Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces Mengisi entri system.peers tabel dengan informasi titik akhir VPC antarmuka Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces Ketersediaan Kebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR)Kesalahan dan peringatan umum

Menggunakan Amazon Keyspaces dengan titik akhir VPC antarmuka

Endpoint VPC antarmuka memungkinkan komunikasi pribadi antara virtual private cloud (VPC) Anda yang berjalan di Amazon VPC dan Amazon Keyspaces. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, yang merupakan AWS layanan yang memungkinkan komunikasi pribadi antara VPC dan layanan. AWS

AWS PrivateLink memungkinkan ini dengan menggunakan elastic network interface dengan alamat IP pribadi di VPC Anda sehingga lalu lintas jaringan tidak meninggalkan jaringan Amazon. VPC endpoint antarmuka tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi AWS Direct Connect . Untuk informasi selengkapnya, lihat titik akhir Amazon Virtual Private Cloud dan Interface VPC ().AWS PrivateLink

Topik

Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces
Mengisi entri system.peers tabel dengan informasi titik akhir VPC antarmuka
Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces
Ketersediaan
Kebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR)
Kesalahan dan peringatan umum

Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces

Anda dapat membuat titik akhir VPC antarmuka sehingga lalu lintas antara Amazon Keyspaces dan sumber daya Amazon VPC Anda mulai mengalir melalui titik akhir VPC antarmuka. Untuk memulai, ikuti langkah-langkah untuk membuat titik akhir antarmuka. Selanjutnya, edit grup keamanan yang terkait dengan titik akhir yang Anda buat pada langkah sebelumnya, dan konfigurasikan aturan masuk untuk port 9142. Untuk informasi selengkapnya, lihat Menambahkan, menghapus, dan memperbarui aturan.

Untuk step-by-step tutorial mengonfigurasi koneksi ke Amazon Keyspaces melalui titik akhir VPC, lihat. Tutorial: Menghubungkan ke Amazon Keyspaces menggunakan antarmuka VPC endpoint Untuk mempelajari cara mengonfigurasi akses lintas akun untuk sumber daya Amazon Keyspaces yang terpisah dari aplikasi yang Akun AWS berbeda di VPC, lihat. Mengonfigurasikan akses lintas akun untuk Amazon Keyspaces

Mengisi entri `system.peers` tabel dengan informasi titik akhir VPC antarmuka

Driver Apache Cassandra menggunakan system.peers tabel untuk meminta informasi node tentang cluster. Driver Cassandra menggunakan informasi node untuk memuat koneksi keseimbangan dan mencoba lagi operasi. Amazon Keyspaces mengisi sembilan entri dalam system.peers tabel secara otomatis untuk klien yang terhubung melalui titik akhir publik.

Untuk menyediakan klien yang terhubung melalui titik akhir VPC antarmuka dengan fungsionalitas serupa, Amazon Keyspaces mengisi system.peers tabel di akun Anda dengan entri untuk setiap Availability Zone tempat titik akhir VPC tersedia. Untuk mencari dan menyimpan titik akhir VPC antarmuka yang tersedia dalam tabelsystem.peers, Amazon Keyspaces mengharuskan Anda memberikan entitas IAM yang digunakan untuk menyambung ke izin akses Amazon Keyspaces untuk menanyakan VPC Anda untuk informasi titik akhir dan antarmuka jaringan.

penting

Mengisi system.peers tabel dengan titik akhir VPC antarmuka Anda yang tersedia meningkatkan penyeimbangan beban dan meningkatkan throughput baca/tulis. Disarankan untuk semua klien yang mengakses Amazon Keyspaces menggunakan titik akhir VPC antarmuka dan diperlukan untuk Apache Spark.

Untuk memberikan entitas IAM yang digunakan untuk menyambung ke izin Amazon Keyspaces untuk mencari informasi titik akhir VPC antarmuka yang diperlukan, Anda dapat memperbarui peran IAM atau kebijakan pengguna yang ada, atau membuat kebijakan IAM baru seperti yang ditunjukkan pada contoh berikut.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource":"*"
      }
   ]
}

catatan

Kebijakan terkelola AmazonKeyspacesReadOnlyAccess_v2 dan AmazonKeyspacesFullAccess menyertakan izin yang diperlukan agar Amazon Keyspaces mengakses instans Amazon EC2 untuk membaca informasi tentang titik akhir VPC antarmuka yang tersedia.

Untuk mengonfirmasi bahwa kebijakan telah disiapkan dengan benar, kueri system.peers tabel untuk melihat informasi jaringan. Jika system.peers tabel kosong, ini dapat menunjukkan bahwa kebijakan belum berhasil dikonfigurasi atau bahwa Anda telah melampaui kuota tingkat permintaan untuk DescribeNetworkInterfaces dan tindakan DescribeVPCEndpoints API. DescribeVPCEndpointstermasuk dalam Describe* kategori dan dianggap sebagai tindakan non-mutasi. DescribeNetworkInterfacesjatuh ke dalam subset tindakan non-mutasi tanpa filter dan tanpa paginasi, dan kuota yang berbeda berlaku. Untuk informasi selengkapnya, lihat Meminta ukuran bucket token dan tarif isi ulang di Referensi API Amazon EC2.

Jika Anda melihat tabel kosong, coba lagi beberapa menit kemudian untuk mengesampingkan masalah kuota tingkat permintaan. Untuk memverifikasi bahwa Anda telah mengonfigurasi titik akhir VPC dengan benar, lihat. Koneksi titik akhir VPC saya tidak berfungsi dengan baik Jika kueri Anda menampilkan hasil dari tabel, kebijakan Anda telah dikonfigurasi dengan benar.

Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces

Dengan kebijakan titik akhir VPC, Anda dapat mengontrol akses ke sumber daya dengan dua cara:

Kebijakan IAM — Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan mengakses Amazon Keyspaces melalui titik akhir VPC tertentu. Anda dapat melakukannya dengan menggunakan kunci kondisi dalam kebijakan yang dilampirkan ke pengguna, grup, atau peran IAM.
Kebijakan VPC — Anda dapat mengontrol titik akhir VPC mana yang memiliki akses ke sumber daya Amazon Keyspaces Anda dengan melampirkan kebijakan padanya. Untuk membatasi akses ke ruang kunci atau tabel tertentu agar hanya mengizinkan lalu lintas masuk melalui titik akhir VPC tertentu, edit kebijakan IAM yang ada yang membatasi akses sumber daya dan menambahkan titik akhir VPC tersebut.

Berikut ini adalah contoh kebijakan titik akhir untuk mengakses sumber daya Amazon Keyspaces.

Contoh kebijakan IAM: Batasi semua akses ke tabel Amazon Keyspaces tertentu kecuali lalu lintas berasal dari titik akhir VPC yang ditentukan — Kebijakan sampel ini dapat dilampirkan ke pengguna, peran, atau grup IAM. Ini membatasi akses ke tabel Amazon Keyspaces tertentu kecuali lalu lintas masuk berasal dari titik akhir VPC tertentu.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "UserOrRolePolicyToDenyAccess",
         "Action": "cassandra:*",
         "Effect": "Deny",
         "Resource": [
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
           ],
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
      }
   ]
}

catatan

Untuk membatasi akses ke tabel tertentu, Anda juga harus menyertakan akses ke tabel sistem. Tabel sistem hanya-baca.

Contoh kebijakan VPC: Akses hanya-baca — Kebijakan sampel ini dapat dilampirkan ke titik akhir VPC. (Untuk informasi selengkapnya, lihat Mengontrol akses ke sumber daya Amazon VPC). Ini membatasi tindakan untuk akses hanya-baca ke sumber daya Amazon Keyspaces melalui titik akhir VPC yang dilampirkan.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "cassandra:Select"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

Contoh kebijakan VPC: Batasi akses ke tabel Amazon Keyspaces tertentu — Kebijakan contoh ini dapat dilampirkan ke titik akhir VPC. Ini membatasi akses ke tabel tertentu melalui titik akhir VPC yang dilampirkan.


{
   "Version": "2012-10-17",
   "Statement": [
        {
            "Sid": "RestrictAccessToTable",
            "Principal": "*",
            "Action": "cassandra:*",
            "Effect": "Allow",
            "Resource": [
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
           ]
        }
   ]
}

catatan

Untuk membatasi akses ke tabel tertentu, Anda juga harus menyertakan akses ke tabel sistem. Tabel sistem hanya-baca.

Ketersediaan

Amazon Keyspaces mendukung penggunaan titik akhir VPC antarmuka di semua Wilayah AWS tempat layanan tersedia. Untuk informasi selengkapnya, lihat Titik akhir layanan untuk Amazon Keyspaces.

Kebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR)

Jika Anda menggunakan kebijakan IAM dengan kunci kondisi untuk membatasi lalu lintas masuk, operasi pemulihan tabel mungkin gagal. Misalnya, jika Anda membatasi lalu lintas sumber ke titik akhir VPC tertentu aws:SourceVpce menggunakan tombol kondisi, operasi pemulihan tabel gagal. Untuk mengizinkan Amazon Keyspaces melakukan operasi pemulihan atas nama kepala sekolah, Anda harus menambahkan kunci aws:ViaAWSService kondisi ke kebijakan IAM Anda. Kunci aws:ViaAWSService kondisi memungkinkan akses ketika AWS layanan apa pun membuat permintaan menggunakan kredensi kepala sekolah. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Kunci kondisi di Panduan Pengguna IAM. Kebijakan berikut adalah contoh dari ini.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForVPCE",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "StringEquals":{
               "aws:SourceVpce":[
                  "vpce-12345678901234567"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

Kesalahan dan peringatan umum

Jika Anda menggunakan Amazon Virtual Private Cloud dan Anda terhubung ke Amazon Keyspaces, Anda mungkin melihat peringatan berikut.


Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; 
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.

Peringatan ini terjadi karena system.peers tabel berisi entri untuk semua titik akhir VPC Amazon yang memiliki izin untuk dilihat oleh Amazon Keyspaces, termasuk titik akhir Amazon VPC yang Anda sambungkan. Anda dapat dengan aman mengabaikan peringatan ini.

Untuk kesalahan lainnya, lihatKoneksi titik akhir VPC saya tidak berfungsi dengan baik.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Keamanan infrastruktur

Analisis konfigurasi dan analisis kerentanan untuk Amazon Keyspaces