IAMPeran rantai di Amazon Neptunus - Amazon Neptune
Akses lintas akunAWS STS titik akhirRantai di loader

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMPeran rantai di Amazon Neptunus

penting

Fitur lintas akun beban massal baru yang diperkenalkan dalam rilis engine 1.2.1.0.R3 yang memanfaatkan IAM peran rantai dalam beberapa kasus dapat menyebabkan Anda mengamati kinerja beban curah yang menurun. Akibatnya, peningkatan ke rilis mesin yang mendukung fitur ini telah ditangguhkan sementara hingga masalah ini teratasi.

Saat Anda melampirkan peran ke klaster, klaster Anda dapat mengambil peran tersebut untuk mendapatkan akses ke data yang disimpan di Amazon S3. Dimulai dengan rilis mesin 1.2.1.0.R3, jika peran tersebut tidak memiliki akses ke semua sumber daya yang Anda butuhkan, Anda dapat merantai satu atau beberapa peran tambahan yang dapat diasumsikan oleh klaster Anda untuk mendapatkan akses ke sumber daya lain. Setiap peran dalam rantai mengasumsikan peran berikutnya dalam rantai, sampai klaster Anda mengambil peran di akhir rantai.

Untuk peran rantai, Anda membangun hubungan kepercayaan di antara mereka. Misalnya, untuk berantai RoleBRoleA, RoleA harus memiliki kebijakan izin yang memungkinkannya untuk berasumsiRoleB, dan RoleB harus memiliki kebijakan kepercayaan yang memungkinkannya meneruskan kembali izinnya. RoleA Untuk informasi selengkapnya, lihat Menggunakan IAM peran.

Peran pertama dalam rantai harus dilampirkan ke cluster yang memuat data.

Peran pertama, dan setiap peran berikutnya yang mengasumsikan peran berikut dalam rantai, harus memiliki:

  • Kebijakan yang mencakup pernyataan spesifik dengan Allow efek pada sts:AssumeRole tindakan.

  • Amazon Resource Name (ARN) dari peran berikutnya dalam sebuah Resource elemen.

catatan

Bucket Amazon S3 target harus berada di AWS Wilayah yang sama dengan cluster.

Akses lintas akun menggunakan peran berantai

Anda dapat memberikan akses lintas akun dengan merantai peran atau peran milik akun lain. Ketika klaster Anda sementara mengambil peran milik akun lain, klaster dapat memperoleh akses ke sumber daya di sana.

Misalnya, Akun A ingin mengakses data di bucket Amazon S3 milik Akun B:

  • Akun A membuat peran AWS layanan untuk Neptunus RoleA bernama dan menempelkannya ke cluster.

  • Akun B membuat peran bernama RoleB yang diizinkan untuk mengakses data dalam bucket Akun B.

  • Akun A melampirkan kebijakan izin yang memungkinkannya untuk RoleA berasumsi. RoleB

  • Akun B melampirkan kebijakan kepercayaan RoleB yang memungkinkannya meneruskan kembali izinnya. RoleA

  • Untuk mengakses data di bucket Account B, Account A menjalankan perintah loader menggunakan iamRoleArn parameter yang berantai RoleA danRoleB. Selama durasi operasi loader, RoleA maka untuk sementara mengasumsikan RoleB untuk mengakses bucket Amazon S3 di Akun B.

Diagram yang menggambarkan akses lintas akun menggunakan peran berantai

Misalnya, RoleA akan memiliki kebijakan kepercayaan yang membangun hubungan kepercayaan dengan Neptunus:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

RoleAjuga akan memiliki kebijakan izin yang memungkinkannya untuk berasumsiRoleB, yang dimiliki oleh Akun B:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1487639602000",
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::(Account B ID):role/RoleB"
    }
  ]
}

Sebaliknya, RoleB akan memiliki kebijakan kepercayaan untuk membangun hubungan kepercayaan denganRoleA:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::(Account A ID):role/RoleA"
      }
    }
  ]
}

RoleBjuga memerlukan izin untuk mengakses data di bucket Amazon S3 yang terletak di Akun B.

Membuat titik VPC akhir AWS Security Token Service (STS)

Pemuat Neptunus memerlukan VPC titik akhir ketika Anda IAM merantai peran AWS STS untuk mengakses secara pribadi melalui alamat IP pribadi AWS STS APIs. Anda dapat terhubung langsung dari Amazon VPC ke AWS STS melalui VPC Endpoint dengan cara yang aman dan terukur. Bila Anda menggunakan VPC endpoint antarmuka, ini memberikan postur keamanan yang lebih baik karena Anda tidak perlu membuka firewall lalu lintas keluar. Ini juga memberikan manfaat lain menggunakan VPC titik akhir Amazon.

Saat menggunakan VPC Endpoint, lalu lintas ke AWS STS tidak mengirimkan melalui internet dan tidak pernah meninggalkan jaringan Amazon. Anda VPC terhubung dengan aman AWS STS tanpa risiko ketersediaan atau kendala bandwidth pada lalu lintas jaringan Anda. Untuk informasi selengkapnya, lihat Menggunakan VPC titik akhir AWS STS antarmuka.

Untuk mengatur akses untuk AWS Security Token Service (STS)

  1. Masuk ke AWS Management Console dan buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik akhir.

  3. Pilih Buat Titik Akhir.

  4. Pilih Nama Layanan: com.amazonaws.region.sts untuk titik akhir tipe Antarmuka.

  5. Pilih VPCyang berisi instans dan instance DB Neptunus Anda. EC2

  6. Pilih kotak centang di sebelah subnet tempat EC2 instance Anda hadir. Anda tidak dapat memilih beberapa subnet dari Availability Zone yang sama.

  7. Untuk jenis alamat IP, pilih dari opsi berikut:

    • IPv4— Tetapkan IPv4 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang IPv4 alamat.

    • IPv6— Tetapkan IPv6 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih adalah subnet IPv6 -only.

    • Dualstack — Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan endpoint Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.

  8. Untuk grup Keamanan, pilih grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir untuk titik akhirVPC. Anda harus memilih semua grup keamanan yang dilampirkan ke instans dan instance DB Neptunus Anda. EC2

  9. Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua prinsipal pada semua sumber daya di atas titik akhir. VPC Jika tidak, pilih Kustom untuk melampirkan kebijakan VPC titik akhir yang mengontrol izin yang dimiliki prinsipal untuk melakukan tindakan pada sumber daya di titik akhir. VPC Opsi ini hanya tersedia jika layanan mendukung kebijakan VPC titik akhir. Untuk informasi selengkapnya, lihat Kebijakan Endpoint.

  10. (Opsional) Untuk menambahkan tag, pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag yang Anda inginkan.

  11. Pilih Buat Titik Akhir.

Untuk informasi tentang membuat titik akhir, lihat VPCTitik akhir di VPC Panduan Pengguna Amazon. Harap dicatat bahwa Amazon STS VPC Endpoint adalah prasyarat yang diperlukan untuk rantai peran. IAM

Sekarang setelah Anda memberikan akses ke AWS STS titik akhir, Anda dapat mempersiapkan untuk memuat data. Untuk informasi tentang format yang didukung, lihat Memuat Format Data.

Merantai peran dalam perintah loader

Anda dapat menentukan rantai peran saat menjalankan perintah loader dengan menyertakan daftar peran yang dipisahkan koma ARNs dalam parameter. iamRoleArn

Meskipun sebagian besar Anda hanya perlu memiliki dua peran dalam sebuah rantai, tentu saja mungkin untuk menyatukan tiga atau lebih. Misalnya, perintah loader ini merantai tiga peran:

curl -X POST https://localhost:8182/loader \
  -H 'Content-Type: application/json' \
  -d '{
        "source" : "s3://(the target bucket name)/(the target date file name)",
        "iamRoleArn" : "arn:aws:iam::(Account A ID):role/(RoleA),arn:aws:iam::(Account B ID):role/(RoleB),arn:aws:iam::(Account C ID):role/(RoleC)",
        "format" : "csv",
        "region" : "us-east-1"
      }'