Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura l'accesso tra account ad Amazon Keyspaces con endpoint VPC
Puoi creare e utilizzare risorse separate Account AWS per isolare le risorse e utilizzarle in ambienti diversi, ad esempio sviluppo e produzione. Questo argomento illustra l'accesso tra più account per Amazon Keyspaces utilizzando gli endpoint VPC dell'interfaccia in un. Amazon Virtual Private Cloud Per ulteriori informazioni sulla configurazione dell'accesso tra account IAM, consulta [Scenario di esempio con account di sviluppo e produzione separati nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example) IAM.
Per ulteriori informazioni su Amazon Keyspaces e sugli endpoint VPC privati, consulta. [Utilizzo di Amazon Keyspaces con endpoint VPC di interfaccia](vpc-endpoints.md)
**Topics**
+ [Configura l'accesso tra account in un VPC condiviso](access.cross-account.sharedVPC.md)
+ [Configura l'accesso tra account diversi senza un VPC condiviso](access.cross-account.noVPC.setup.md)
# Configura l'accesso tra account ad Amazon Keyspaces utilizzando endpoint VPC in un VPC condiviso
È possibile creare risorse diverse Account AWS o separate dalle applicazioni. Ad esempio, puoi creare un account per le tabelle Amazon Keyspaces, un account diverso per le applicazioni in un ambiente di sviluppo e un altro account per le applicazioni in un ambiente di produzione. Questo argomento illustra i passaggi di configurazione necessari per configurare l'accesso tra account diversi per Amazon Keyspaces utilizzando gli endpoint VPC dell'interfaccia in un VPC condiviso.
Per i passaggi dettagliati su come configurare un endpoint VPC per Amazon Keyspaces, consulta. [Fase 3: creare un endpoint VPC per Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md)
In questo esempio utilizziamo i seguenti tre account in un VPC condiviso:
+ `Account A:111111111111`— Questo account contiene l'infrastruttura, inclusi gli endpoint VPC, le sottoreti VPC e le tabelle Amazon Keyspaces.
+ `Account B:222222222222`— Questo account contiene un'applicazione in un ambiente di sviluppo che deve connettersi alla tabella Amazon Keyspaces in. `Account A:111111111111`
+ `Account C:333333333333`— Questo account contiene un'applicazione in un ambiente di produzione che deve connettersi alla tabella Amazon Keyspaces in. `Account A:111111111111`
![\[Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessa Regione AWS che utilizzano un VPC condiviso.\]](http://docs.aws.amazon.com/it_it/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)
`Account A:111111111111`è l'account che contiene le risorse (una tabella Amazon Keyspaces) a `Account C:333333333333` cui dobbiamo accedere, così come `Account A:111111111111` l'account *trusting*. `Account B:222222222222` `Account B:222222222222`e `Account C:333333333333` sono gli account con i principali che devono accedere alle risorse (una tabella Amazon Keyspaces) `Account A:111111111111` `Account C:333333333333` e sono `Account B:222222222222` quindi *gli* account affidabili. L'account trusting concede le autorizzazioni agli account fidati condividendo un ruolo IAM. La procedura seguente descrive i passaggi di configurazione richiesti in. `Account A:111111111111`
**Configurazione per `Account A:111111111111`**
1. AWS Resource Access Manager Da utilizzare per creare una condivisione di risorse per la sottorete e condividere la sottorete privata con `Account B:222222222222` e. `Account C:333333333333`
`Account B:222222222222`e ora `Account C:333333333333` possono vedere e creare risorse nella sottorete che è stata condivisa con loro.
1. Crea un endpoint VPC privato Amazon Keyspaces basato su. AWS PrivateLink Questo crea più endpoint tra sottoreti condivise e voci DNS per l'endpoint del servizio Amazon Keyspaces.
1. Crea uno spazio di chiavi e una tabella Amazon Keyspaces.
1. Crea un ruolo IAM `Account A:111111111111` che abbia accesso completo alla tabella Amazon Keyspaces, accesso in lettura alle tabelle di sistema Amazon Keyspaces e sia in grado di descrivere le risorse Amazon EC2 VPC come mostrato nel seguente esempio di policy.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints",
"cassandra:*"
],
"Resource": "*"
}
]
}
```
1. Configura una policy di fiducia per il ruolo IAM in `Account A:111111111111` modo che `Account B:222222222222` e `Account C:333333333333` possano assumere il ruolo di account affidabili. Questo viene mostrato nell'esempio seguente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Per ulteriori informazioni sulle politiche IAM tra account, consulta le politiche [tra account nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) per l'utente IAM.
**Configurazione in e `Account B:222222222222` `Account C:333333333333`**
1. In `Account B:222222222222` and`Account C:333333333333`, crea nuovi ruoli e allega la seguente politica che consente al principale di assumere il ruolo condiviso creato in`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Consentire al principale di assumere il ruolo condiviso viene implementato utilizzando l'`AssumeRole`API di AWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella Guida per l'utente IAM.
1. Inoltre `Account B:222222222222``Account C:333333333333`, puoi creare applicazioni che utilizzano il plug-in di SIGV4 autenticazione, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situata tramite l'endpoint VPC `Account A:111111111111` nel VPC condiviso. Per ulteriori informazioni sul plug-in di autenticazione, consulta. SIGV4 [Crea credenziali per l'accesso programmatico ad Amazon Keyspaces](programmatic.credentials.md) Per ulteriori informazioni su come configurare un'applicazione in modo che assuma un ruolo in un altro AWS account, consulta [Autenticazione e accesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) nella *Guida di riferimento agli strumenti AWS SDKs e* agli strumenti.
# Configurazione dell'accesso tra account ad Amazon Keyspaces senza un VPC condiviso
Se la tabella Amazon Keyspaces e l'endpoint VPC privato sono di proprietà di account diversi ma non condividono un VPC, le applicazioni possono comunque connettersi tra account diversi utilizzando endpoint VPC. Perché gli account non condividono gli endpoint VPC e `Account C:333333333333` richiedono i `Account A:111111111111` propri endpoint VPC. `Account B:222222222222` Per il driver client Cassandra, Amazon Keyspaces appare come un singolo nodo anziché un cluster multinodo. Al momento della connessione, il driver client raggiunge il server DNS che restituisce uno degli endpoint disponibili nel VPC dell'account.
Puoi anche accedere alle tabelle Amazon Keyspaces da diversi account senza un endpoint VPC condiviso utilizzando gli endpoint pubblici o implementando un endpoint VPC privato in ogni account. Quando non si utilizza un VPC condiviso, ogni account richiede il proprio endpoint VPC. In questo esempio `Account A:111111111111``Account B:222222222222`, `Account C:333333333333` richiedono i propri endpoint VPC per accedere alla tabella in. `Account A:111111111111` Quando si utilizzano gli endpoint VPC in questa configurazione, Amazon Keyspaces appare come un cluster a nodo singolo per il driver client Cassandra anziché un cluster multinodo. Al momento della connessione, il driver client raggiunge il server DNS che restituisce uno degli endpoint disponibili nel VPC dell'account. Ma il driver del client non è in grado di accedere alla `system.peers` tabella per scoprire endpoint aggiuntivi. Poiché ci sono meno host disponibili, il driver effettua meno connessioni. Per regolare questa impostazione, aumenta l'impostazione del pool di connessioni del driver di un fattore tre.
![\[Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessa Regione AWS senza un VPC condiviso.\]](http://docs.aws.amazon.com/it_it/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)
`Account A:111111111111`è l'account che contiene le risorse (una tabella Amazon Keyspaces) a `Account C:333333333333` cui dobbiamo accedere, così come `Account A:111111111111` l'account *trusting*. `Account B:222222222222` `Account B:222222222222`e `Account C:333333333333` sono gli account con i principali che devono accedere alle risorse (una tabella Amazon Keyspaces) `Account A:111111111111` `Account C:333333333333` e sono `Account B:222222222222` quindi *gli* account affidabili. L'account trusting concede le autorizzazioni agli account fidati condividendo un ruolo IAM. La procedura seguente descrive i passaggi di configurazione richiesti in. `Account A:111111111111`
**Configurazione per `Account A:111111111111`**
1. Crea uno spazio di chiavi Amazon Keyspaces e una tabella in. `Account A:111111111111`
1. Crea un ruolo IAM con accesso completo alla tabella Amazon Keyspaces e accesso in lettura alle tabelle di sistema Amazon Keyspaces. `Account A:111111111111`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
]
}
]
}
```
1. Configura una policy di fiducia per il ruolo IAM in `Account A:111111111111` modo che i responsabili abbiano `Account B:222222222222` e `Account C:333333333333` possano assumere il ruolo di account affidabili. Questo viene mostrato nell'esempio seguente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Per ulteriori informazioni sulle policy IAM tra account, consulta le policy relative a più [account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) nella IAM User Guide.
1. Configura l'endpoint VPC `Account A:111111111111` e assegna all'endpoint le autorizzazioni che consentono ai ruoli da `Account B:222222222222` e `Account C:333333333333` di assumere il ruolo nell'utilizzo `Account A` dell'endpoint VPC. Queste autorizzazioni sono valide per l'endpoint VPC a cui sono collegate. Per ulteriori informazioni sulle policy degli endpoint VPC, consulta. [Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies)
```
{{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessfromSpecificIAMroles",
"Effect": "Allow",
"Action": "cassandra:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
}
}
}
]
}
```
**Configurazione in e `Account B:222222222222` `Account C:333333333333`**
1. In `Account B:222222222222` and`Account C:333333333333`, crea nuovi ruoli e allega la seguente politica che consente al principale di assumere il ruolo condiviso creato in`Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
}
}
```
Consentire al principale di assumere il ruolo condiviso viene implementato utilizzando l'`AssumeRole`API di AWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella Guida per l'utente IAM.
1. In `Account B:222222222222` and`Account C:333333333333`, puoi creare applicazioni che utilizzano il plug-in di SIGV4 autenticazione, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situata in. `Account A:111111111111` Per ulteriori informazioni sul plug-in di SIGV4 autenticazione, consulta. [Crea credenziali per l'accesso programmatico ad Amazon Keyspaces](programmatic.credentials.md) Per ulteriori informazioni su come configurare un'applicazione in modo che assuma un ruolo in un altro AWS account, consulta [Autenticazione e accesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) nella *Guida di riferimento agli strumenti AWS SDKs e* agli strumenti.