Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'Amazon Keyspaces avec des points de terminaison VPC d'interface

Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre les VPC et les services. AWS

AWS PrivateLink permet cela en utilisant une interface réseau élastique avec des adresses IP privées dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison de VPC d'interface n'ont pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion AWS Direct Connect . Pour plus d'informations, consultez Amazon Virtual Private Cloud and Interface VPC endpoints ().AWS PrivateLink

Utilisation des points de terminaison VPC de l'interface pour Amazon Keyspaces

Vous pouvez créer un point de terminaison VPC d'interface afin que le trafic entre Amazon Keyspaces et vos ressources Amazon VPC commence à passer par le point de terminaison VPC d'interface. Pour commencer, suivez les étapes pour créer un point de terminaison d'interface. Ensuite, modifiez le groupe de sécurité associé au point de terminaison que vous avez créé à l'étape précédente et configurez une règle entrante pour le port 9142. Pour plus d'informations, consultez la section Ajout, suppression et mise à jour de règles.

Pour un step-by-step didacticiel sur la configuration d'une connexion à Amazon Keyspaces via un point de terminaison VPC, consultez. Tutoriel : Connexion à Amazon Keyspaces à l'aide d'un point de terminaison VPC d'interface Pour savoir comment configurer l'accès entre comptes pour les ressources Amazon Keyspaces séparément des applications présentes dans Comptes AWS un VPC, consultez. Configuration de l'accès entre comptes pour Amazon Keyspaces

Remplissage des entrées de system.peers table avec les informations de point de terminaison VPC de l'interface

Les pilotes Apache Cassandra utilisent la system.peers table pour demander des informations sur les nœuds du cluster. Les pilotes Cassandra utilisent les informations du nœud pour équilibrer la charge des connexions et relancer les opérations. Amazon Keyspaces remplit automatiquement neuf entrées du system.peers tableau pour les clients qui se connectent via le point de terminaison public.

Pour fournir aux clients qui se connectent via des points de terminaison VPC d'interface des fonctionnalités similaires, Amazon Keyspaces remplit le system.peers tableau de votre compte avec une entrée pour chaque zone de disponibilité dans laquelle un point de terminaison VPC est disponible. Pour rechercher et stocker les points de terminaison VPC d'interface disponibles dans le tableausystem.peers, Amazon Keyspaces exige que vous accordiez à l'entité IAM utilisée pour se connecter à Amazon Keyspaces les autorisations d'accès lui permettant de demander à votre VPC les informations relatives au point de terminaison et à l'interface réseau.

Pour accorder à l'entité IAM utilisée pour se connecter à Amazon Keyspaces l'autorisation de rechercher les informations nécessaires sur le point de terminaison VPC de l'interface, vous pouvez mettre à jour votre rôle IAM ou votre politique utilisateur existants, ou créer une nouvelle politique IAM comme indiqué dans l'exemple suivant.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource":"*"
      }
   ]
}

Pour vérifier que la politique a été correctement configurée, interrogez le system.peers tableau pour consulter les informations réseau. Si le system.peers tableau est vide, cela peut indiquer que la politique n'a pas été configurée correctement ou que vous avez dépassé le quota de demandes DescribeNetworkInterfaces et les actions DescribeVPCEndpoints d'API. DescribeVPCEndpointsentre dans Describe* cette catégorie et est considérée comme une action non mutante. DescribeNetworkInterfacesappartient au sous-ensemble des actions non mutantes non filtrées et non paginées, et différents quotas s'appliquent. Pour plus d'informations, consultez la section Taille des compartiments de jetons de demande et taux de recharge dans le manuel Amazon EC2 API Reference.

Si vous voyez un tableau vide, réessayez quelques minutes plus tard pour exclure tout problème de quota de taux de demandes. Pour vérifier que vous avez correctement configuré les points de terminaison VPC, consultez. La connexion de mon point de terminaison VPC ne fonctionne pas correctement Si votre requête renvoie les résultats du tableau, cela signifie que votre politique a été correctement configurée.

Contrôle de l'accès aux points de terminaison VPC de l'interface pour Amazon Keyspaces

Avec les politiques de point de terminaison VPC, vous pouvez contrôler l'accès aux ressources de deux manières :

Vous trouverez ci-dessous des exemples de politiques relatives aux points de terminaison permettant d'accéder aux ressources Amazon Keyspaces.

Disponibilité

Amazon Keyspaces prend en charge l'utilisation des points de terminaison VPC d'interface partout Régions AWS où le service est disponible. Pour plus d’informations, consultez Points de terminaison de service pour Amazon Keyspaces.

Politiques relatives aux terminaux VPC et restauration d'Amazon Keyspaces point-in-time (PITR)

Si vous utilisez des politiques IAM avec des clés de condition pour restreindre le trafic entrant, l'opération de restauration des tables risque d'échouer. Par exemple, si vous limitez le trafic source à des points de terminaison VPC spécifiques à l'aide de clés de aws:SourceVpce condition, l'opération de restauration de table échoue. Pour autoriser Amazon Keyspaces à effectuer une opération de restauration pour le compte de votre mandant, vous devez ajouter une clé de aws:ViaAWSService condition à votre politique IAM. La clé de aws:ViaAWSService condition permet l'accès lorsqu'un AWS service fait une demande en utilisant les informations d'identification du principal. Pour plus d'informations, voir Éléments de politique IAM JSON : clé de condition dans le guide de l'utilisateur IAM. La politique suivante en est un exemple.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForVPCE",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "StringEquals":{
               "aws:SourceVpce":[
                  "vpce-12345678901234567"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

Erreurs et avertissements courants

Si vous utilisez Amazon Virtual Private Cloud et que vous vous connectez à Amazon Keyspaces, l'avertissement suivant peut s'afficher.

Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; 
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster. 

Cet avertissement se produit car le system.peers tableau contient des entrées pour tous les points de terminaison Amazon VPC qu'Amazon Keyspaces est autorisé à consulter, y compris le point de terminaison Amazon VPC via lequel vous êtes connecté. Vous pouvez ignorer cet avertissement en toute sécurité.

Pour les autres erreurs, consultezLa connexion de mon point de terminaison VPC ne fonctionne pas correctement.