Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces
Untuk mengakses Amazon Keyspaces secara terprogram dengan, AWS SDK AWS CLI, atau dengan driver klien Cassandra dan plugin SiGv4, Anda memerlukan pengguna IAM atau peran dengan kunci akses. Ketika Anda menggunakan AWS secara terprogram, Anda memberikan kunci AWS akses Anda sehingga AWS dapat memverifikasi identitas Anda dalam panggilan terprogram. Kunci akses Anda terdiri dari ID kunci akses (misalnya, AKIAIOSFODNN7EXAMPLE) dan kunci akses rahasia (misalnya,). wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Topik ini memandu Anda melalui langkah-langkah yang diperlukan dalam proses ini.
Praktik terbaik keamanan merekomendasikan agar Anda membuat pengguna IAM dengan izin terbatas dan sebagai gantinya mengaitkan peran IAM dengan izin yang diperlukan untuk melakukan tugas tertentu. Pengguna IAM kemudian dapat sementara mengambil peran IAM untuk melakukan tugas yang diperlukan. Misalnya, pengguna IAM di akun Anda yang menggunakan konsol Amazon Keyspaces dapat beralih ke peran untuk sementara menggunakan izin peran di konsol. Pengguna menyerahkan izin mereka dan mengambil izin yang ditetapkan untuk peran tersebut. Saat pengguna keluar dari peran, izin asli mereka dipulihkan. Kredensi yang digunakan pengguna untuk mengambil peran bersifat sementara. Sebaliknya, pengguna IAM memiliki kredensi jangka panjang, yang menghadirkan risiko keamanan jika alih-alih mengasumsikan peran, mereka memiliki izin yang langsung diberikan kepada mereka. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan. Untuk informasi selengkapnya tentang peran, lihat Skenario umum untuk peran: Pengguna, aplikasi, dan layanan di Panduan Pengguna IAM.
Topik
- Kredensional yang diperlukan oleh, AWS SDK AWS CLI, atau plugin Amazon Keyspaces SigV4 untuk driver klien Cassandra
- Membuat pengguna IAM untuk akses terprogram ke Amazon Keyspaces di akun Anda AWS
- Membuat kunci akses baru untuk pengguna IAM
- Cara mengelola kunci akses untuk pengguna IAM
- Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4
Kredensional yang diperlukan oleh, AWS SDK AWS CLI, atau plugin Amazon Keyspaces SigV4 untuk driver klien Cassandra
Kredensi berikut diperlukan untuk mengautentikasi pengguna atau peran IAM:
AWS_ACCESS_KEY_ID
-
Menentukan kunci AWS akses yang terkait dengan pengguna IAM atau peran.
Kunci akses
aws_access_key_id
diperlukan untuk terhubung ke Amazon Keyspaces secara terprogram. AWS_SECRET_ACCESS_KEY
-
Menentukan kunci rahasia yang terkait dengan kunci akses. Ini pada dasarnya adalah “kata sandi” untuk kunci akses.
aws_secret_access_key
Diperlukan untuk terhubung ke Amazon Keyspaces secara terprogram. AWS_SESSION_TOKEN
- Opsional-
Menentukan nilai token sesi yang diperlukan jika Anda menggunakan kredensil keamanan sementara yang Anda ambil langsung dari operasi. AWS Security Token Service Untuk informasi selengkapnya, lihat Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4.
Jika Anda terhubung dengan pengguna IAM, tidak
aws_session_token
diperlukan.
Membuat pengguna IAM untuk akses terprogram ke Amazon Keyspaces di akun Anda AWS
Untuk mendapatkan kredensi akses terprogram ke Amazon Keyspaces dengan plugin, AWS SDK AWS CLI, atau SiGv4, Anda harus terlebih dahulu membuat pengguna atau peran IAM. Proses membuat pengguna IAM dan mengonfigurasi pengguna IAM agar memiliki akses terprogram ke Amazon Keyspaces ditampilkan dalam langkah-langkah berikut:
-
Buat pengguna di AWS Management Console AWS CLI, Alat untuk Windows PowerShell, atau menggunakan operasi AWS API. Jika Anda membuat pengguna di AWS Management Console, maka kredensialnya dibuat secara otomatis.
-
Jika Anda membuat pengguna secara terprogram, maka Anda harus membuat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut dalam langkah tambahan.
-
Berikan izin pengguna untuk mengakses Amazon Keyspaces.
Untuk informasi tentang izin yang Anda perlukan untuk membuat pengguna, lihat Izin yang diperlukan untuk mengakses sumber daya IAM.
Membuat pengguna IAM (konsol)
Anda dapat menggunakan AWS Management Console untuk membuat pengguna IAM.
Untuk membuat pengguna IAM dengan akses terprogram (konsol)
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
-
Di panel navigasi, pilih Pengguna, lalu pilih Tambahkan pengguna.
-
Masukkan nama pengguna untuk pengguna baru. Ini adalah nama masuk untuk AWS.
catatan
Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (+), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (_), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna yang diberi nama TESTUSER dan testuser.
-
Pilih Kunci akses - Akses terprogram untuk membuat kunci akses untuk pengguna baru. Anda dapat melihat atau mengunduh tombol akses ketika Anda sampai ke halaman Final.
Pilih Berikutnya: Izin.
-
Pada halaman Setel izin, pilih Lampirkan kebijakan yang ada secara langsung untuk menetapkan izin ke pengguna baru.
Opsi ini menampilkan daftar kebijakan AWS terkelola dan terkelola pelanggan yang tersedia di akun Anda. Anda dapat masuk
keyspaces
ke kolom pencarian untuk hanya menampilkan kebijakan yang terkait dengan Amazon Keyspaces.Untuk Amazon Keyspaces, kebijakan terkelola yang tersedia adalah
AmazonKeyspacesFullAccess
dan.AmazonKeyspacesReadOnlyAccess
Untuk informasi selengkapnya tentang setiap kebijakan, lihatAWSkebijakan terkelola untuk Amazon Keyspaces.Untuk tujuan pengujian dan mengikuti tutorial koneksi, pilih
AmazonKeyspacesReadOnlyAccess
kebijakan untuk pengguna IAM baru. Catatan: Sebagai praktik terbaik, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan membuat kebijakan khusus yang membatasi akses ke sumber daya tertentu dan hanya mengizinkan tindakan yang diperlukan. Untuk informasi selengkapnya tentang kebijakan IAM dan untuk melihat contoh kebijakan untuk Amazon Keyspaces, lihat. Kebijakan berbasis identitas Amazon Keyspaces Setelah Anda membuat kebijakan izin khusus, lampirkan kebijakan Anda ke peran, lalu biarkan pengguna mengambil peran yang sesuai untuk sementara.Pilih Berikutnya: Tanda.
-
Pada halaman Tambahkan tag (opsional) Anda dapat menambahkan tag untuk pengguna, atau memilih Berikutnya: Tinjau.
Pada halaman Review Anda dapat melihat semua pilihan yang Anda buat sampai saat ini. Saat Anda siap untuk melanjutkan, pilih Buat pengguna.
-
Untuk melihat access key pengguna (access key ID dan secret access key), pilih Tampilkan di samping setiap kata sandi dan kunci akses rahasia. Untuk menyimpan kunci akses tersebut, pilih Download .csv (Unduh .csv) lalu simpan file ke lokasi yang aman.
penting
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.
Membuat pengguna IAM ()AWS CLI
Anda dapat menggunakan AWS CLI untuk membuat pengguna IAM.
Untuk membuat pengguna IAM dengan akses terprogram ()AWS CLI
-
Buat pengguna dengan AWS CLI kode berikut.
-
Berikan akses terprogram kepada pengguna. Ini membutuhkan kunci akses, yang dapat dihasilkan dengan cara berikut.
-
AWS CLI: aws iam create-access-key
-
Tools for Windows PowerShell: New-IAMAccessKey
-
API IAM: CreateAccessKey
penting
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.
-
-
Lampirkan
AmazonKeyspacesReadOnlyAccess
kebijakan ke pengguna yang menentukan izin pengguna. Catatan: Sebagai praktik terbaik, sebaiknya Anda mengelola izin pengguna dengan menambahkan pengguna ke grup dan melampirkan kebijakan ke grup, bukan melampirkan langsung ke pengguna.-
AWS CLI: aws iam attach-user-policy
-
Membuat kunci akses baru untuk pengguna IAM
Jika Anda sudah memiliki pengguna IAM, Anda dapat membuat kunci akses baru kapan saja. Untuk informasi selengkapnya tentang manajemen kunci, misalnya cara memperbarui kunci akses, lihat Mengelola kunci akses untuk pengguna IAM.
Untuk membuat kunci akses untuk pengguna IAM (konsol)
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
-
Di panel navigasi, pilih Pengguna.
Pilih nama pengguna yang kunci aksesnya ingin Anda buat.
Pada halaman Ringkasan pengguna, pilih tab Security credentials.
-
Pada bagian Access key, pilih Buat access key.
Untuk melihat pasangan access key baru, pilih Show (Tampilkan). Kredensial Anda akan terlihat seperti ini:
Access key ID: AKIAIOSFODNN7EXAMPLE
Secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
catatan
Anda tidak akan memiliki akses ke secret access key lagi setelah menutup kotak dialog ini.
-
Untuk mengunduh pasangan kunci tersebut, pilih Unduh file .csv. Simpan kunci di lokasi yang aman.
-
Setelah mengunduh file .csv, pilih Tutup.
Saat Anda membuat access key, key pair akan aktif secara default, dan Anda dapat langsung menggunakan pasangan tersebut.
Cara mengelola kunci akses untuk pengguna IAM
Sebagai praktik terbaik, kami menyarankan Anda untuk tidak menyematkan kunci akses langsung ke kode. AWS SDK dan AWS Command Line Tools memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Letakkan access key di salah satu lokasi berikut:
Variabel lingkungan — Pada sistem multitenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem.
File kredensial CLI —
config
Filecredentials
dan diperbarui saat Anda menjalankan perintah.aws configure
credentials
File ini terletak~/.aws/credentials
di Linux, macOS, atau Unix, atau diC:\Users\
Windows. File ini dapat berisi detail kredensi untukUSERNAME
\.aws\credentialsdefault
profil dan profil bernama apa pun.File konfigurasi CLI —
config
Filecredentials
dan diperbarui saat Anda menjalankan perintah.aws configure
config
File ini terletak~/.aws/config
di Linux, macOS, atau Unix, atau diC:\Users\
Windows. File ini berisi pengaturan konfigurasi untuk profil default dan profil bernama apa pun.USERNAME
\.aws\config
Menyimpan kunci akses sebagai variabel lingkungan adalah prasyarat untuk file. tep-by-step Tutorial S untuk terhubung ke Amazon Keyspaces menggunakan driver DataStax Java 4.x untuk Apache Cassandra dan plugin otentikasi SiGv4 Klien mencari kredensil menggunakan rantai penyedia kredensi default, dan kunci akses yang disimpan sebagai variabel lingkungan lebih diutamakan daripada semua lokasi lain, misalnya file konfigurasi. Untuk informasi selengkapnya, lihat Pengaturan konfigurasi dan prioritas.
Contoh berikut menunjukkan bagaimana Anda dapat mengkonfigurasi variabel lingkungan untuk pengguna default.
Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4
Untuk keamanan yang ditingkatkan, Anda dapat menggunakan kredensil sementara untuk mengautentikasi dengan plugin SiGv4. Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat peran IAM dan menghasilkan kredenal keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa. Untuk mempelajari lebih lanjut tentang cara menggunakan peran IAM alih-alih kunci akses jangka panjang, lihat Beralih ke peran IAM (AWS API).
Untuk memulai dengan kredensi sementara, Anda harus terlebih dahulu membuat peran IAM.
Buat peran IAM yang memberikan akses hanya-baca ke Amazon Keyspaces
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Peran, lalu Buat peran.
Pada halaman Buat peran, di bawah Pilih jenis entitas tepercaya, pilih AWS layanan. Di bawah Pilih kasus penggunaan, pilih Amazon EC2, lalu pilih Berikutnya.
Pada halaman Tambahkan izin, di bawah Kebijakan izin, pilih Amazon Keyspaces Baca Hanya Akses dari daftar kebijakan, lalu pilih Berikutnya.
Pada halaman Nama, tinjau, dan buat, masukkan nama untuk peran tersebut, dan tinjau bagian Pilih entitas tepercaya dan Tambahkan izin. Anda juga dapat menambahkan tag opsional untuk peran di halaman ini. Setelah selesai, pilih Buat peran. Ingat nama ini karena Anda akan membutuhkannya saat meluncurkan instans Amazon EC2 Anda.
Untuk menggunakan kredensil keamanan sementara dalam kode, Anda secara terprogram memanggil AWS Security Token Service API seperti AssumeRole
dan mengekstrak kredenal dan token sesi yang dihasilkan dari peran IAM yang Anda buat pada langkah sebelumnya. Anda kemudian menggunakan nilai-nilai tersebut sebagai kredensional untuk panggilan berikutnya ke. AWS Contoh berikut menunjukkan pseudocode untuk cara menggunakan kredenal keamanan sementara:
assumeRoleResult = AssumeRole(role-arn); tempCredentials = new SessionAWSCredentials( assumeRoleResult.AccessKeyId, assumeRoleResult.SecretAccessKey, assumeRoleResult.SessionToken); cassandraRequest = CreateAmazoncassandraClient(tempCredentials);
Untuk contoh yang mengimplementasikan kredensi sementara menggunakan driver Python untuk mengakses Amazon Keyspaces, lihat. Connect ke Amazon Keyspaces menggunakan driver DataStax Python untuk Apache Cassandra dan plugin otentikasi SiGv4
Untuk detail tentang cara memanggil AssumeRole
GetFederationToken
, dan operasi API lainnya, lihat Referensi AWS Security Token Service API. Untuk informasi tentang mendapatkan kredensial keamanan sementara dan token sesi dari hasilnya, lihat dokumentasi untuk SDK yang sedang Anda kerjakan. Anda dapat menemukan dokumentasi untuk semua AWS SDK di halaman AWS dokumentasi