de votre. Compte AWS
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Utiliser des subventions pour autoriser Amazon Keyspaces
Outre les politiques clés, Amazon Keyspaces utilise des autorisations pour définir des autorisations sur une clé gérée par le client. Pour visualiser les octrois sur une clé gérée par le client dans votre compte, utilisez l'opération [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). Amazon Keyspaces n'a pas besoin de subventions, ni d'autorisations supplémentaires, pour utiliser le [Clé détenue par AWS](encryption.howitworks.md#keyspaces-owned)afin de protéger votre table.
Amazon Keyspaces utilise les autorisations d'octroi lorsqu'il effectue des tâches de maintenance du système en arrière-plan et de protection continue des données. Il utilise également des octrois pour générer les clés de table.
Chaque octroi est spécifique à une table. Si le compte inclut plusieurs tables chiffrées sous la même clé gérée par le client, chaque type de table est attribué à chaque table. La subvention est limitée par le contexte de [chiffrement Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), qui inclut le nom de la table et Compte AWS l'ID. La subvention inclut l'autorisation de [retirer la subvention](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) si elle n'est plus nécessaire.
Pour créer les subventions, Amazon Keyspaces doit être autorisé à appeler `CreateGrant` au nom de l'utilisateur qui a créé la table cryptée.
La politique de clé peut également permettre au compte de [révoquer l'octroi](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) sur la clé gérée par le client. Toutefois, si vous révoquez l'autorisation sur une table cryptée active, Amazon Keyspaces ne sera pas en mesure de protéger et de gérer la table.
## Étape 3 : Spécifier une clé gérée par le client pour une nouvelle table
Suivez ces étapes pour spécifier la clé gérée par le client sur une nouvelle table à l'aide de la console Amazon Keyspaces ou du CQL.
### Création d'une table chiffrée à l'aide d'une clé gérée par le client (console)
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Dans le panneau de navigation, choisissez **Tables**, puis **Create table (Créer une table)**.
1. Sur la page **Créer une table**, dans la section **Détails de la table**, sélectionnez un espace de touche et attribuez un nom à la nouvelle table.
1. Dans la section **Schéma**, créez le schéma de votre table.
1. Dans la section **Paramètres du tableau**, choisissez **Personnaliser les paramètres**.
1. Passez aux **paramètres de chiffrement**.
Au cours de cette étape, vous devez sélectionner les paramètres de chiffrement de la table.
Dans la section **Chiffrement au repos** AWS KMS key, sous **Choisir une** clé KMS, **choisissez l'option Choisir une autre clé KMS (avancée)**, puis dans le champ de recherche, choisissez AWS KMS key ou entrez un nom de ressource Amazon (ARN).
**Note**
Si la clé que vous avez sélectionnée n'est pas accessible ou ne dispose pas des autorisations requises, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
1. Choisissez **Créer** pour créer la table chiffrée.
### Création d'une nouvelle table à l'aide d'une clé gérée par le client pour le chiffrement au repos (CQL)
Pour créer une nouvelle table qui utilise une clé gérée par le client pour le chiffrement au repos, vous pouvez utiliser l'`CREATE TABLE`instruction comme indiqué dans l'exemple suivant. Assurez-vous de remplacer l'ARN de la clé par un ARN pour une clé valide avec des autorisations accordées à Amazon Keyspaces.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si vous recevez un`Invalid Request Exception`, vous devez confirmer que la clé gérée par le client est valide et qu'Amazon Keyspaces dispose des autorisations requises. Pour vérifier que la clé a été correctement configurée, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
## Étape 4 : Mettre à jour la clé de chiffrement d'une table existante
Vous pouvez également utiliser la console Amazon Keyspaces ou le CQL pour modifier les clés de chiffrement d'une table existante entre une clé KMS gérée par le client Clé détenue par AWS et une clé KMS gérée par le client à tout moment.
### Mettre à jour une table existante avec la nouvelle clé gérée par le client (console)
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Dans le volet de navigation, choisissez **Tables**.
1. Choisissez le tableau que vous souhaitez mettre à jour, puis cliquez sur l'onglet **Paramètres supplémentaires**.
1. Dans la section **Chiffrement au repos**, choisissez **Gérer le chiffrement** pour modifier les paramètres de chiffrement de la table.
Sous **Choisir une AWS KMS key**, choisissez l'option **Choisir une autre clé KMS (avancée)**, puis dans le champ de recherche, choisissez une AWS KMS key ou entrez un Amazon Resource Name (ARN).
**Note**
Si la clé que vous avez sélectionnée n'est pas valide, consultez la section [Résolution des problèmes d'accès aux clés](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
Vous pouvez également choisir un Clé détenue par AWS pour une table chiffrée à l'aide d'une clé gérée par le client.
1. Choisissez **Enregistrer les modifications** pour enregistrer les modifications apportées au tableau.
### Mettre à jour la clé de chiffrement utilisée pour une table existante
Pour modifier la clé de chiffrement d'une table existante, vous devez utiliser l'`ALTER TABLE`instruction pour spécifier une clé gérée par le client pour le chiffrement au repos. Assurez-vous de remplacer l'ARN de la clé par un ARN pour une clé valide avec des autorisations accordées à Amazon Keyspaces.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si vous recevez un`Invalid Request Exception`, vous devez confirmer que la clé gérée par le client est valide et qu'Amazon Keyspaces dispose des autorisations requises. Pour vérifier que la clé a été correctement configurée, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
Pour rétablir l'option de chiffrement par défaut de la clé de chiffrement au repos avec Clés détenues par AWS, vous pouvez utiliser l'`ALTER TABLE`instruction comme indiqué dans l'exemple suivant.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Étape 5 : Utiliser le contexte de chiffrement Amazon Keyspaces dans les journaux
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Amazon Keyspaces utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Si vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger votre table Amazon Keyspaces, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de la clé gérée par le client dans les dossiers d'audit et les journaux. Il apparaît également en texte clair dans les journaux, tels que dans logs for [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)et [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Dans ses demandes adressées à AWS KMS, Amazon Keyspaces utilise un contexte de chiffrement comportant trois paires clé-valeur.
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace** : la première paire clé-valeur identifie l'espace clé qui inclut la table cryptée par Amazon Keyspaces. La clé est `aws:cassandra:keyspaceName`. La valeur est le nom du keyspace.
```
"aws:cassandra:keyspaceName": ""
```
Par exemple :
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Table** — La deuxième paire clé-valeur identifie la table cryptée par Amazon Keyspaces. La clé est `aws:cassandra:tableName`. La valeur correspond au nom de la table.
```
"aws:cassandra:tableName": ""
```
Par exemple :
```
"aws:cassandra:tableName": "my_table"
```
+ **Compte** — La troisième paire clé-valeur identifie le. Compte AWS La clé est `aws:cassandra:subscriberId`. La valeur correspond à l’ID de compte.
```
"aws:cassandra:subscriberId": ""
```
Par exemple :
```
"aws:cassandra:subscriberId": "111122223333"
```
## Étape 6 : Configuration de la surveillance avec AWS CloudTrail
Si vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger vos tables Amazon Keyspaces, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes qu'Amazon Keyspaces envoie en votre nom. AWS KMS
Les `CreateGrant` demandes `GenerateDataKey``DescribeKey`,`Decrypt`, et sont abordées dans cette section. En outre, Amazon Keyspaces utilise une [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)opération pour supprimer une autorisation lorsque vous supprimez une table.
**Note**
Lorsque vous travaillez avec Amazon Keyspaces, certaines opérations peuvent générer des CloudTrail événements dont le `invokedBy` champ est égal à. `dynamodb.amazonaws.com` Cela est attendu et se produit car Amazon Keyspaces s'intègre à Amazon DynamoDB pour fournir son service.
**GenerateDataKey**
Amazon Keyspaces crée une clé de table unique pour chiffrer les données au repos. Il envoie une *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*demande AWS KMS qui spécifie la clé KMS de la table.
L’événement qui enregistre l’opération `GenerateDataKey` est similaire à l’exemple d’événement suivant. L'utilisateur est le compte du service Amazon Keyspaces. Les paramètres incluent l'Amazon Resource Name (ARN) de la clé gérée par le client, un spécificateur de clé qui nécessite une clé de 256 bits et le [contexte de chiffrement](#encryption-context) qui identifie l'espace clé, la table et le. Compte AWS
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces utilise une [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération pour déterminer si la clé KMS que vous avez sélectionnée existe dans le compte et dans la région.
L’événement qui enregistre l’opération `DescribeKey` est similaire à l’exemple d’événement suivant. L'utilisateur est le compte du service Amazon Keyspaces. Les paramètres incluent l'ARN de la clé gérée par le client et un spécificateur de clé qui nécessite une clé de 256 bits.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Lorsque vous accédez à une table Amazon Keyspaces, Amazon Keyspaces doit déchiffrer la clé de la table afin de pouvoir déchiffrer les clés situées en dessous dans la hiérarchie. Il déchiffre ensuite les données de la table. Pour déchiffrer la clé de table, Amazon Keyspaces envoie [une](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) demande AWS KMS de déchiffrement indiquant la clé KMS de la table.
L’événement qui enregistre l’opération `Decrypt` est similaire à l’exemple d’événement suivant. L'utilisateur principal est Compte AWS celui qui accède à la table. Les paramètres incluent la clé de table cryptée (sous forme de blob de texte chiffré) et le [contexte de chiffrement](#encryption-context) qui identifie la table et le. Compte AWS AWS KMS déduit l'ID de la clé gérée par le client à partir du texte chiffré.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Lorsque vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger votre table Amazon Keyspaces, Amazon Keyspaces utilise des [subventions](#encryption-grants) pour permettre au service d'effectuer des tâches continues de protection, de maintenance et de durabilité des données. Ces subventions ne sont pas requises sur [Clés détenues par AWS](encryption.howitworks.md#keyspaces-owned).
Les subventions créées par Amazon Keyspaces sont spécifiques à une table. Le principal de la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande est l'utilisateur qui a créé la table.
L’événement qui enregistre l’opération `CreateGrant` est similaire à l’exemple d’événement suivant. Les paramètres incluent l'ARN de la clé gérée par le client pour la table, le principal du bénéficiaire et le principal sortant (le service Amazon Keyspaces), ainsi que les opérations couvertes par la subvention. Elle inclut également une contrainte qui exige que toutes les opérations de chiffrement utilisent le [contexte de chiffrement](#encryption-context) spécifié.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Chiffrement en transit dans Amazon Keyspaces
Amazon Keyspaces accepte uniquement les connexions sécurisées utilisant le protocole TLS (Transport Layer Security). Le chiffrement en transit fournit une couche supplémentaire de protection des données en chiffrant vos données lors de leur transfert vers et depuis Amazon Keyspaces. Les politiques organisationnelles, les réglementations sectorielles ou gouvernementales et les exigences de conformité nécessitent souvent l'utilisation du chiffrement en transit pour renforcer la sécurité des données de vos applications lorsqu'elles transmettent des données sur le réseau.
Pour savoir comment chiffrer les `cqlsh` connexions à Amazon Keyspaces à l'aide du protocole TLS, consultez. [Comment configurer manuellement les `cqlsh` connexions pour le protocole TLS](programmatic.cqlsh.md#encrypt_using_tls) Pour savoir comment utiliser le chiffrement TLS avec les pilotes clients, consultez[Utilisation d'un pilote client Cassandra pour accéder à Amazon Keyspaces par programmation](programmatic.drivers.md).
# Confidentialité du trafic interréseau dans Amazon Keyspaces
Cette rubrique décrit comment Amazon Keyspaces (pour Apache Cassandra) sécurise les connexions entre les applications sur site et Amazon Keyspaces et entre Amazon Keyspaces AWS et les autres ressources de ce dernier. Région AWS
## Trafic entre les clients de service et sur site et les applications
Vous disposez de deux options de connectivité entre votre réseau privé et AWS :
+ Une AWS Site-to-Site VPN connexion. Pour plus d’informations, consultez [Présentation de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) dans le *Guide de l’utilisateur AWS Site-to-Site VPN *.
+ Une Direct Connect connexion. Pour plus d’informations, consultez [Présentation de Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) dans le *Guide de l’utilisateur Direct Connect *.
En tant que service géré, Amazon Keyspaces (pour Apache Cassandra) est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Keyspaces via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Amazon Keyspaces prend en charge deux méthodes pour authentifier les demandes des clients. La première méthode utilise des informations d'identification spécifiques au service, qui sont des informations d'identification basées sur un mot de passe générées pour un utilisateur IAM spécifique. Vous pouvez créer et gérer le mot de passe à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Pour plus d'informations, consultez la section [Utilisation d'IAM avec Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
La seconde méthode utilise un plugin d'authentification pour le pilote DataStax Java open source pour Cassandra. Ce plugin permet aux [utilisateurs, aux rôles et aux identités fédérées IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) d'ajouter des informations d'authentification aux demandes d'API Amazon Keyspaces (pour Apache Cassandra) à l'aide du processus [AWS Signature Version 4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Pour de plus amples informations, veuillez consulter [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](access.credentials.md).
## Trafic entre les AWS ressources d'une même région
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS AWS PrivateLink permet cela en utilisant une interface réseau élastique avec private IPs dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison VPC d'interface ne nécessitent pas de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. Direct Connect Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink Pour obtenir des exemples de politiques, consultez [Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).
# Gestion des identités et des accès AWS pour Amazon Keyspaces
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Keyspaces. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour Amazon Keyspaces](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon Keyspaces](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon Keyspaces fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon Keyspaces, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Keyspaces. *Pour obtenir une vue d'ensemble de la façon dont Amazon Keyspaces et les autres AWS services fonctionnent avec IAM, consultez les [AWS services compatibles avec IAM dans le guide de l'utilisateur d'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Politiques basées sur l'identité d'Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources d'Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Rôles IAM chez Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Politiques basées sur l'identité d'Amazon Keyspaces
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon Keyspaces prend en charge des actions et des ressources spécifiques, ainsi que des clés de condition. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
*Pour voir les ressources et actions spécifiques au service Amazon Keyspaces, ainsi que les clés contextuelles de condition qui peuvent être utilisées pour les politiques d'autorisation IAM, consultez les [actions, les ressources et les clés de condition pour Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)) dans le Service Authorization Reference.*
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans Amazon Keyspaces utilisent le préfixe suivant avant l'action :. `cassandra:` Par exemple, pour autoriser quelqu'un à créer un espace de touches Amazon Keyspaces à l'aide de l'instruction Amazon Keyspaces `CREATE` CQL, vous devez inclure l'action dans sa politique. `cassandra:Create` Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Amazon Keyspaces définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
*Pour consulter la liste des actions Amazon Keyspaces, consultez la section [Actions définies par Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) dans le Service Authorization Reference.*
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Dans Amazon Keyspaces, les espaces clés, les tables et les flux peuvent être utilisés dans le cadre des autorisations `Resource` IAM.
**Note**
Pour accéder aux espaces clés et aux tables des utilisateurs dans Amazon Keyspaces, votre politique IAM doit `cassandra:Select` inclure des autorisations sur les tables système :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Cela s'applique aux scénarios suivants :
AWS Accès à la console de gestion
les opérations sur les ressources du SDK`GetKeyspace`, par exemple `GetTable``ListKeyspaces`, et `ListTables`
Connexions au pilote client Apache Cassandra standard, car les pilotes lisent automatiquement les tables système lors de l'initialisation de la connexion
Les tables système sont en lecture seule et ne peuvent pas être modifiées.
La ressource keyspace Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
La ressource de table Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
La ressource de streaming Amazon Keyspaces possède l'ARN suivant :
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et espaces de noms AWS de services](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Par exemple, pour spécifier le keyspace `mykeyspace` dans votre déclaration, utilisez l'ARN suivant :
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Pour spécifier toues les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Certaines actions Amazon Keyspaces, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Par exemple, pour accorder `SELECT` des autorisations à un principal IAM pour `mytable` in`mykeyspace`, le principal doit être autorisé à lire à la fois `mytable` et`keyspace/system*`. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Pour consulter la liste des types de ressources Amazon Keyspaces et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) dans le Service Authorization Reference.* Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Amazon Keyspaces définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Toutes les actions Amazon Keyspaces prennent en charge les clés `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, le et les clés de `aws:TagKeys` condition. Pour de plus amples informations, veuillez consulter [Accès aux ressources Amazon Keyspaces basé sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
*Pour consulter la liste des clés de condition Amazon Keyspaces, consultez la section Clés de [condition pour Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) dans le Service Authorization Reference.* Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon Keyspaces (pour Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)).
### Exemples
Pour consulter des exemples de politiques basées sur l'identité d'Amazon Keyspaces, consultez. [Exemples de politiques basées sur l'identité d'Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources d'Amazon Keyspaces
Amazon Keyspaces ne prend pas en charge les politiques basées sur les ressources. Pour afficher un exemple de page de stratégie basée sur les ressources détaillée, consultez [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisation basée sur les tags Amazon Keyspaces
Vous pouvez gérer l'accès à vos ressources Amazon Keyspaces à l'aide de balises. Pour gérer l'accès aux ressources basé sur des balises, vous devez fournir les informations de balise dans l'[élément Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une stratégie utilisant les clés de condition `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources Amazon Keyspaces, consultez. [Utilisation de balises et d'étiquettes pour les ressources Amazon Keyspaces](tagging-keyspaces.md)
Pour visualiser un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, veuillez consulter [Accès aux ressources Amazon Keyspaces basé sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Rôles IAM chez Amazon Keyspaces
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité au sein de vous Compte AWS qui possède des autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec Amazon Keyspaces
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la fédération pour endosser un rôle IAM ou bien un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Keyspaces prend en charge l'utilisation d'informations d'identification temporaires avec le plugin d'authentification AWS Signature Version 4 (SigV4) disponible sur le référentiel Github pour les langues suivantes :
+ Java :[https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js :[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Allez :[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Pour des exemples et des didacticiels qui implémentent le plugin d'authentification pour accéder à Amazon Keyspaces par programmation, consultez. [Utilisation d'un pilote client Cassandra pour accéder à Amazon Keyspaces par programmation](programmatic.drivers.md)
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour en savoir plus sur la création ou la gestion des rôles liés aux services Amazon Keyspaces, consultez. **[Utilisation de rôles liés à un service pour Amazon Keyspaces](using-service-linked-roles.md)**
### Rôles du service
Amazon Keyspaces ne prend pas en charge les rôles de service.
# Exemples de politiques basées sur l'identité d'Amazon Keyspaces
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Amazon Keyspaces. Ils ne peuvent pas non plus effectuer de tâches à l'aide de la console, du CQLSH ou AWS de AWS CLI l'API. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour apprendre à créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, veuillez consulter [Création de politiques dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accès aux tables Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Accès aux ressources Amazon Keyspaces basé sur des balises](#security_iam_id-based-policy-examples-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Keyspaces de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Amazon Keyspaces
Amazon Keyspaces n'a pas besoin d'autorisations spécifiques pour accéder à la console Amazon Keyspaces. Vous devez disposer d'au moins des autorisations en lecture seule pour répertorier et consulter les informations relatives aux ressources Amazon Keyspaces dans votre. Compte AWS Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique.
Deux politiques AWS gérées sont à la disposition des entités pour l'accès à la console Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Cette politique accorde un accès en lecture seule à Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Cette politique accorde l'autorisation d'utiliser Amazon Keyspaces avec un accès complet à toutes les fonctionnalités.
Pour plus d'informations sur les politiques gérées par Amazon Keyspaces, consultez. [AWS politiques gérées pour Amazon Keyspaces](security-iam-awsmanpol.md)
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accès aux tables Amazon Keyspaces
**Note**
Pour accéder aux espaces clés et aux tables des utilisateurs dans Amazon Keyspaces, votre politique IAM doit `cassandra:Select` inclure des autorisations sur les tables système :
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Cela s'applique aux scénarios suivants :
AWS Accès à la console de gestion
les opérations sur les ressources du SDK`GetKeyspace`, par exemple `GetTable``ListKeyspaces`, et `ListTables`
Connexions au pilote client Apache Cassandra standard, car les pilotes lisent automatiquement les tables système lors de l'initialisation de la connexion
Les tables système sont en lecture seule et ne peuvent pas être modifiées.
Voici un exemple de politique qui accorde un accès en lecture seule (`SELECT`) aux tables du système Amazon Keyspaces. Pour tous les exemples, remplacez la région et l'ID de compte dans le nom de ressource Amazon (ARN) par les vôtres.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant ajoute un accès en lecture seule à la table utilisateur `mytable` dans le keyspace. `mykeyspace`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant attribue read/write l'accès à une table utilisateur et un accès en lecture aux tables système.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de stratégie suivant permet à un utilisateur de créer des tables dans le keyspace `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
L'exemple de politique suivant attribue un accès en lecture aux tables système, mais restreint l'accès `SELECT` (lecture) et `MODIFY` (écriture) à la table utilisateur. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Accès aux ressources Amazon Keyspaces basé sur des balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux ressources Amazon Keyspaces en fonction de balises. Ces politiques contrôlent la visibilité des espaces clés et des tables du compte. Notez que les autorisations basées sur des balises pour les tables système se comportent différemment lorsque les demandes sont effectuées à l'aide du AWS SDK par rapport aux appels d'API Cassandra Query Language (CQL) via les pilotes Cassandra et les outils de développement.
+ Pour effectuer `Get` des demandes `List` et y affecter des ressources avec le AWS SDK lors de l'utilisation de l'accès basé sur des balises, l'appelant doit disposer d'un accès en lecture aux tables système. Par exemple, des autorisations `Select` d'action sont nécessaires pour lire les données des tables système via l'`GetTable`opération. Si l'appelant ne dispose que d'un accès basé sur des balises à une table spécifique, une opération nécessitant un accès supplémentaire à une table système échouera.
+ Pour des raisons de compatibilité avec le comportement établi du pilote Cassandra, les politiques d'autorisation basées sur les balises ne sont pas appliquées lors de l'exécution d'opérations sur les tables système à l'aide d'appels d'API CQL (Cassandra Query Language) via des pilotes Cassandra et des outils de développement.
L'exemple suivant montre comment créer une stratégie qui accorde des autorisations à un utilisateur pour afficher une table si son `Owner` contient la valeur du nom d'utilisateur de cet utilisateur. Dans cet exemple, vous accordez également un accès en lecture aux tables système.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter une table Amazon Keyspaces, la table doit être `Owner=richard-roe` balisée ou. `owner=richard-roe` Dans le cas contraire, l’utilisateur se voit refuser l'accès. La clé de condition d'étiquette `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
La stratégie suivante autorise un utilisateur à créer des tables avec des balises si l'`Owner` de la table contient la valeur du nom d'utilisateur de cet utilisateur.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS politiques gérées pour Amazon Keyspaces
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonKeyspacesReadOnlyAccess \$1v2
Vous pouvez associer la politique `AmazonKeyspacesReadOnlyAccess_v2` à vos identités IAM.
Cette politique accorde un accès en lecture seule à Amazon Keyspaces et inclut les autorisations requises lors de la connexion via des points de terminaison VPC privés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Fournit un accès en lecture seule à Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permet aux directeurs d'écran de consulter les flux CDC d'Amazon Keyspaces.
+ `Application Auto Scaling` : permet aux principaux de visualiser les configurations à partir d’Application Auto Scaling. Cela est nécessaire pour que les utilisateurs puissent afficher les politiques de mise à l’échelle automatique associées à une table.
+ `CloudWatch`— Permet aux principaux de consulter les données métriques et les alarmes configurées dans CloudWatch. Cela est nécessaire pour que les utilisateurs puissent voir la taille de la table facturable et les CloudWatch alarmes configurées pour une table.
+ `AWS KMS`— Permet aux principaux d'afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
+ `Amazon EC2`— Permet aux principaux se connectant à Amazon Keyspaces via des points de terminaison VPC d'interroger le VPC de votre instance Amazon EC2 pour obtenir des informations sur le point de terminaison et l'interface réseau. Cet accès en lecture seule à l'instance Amazon EC2 est requis pour qu'Amazon Keyspaces puisse rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau utilisé pour l'équilibrage de charge de connexion. `system.peers`
Pour consulter le `JSON` format de la politique, consultez [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html).
## AWS politique gérée : AmazonKeyspacesReadOnlyAccess
Vous pouvez associer la politique `AmazonKeyspacesReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule à Amazon Keyspaces.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Fournit un accès en lecture seule à Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permet aux directeurs d'écran de consulter les flux CDC d'Amazon Keyspaces.
+ `Application Auto Scaling` : permet aux principaux de visualiser les configurations à partir d’Application Auto Scaling. Cela est nécessaire pour que les utilisateurs puissent afficher les politiques de mise à l’échelle automatique associées à une table.
+ `CloudWatch`— Permet aux principaux de consulter les données métriques et les alarmes configurées dans CloudWatch. Cela est nécessaire pour que les utilisateurs puissent voir la taille de la table facturable et les CloudWatch alarmes configurées pour une table.
+ `AWS KMS`— Permet aux principaux d'afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
Pour consulter le `JSON` format de la politique, voir [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html).
## AWS politique gérée : AmazonKeyspacesFullAccess
Vous pouvez associer la politique `AmazonKeyspacesFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent à vos administrateurs d'accéder sans restriction à Amazon Keyspaces.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Keyspaces`— Permet aux directeurs d'accéder à n'importe quelle ressource Amazon Keyspaces et d'effectuer toutes les actions.
+ `Application Auto Scaling`— Permet aux principaux de créer, de consulter et de supprimer des politiques de dimensionnement automatique pour les tables Amazon Keyspaces. Cela est nécessaire pour que les administrateurs puissent gérer les politiques de dimensionnement automatique pour les tables Amazon Keyspaces.
+ `CloudWatch`— Permet aux donneurs d'ordre de voir la taille de la table facturable ainsi que de créer, de consulter et de supprimer des CloudWatch alarmes conformément aux politiques de dimensionnement automatique d'Amazon Keyspaces. Cela est nécessaire pour que les administrateurs puissent consulter la taille de la table facturable et créer un CloudWatch tableau de bord.
+ `IAM`— Permet à Amazon Keyspaces de créer automatiquement des rôles liés à un service avec IAM lorsque les fonctionnalités suivantes sont activées :
+ `Amazon Keyspaces CDC streams`— Lorsqu'un administrateur active un flux pour une table, Amazon Keyspaces crée le rôle [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) lié à un service pour publier des CloudWatch statistiques sur votre compte en votre nom.
+ `Application Auto Scaling`— Lorsqu'un administrateur active Application Auto Scaling pour une table, Amazon Keyspaces crée le rôle lié à un service [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)pour effectuer des actions de dimensionnement automatique en votre nom.
+ `Amazon Keyspaces multi-Region replication`— Lorsqu'un administrateur crée un nouvel espace clé multirégional ou en ajoute un nouveau Région AWS à un espace clé mono-régional existant, Amazon Keyspaces crée le [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)rôle lié à un service pour effectuer la réplication des tables, des données et des métadonnées dans les régions sélectionnées en votre nom.
+ `AWS KMS` : permet aux principaux d’afficher les clés configurées dans AWS KMS. Cela est nécessaire pour que les utilisateurs puissent consulter AWS KMS les clés qu'ils créent et gèrent dans leur compte afin de confirmer que la clé attribuée à Amazon Keyspaces est une clé de chiffrement symétrique activée.
+ `Amazon EC2`— Permet aux principaux se connectant à Amazon Keyspaces via des points de terminaison VPC d'interroger le VPC de votre instance Amazon EC2 pour obtenir des informations sur le point de terminaison et l'interface réseau. Cet accès en lecture seule à l'instance Amazon EC2 est requis pour qu'Amazon Keyspaces puisse rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau utilisé pour l'équilibrage de charge de connexion. `system.peers`
Pour consulter le `JSON` format de la politique, voir [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html).
## AWS politique gérée : Keyspaces CDCService RolePolicy
Vous ne pouvez pas joindre de `KeyspacesCDCServiceRolePolicy` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Amazon Keyspaces d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Cette politique accorde les autorisations requises au rôle lié au service pour publier en votre `AWSServiceRoleForAmazonKeyspacesCDC` nom les données de métriques de flux CDC d'Amazon Keyspaces. CloudWatch
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `CloudWatch`— Permet au service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) de publier les données métriques provenant des flux CDC d'Amazon Keyspaces sur votre CloudWatch compte `"cloudwatch:namespace": "AWS/Cassandra"` en votre nom.
Pour consulter le `JSON` format de la politique, consultez [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces met à jour les politiques gérées AWS
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Keyspaces depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document pour Amazon Keyspaces (pour Apache Cassandra)](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy — Nouvelle](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) politique | Amazon Keyspaces a ajouté une nouvelle politique gérée `KeyspacesCDCServiceRolePolicy` qui accorde les autorisations requises au rôle lié à un service pour publier en votre nom les données des métriques de flux CDC d'`AWSServiceRoleForAmazonKeyspacesCDC`Amazon Keyspaces. CloudWatch Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 juillet 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Mise à jour d'une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux responsables de l'IAM de consulter les streams du CDC d'Amazon Keyspaces. Pour de plus amples informations, veuillez consulter [Afficher les streams du CDC sur Amazon Keyspaces](keyspaces-view-cdc.md). | 2 juillet 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux responsables de l'IAM de consulter les streams du CDC d'Amazon Keyspaces. Pour de plus amples informations, veuillez consulter [Afficher les streams du CDC sur Amazon Keyspaces](keyspaces-view-cdc.md). | 2 juillet 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a créé la politique `KeyspacesCDCServiceRolePolicy` gérée pour le rôle lié au service [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) afin d'ajouter les autorisations requises lorsqu'un administrateur active un flux pour une table. Amazon Keyspaces utilise le rôle lié au service `AWSServiceRoleForAmazonKeyspacesCDC` pour publier des CloudWatch statistiques sur votre compte en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 2 juillet 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a mis à jour le `KeyspacesReplicationServiceRolePolicy` rôle lié au service [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)afin d'ajouter les autorisations requises lorsqu'un administrateur ajoute un nouveau rôle Région AWS à un espace clé unique ou multirégional. Amazon Keyspaces utilise le rôle lié au service `AWSServiceRoleForAmazonKeyspacesReplication` pour répliquer les tables, leurs paramètres et les données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 novembre 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre à Amazon Keyspaces de créer un rôle lié à un service lorsqu'un administrateur ajoute une nouvelle région à un espace clé unique ou multirégional. Amazon Keyspaces utilise le rôle lié à un service pour effectuer des tâches de réplication de données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 octobre 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) — Nouvelle politique | Amazon Keyspaces a créé une nouvelle politique visant à ajouter des autorisations en lecture seule pour les clients se connectant à Amazon Keyspaces via des points de terminaison VPC d'interface afin d'accéder à l'instance Amazon EC2 afin de consulter des informations réseau. Amazon Keyspaces stocke les points de terminaison VPC d'interface disponibles dans le `system.peers` tableau pour l'équilibrage de charge de connexion. Pour de plus amples informations, veuillez consulter [Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface](vpc-endpoints.md). | 12 septembre 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre à Amazon Keyspaces de créer un rôle lié à un service lorsqu'un administrateur crée un espace de touches multirégional. Amazon Keyspaces utilise le rôle lié à un service `AWSServiceRoleForAmazonKeyspacesReplication` pour effectuer des tâches de réplication de données en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 juin 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter la taille facturable d'une table en utilisant. CloudWatch Amazon Keyspaces s'intègre CloudWatch à Amazon pour vous permettre de contrôler la taille des tables facturables. Pour de plus amples informations, veuillez consulter [Métriques Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 juillet 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter la taille facturable d'une table en utilisant. CloudWatch Amazon Keyspaces s'intègre CloudWatch à Amazon pour vous permettre de contrôler la taille des tables facturables. Pour de plus amples informations, veuillez consulter [Métriques Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 juillet 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter AWS KMS les clés configurées pour le chiffrement Amazon Keyspaces au repos. Le chiffrement au repos d'Amazon Keyspaces s'intègre AWS KMS à la protection et à la gestion des clés de chiffrement utilisées pour chiffrer les données au repos. Pour afficher la AWS KMS clé configurée pour Amazon Keyspaces, des autorisations de lecture seule ont été ajoutées. | 1er juin 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) : mise à jour d’une politique existante | Amazon Keyspaces a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter AWS KMS les clés configurées pour le chiffrement Amazon Keyspaces au repos. Le chiffrement au repos d'Amazon Keyspaces s'intègre AWS KMS à la protection et à la gestion des clés de chiffrement utilisées pour chiffrer les données au repos. Pour afficher la AWS KMS clé configurée pour Amazon Keyspaces, des autorisations de lecture seule ont été ajoutées. | 1er juin 2021 |
| Amazon Keyspaces a commencé à suivre les modifications | Amazon Keyspaces a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 1er juin 2021 |
# Résolution des problèmes d'identité et d'accès à Amazon Keyspaces
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Keyspaces et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [J'ai modifié un utilisateur ou un rôle IAM et les modifications n'ont pas pris effet immédiatement](#security_iam_troubleshoot-effect)
+ [Je ne parviens pas à restaurer une table à l'aide d'Amazon Keyspaces point-in-time Recovery (PITR)](#security_iam_troubleshoot-pitr)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon Keyspaces
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` IAM essaie d'utiliser la console pour afficher les détails d'une table *table* mais ne dispose pas `cassandra:Select` des autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `mytable` à l’aide de l’action `cassandra:Select`.
## J'ai modifié un utilisateur ou un rôle IAM et les modifications n'ont pas pris effet immédiatement
Les modifications de la politique IAM peuvent prendre jusqu'à 10 minutes pour prendre effet pour les applications disposant de connexions existantes et établies à Amazon Keyspaces. Les modifications de politique IAM prennent effet immédiatement lorsque les applications établissent une nouvelle connexion. Si vous avez apporté des modifications à un utilisateur ou à un rôle IAM existant et que cela n'a pas pris effet immédiatement, attendez 10 minutes ou déconnectez-vous et reconnectez-vous à Amazon Keyspaces.
## Je ne parviens pas à restaurer une table à l'aide d'Amazon Keyspaces point-in-time Recovery (PITR)
Si vous essayez de restaurer une table Amazon Keyspaces avec point-in-time restauration (PITR) et que le processus de restauration commence mais ne se termine pas correctement, vous n'avez peut-être pas configuré toutes les autorisations requises pour le processus de restauration. Vous devez contacter votre administrateur pour obtenir de l'aide et lui demander de mettre à jour vos politiques afin de vous permettre de restaurer une table dans Amazon Keyspaces.
Outre les autorisations des utilisateurs, Amazon Keyspaces peut avoir besoin d'autorisations pour effectuer des actions au nom de votre principal pendant le processus de restauration. C'est le cas si la table est chiffrée à l'aide d'une clé gérée par le client ou si vous utilisez des politiques IAM qui limitent le trafic entrant. Par exemple, si vous utilisez des clés de condition dans votre politique IAM pour limiter le trafic source à des points de terminaison ou à des plages d'adresses IP spécifiques, l'opération de restauration échoue. Pour permettre à Amazon Keyspaces d'effectuer l'opération de restauration des tables pour le compte de votre principal, vous devez ajouter une clé de condition `aws:ViaAWSService` globale dans la politique IAM.
Pour plus d'informations sur les autorisations de restauration de tables, consultez[Configurer les autorisations IAM de la table de restauration pour Amazon Keyspaces PITR](howitworks_restore_permissions.md).
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon Keyspaces.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon Keyspaces. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Amazon Keyspaces
Pour autoriser d'autres personnes à accéder à Amazon Keyspaces, vous devez accorder l'autorisation aux personnes ou aux applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite joindre une politique à l'entité qui lui accorde les autorisations appropriées dans Amazon Keyspaces. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon Keyspaces
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon Keyspaces prend en charge ces fonctionnalités, consultez. [Comment Amazon Keyspaces fonctionne avec IAM](security_iam_service-with-iam.md)
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
**Topics**
+ [Utilisation des rôles pour le dimensionnement automatique des applications Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Utilisation de rôles pour les flux CDC d'Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Utilisation des rôles pour le dimensionnement automatique des applications Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon Keyspaces, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié au service nommé **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**pour permettre à Application Auto Scaling d'appeler Amazon Keyspaces et Amazon en votre nom. CloudWatch
Le rôle AWSServiceRoleForApplicationAutoScaling\$1CassandraTable lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `cassandra.application-autoscaling.amazonaws.com`
La politique d'autorisation des rôles permet à Application Auto Scaling d'effectuer les actions suivantes sur les ressources Amazon Keyspaces spécifiées :
+ Action : `cassandra:Select` sur `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Action : `cassandra:Select` sur la ressource `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Action : `cassandra:Select` sur la ressource `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Action : `cassandra:Alter` sur la ressource `arn:*:cassandra:*:*:"*"`
## Création d'un rôle lié à un service pour Amazon Keyspaces
Il n'est pas nécessaire de créer manuellement un rôle lié à un service pour le dimensionnement automatique d'Amazon Keyspaces. Lorsque vous activez le dimensionnement automatique d'Amazon Keyspaces sur une table avec le CQL AWS Management Console, le ou l' AWS API AWS CLI, Application Auto Scaling crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez le dimensionnement automatique d'Amazon Keyspaces pour une table, Application Auto Scaling crée à nouveau le rôle lié à un service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au AWSServiceRoleForApplicationAutoScaling\$1CassandraTable service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon Keyspaces
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez d'abord désactiver le dimensionnement automatique sur toutes les tables du compte Régions AWS avant de pouvoir supprimer manuellement le rôle lié à un service. Pour désactiver le dimensionnement automatique sur les tables Amazon Keyspaces, consultez. [Désactiver la mise à l'échelle automatique d'Amazon Keyspaces pour un tableau](autoscaling.turnoff.md)
**Note**
Si le dimensionnement automatique d'Amazon Keyspaces utilise le rôle lorsque vous essayez de modifier les ressources, la désinscription risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForApplicationAutoScaling\$1CassandraTable service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
**Note**
Pour supprimer le rôle lié au service utilisé par le dimensionnement automatique d'Amazon Keyspaces, vous devez d'abord désactiver le dimensionnement automatique sur toutes les tables du compte.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez la section [Points de terminaison de service pour Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Utilisation des rôles pour la réplication multirégionale d'Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon Keyspaces, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié au service nommé pour permettre à **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces d'en ajouter un nouveau Régions AWS à un espace de touches en votre nom, et de répliquer les tables ainsi que toutes leurs données et paramètres dans la nouvelle région. Ce rôle permet également à Amazon Keyspaces de répliquer les écritures sur les tables de toutes les régions en votre nom.
Le rôle AWSService RoleForAmazonKeyspacesReplication lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `replication.cassandra.amazonaws.com`
La politique d'autorisation des rôles nommée KeyspacesReplicationServiceRolePolicy permet à Amazon Keyspaces d'effectuer les actions suivantes :
+ Action : `cassandra:Select`
+ Action : `cassandra:SelectMultiRegionResource`
+ Action : `cassandra:Modify`
+ Action : `cassandra:ModifyMultiRegionResource`
+ Action : `cassandra:AlterMultiRegionResource`
+ Action : `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces utilise les autorisations de dimensionnement automatique de l'application lorsque vous ajoutez une réplique à une seule table de régions en mode provisionné avec le dimensionnement automatique activé.
+ Action : `application-autoscaling:DeregisterScalableTarget`
+ Action : `application-autoscaling:DescribeScalableTargets`
+ Action : `application-autoscaling:PutScalingPolicy`
+ Action : `application-autoscaling:DescribeScalingPolicies`
+ Action : `cassandra:Alter`
+ Action : `cloudwatch:DeleteAlarms`
+ Action : `cloudwatch:DescribeAlarms`
+ Action : `cloudwatch:PutMetricAlarm`
Bien que le rôle lié au service Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication fournisse les autorisations suivantes : « Action : » pour le nom de ressource Amazon (ARN) « arn : \$1 » spécifié dans la politique, Amazon Keyspaces fournit l'ARN de votre compte.
Les autorisations permettant de créer le rôle lié au service AWSService RoleForAmazonKeyspacesReplication sont incluses dans la politique `AmazonKeyspacesFullAccess` gérée. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon Keyspaces
Vous ne pouvez pas créer manuellement un rôle lié à un service. Lorsque vous créez un espace de saisie multirégional dans l'API AWS Management Console, le ou l' AWS API AWS CLI, Amazon Keyspaces crée le rôle lié à un service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un espace clé multirégional, Amazon Keyspaces crée à nouveau le rôle lié à un service pour vous.
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au AWSService RoleForAmazonKeyspacesReplication service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon Keyspaces
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, vous devez d'abord supprimer tous les espaces clés multirégionaux du compte Régions AWS avant de pouvoir supprimer manuellement le rôle lié à un service.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord supprimer les espaces clés et les tables multirégionaux utilisés par le rôle.
**Note**
Si le service Amazon Keyspaces utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Amazon Keyspaces utilisées par AWSService RoleForAmazonKeyspacesReplication (console)**
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Choisissez **Keyspaces** dans le panneau de gauche.
1. Sélectionnez tous les espaces clés multirégionaux dans la liste.
1. Choisissez **Supprimer**, confirmez la suppression, puis sélectionnez **Supprimer les espaces clés.**
Vous pouvez également supprimer des espaces clés multirégionaux par programmation à l'aide de l'une des méthodes suivantes.
+ L'instruction Cassandra Query Language (CQL). [DROP KEYSPACE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ L'opération [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) de la CLI. AWS
+ [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)Fonctionnement de l'API Amazon Keyspaces.
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAmazonKeyspacesReplication service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSService RoleForAmazonKeyspacesReplication rôle dans les régions suivantes.
****
| Nom de la région | Identité de la région | Support sur Amazon Keyspaces |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (USA Est) | us-gov-east-1 | Non |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non |
# Utilisation de rôles pour les flux CDC d'Amazon Keyspaces
[Amazon Keyspaces (pour Apache Cassandra) utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Keyspaces. Les rôles liés à un service sont prédéfinis par Amazon Keyspaces et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Keyspaces, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Keyspaces définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Keyspaces peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous ne pouvez pas supprimer le rôle lié au service.
## Autorisations de rôle liées à un service pour Amazon Keyspaces
Amazon Keyspaces utilise le rôle lié à un service appelé CDC **AWSServiceRoleForAmazonKeyspacespour permettre aux** flux Amazon Keyspaces CDC de publier des CloudWatch statistiques sur votre compte en votre nom.
Le rôle lié au service AWSService RoleForAmazonKeyspaces CDC fait confiance au service suivant pour assumer le rôle :
+ `cassandra-streams.amazonaws.com`
La politique d'autorisation des rôles nommée [Keyspaces permet](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) à CDCService RolePolicy Amazon Keyspaces d'effectuer l'action suivante sur les ressources de l'espace de noms : CloudWatch `AWS/Cassandra`
+ Action : `cloudwatch:PutMetricData` sur `*`
Le AWSService RoleForAmazonKeyspaces CDC fournit les autorisations : Action : cloudwatch : PutMetricData sur toutes les ressources répondant à la condition suivante :`"cloudwatch:namespace": "AWS/Cassandra"`.
Pour plus d'informations sur les Keyspaces CDCServiceRolePolicy, consultez. [AWS politique gérée : Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Pour activer les flux CDC pour une table, qui crée automatiquement le rôle AWSService RoleForAmazonKeyspaces CDC lié à un service, le principal IAM a besoin des autorisations suivantes.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Les autorisations permettant de créer le rôle AWSService RoleForAmazonKeyspaces CDC lié à un service sont incluses dans la politique `AmazonKeyspacesFullAccess` gérée. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Création d'un rôle lié à un service pour Amazon Keyspaces
Il n'est pas nécessaire de créer manuellement un rôle lié à un service pour les flux CDC d'Amazon Keyspaces. Lorsque vous activez les flux CDC d'Amazon Keyspaces sur une table avec le CQL AWS Management Console, le ou l'API AWS CLI AWS , Amazon Keyspaces crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez les flux CDC d'Amazon Keyspaces pour une table, Amazon Keyspaces crée à nouveau le rôle lié à un service pour vous.
## Modification d'un rôle lié à un service pour Amazon Keyspaces
Amazon Keyspaces ne vous permet pas de modifier le rôle lié au service AWSService RoleForAmazonKeyspaces CDC. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service Amazon Keyspaces
Amazon Keyspaces prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Validation de conformité pour Amazon Keyspaces (pour Apache Cassandra)
Des auditeurs tiers évaluent la sécurité et la conformité d'Amazon Keyspaces (pour Apache Cassandra) dans le cadre de plusieurs AWS programmes de conformité. Il s’agit des licences suivantes :
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Pour plus d'informations, consultez les [certifications et services AWS ISO et CSA STAR](https://aws.amazon.com/compliance/iso-certified/).
+ System and Organization Controls (SOC)
+ Payment Card Industry (PCI)
+ Programme fédéral de gestion des risques et des autorisations (FedRAMP) élevé
+ Health Insurance Portability and Accountability Act (HIPAA)
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience et reprise après sinistre dans Amazon Keyspaces
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Amazon Keyspaces réplique automatiquement les données à trois reprises dans plusieurs zones de AWS disponibilité au sein d'une même zone Région AWS pour garantir durabilité et haute disponibilité.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Amazon Keyspaces propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
**Réplication multirégionale**
Amazon Keyspaces propose une réplication multirégionale si vous devez répliquer vos données ou vos applications sur de plus grandes distances géographiques. Vous pouvez reproduire vos tables Amazon Keyspaces sur les Régions AWS différentes tables de votre choix. Pour de plus amples informations, veuillez consulter [Réplication multirégionale pour Amazon Keyspaces (pour Apache Cassandra)](multiRegion-replication.md).
**Point-in-time rétablissement (PITR)**
PITR aide à protéger vos tables Amazon Keyspaces contre les opérations d'écriture ou de suppression accidentelles en vous fournissant des sauvegardes continues des données de vos tables. Pour plus d'informations, consultez [P oint-in-time recovery for Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).
# Sécurité de l'infrastructure dans Amazon Keyspaces
En tant que service géré, Amazon Keyspaces (pour Apache Cassandra) est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Keyspaces via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Amazon Keyspaces prend en charge deux méthodes pour authentifier les demandes des clients. La première méthode utilise des informations d'identification spécifiques au service, qui sont des informations d'identification basées sur un mot de passe générées pour un utilisateur IAM spécifique. Vous pouvez créer et gérer le mot de passe à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Pour plus d'informations, consultez la section [Utilisation d'IAM avec Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
La seconde méthode utilise un plugin d'authentification pour le pilote DataStax Java open source pour Cassandra. Ce plugin permet aux [utilisateurs, aux rôles et aux identités fédérées IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) d'ajouter des informations d'authentification aux demandes d'API Amazon Keyspaces (pour Apache Cassandra) à l'aide du processus [AWS Signature Version 4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Pour de plus amples informations, veuillez consulter [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](access.credentials.md).
Vous pouvez appeler ces opérations d'API depuis n'importe quel emplacement réseau, mais Amazon Keyspaces prend en charge les politiques d'accès basées sur les ressources, qui peuvent inclure des restrictions basées sur l'adresse IP source. Vous pouvez également utiliser les politiques d'Amazon Keyspaces pour contrôler l'accès depuis des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) spécifiques ou spécifiques. VPCs En fait, cela isole l'accès réseau à une ressource Amazon Keyspaces donnée uniquement du VPC spécifique au sein du réseau. AWS
Vous pouvez utiliser un point de terminaison VPC d'interface pour empêcher le trafic entre votre Amazon VPC et Amazon Keyspaces de quitter le réseau Amazon. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec private dans IPs votre Amazon VPC. Pour de plus amples informations, veuillez consulter [Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface](vpc-endpoints.md).
# Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS
AWS PrivateLink permet cela en utilisant une interface réseau élastique avec des adresses IP privées dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison de VPC d'interface n'ont pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion Direct Connect . Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink
**Topics**
+ [Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Remplissage des entrées de `system.peers` table avec les informations de point de terminaison VPC de l'interface](#system_peers)
+ [Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Disponibilité](#availability)
+ [Politiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR)](#VPC_PITR_restore)
+ [Erreurs et avertissements courants](#vpc_troubleshooting)
## Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces
Vous pouvez créer un point de terminaison VPC d'interface afin que le trafic entre Amazon Keyspaces et vos ressources Amazon VPC commence à passer par le point de terminaison VPC d'interface. Pour commencer, suivez les étapes pour [créer un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint). Ensuite, modifiez le groupe de sécurité associé au point de terminaison que vous avez créé à l'étape précédente et configurez une règle entrante pour le port 9142. Pour plus d'informations, consultez la section [Ajout, suppression et mise à jour de règles](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).
Pour un step-by-step didacticiel sur la configuration d'une connexion à Amazon Keyspaces via un point de terminaison VPC, consultez. [Tutoriel : Connectez-vous à Amazon Keyspaces à l'aide d'un point de terminaison VPC d'interface](vpc-endpoints-tutorial.md) Pour savoir comment configurer l'accès entre comptes pour les ressources Amazon Keyspaces séparément des applications présentes dans Comptes AWS un VPC, consultez. [Configurer l'accès entre comptes à Amazon Keyspaces avec des points de terminaison VPC](access.cross-account.md)
## Remplissage des entrées de `system.peers` table avec les informations de point de terminaison VPC de l'interface
Les pilotes Apache Cassandra utilisent la `system.peers` table pour demander des informations sur les nœuds du cluster. Les pilotes Cassandra utilisent les informations du nœud pour équilibrer la charge des connexions et relancer les opérations. Amazon Keyspaces remplit automatiquement neuf entrées du `system.peers` tableau pour les clients qui se connectent via le point de terminaison public.
Pour fournir aux clients qui se connectent via des points de terminaison VPC d'interface des fonctionnalités similaires, Amazon Keyspaces remplit le `system.peers` tableau de votre compte avec une entrée pour chaque zone de disponibilité dans laquelle un point de terminaison VPC est disponible. Pour rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableau`system.peers`, Amazon Keyspaces exige que vous accordiez à l'entité IAM utilisée pour se connecter à Amazon Keyspaces les autorisations d'accès lui permettant de demander à votre VPC les informations relatives au point de terminaison et à l'interface réseau.
**Important**
Le remplissage du `system.peers` tableau avec les points de terminaison VPC de votre interface disponibles améliore l'équilibrage de charge et augmente le débit. read/write Il est recommandé à tous les clients accédant à Amazon Keyspaces via des points de terminaison VPC d'interface et est requis pour Apache Spark.
Pour accorder à l'entité IAM utilisée pour se connecter à Amazon Keyspaces l'autorisation de rechercher les informations nécessaires sur le point de terminaison VPC de l'interface, vous pouvez mettre à jour votre rôle IAM ou votre politique utilisateur existants, ou créer une nouvelle politique IAM comme indiqué dans l'exemple suivant.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**Note**
Les politiques gérées `AmazonKeyspacesFullAccess` incluent `AmazonKeyspacesReadOnlyAccess_v2` les autorisations requises pour permettre à Amazon Keyspaces d'accéder à l'instance Amazon EC2 afin de lire les informations sur les points de terminaison VPC d'interface disponibles.
Pour vérifier que la politique a été correctement configurée, interrogez le `system.peers` tableau pour consulter les informations réseau. Si le `system.peers` tableau est vide, cela peut indiquer que la politique n'a pas été configurée correctement ou que vous avez dépassé le quota de demandes `DescribeNetworkInterfaces` et les actions `DescribeVPCEndpoints` d'API. `DescribeVPCEndpoints`entre dans `Describe*` cette catégorie et est considérée comme une action *non mutante.* `DescribeNetworkInterfaces`appartient au sous-ensemble des *actions non mutantes non filtrées et non paginées, et différents* quotas s'appliquent. Pour plus d'informations, consultez la section [Taille des compartiments de jetons de demande et taux de recharge](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) dans le manuel Amazon EC2 API Reference.
Si vous voyez un tableau vide, réessayez quelques minutes plus tard pour exclure tout problème de quota de taux de demandes. Pour vérifier que vous avez correctement configuré les points de terminaison VPC, consultez. [La connexion de mon point de terminaison VPC ne fonctionne pas correctement](troubleshooting.connecting.md#troubleshooting.connection.vpce) Si votre requête renvoie les résultats du tableau, cela signifie que votre politique a été correctement configurée.
## Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces
Avec les politiques de point de terminaison VPC, vous pouvez contrôler l'accès aux ressources de deux manières :
+ **Politique IAM** : vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés à accéder à Amazon Keyspaces via un point de terminaison VPC spécifique. Pour ce faire, utilisez une [clé de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans la stratégie attachée à un utilisateur, un groupe ou un rôle IAM.
+ **Politique VPC** : vous pouvez contrôler quels points de terminaison VPC ont accès à vos ressources Amazon Keyspaces en leur associant des politiques. Pour restreindre l'accès à un keyspace ou à une table spécifique afin d'autoriser uniquement le trafic passant par un point de terminaison VPC spécifique, modifiez la stratégie IAM existante qui restreint l'accès aux ressources et ajoutez ce point de terminaison VPC.
Vous trouverez ci-dessous des exemples de politiques relatives aux points de terminaison permettant d'accéder aux ressources Amazon Keyspaces.
+ **Exemple de politique IAM : limitez tout accès à une table Amazon Keyspaces spécifique, sauf si le trafic provient du point de terminaison VPC spécifié**. Cet exemple de politique peut être associé à un utilisateur, un rôle ou un groupe IAM. Il restreint l'accès à une table Amazon Keyspaces spécifiée, sauf si le trafic entrant provient d'un point de terminaison VPC spécifié.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**Note**
Pour restreindre l'accès à une table spécifique, vous devez également inclure l'accès aux tables système. Les tables système sont en lecture seule.
+ Exemple de **politique VPC : accès en lecture seule — Cet exemple** de politique peut être attaché à un point de terminaison VPC. (Pour plus d'informations, consultez la section [Contrôle de l'accès aux ressources Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Il limite les actions à l'accès en lecture seule aux ressources Amazon Keyspaces via le point de terminaison VPC auquel il est connecté.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Exemple de politique VPC : restreindre l'accès à une table Amazon Keyspaces spécifique** — Cet exemple de politique peut être attaché à un point de terminaison VPC. Il limite l'accès à une table spécifique via le point de terminaison VPC auquel il est attaché.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**Note**
Pour restreindre l'accès à une table spécifique, vous devez également inclure l'accès aux tables système. Les tables système sont en lecture seule.
## Disponibilité
Amazon Keyspaces prend en charge l'utilisation des points de terminaison VPC d'interface partout Régions AWS où le service est disponible. Pour de plus amples informations, veuillez consulter [Points de terminaison de service pour Amazon Keyspaces](programmatic.endpoints.md).
## Politiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR)
Si vous utilisez des politiques IAM avec des [clés de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) pour restreindre le trafic entrant, l'opération de restauration des tables risque d'échouer. Par exemple, si vous limitez le trafic source à des points de terminaison VPC spécifiques à l'aide de clés de `aws:SourceVpce` condition, l'opération de restauration de table échoue. Pour autoriser Amazon Keyspaces à effectuer une opération de restauration pour le compte de votre mandant, vous devez ajouter une clé de `aws:ViaAWSService` condition à votre politique IAM. La clé de `aws:ViaAWSService` condition permet l'accès lorsqu'un AWS service fait une demande en utilisant les informations d'identification du principal. Pour plus d'informations, voir [Éléments de politique IAM JSON : clé de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le guide de l'*utilisateur IAM*. La politique suivante en est un exemple.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Erreurs et avertissements courants
**Si vous utilisez Amazon Virtual Private Cloud et que vous vous connectez à Amazon Keyspaces, l'avertissement suivant peut s'afficher.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Cet avertissement se produit car le `system.peers` tableau contient des entrées pour tous les points de terminaison Amazon VPC qu'Amazon Keyspaces est autorisé à consulter, y compris le point de terminaison Amazon VPC via lequel vous êtes connecté. Vous pouvez ignorer cet avertissement en toute sécurité.
Pour les autres erreurs, consultez[La connexion de mon point de terminaison VPC ne fonctionne pas correctement](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Utilisation des flux CDC d'Amazon Keyspaces avec des points de terminaison VPC d'interface
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS
AWS PrivateLink permet cela en utilisant une interface réseau élastique avec des adresses IP privées dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison de VPC d'interface n'ont pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion Direct Connect . Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink
**Topics**
+ [Utilisation des points de terminaison VPC de l'interface pour les flux CDC d'Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Points de terminaison VPC de l'interface de diffusion (CDC) d'Amazon Keyspaces](#interface-vpc-endpoints-streams-types)
+ [Création d'un point de terminaison VPC avec l'interface de flux CDC d'Amazon Keyspaces](#create-interface-vpc-endpoints-streams)
+ [Mettre à jour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces](#update-interface-vpc-endpoints-streams)
+ [Répertorier les flux à l'aide d'une interface de flux CDC Amazon Keyspaces (point de terminaison VPC)](#list-interface-vpc-endpoints-streams)
+ [Création d'une politique pour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces](#interface-vpc-endpoints-streams-policy)
## Utilisation des points de terminaison VPC de l'interface pour les flux CDC d'Amazon Keyspaces
Vous pouvez utiliser un point de terminaison VPC d'interface afin que le trafic entre les flux CDC d'Amazon Keyspaces et vos ressources Amazon VPC commence à passer par le point de terminaison VPC de l'interface. Vous pouvez utiliser les politiques de point de terminaison VPC pour restreindre l'accès à vos flux CDC.
Pour plus d'informations sur les flux CDC d'Amazon Keyspaces, consultez. [Utilisation des flux de capture des données modifiées (CDC) dans Amazon Keyspaces](cdc.md)
## Points de terminaison VPC de l'interface de diffusion (CDC) d'Amazon Keyspaces
**Lorsque vous créez un point de terminaison d'interface, Amazon Keyspaces CDC streams génère deux types de noms DNS spécifiques au point de terminaison pour le flux : régional et zonal.**
**Régional**
Le nom DNS régional inclut les informations suivantes :
+ un identifiant de point de terminaison Amazon VPC unique
+ un identifiant de service
+ le Région AWS
+ le `vpce.amazonaws.com` suffixe
Pour un point de terminaison Amazon VPC avec l'ID`vpce-1a2b3c4d`, le nom DNS généré peut ressembler à l'exemple suivant :. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`
**Zonal**
Le nom DNS de zone inclut la [zone de disponibilité](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) en plus des informations contenues dans le nom DNS régional. Le nom DNS généré pour le point de terminaison Amazon VPC avec l'ID `vpce-1a2b3c4d` ressemble à celui de l'exemple suivant. Notez que la zone de disponibilité Région AWS est désormais incluse : `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Vous pouvez utiliser cette option si votre architecture isole des zones de disponibilité. Par exemple, vous pouvez l’utiliser pour contenir les pannes ou réduire les coûts de transfert de données Régionaux.
Pour obtenir une fiabilité optimale, nous vous recommandons de déployer votre service dans un minimum de trois zones de disponibilité.
## Création d'un point de terminaison VPC avec l'interface de flux CDC d'Amazon Keyspaces
Vous pouvez utiliser le AWS CLI ou le AWS SDK pour accéder aux opérations de l'API Amazon Keyspaces CDC Streams via les points de terminaison de l'interface Amazon Keyspaces CDC Streams. Pour obtenir la liste complète de toutes les opérations d'API disponibles, consultez le manuel de référence des [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html).
Pour plus d'informations sur la création de points de terminaison VPC, consultez la section [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon VPC.
Pour créer un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Mettre à jour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces
Pour mettre à jour un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Répertorier les flux à l'aide d'une interface de flux CDC Amazon Keyspaces (point de terminaison VPC)
Pour répertorier les flux qui utilisent un point de terminaison VPC, vous pouvez utiliser la syntaxe de l'exemple suivant. Assurez-vous de remplacer la région et le nom DNS de l'ID de point de terminaison du VPC par vos propres informations.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Création d'une politique pour un point de terminaison (VPC) de l'interface de flux CDC d'Amazon Keyspaces
Vous pouvez associer une politique de point de terminaison à votre point de terminaison Amazon VPC qui contrôle l'accès aux flux CDC d'Amazon Keyspaces. La politique spécifie les informations suivantes :
+ Le principal Gestion des identités et des accès AWS (IAM) qui peut effectuer des actions
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour restreindre l'accès à des flux CDC Amazon Keyspaces spécifiques afin de n'autoriser l'accès qu'à des AWS services spécifiques dans votre Amazon VPC, vous pouvez utiliser l'exemple suivant.
La politique de flux suivante accorde l'accès à n'importe quel principal IAM pour les actions `cassandra:GetStream` et `cassandra:GetRecords` pour le flux spécifié `2025-02-20T11:22:33.444` attaché à la ressource `/keyspace/mykeyspace/table/mytable/` appartenant au compte`123456788901`. Pour utiliser cette politique de point de terminaison, assurez-vous de remplacer la région, l'ID de compte et la ressource par le libellé du flux.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**Note**
Amazon Keyspaces ne prend pas en charge les points de terminaison Gateway pour les flux CDC.
# Analyse de configuration et de vulnérabilité pour Amazon Keyspaces
AWS gère les tâches de sécurité de base telles que l'application de correctifs au système d'exploitation client (OS) et aux bases de données, la configuration du pare-feu et la reprise après sinistre. Ces procédures ont été vérifiées et certifiées par les tiers appropriés. Pour plus de détails, consultez les ressources suivantes :
+ Modèle de [responsabilité partagée Modèle](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services : présentation des procédures de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (livre blanc)
# Bonnes pratiques en matière de sécurité pour Amazon Keyspaces
Amazon Keyspaces (pour Apache Cassandra) fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
**Topics**
+ [Bonnes pratiques de sécurité préventive pour Amazon Keyspaces](best-practices-security-preventative.md)
+ [Les meilleures pratiques de Detective en matière de sécurité pour Amazon Keyspaces](best-practices-security-detective.md)
# Bonnes pratiques de sécurité préventive pour Amazon Keyspaces
Les bonnes pratiques de sécurité suivantes sont considérées comme préventives car elles peuvent vous aider à anticiper et à prévenir les incidents de sécurité dans Amazon Keyspaces.
**Utiliser le chiffrement au repos**
[Amazon Keyspaces chiffre au repos toutes les données utilisateur stockées dans des tables à l'aide des clés de chiffrement stockées dans AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Cela fournit une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent.
Par défaut, Amazon Keyspaces utilise un Clé détenue par AWS pour chiffrer toutes vos tables. Si cette clé n'existe pas, elle a été créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.
Vous pouvez également utiliser une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour le chiffrement au repos. Pour plus d'informations, consultez [Amazon Keyspaces Encryption at Rest](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).
**Utiliser les rôles IAM pour authentifier l'accès à Amazon Keyspaces**
Pour que les utilisateurs, les applications et les autres AWS services puissent accéder à Amazon Keyspaces, ils doivent inclure des AWS informations d'identification valides dans leurs demandes d' AWS API. Vous ne devez pas stocker les AWS informations d'identification directement dans l'application ou l'instance EC2. Il s’agit d’informations d’identification à long terme qui ne font pas l’objet d’une rotation automatique, et dont la compromission pourrait avoir un impact considérable sur l’activité. Un rôle IAM vous permet d’obtenir des clés d’accès temporaires qui peuvent être utilisées pour accéder aux ressources et services AWS .
Pour en savoir plus, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Utiliser les politiques IAM pour l'autorisation de base Amazon Keyspaces**
Lorsque vous accordez des autorisations, vous décidez qui les obtient, pour quels Amazon Keyspaces APIs ils obtiennent des autorisations et quelles actions spécifiques vous souhaitez autoriser sur ces ressources. La mise en œuvre du principe du moindre privilège est essentielle pour réduire les risques de sécurité et l'impact pouvant résulter d'erreurs ou d'intentions malveillantes.
Associez des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles) et accordez ainsi des autorisations pour effectuer des opérations sur les ressources Amazon Keyspaces.
Pour ce faire, utilisez les ressources suivantes :
+ [AWS politiques gérées (prédéfinies)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Utiliser des conditions de politique IAM pour un contrôle d’accès précis**
Lorsque vous accordez des autorisations dans Amazon Keyspaces, vous pouvez spécifier les conditions qui déterminent la manière dont une politique d'autorisation prend effet. La mise en œuvre du principe du moindre privilège est essentielle pour réduire les risques de sécurité et l'impact pouvant résulter d'erreurs ou d'intentions malveillantes.
Vous pouvez spécifier des conditions lors de l’octroi d’autorisations à l’aide d’une politique IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ Accordez des autorisations pour permettre aux utilisateurs d'accéder en lecture seule à des espaces clés ou à des tables spécifiques.
+ Accordez des autorisations permettant à un utilisateur d'accéder en écriture à une certaine table, en fonction de son identité.
Pour plus d'informations, consultez la section Exemples de [politiques basées sur l'identité](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Envisager un chiffrement côté client**
Si vous stockez des données sensibles ou confidentielles dans Amazon Keyspaces, vous souhaiterez peut-être chiffrer ces données le plus près possible de leur origine afin de les protéger tout au long de leur cycle de vie. Le chiffrement de vos données sensibles en transit et au repos contribue à garantir que vos données en texte brut ne sont pas accessibles à un tiers.
# Les meilleures pratiques de Detective en matière de sécurité pour Amazon Keyspaces
Les meilleures pratiques de sécurité suivantes sont considérées comme détectives car elles peuvent vous aider à détecter les faiblesses et les incidents de sécurité potentiels.
** AWS CloudTrail À utiliser pour surveiller l'utilisation des AWS KMS clés AWS Key Management Service (AWS KMS)**
Si vous utilisez une [AWS KMS clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour le chiffrement au repos, l'utilisation de cette clé est connectée AWS CloudTrail. CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.
Vous pouvez l'utiliser CloudTrail pour auditer l'utilisation des clés. CloudTrail crée des fichiers journaux contenant l'historique des appels d' AWS API et des événements associés à votre compte. Ces fichiers journaux incluent toutes les demandes d' AWS KMS API effectuées à l'aide de la console et des outils de ligne de commande, en plus de celles effectuées via les AWS services intégrés. AWS SDKs Vous pouvez utiliser ces fichiers journaux pour obtenir des informations sur le moment où la AWS KMS clé a été utilisée, l'opération demandée, l'identité du demandeur, l'adresse IP d'origine de la demande, etc. Pour plus d’informations, consultez [Journalisation des appels d’API AWS Key Management Service avec AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dans le [Guide de l’utilisateur AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
** CloudTrail À utiliser pour surveiller les opérations du langage de définition de données (DDL) Amazon Keyspaces**
CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.
Toutes les [opérations DDL d'Amazon Keyspaces sont automatiquement](cql.ddl.md) enregistrées. CloudTrail Les opérations DDL vous permettent de créer et de gérer les espaces de touches et les tables Amazon Keyspaces.
Lorsqu'une activité a lieu dans Amazon Keyspaces, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements liés au AWS service dans l'historique des événements. Pour plus d'informations, consultez la section [Enregistrement des opérations Amazon Keyspaces à l'aide de](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
[Pour un enregistrement continu des événements survenus dans votre environnement Compte AWS, y compris des événements pour Amazon Keyspaces, créez un historique.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un suivi permet CloudTrail de transférer des fichiers journaux vers un compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, lorsque vous créez un parcours sur la console, celui-ci s'applique à tous Régions AWS. Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment S3 de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence.
**Étiquetez vos ressources Amazon Keyspaces à des fins d'identification et d'automatisation**
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque balise est une étiquette simple composée d'une clé définie par le client et d'une valeur facultative qui facilite la gestion, la recherche et le filtrage des ressources.
L’étiquetage permet l’implémentation de contrôles groupés. Bien qu’il n’existe pas de types intrinsèques d’étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d’autres critères. Voici quelques exemples :
+ Accès : utilisé pour contrôler l'accès aux ressources Amazon Keyspaces en fonction de balises. Pour de plus amples informations, veuillez consulter [Autorisation basée sur les tags Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sécurité — Utilisé pour déterminer les exigences telles que les paramètres de protection des données.
+ Confidentialité — Identifiant du niveau spécifique de confidentialité des données pris en charge par une ressource.
+ Environnement : utilisé pour différencier les infrastructures de développement, de test et de production.
Pour plus d'informations, consultez les sections [Stratégies de AWS balisage](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) et [Ajout de balises et d'étiquettes aux ressources](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).