Merantai peran IAM di Amazon Neptunus - Amazon Neptune
Akses lintas akunAWS STS titik akhirRantai di loader

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Merantai peran IAM di Amazon Neptunus

penting

Fitur lintas akun beban massal baru yang diperkenalkan dalam rilis engine 1.2.1.0.R3 yang memanfaatkan peran IAM rantai dalam beberapa kasus dapat menyebabkan Anda mengamati kinerja beban curah yang menurun. Akibatnya, peningkatan ke rilis mesin yang mendukung fitur ini telah ditangguhkan sementara hingga masalah ini teratasi.

Saat Anda melampirkan peran ke klaster, klaster Anda dapat mengambil peran tersebut untuk mendapatkan akses ke data yang disimpan di Amazon S3. Dimulai dengan rilis mesin 1.2.1.0.R3, jika peran tersebut tidak memiliki akses ke semua sumber daya yang Anda butuhkan, Anda dapat merantai satu atau beberapa peran tambahan yang dapat diasumsikan oleh klaster Anda untuk mendapatkan akses ke sumber daya lain. Setiap peran dalam rantai mengasumsikan peran berikutnya dalam rantai, sampai klaster Anda mengambil peran di akhir rantai.

Untuk peran rantai, Anda membangun hubungan kepercayaan di antara mereka. Misalnya, untuk berantai RoleBRoleA, RoleA harus memiliki kebijakan izin yang memungkinkannya untuk berasumsiRoleB, dan RoleB harus memiliki kebijakan kepercayaan yang memungkinkannya meneruskan kembali izinnya. RoleA Untuk informasi selengkapnya, lihat Menggunakan peran IAM.

Peran pertama dalam rantai harus dilampirkan ke cluster yang memuat data.

Peran pertama, dan setiap peran berikutnya yang mengasumsikan peran berikut dalam rantai, harus memiliki:

  • Kebijakan yang mencakup pernyataan spesifik dengan Allow efek pada sts:AssumeRole tindakan.

  • Nama Sumber Daya Amazon (ARN) dari peran berikutnya dalam suatu Resource elemen.

catatan

Bucket Amazon S3 target harus berada di AWS Wilayah yang sama dengan cluster.

Akses lintas akun menggunakan peran berantai

Anda dapat memberikan akses lintas akun dengan merantai peran atau peran milik akun lain. Ketika klaster Anda sementara mengambil peran milik akun lain, klaster dapat memperoleh akses ke sumber daya di sana.

Misalnya, Akun A ingin mengakses data di bucket Amazon S3 milik Akun B:

  • Akun A membuat peran AWS layanan untuk Neptunus RoleA bernama dan menempelkannya ke cluster.

  • Akun B membuat peran bernama RoleB yang diizinkan untuk mengakses data dalam bucket Akun B.

  • Akun A melampirkan kebijakan izin yang memungkinkannya untuk RoleA berasumsi. RoleB

  • Akun B melampirkan kebijakan kepercayaan RoleB yang memungkinkannya meneruskan kembali izinnya. RoleA

  • Untuk mengakses data di bucket Account B, Account A menjalankan perintah loader menggunakan iamRoleArn parameter yang berantai RoleA danRoleB. Selama durasi operasi loader, RoleA maka untuk sementara mengasumsikan RoleB untuk mengakses bucket Amazon S3 di Akun B.

Diagram yang menggambarkan akses lintas akun menggunakan peran berantai

Misalnya, RoleA akan memiliki kebijakan kepercayaan yang membangun hubungan kepercayaan dengan Neptunus:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

RoleAjuga akan memiliki kebijakan izin yang memungkinkannya untuk berasumsiRoleB, yang dimiliki oleh Akun B:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1487639602000",
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::(Account B ID):role/RoleB"
    }
  ]
}

Sebaliknya, RoleB akan memiliki kebijakan kepercayaan untuk membangun hubungan kepercayaan denganRoleA:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::(Account A ID):role/RoleA"
      }
    }
  ]
}

RoleBjuga memerlukan izin untuk mengakses data di bucket Amazon S3 yang terletak di Akun B.

Membuat titik akhir VPC AWS Security Token Service (STS)

Pemuat Neptunus memerlukan titik akhir VPC saat Anda merantai peran IAM AWS STS untuk mengakses secara pribadi melalui alamat IP pribadi. AWS STS APIs Anda dapat terhubung langsung dari VPC Amazon ke AWS STS melalui VPC Endpoint VPC dengan cara yang aman dan terukur. Saat Anda menggunakan titik akhir VPC antarmuka, ini memberikan postur keamanan yang lebih baik karena Anda tidak perlu membuka firewall lalu lintas keluar. Ini juga memberikan manfaat lain menggunakan titik akhir Amazon VPC.

Saat menggunakan VPC Endpoint, lalu lintas ke AWS STS tidak mengirimkan melalui internet dan tidak pernah meninggalkan jaringan Amazon. VPC Anda terhubung dengan aman AWS STS tanpa risiko ketersediaan atau kendala bandwidth pada lalu lintas jaringan Anda. Untuk informasi selengkapnya, lihat Menggunakan titik AWS STS akhir VPC antarmuka.

Untuk mengatur akses untuk AWS Security Token Service (STS)

  1. Masuk ke AWS Management Console dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Titik akhir.

  3. Pilih Buat Titik Akhir.

  4. Pilih Nama Layanan: com.amazonaws.region.sts untuk titik akhir tipe Antarmuka.

  5. Pilih VPC yang berisi instans dan instance DB Neptunus Anda. EC2

  6. Pilih kotak centang di sebelah subnet tempat EC2 instance Anda hadir. Anda tidak dapat memilih beberapa subnet dari Availability Zone yang sama.

  7. Untuk jenis alamat IP, pilih dari opsi berikut:

    • IPv4— Tetapkan IPv4 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang IPv4 alamat.

    • IPv6— Tetapkan IPv6 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih adalah subnet IPv6 -only.

    • Dualstack — Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan endpoint Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.

  8. Untuk grup Keamanan, pilih grup keamanan yang akan diasosiasikan dengan antarmuka jaringan titik akhir untuk titik akhir VPC. Anda harus memilih semua grup keamanan yang dilampirkan ke instans dan instance DB Neptunus Anda. EC2

  9. Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua prinsipal di semua sumber daya melalui titik akhir VPC. Jika tidak, pilih Kustom untuk melampirkan kebijakan titik akhir VPC yang mengontrol izin yang dimiliki kepala sekolah untuk melakukan tindakan pada sumber daya melalui titik akhir VPC. Opsi ini hanya tersedia jika layanan mendukung kebijakan titik akhir VPC. Untuk informasi selengkapnya, lihat Kebijakan Titik Akhir.

  10. (Opsional) Untuk menambahkan tag, pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag yang Anda inginkan.

  11. Pilih Buat Titik Akhir.

Untuk informasi tentang membuat titik akhir, lihat Titik Akhir VPC di Panduan Pengguna Amazon VPC. Harap dicatat bahwa Amazon STS VPC Endpoint adalah prasyarat yang diperlukan untuk rantai peran IAM.

Sekarang setelah Anda memberikan akses ke AWS STS titik akhir, Anda dapat mempersiapkan untuk memuat data. Untuk informasi tentang format yang didukung, lihat Memuat Format Data.

Merantai peran dalam perintah loader

Anda dapat menentukan rantai peran saat menjalankan perintah loader dengan menyertakan daftar peran yang dipisahkan koma ARNs dalam parameter. iamRoleArn

Meskipun sebagian besar Anda hanya perlu memiliki dua peran dalam sebuah rantai, tentu saja mungkin untuk menyatukan tiga atau lebih. Misalnya, perintah loader ini merantai tiga peran:

curl -X POST https://localhost:8182/loader \
  -H 'Content-Type: application/json' \
  -d '{
        "source" : "s3://(the target bucket name)/(the target date file name)",
        "iamRoleArn" : "arn:aws:iam::(Account A ID):role/(RoleA),arn:aws:iam::(Account B ID):role/(RoleB),arn:aws:iam::(Account C ID):role/(RoleC)",
        "format" : "csv",
        "region" : "us-east-1"
      }'