Configura le IAM autorizzazioni della tabella di ripristino per Amazon Keyspaces PITR

Questa sezione riassume come configurare le autorizzazioni per un AWS Identity and Access Management (IAM) principale per ripristinare le tabelle di Amazon Keyspaces. NelIAM, il AWS la politica gestita AmazonKeyspacesFullAccess include le autorizzazioni per ripristinare le tabelle Amazon Keyspaces. Per implementare una politica personalizzata con autorizzazioni minime richieste, considera i requisiti descritti nella sezione successiva.

Per ripristinare correttamente una tabella, il IAM principale necessita delle seguenti autorizzazioni minime:

cassandra:Restore— L'azione di ripristino è necessaria per ripristinare la tabella di destinazione.
cassandra:Select— L'azione di selezione è necessaria per leggere dalla tabella di origine.
cassandra:TagResource— L'azione tag è facoltativa e richiesta solo se l'operazione di ripristino aggiunge tag.

Questo è un esempio di policy che concede le autorizzazioni minime richieste a un utente per ripristinare le tabelle nel keyspace. mykeyspace


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Restore",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

Potrebbero essere necessarie autorizzazioni aggiuntive per ripristinare una tabella in base ad altre funzionalità selezionate. Ad esempio, se la tabella di origine è crittografata a riposo con una chiave gestita dal cliente, Amazon Keyspaces deve disporre delle autorizzazioni per accedere alla chiave gestita dal cliente della tabella di origine per ripristinare correttamente la tabella. Per ulteriori informazioni, consulta PITRripristino di tabelle crittografate.

Se utilizzi IAM politiche con chiavi di condizione per limitare il traffico in entrata verso fonti specifiche, devi assicurarti che Amazon Keyspaces sia autorizzato a eseguire un'operazione di ripristino per conto del tuo principale. Devi aggiungere una chiave di aws:ViaAWSService condizione alla tua IAM politica se la politica limita il traffico in entrata a uno dei seguenti elementi:

VPCendpoint con aws:SourceVpce
Intervalli IP con aws:SourceIp
VPCscon aws:SourceVpc

La chiave di aws:ViaAWSService condizione consente l'accesso quando presente AWS il servizio effettua una richiesta utilizzando le credenziali del principale. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: chiave di condizione nella Guida per l'IAMutente.

Di seguito è riportato un esempio di policy che limita il traffico di origine a un indirizzo IP specifico e consente ad Amazon Keyspaces di ripristinare una tabella per conto del principale.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForCustomIp",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "ForAnyValue:IpAddress":{
               "aws:SourceIp":[
                  "123.45.167.89"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

Per un esempio di politica che utilizza la chiave aws:ViaAWSService global condition, vedi. Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usa il ripristino point-in-time

Configura PITR