Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan akses lintas akun ke Amazon Keyspaces dengan titik akhir VPC
<a name="access.cross-account"></a>

Anda dapat membuat dan menggunakan terpisah Akun AWS untuk mengisolasi sumber daya dan untuk digunakan di lingkungan yang berbeda, misalnya pengembangan dan produksi. Topik ini memandu Anda melalui akses lintas akun untuk Amazon Keyspaces menggunakan titik akhir VPC antarmuka dalam file. Amazon Virtual Private Cloud Untuk informasi selengkapnya tentang konfigurasi akses lintas akun IAM, lihat [Contoh skenario menggunakan akun pengembangan dan produksi terpisah](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example) di Panduan Pengguna IAM. 

Untuk informasi selengkapnya tentang Amazon Keyspaces dan titik akhir VPC pribadi, lihat. [Menggunakan Amazon Keyspaces dengan titik akhir VPC antarmuka](vpc-endpoints.md)

**Topics**
+ [Konfigurasikan akses lintas akun di VPC bersama](access.cross-account.sharedVPC.md)
+ [Konfigurasikan akses lintas akun tanpa VPC bersama](access.cross-account.noVPC.setup.md)

# Konfigurasikan akses lintas akun ke Amazon Keyspaces menggunakan titik akhir VPC di VPC bersama
<a name="access.cross-account.sharedVPC"></a>

Anda dapat membuat sumber daya yang berbeda Akun AWS untuk memisahkan dari aplikasi. Misalnya, Anda dapat membuat satu akun untuk tabel Amazon Keyspaces, akun berbeda untuk aplikasi di lingkungan pengembangan, dan akun lain untuk aplikasi di lingkungan produksi. Topik ini memandu Anda melalui langkah-langkah konfigurasi yang diperlukan untuk menyiapkan akses lintas akun untuk Amazon Keyspaces menggunakan titik akhir VPC antarmuka dalam VPC bersama. 

Untuk langkah-langkah mendetail cara mengonfigurasi titik akhir VPC untuk Amazon Keyspaces, lihat. [Langkah 3: Buat titik akhir VPC untuk Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md)

Dalam contoh ini kami menggunakan tiga akun berikut dalam VPC bersama:
+ `Account A:111111111111`— Akun ini berisi infrastruktur, termasuk titik akhir VPC, subnet VPC, dan tabel Amazon Keyspaces. 
+ `Account B:222222222222`— Akun ini berisi aplikasi di lingkungan pengembangan yang perlu terhubung ke tabel Amazon Keyspaces di. `Account A:111111111111` 
+ `Account C:333333333333`— Akun ini berisi aplikasi di lingkungan produksi yang perlu terhubung ke tabel Amazon Keyspaces di. `Account A:111111111111`

![\[Diagram yang menunjukkan tiga akun berbeda yang dimiliki oleh organisasi yang sama dalam hal yang sama Wilayah AWS yang menggunakan VPC bersama.\]](http://docs.aws.amazon.com/id_id/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)


`Account A:111111111111`adalah akun yang berisi sumber daya (tabel Amazon Keyspaces) yang `Account B:222222222222` dan `Account C:333333333333` perlu diakses, begitu juga akun `Account A:111111111111` yang *dipercaya*. `Account B:222222222222`*dan `Account C:333333333333` merupakan akun dengan prinsipal yang memerlukan akses ke sumber daya (tabel Amazon Keyspaces) di`Account A:111111111111`, jadi `Account B:222222222222` dan `Account C:333333333333` merupakan akun tepercaya.* Akun tepercaya memberikan izin ke akun tepercaya dengan membagikan peran IAM. Prosedur berikut menguraikan langkah-langkah konfigurasi yang diperlukan dalam`Account A:111111111111`.

**Konfigurasi untuk `Account A:111111111111`**

1. Gunakan AWS Resource Access Manager untuk membuat berbagi sumber daya untuk subnet dan berbagi subnet pribadi dengan `Account B:222222222222` dan. `Account C:333333333333`

   `Account B:222222222222`dan sekarang `Account C:333333333333` dapat melihat dan membuat sumber daya di subnet yang telah dibagikan dengan mereka. 

1. Buat titik akhir VPC pribadi Amazon Keyspaces yang didukung oleh. AWS PrivateLink Ini membuat beberapa titik akhir di seluruh subnet bersama dan entri DNS untuk titik akhir layanan Amazon Keyspaces.

1. Buat ruang kunci dan tabel Amazon Keyspaces.

1. Buat peran IAM `Account A:111111111111` yang memiliki akses penuh ke tabel Amazon Keyspaces, baca akses ke tabel sistem Amazon Keyspaces, dan mampu mendeskripsikan resource Amazon EC2 VPC seperti yang ditunjukkan pada contoh kebijakan berikut.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "CrossAccountAccess",
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeNetworkInterfaces",
                   "ec2:DescribeVpcEndpoints",
                   "cassandra:*"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. Konfigurasikan kebijakan kepercayaan untuk peran IAM `Account A:111111111111` sehingga `Account B:222222222222` dan `Account C:333333333333` dapat mengambil peran sebagai akun tepercaya. Seperti yang ditunjukkan dalam contoh berikut. 

   ```
   {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::222222222222:role/Cross-Account-Role-B",
             "arn:aws:iam::333333333333:role/Cross-Account-Role-C"
           ]
         },
         "Action": "sts:AssumeRole",
         "Condition": {}
       }
     ]
   }
   ```

   Untuk informasi selengkapnya tentang kebijakan IAM lintas akun, lihat Kebijakan [lintas akun di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) Pengguna IAM.

**Konfigurasi di `Account B:222222222222` dan `Account C:333333333333`**

1. Di `Account B:222222222222` dan`Account C:333333333333`, buat peran baru dan lampirkan kebijakan berikut yang memungkinkan prinsipal untuk mengambil peran bersama yang dibuat`Account A:111111111111`.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "ec2.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

   Mengizinkan prinsipal untuk mengambil peran bersama diimplementasikan menggunakan `AssumeRole` API dari AWS Security Token Service (AWS STS). Untuk informasi selengkapnya, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di Panduan Pengguna IAM. 

1. Di `Account B:222222222222` dan`Account C:333333333333`, Anda dapat membuat aplikasi yang menggunakan plugin SIGV4 otentikasi, yang memungkinkan aplikasi untuk mengambil peran bersama untuk terhubung ke tabel Amazon Keyspaces yang terletak di melalui titik akhir VPC `Account A:111111111111` di VPC bersama. Untuk informasi selengkapnya tentang plugin SIGV4 otentikasi, lihat[Buat kredensi untuk akses terprogram ke Amazon Keyspaces](programmatic.credentials.md). Untuk informasi selengkapnya tentang cara mengonfigurasi aplikasi agar berperan di AWS akun lain, lihat [Otentikasi dan akses](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) di *Panduan Referensi Alat AWS SDKs dan Alat*.

# Mengonfigurasi akses lintas akun ke Amazon Keyspaces tanpa VPC bersama
<a name="access.cross-account.noVPC.setup"></a>

Jika tabel Amazon Keyspaces dan titik akhir VPC pribadi dimiliki oleh akun yang berbeda tetapi tidak berbagi VPC, aplikasi masih dapat menghubungkan lintas akun menggunakan titik akhir VPC. Karena akun tidak berbagi titik akhir VPC,, `Account A:111111111111``Account B:222222222222`, dan `Account C:333333333333` memerlukan titik akhir VPC mereka sendiri. Untuk driver klien Cassandra, Amazon Keyspaces muncul seperti satu node, bukan cluster multi-node. Setelah koneksi, driver klien mencapai server DNS yang mengembalikan salah satu titik akhir yang tersedia di VPC akun. 

Anda juga dapat mengakses tabel Amazon Keyspaces di berbagai akun tanpa titik akhir VPC bersama dengan menggunakan titik akhir publik atau menerapkan titik akhir VPC pribadi di setiap akun. Saat tidak menggunakan VPC bersama, setiap akun memerlukan titik akhir VPC-nya sendiri. Dalam contoh ini`Account A:111111111111`,`Account B:222222222222`, dan `Account C:333333333333` memerlukan titik akhir VPC mereka sendiri untuk mengakses tabel di. `Account A:111111111111` Saat menggunakan titik akhir VPC dalam konfigurasi ini, Amazon Keyspaces muncul sebagai cluster node tunggal ke driver klien Cassandra, bukan cluster multi-node. Setelah koneksi, driver klien mencapai server DNS yang mengembalikan salah satu titik akhir yang tersedia di VPC akun. Tetapi driver klien tidak dapat mengakses `system.peers` tabel untuk menemukan titik akhir tambahan. Karena ada lebih sedikit host yang tersedia, pengemudi membuat lebih sedikit koneksi. Untuk menyesuaikan ini, tingkatkan pengaturan kumpulan koneksi driver dengan faktor tiga. 

![\[Diagram yang menunjukkan tiga akun berbeda yang dimiliki oleh organisasi yang sama dalam hal yang sama Wilayah AWS tanpa VPC bersama.\]](http://docs.aws.amazon.com/id_id/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)


`Account A:111111111111`adalah akun yang berisi sumber daya (tabel Amazon Keyspaces) yang `Account B:222222222222` dan `Account C:333333333333` perlu diakses, begitu juga akun `Account A:111111111111` yang *dipercaya*. `Account B:222222222222`*dan `Account C:333333333333` merupakan akun dengan prinsipal yang memerlukan akses ke sumber daya (tabel Amazon Keyspaces) di`Account A:111111111111`, jadi `Account B:222222222222` dan `Account C:333333333333` merupakan akun tepercaya.* Akun tepercaya memberikan izin ke akun tepercaya dengan membagikan peran IAM. Prosedur berikut menguraikan langkah-langkah konfigurasi yang diperlukan dalam`Account A:111111111111`.

**Konfigurasi untuk `Account A:111111111111`**

1. Buat keyspace Amazon Keyspaces dan tabel di. `Account A:111111111111`

1. Buat peran IAM `Account A:111111111111` yang memiliki akses penuh ke tabel Amazon Keyspaces dan baca akses ke tabel sistem Amazon Keyspaces.

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":[
               "cassandra:Select",
               "cassandra:Modify"
            ],
            "Resource":[
               "arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
               "arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
            ]
         }
      ]
   }
   ```

1. Konfigurasikan kebijakan kepercayaan untuk peran IAM `Account A:111111111111` sehingga prinsipal masuk `Account B:222222222222` dan `Account C:333333333333` dapat menganggap peran tersebut sebagai akun tepercaya. Seperti yang ditunjukkan dalam contoh berikut. 

   ```
   {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::222222222222:role/Cross-Account-Role-B",
             "arn:aws:iam::333333333333:role/Cross-Account-Role-C"
           ]
         },
         "Action": "sts:AssumeRole",
         "Condition": {}
       }
     ]
   }
   ```

   Untuk informasi selengkapnya tentang kebijakan IAM lintas akun, lihat Kebijakan [lintas akun di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) Pengguna IAM.

1. Konfigurasikan titik akhir VPC `Account A:111111111111` dan lampirkan izin ke titik akhir yang memungkinkan peran dari `Account B:222222222222` dan `Account C:333333333333` untuk mengambil peran dalam menggunakan `Account A` titik akhir VPC. Izin ini berlaku untuk titik akhir VPC tempat mereka dilampirkan. Untuk informasi selengkapnya tentang kebijakan titik akhir VPC, lihat. [Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies)

   ```
   {{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccessfromSpecificIAMroles",
         "Effect": "Allow",
         "Action": "cassandra:*",
         "Resource": "*",
         "Principal": "*",
         "Condition": {
           "ArnEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::222222222222:role/Cross-Account-Role-B",
               "arn:aws:iam::333333333333:role/Cross-Account-Role-C"
             ]
           }
         }
       }
     ]
   }
   ```

**Konfigurasi di `Account B:222222222222` dan `Account C:333333333333`**

1. Di `Account B:222222222222` dan`Account C:333333333333`, buat peran baru dan lampirkan kebijakan berikut yang memungkinkan prinsipal untuk mengambil peran bersama yang dibuat`Account A:111111111111`.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": {
               "Effect": "Allow",
               "Action": "sts:AssumeRole",
               "Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
           }
   }
   ```

   Mengizinkan prinsipal untuk mengambil peran bersama diimplementasikan menggunakan `AssumeRole` API dari AWS Security Token Service (AWS STS). Untuk informasi selengkapnya, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di Panduan Pengguna IAM. 

1. Di `Account B:222222222222` dan`Account C:333333333333`, Anda dapat membuat aplikasi yang menggunakan plugin SIGV4 otentikasi, yang memungkinkan aplikasi untuk mengambil peran bersama untuk terhubung ke tabel Amazon Keyspaces yang terletak di. `Account A:111111111111` Untuk informasi selengkapnya tentang plugin SIGV4 otentikasi, lihat[Buat kredensi untuk akses terprogram ke Amazon Keyspaces](programmatic.credentials.md). Untuk informasi selengkapnya tentang cara mengonfigurasi aplikasi agar berperan di AWS akun lain, lihat [Otentikasi dan akses](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) di *Panduan Referensi Alat AWS SDKs dan Alat*.