Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configura l'accesso tra account ad Amazon Keyspaces utilizzando endpoint VPC in un VPC condiviso È possibile creare risorse diverse Account AWS o separate dalle applicazioni. Ad esempio, puoi creare un account per le tabelle Amazon Keyspaces, un account diverso per le applicazioni in un ambiente di sviluppo e un altro account per le applicazioni in un ambiente di produzione. Questo argomento illustra i passaggi di configurazione necessari per configurare l'accesso tra account diversi per Amazon Keyspaces utilizzando gli endpoint VPC dell'interfaccia in un VPC condiviso. Per i passaggi dettagliati su come configurare un endpoint VPC per Amazon Keyspaces, consulta. [Fase 3: creare un endpoint VPC per Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md) In questo esempio utilizziamo i seguenti tre account in un VPC condiviso: + `Account A:111111111111`— Questo account contiene l'infrastruttura, inclusi gli endpoint VPC, le sottoreti VPC e le tabelle Amazon Keyspaces. + `Account B:222222222222`— Questo account contiene un'applicazione in un ambiente di sviluppo che deve connettersi alla tabella Amazon Keyspaces in. `Account A:111111111111` + `Account C:333333333333`— Questo account contiene un'applicazione in un ambiente di produzione che deve connettersi alla tabella Amazon Keyspaces in. `Account A:111111111111` ![\[Diagramma che mostra tre diversi account di proprietà della stessa organizzazione nella stessa Regione AWS che utilizzano un VPC condiviso.\]](http://docs.aws.amazon.com/it_it/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png) `Account A:111111111111`è l'account che contiene le risorse (una tabella Amazon Keyspaces) a `Account C:333333333333` cui dobbiamo accedere, così come `Account A:111111111111` l'account *trusting*. `Account B:222222222222` `Account B:222222222222`e `Account C:333333333333` sono gli account con i principali che devono accedere alle risorse (una tabella Amazon Keyspaces) `Account A:111111111111` `Account C:333333333333` e sono `Account B:222222222222` quindi *gli* account affidabili. L'account trusting concede le autorizzazioni agli account fidati condividendo un ruolo IAM. La procedura seguente descrive i passaggi di configurazione richiesti in. `Account A:111111111111` **Configurazione per `Account A:111111111111`** 1. AWS Resource Access Manager Da utilizzare per creare una condivisione di risorse per la sottorete e condividere la sottorete privata con `Account B:222222222222` e. `Account C:333333333333` `Account B:222222222222`e ora `Account C:333333333333` possono vedere e creare risorse nella sottorete che è stata condivisa con loro. 1. Crea un endpoint VPC privato Amazon Keyspaces basato su. AWS PrivateLink Questo crea più endpoint tra sottoreti condivise e voci DNS per l'endpoint del servizio Amazon Keyspaces. 1. Crea uno spazio di chiavi e una tabella Amazon Keyspaces. 1. Crea un ruolo IAM `Account A:111111111111` che abbia accesso completo alla tabella Amazon Keyspaces, accesso in lettura alle tabelle di sistema Amazon Keyspaces e sia in grado di descrivere le risorse Amazon EC2 VPC come mostrato nel seguente esempio di policy. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] } ``` 1. Configura una policy di fiducia per il ruolo IAM in `Account A:111111111111` modo che `Account B:222222222222` e `Account C:333333333333` possano assumere il ruolo di account affidabili. Questo viene mostrato nell'esempio seguente. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:role/Cross-Account-Role-B", "arn:aws:iam::333333333333:role/Cross-Account-Role-C" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` Per ulteriori informazioni sulle politiche IAM tra account, consulta le politiche [tra account nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) per l'utente IAM. **Configurazione in e `Account B:222222222222` `Account C:333333333333`** 1. In `Account B:222222222222` and`Account C:333333333333`, crea nuovi ruoli e allega la seguente politica che consente al principale di assumere il ruolo condiviso creato in`Account A:111111111111`. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` Consentire al principale di assumere il ruolo condiviso viene implementato utilizzando l'`AssumeRole`API di AWS Security Token Service (AWS STS). Per ulteriori informazioni, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella Guida per l'utente IAM. 1. Inoltre `Account B:222222222222``Account C:333333333333`, puoi creare applicazioni che utilizzano il plug-in di SIGV4 autenticazione, che consente a un'applicazione di assumere il ruolo condiviso per connettersi alla tabella Amazon Keyspaces situata tramite l'endpoint VPC `Account A:111111111111` nel VPC condiviso. Per ulteriori informazioni sul plug-in di autenticazione, consulta. SIGV4 [Crea credenziali per l'accesso programmatico ad Amazon Keyspaces](programmatic.credentials.md) Per ulteriori informazioni su come configurare un'applicazione in modo che assuma un ruolo in un altro AWS account, consulta [Autenticazione e accesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) nella *Guida di riferimento agli strumenti AWS SDKs e* agli strumenti.