Cara membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces - Amazon Keyspaces (untuk Apache Cassandra)
Kredensi yang diperlukan untuk otentikasi AWS Menambahkan pengguna IAM untuk akses terprogramMembuat kunci akses baruCara mengelola kunci aksesMenggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces

Untuk mengakses Amazon Keyspaces secara terprogram dengan, AWS SDK AWS CLI, atau dengan driver klien Cassandra dan plugin SiGv4, Anda memerlukan pengguna IAM atau peran dengan kunci akses. Ketika Anda menggunakan AWS secara terprogram, Anda memberikan kunci AWS akses Anda sehingga AWS dapat memverifikasi identitas Anda dalam panggilan terprogram. Kunci akses Anda terdiri dari ID kunci akses (misalnya, AKIAIOSFODNN7EXAMPLE) dan kunci akses rahasia (misalnya,). wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Topik ini memandu Anda melalui langkah-langkah yang diperlukan dalam proses ini.

Praktik terbaik keamanan merekomendasikan agar Anda membuat pengguna IAM dengan izin terbatas dan sebagai gantinya mengaitkan peran IAM dengan izin yang diperlukan untuk melakukan tugas tertentu. Pengguna IAM kemudian dapat sementara mengambil peran IAM untuk melakukan tugas yang diperlukan. Misalnya, pengguna IAM di akun Anda yang menggunakan konsol Amazon Keyspaces dapat beralih ke peran untuk sementara menggunakan izin peran di konsol. Pengguna menyerahkan izin mereka dan mengambil izin yang ditetapkan untuk peran tersebut. Saat pengguna keluar dari peran, izin asli mereka dipulihkan. Kredensi yang digunakan pengguna untuk mengambil peran bersifat sementara. Sebaliknya, pengguna IAM memiliki kredensi jangka panjang, yang menghadirkan risiko keamanan jika alih-alih mengasumsikan peran, mereka memiliki izin yang langsung diberikan kepada mereka. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan. Untuk informasi selengkapnya tentang peran, lihat Skenario umum untuk peran: Pengguna, aplikasi, dan layanan di Panduan Pengguna IAM.

Kredensional yang diperlukan oleh, AWS SDK AWS CLI, atau plugin Amazon Keyspaces SigV4 untuk driver klien Cassandra

Kredensi berikut diperlukan untuk mengautentikasi pengguna atau peran IAM:

AWS_ACCESS_KEY_ID

Menentukan kunci AWS akses yang terkait dengan pengguna IAM atau peran.

Kunci akses aws_access_key_id diperlukan untuk terhubung ke Amazon Keyspaces secara terprogram.

AWS_SECRET_ACCESS_KEY

Menentukan kunci rahasia yang terkait dengan kunci akses. Ini pada dasarnya adalah “kata sandi” untuk kunci akses.

aws_secret_access_keyDiperlukan untuk terhubung ke Amazon Keyspaces secara terprogram.

AWS_SESSION_TOKEN- Opsional

Menentukan nilai token sesi yang diperlukan jika Anda menggunakan kredensil keamanan sementara yang Anda ambil langsung dari operasi. AWS Security Token Service Untuk informasi selengkapnya, lihat Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4.

Jika Anda terhubung dengan pengguna IAM, tidak aws_session_token diperlukan.

Membuat pengguna IAM untuk akses terprogram ke Amazon Keyspaces di akun Anda AWS

Untuk mendapatkan kredensi akses terprogram ke Amazon Keyspaces dengan plugin, AWS SDK AWS CLI, atau SiGv4, Anda harus terlebih dahulu membuat pengguna atau peran IAM. Proses membuat pengguna IAM dan mengonfigurasi pengguna IAM agar memiliki akses terprogram ke Amazon Keyspaces ditampilkan dalam langkah-langkah berikut:

  1. Buat pengguna di AWS Management Console AWS CLI, Alat untuk Windows PowerShell, atau menggunakan operasi AWS API. Jika Anda membuat pengguna di AWS Management Console, maka kredensialnya dibuat secara otomatis.

  2. Jika Anda membuat pengguna secara terprogram, maka Anda harus membuat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut dalam langkah tambahan.

  3. Berikan izin pengguna untuk mengakses Amazon Keyspaces.

Untuk informasi tentang izin yang Anda perlukan untuk membuat pengguna, lihat Izin yang diperlukan untuk mengakses sumber daya IAM.

Membuat pengguna IAM (konsol)

Anda dapat menggunakan AWS Management Console untuk membuat pengguna IAM.

Untuk membuat pengguna IAM dengan akses terprogram (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna, lalu pilih Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru. Ini adalah nama masuk untuk AWS.

    catatan

    Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (+), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (_), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna yang diberi nama TESTUSER dan testuser.

  4. Pilih Kunci akses - Akses terprogram untuk membuat kunci akses untuk pengguna baru. Anda dapat melihat atau mengunduh tombol akses ketika Anda sampai ke halaman Final.

    Pilih Berikutnya: Izin.

  5. Pada halaman Setel izin, pilih Lampirkan kebijakan yang ada secara langsung untuk menetapkan izin ke pengguna baru.

    Opsi ini menampilkan daftar kebijakan AWS terkelola dan terkelola pelanggan yang tersedia di akun Anda. Anda dapat masuk keyspaces ke kolom pencarian untuk hanya menampilkan kebijakan yang terkait dengan Amazon Keyspaces.

    Untuk Amazon Keyspaces, kebijakan terkelola yang tersedia adalah AmazonKeyspacesFullAccess dan. AmazonKeyspacesReadOnlyAccess Untuk informasi selengkapnya tentang setiap kebijakan, lihatAWSkebijakan terkelola untuk Amazon Keyspaces.

    Untuk tujuan pengujian dan mengikuti tutorial koneksi, pilih AmazonKeyspacesReadOnlyAccess kebijakan untuk pengguna IAM baru. Catatan: Sebagai praktik terbaik, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan membuat kebijakan khusus yang membatasi akses ke sumber daya tertentu dan hanya mengizinkan tindakan yang diperlukan. Untuk informasi selengkapnya tentang kebijakan IAM dan untuk melihat contoh kebijakan untuk Amazon Keyspaces, lihat. Kebijakan berbasis identitas Amazon Keyspaces Setelah Anda membuat kebijakan izin khusus, lampirkan kebijakan Anda ke peran, lalu biarkan pengguna mengambil peran yang sesuai untuk sementara.

    Pilih Berikutnya: Tanda.

  6. Pada halaman Tambahkan tag (opsional) Anda dapat menambahkan tag untuk pengguna, atau memilih Berikutnya: Tinjau.

  7. Pada halaman Review Anda dapat melihat semua pilihan yang Anda buat sampai saat ini. Saat Anda siap untuk melanjutkan, pilih Buat pengguna.

  8. Untuk melihat access key pengguna (access key ID dan secret access key), pilih Tampilkan di samping setiap kata sandi dan kunci akses rahasia. Untuk menyimpan kunci akses tersebut, pilih Download .csv (Unduh .csv) lalu simpan file ke lokasi yang aman.

    penting

    Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.

Membuat pengguna IAM ()AWS CLI

Anda dapat menggunakan AWS CLI untuk membuat pengguna IAM.

Untuk membuat pengguna IAM dengan akses terprogram ()AWS CLI

  1. Buat pengguna dengan AWS CLI kode berikut.

  2. Berikan akses terprogram kepada pengguna. Ini membutuhkan kunci akses, yang dapat dihasilkan dengan cara berikut.

    • AWS CLI: aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • API IAM: CreateAccessKey

      penting

      Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.

  3. Lampirkan AmazonKeyspacesReadOnlyAccess kebijakan ke pengguna yang menentukan izin pengguna. Catatan: Sebagai praktik terbaik, sebaiknya Anda mengelola izin pengguna dengan menambahkan pengguna ke grup dan melampirkan kebijakan ke grup, bukan melampirkan langsung ke pengguna.

Membuat kunci akses baru untuk pengguna IAM

Jika Anda sudah memiliki pengguna IAM, Anda dapat membuat kunci akses baru kapan saja. Untuk informasi selengkapnya tentang manajemen kunci, misalnya cara memperbarui kunci akses, lihat Mengelola kunci akses untuk pengguna IAM.

Untuk membuat kunci akses untuk pengguna IAM (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih nama pengguna yang kunci aksesnya ingin Anda buat.

  4. Pada halaman Ringkasan pengguna, pilih tab Security credentials.

  5. Pada bagian Access key, pilih Buat access key.

    Untuk melihat pasangan access key baru, pilih Show (Tampilkan). Kredensial Anda akan terlihat seperti ini:

    • Access key ID: AKIAIOSFODNN7EXAMPLE

    • Secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    catatan

    Anda tidak akan memiliki akses ke secret access key lagi setelah menutup kotak dialog ini.

  6. Untuk mengunduh pasangan kunci tersebut, pilih Unduh file .csv. Simpan kunci di lokasi yang aman.

  7. Setelah mengunduh file .csv, pilih Tutup.

Saat Anda membuat access key, key pair akan aktif secara default, dan Anda dapat langsung menggunakan pasangan tersebut.

Cara mengelola kunci akses untuk pengguna IAM

Sebagai praktik terbaik, kami menyarankan Anda untuk tidak menyematkan kunci akses langsung ke kode. AWS SDK dan AWS Command Line Tools memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Letakkan access key di salah satu lokasi berikut:

  • Variabel lingkungan — Pada sistem multitenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem.

  • File kredensial CLI — config File credentials dan diperbarui saat Anda menjalankan perintah. aws configure credentialsFile ini terletak ~/.aws/credentials di Linux, macOS, atau Unix, atau di C:\Users\USERNAME\.aws\credentials Windows. File ini dapat berisi detail kredensi untuk default profil dan profil bernama apa pun.

  • File konfigurasi CLI — config File credentials dan diperbarui saat Anda menjalankan perintah. aws configure configFile ini terletak ~/.aws/config di Linux, macOS, atau Unix, atau di C:\Users\USERNAME\.aws\config Windows. File ini berisi pengaturan konfigurasi untuk profil default dan profil bernama apa pun.

Menyimpan kunci akses sebagai variabel lingkungan adalah prasyarat untuk file. tep-by-step Tutorial S untuk terhubung ke Amazon Keyspaces menggunakan driver DataStax Java 4.x untuk Apache Cassandra dan plugin otentikasi SiGv4 Klien mencari kredensil menggunakan rantai penyedia kredensi default, dan kunci akses yang disimpan sebagai variabel lingkungan lebih diutamakan daripada semua lokasi lain, misalnya file konfigurasi. Untuk informasi selengkapnya, lihat Pengaturan konfigurasi dan prioritas.

Contoh berikut menunjukkan bagaimana Anda dapat mengkonfigurasi variabel lingkungan untuk pengguna default.

Linux, macOS, or Unix
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
$ export AWS_SESSION_TOKEN=AQoDYXdzEJr...<remainder of security token>

Menyetel variabel lingkungan mengubah nilai yang digunakan hingga akhir sesi shell Anda, atau sampai Anda menyetel variabel ke nilai yang berbeda. Anda dapat membuat variabel persisten di seluruh sesi masa depan dengan menyetelnya di skrip startup shell Anda.

Windows Command Prompt
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
C:\> setx AWS_SESSION_TOKEN AQoDYXdzEJr...<remainder of security token>

Menggunakan set untuk mengatur variabel lingkungan mengubah nilai yang digunakan sampai akhir sesi prompt perintah saat ini, atau sampai Anda mengatur variabel ke nilai yang berbeda. Menggunakan setxuntuk mengatur variabel lingkungan mengubah nilai yang digunakan dalam sesi prompt perintah saat ini dan semua sesi prompt perintah yang Anda buat setelah menjalankan perintah. Itu tidak mempengaruhi shell perintah lain yang sudah berjalan pada saat Anda menjalankan perintah.

PowerShell
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
PS C:\> $Env:AWS_SESSION_TOKEN="AQoDYXdzEJr...<remainder of security token>"

Jika Anda menetapkan variabel lingkungan pada PowerShell prompt seperti yang ditunjukkan pada contoh sebelumnya, itu menyimpan nilai hanya untuk durasi sesi saat ini. Untuk membuat pengaturan variabel lingkungan persisten di semua sesi PowerShell Command Prompt, simpan dengan menggunakan aplikasi Sistem di Control Panel. Atau, Anda dapat mengatur variabel untuk semua PowerShell sesi future dengan menambahkannya ke PowerShell profil Anda. Lihat PowerShell dokumentasi untuk informasi selengkapnya tentang menyimpan variabel lingkungan atau mempertahankannya di seluruh sesi.

Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4

Untuk keamanan yang ditingkatkan, Anda dapat menggunakan kredensil sementara untuk mengautentikasi dengan plugin SiGv4. Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat peran IAM dan menghasilkan kredenal keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa. Untuk mempelajari lebih lanjut tentang cara menggunakan peran IAM alih-alih kunci akses jangka panjang, lihat Beralih ke peran IAM (AWS API).

Untuk memulai dengan kredensi sementara, Anda harus terlebih dahulu membuat peran IAM.

Buat peran IAM yang memberikan akses hanya-baca ke Amazon Keyspaces

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu Buat peran.

  3. Pada halaman Buat peran, di bawah Pilih jenis entitas tepercaya, pilih AWS layanan. Di bawah Pilih kasus penggunaan, pilih Amazon EC2, lalu pilih Berikutnya.

  4. Pada halaman Tambahkan izin, di bawah Kebijakan izin, pilih Amazon Keyspaces Baca Hanya Akses dari daftar kebijakan, lalu pilih Berikutnya.

  5. Pada halaman Nama, tinjau, dan buat, masukkan nama untuk peran tersebut, dan tinjau bagian Pilih entitas tepercaya dan Tambahkan izin. Anda juga dapat menambahkan tag opsional untuk peran di halaman ini. Setelah selesai, pilih Buat peran. Ingat nama ini karena Anda akan membutuhkannya saat meluncurkan instans Amazon EC2 Anda.

Untuk menggunakan kredensil keamanan sementara dalam kode, Anda secara terprogram memanggil AWS Security Token Service API seperti AssumeRole dan mengekstrak kredenal dan token sesi yang dihasilkan dari peran IAM yang Anda buat pada langkah sebelumnya. Anda kemudian menggunakan nilai-nilai tersebut sebagai kredensional untuk panggilan berikutnya ke. AWS Contoh berikut menunjukkan pseudocode untuk cara menggunakan kredenal keamanan sementara:

assumeRoleResult = AssumeRole(role-arn);
tempCredentials = new SessionAWSCredentials(
   assumeRoleResult.AccessKeyId, 
   assumeRoleResult.SecretAccessKey, 
   assumeRoleResult.SessionToken);
cassandraRequest = CreateAmazoncassandraClient(tempCredentials);

Untuk contoh yang mengimplementasikan kredensi sementara menggunakan driver Python untuk mengakses Amazon Keyspaces, lihat. Connect ke Amazon Keyspaces menggunakan driver DataStax Python untuk Apache Cassandra dan plugin otentikasi SiGv4

Untuk detail tentang cara memanggil AssumeRoleGetFederationToken, dan operasi API lainnya, lihat Referensi AWS Security Token Service API. Untuk informasi tentang mendapatkan kredensial keamanan sementara dan token sesi dari hasilnya, lihat dokumentasi untuk SDK yang sedang Anda kerjakan. Anda dapat menemukan dokumentasi untuk semua AWS SDK di halaman AWS dokumentasi utama, di bagian SDK dan Toolkit.