Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Keyspaces (per Apache Cassandra)
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per maggiori informazioni sui programmi di conformità che si applicano ad Amazon Keyspaces, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Questa documentazione ti aiuterà a capire come applicare il modello di responsabilità condivisa quando usi Amazon Keyspaces. I seguenti argomenti mostrano come configurare Amazon Keyspaces per soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che possono aiutarti a monitorare e proteggere le tue risorse Amazon Keyspaces.
**Topics**
+ [Protezione dei dati in Amazon Keyspaces](data-protection.md)
+ [AWS Identity and Access Management per Amazon Keyspaces](security-iam.md)
+ [Convalida della conformità per Amazon Keyspaces (per Apache Cassandra)](Keyspaces-compliance.md)
+ [Resilienza e disaster recovery in Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Keyspaces](infrastructure-security.md)
+ [Analisi della configurazione e delle vulnerabilità per Amazon Keyspaces](configuration-vulnerability.md)
+ [Best practice di sicurezza per Amazon Keyspaces](best-practices-security.md)
# Protezione dei dati in Amazon Keyspaces
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in Amazon Keyspaces (per Apache Cassandra). Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Keyspaces o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
**Topics**
+ [Crittografia inattiva in Amazon Keyspaces](EncryptionAtRest.md)
+ [Crittografia in transito in Amazon Keyspaces](encryption-in-transit.md)
+ [Privacy del traffico di rete in Amazon Keyspaces](inter-network-traffic-privacy.md)
# Crittografia inattiva in Amazon Keyspaces
[La *crittografia a riposo* di Amazon Keyspaces (per Apache Cassandra) offre una maggiore sicurezza crittografando tutti i dati inattivi utilizzando le chiavi di crittografia archiviate in ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. Con la crittografia a riposo, puoi creare applicazioni sensibili alla sicurezza che soddisfano rigorosi requisiti di conformità e normativi per la protezione dei dati.
La crittografia a riposo di Amazon Keyspaces crittografa i dati utilizzando Advanced Encryption Standard (AES-256) a 256 bit. Questo aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante.
Amazon Keyspaces crittografa e decrittografa i dati in tabelle e flussi in modo trasparente. Amazon Keyspaces utilizza la crittografia a busta e una gerarchia di chiavi per proteggere le chiavi di crittografia dei dati. Si integra con l'archiviazione e AWS KMS la gestione della chiave di crittografia principale. Per ulteriori informazioni sulla gerarchia delle chiavi di crittografia, vedere. [Crittografia a riposo: come funziona in Amazon Keyspaces](encryption.howitworks.md) Per ulteriori informazioni su AWS KMS concetti come la crittografia degli involucri, consulta i [concetti AWS KMS dei servizi di gestione nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) per gli *AWS Key Management Service sviluppatori*.
Quando crei una nuova tabella, puoi scegliere una delle seguenti *AWS KMS chiavi (chiavi KMS*):
+ Chiave di proprietà di AWS — Questo è il tipo di crittografia predefinito. La chiave è di proprietà di Amazon Keyspaces (senza costi aggiuntivi).
+ Chiave gestita dal cliente: questa chiave è memorizzata nel tuo account e viene creata, posseduta e gestita da te. Hai il pieno controllo della chiave gestita dal cliente (a AWS KMS pagamento).
Amazon Keyspaces crittografa automaticamente i flussi di change data capture (CDC) con la stessa chiave della tabella sottostante. Per ulteriori informazioni su CDC, consulta. [Utilizzo di flussi di acquisizione dati di modifica (CDC) in Amazon Keyspaces](cdc.md)
È possibile passare dalla chiave gestita dal Chiave di proprietà di AWS cliente a quella gestita dal cliente in qualsiasi momento. È possibile specificare una chiave gestita dal cliente quando si crea una nuova tabella o si modifica la chiave KMS di una tabella esistente utilizzando la console o utilizzando a livello di codice le istruzioni CQL. Per scoprire come, consulta [Crittografia dei dati inattivi: come utilizzare le chiavi gestite dal cliente per crittografare le tabelle in Amazon Keyspaces](encryption.customermanaged.md).
La crittografia a riposo utilizzando l'opzione predefinita di Chiavi di proprietà di AWS è offerta senza costi aggiuntivi. Tuttavia, per le chiavi gestite dal cliente vengono AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing).
La crittografia a riposo di Amazon Keyspaces è disponibile in tutte le regioni Regioni AWS, incluse AWS Cina (Pechino) e AWS Cina (Ningxia). Per ulteriori informazioni, consulta [Crittografia a riposo: come funziona in Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Crittografia a riposo: come funziona in Amazon Keyspaces](encryption.howitworks.md)
+ [Crittografia dei dati inattivi: come utilizzare le chiavi gestite dal cliente per crittografare le tabelle in Amazon Keyspaces](encryption.customermanaged.md)
# Crittografia a riposo: come funziona in Amazon Keyspaces
La *crittografia a riposo di Amazon Keyspaces (per Apache Cassandra) crittografa i dati utilizzando l'Advanced* Encryption Standard (AES-256) a 256 bit. Questo aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante. Per impostazione predefinita, tutti i dati dei clienti nelle tabelle di Amazon Keyspaces sono crittografati quando sono inattivi e la crittografia lato server è trasparente, il che significa che non sono necessarie modifiche alle applicazioni.
Encryption at rest si integra con AWS Key Management Service (AWS KMS) per la gestione della chiave di crittografia utilizzata per crittografare le tabelle. Quando crei una nuova tabella o aggiorni una tabella esistente, puoi scegliere una delle seguenti opzioni *AWS KMS chiave*:
+ Chiave di proprietà di AWS — Questo è il tipo di crittografia predefinito. La chiave è di proprietà di Amazon Keyspaces (senza costi aggiuntivi).
+ Chiave gestita dal cliente: questa chiave è memorizzata nel tuo account e viene creata, posseduta e gestita da te. Hai il pieno controllo della chiave gestita dal cliente (a AWS KMS pagamento).
**AWS KMS chiave (chiave KMS)**
Encryption at rest protegge tutti i dati di Amazon Keyspaces con una AWS KMS chiave. Per impostazione predefinita, Amazon Keyspaces utilizza una [Chiave di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)chiave di crittografia multi-tenant creata e gestita in un account del servizio Amazon Keyspaces.
Tuttavia, puoi crittografare le tue tabelle Amazon Keyspaces utilizzando [una chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nel tuo. Account AWS Puoi selezionare una chiave KMS diversa per ogni tabella in un keyspace. La chiave KMS selezionata per una tabella viene utilizzata anche per crittografare tutti i metadati e i backup ripristinabili.
Quando si crea o si aggiorna la tabella, si seleziona la chiave KMS per una tabella. Puoi modificare la chiave KMS per una tabella in qualsiasi momento, nella console Amazon Keyspaces o utilizzando l'[istruzione ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). Il processo di cambio delle chiavi KMS è semplice e non richiede tempi di inattività né causa un peggioramento del servizio.
**Gerarchia delle chiavi**
Amazon Keyspaces utilizza una gerarchia di chiavi per crittografare i dati. In questa gerarchia di chiavi, la chiave KMS è la chiave principale. Viene utilizzato per crittografare e decrittografare la chiave di crittografia della tabella Amazon Keyspaces. La chiave di crittografia delle tabelle viene utilizzata per crittografare le chiavi di crittografia utilizzate internamente da Amazon Keyspaces per crittografare e decrittografare i dati durante l'esecuzione di operazioni di lettura e scrittura.
Con la gerarchia delle chiavi di crittografia, puoi apportare modifiche alla chiave KMS senza dover crittografare nuovamente i dati o influire sulle applicazioni e sulle operazioni in corso sui dati.
![\[Gerarchia delle chiavi che mostra la chiave principale, la chiave di crittografia della tabella e la chiave di crittografia dei dati utilizzata per la crittografia a riposo.\]](http://docs.aws.amazon.com/it_it/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Chiave della tabella**
La chiave della tabella Amazon Keyspaces viene utilizzata come chiave di crittografia delle chiavi. Amazon Keyspaces utilizza la chiave di tabella per proteggere le chiavi interne di crittografia dei dati utilizzate per crittografare i dati archiviati in tabelle, file di log e backup ripristinabili. Amazon Keyspaces genera una chiave di crittografia dei dati unica per ogni struttura sottostante in una tabella. Tuttavia, più righe della tabella potrebbero essere protette dalla stessa chiave di crittografia dei dati.
Quando imposti per la prima volta la chiave KMS su una chiave gestita dal cliente, AWS KMS genera una *chiave dati*. La chiave AWS KMS dati si riferisce alla chiave della tabella in Amazon Keyspaces.
Quando accedi a una tabella crittografata, Amazon Keyspaces invia una richiesta per utilizzare la chiave KMS AWS KMS per decrittografare la chiave della tabella. Quindi, utilizza la chiave di tabella in chiaro per decrittografare le chiavi di crittografia dei dati di Amazon Keyspaces e utilizza le chiavi di crittografia dei dati in testo semplice per decrittografare i dati della tabella.
Amazon Keyspaces utilizza e archivia la chiave della tabella e le chiavi di crittografia dei dati all'esterno di. AWS KMS Protegge tutte le chiavi con la crittografia [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) e le chiavi di crittografia a 256 bit. Quindi, memorizza le chiavi crittografate con i dati crittografati in modo che siano disponibili per decrittografare i dati della tabella su richiesta.
**Caching della chiave della tabella**
Per evitare di richiedere AWS KMS ogni operazione di Amazon Keyspaces, Amazon Keyspaces memorizza nella cache le chiavi della tabella in testo semplice per ogni connessione in memoria. Se Amazon Keyspaces riceve una richiesta per la chiave della tabella memorizzata nella cache dopo cinque minuti di inattività, invia una nuova richiesta per AWS KMS decrittografare la chiave della tabella. Questa chiamata acquisisce tutte le modifiche apportate alle politiche di accesso della chiave KMS in AWS KMS or AWS Identity and Access Management (IAM) dall'ultima richiesta di decrittografia della chiave della tabella.
**Crittografia envelope**
Se modifichi la chiave gestita dal cliente per la tua tabella, Amazon Keyspaces genera una nuova chiave di tabella. Quindi, utilizza la nuova chiave di tabella per crittografare nuovamente le chiavi di crittografia dei dati. Utilizza inoltre la nuova chiave di tabella per crittografare le chiavi di tabella precedenti utilizzate per proteggere i backup ripristinabili. Questo processo è chiamato crittografia a busta. In questo modo è possibile accedere ai backup ripristinabili anche ruotando la chiave gestita dal cliente. *Per ulteriori informazioni sulla crittografia delle buste, consulta Envelope Encryption nella [Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping).AWS Key Management Service *
**Topics**
+ [AWS chiavi possedute](#keyspaces-owned)
+ [Chiavi gestite dal cliente](#customer-managed)
+ [Note sull'utilizzo di Encryption at Rest](#encryption.usagenotes)
## AWS chiavi possedute
Chiavi di proprietà di AWS non sono archiviati nel tuo Account AWS. Fanno parte di una raccolta di chiavi KMS che AWS possiede e gestisce per essere utilizzate in più Account AWS lingue. AWS i servizi possono essere utilizzati Chiavi di proprietà di AWS per proteggere i tuoi dati.
Non puoi visualizzare, gestire Chiavi di proprietà di AWS, utilizzare o controllare il loro utilizzo. Tuttavia, non è necessario eseguire alcuna operazione o modificare alcun programma per proteggere le chiavi che crittografano i dati.
Non ti viene addebitato un canone mensile o un canone di utilizzo per l'utilizzo di Chiavi di proprietà di AWS e questi non vengono conteggiati nelle AWS KMS quote per il tuo account.
## Chiavi gestite dal cliente
Le chiavi gestite dal cliente sono chiavi Account AWS che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS.
Utilizza una chiave gestita dal cliente per ottenere le seguenti caratteristiche:
+ Crei e gestisci la chiave gestita dal cliente, inclusa l'impostazione e la manutenzione delle [politiche chiave, delle politiche](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) [IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) e le [concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per il controllo dell'accesso alla chiave gestita dal cliente. È possibile [abilitare e disabilitare](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la chiave gestita dal cliente, abilitare e disabilitare la [rotazione automatica delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) e [pianificare l'eliminazione della chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) quando non è più in uso. Puoi creare tag e alias per le chiavi gestite dal cliente che gestisci.
+ L’utente può utilizzare una chiave gestita dal cliente con [materiale di chiave importato](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) o una chiave gestita dal cliente in un [archivio di chiavi personalizzate](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) di cui è proprietario e gestirlo.
+ Puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui Amazon Keyspaces invia AWS KMS per tuo conto. Per ulteriori informazioni, consulta [Fase 6: Configurare il monitoraggio con AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Le chiavi gestite dal cliente [comportano un addebito](https://aws.amazon.com/kms/pricing/) per ogni chiamata API e a queste chiavi KMS vengono applicate delle AWS KMS quote. Per ulteriori informazioni, consulta le [AWS KMS risorse](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) o richiedi quote.
Quando si specifica una chiave gestita dal cliente come chiave di crittografia principale per una tabella, i backup ripristinabili vengono crittografati con la stessa chiave di crittografia specificata per la tabella al momento della creazione del backup. Se la chiave KMS per la tabella viene ruotata, l'avvolgimento delle chiavi garantisce che la chiave KMS più recente abbia accesso a tutti i backup ripristinabili.
Amazon Keyspaces deve avere accesso alla tua chiave gestita dal cliente per fornirti l'accesso ai dati delle tabelle. Se lo stato della chiave di crittografia è impostato su disabilitato o se ne è pianificata l'eliminazione, Amazon Keyspaces non è in grado di crittografare o decrittografare i dati. Di conseguenza, non sei in grado di eseguire operazioni di lettura e scrittura sulla tabella. Non appena il servizio rileva che la tua chiave di crittografia è inaccessibile, Amazon Keyspaces invia una notifica e-mail per avvisarti.
È necessario ripristinare l'accesso alla chiave di crittografia entro sette giorni, altrimenti Amazon Keyspaces eliminerà automaticamente la tabella. Per precauzione, Amazon Keyspaces crea un backup ripristinabile dei dati della tabella prima di eliminarla. Amazon Keyspaces mantiene il backup ripristinabile per 35 giorni. Dopo 35 giorni, non puoi più ripristinare i dati della tabella. Il backup ripristinabile non ti viene addebitato, ma vengono [applicate le tariffe di ripristino](https://aws.amazon.com/keyspaces/pricing) standard.
Puoi utilizzare questo backup ripristinabile per ripristinare i dati in una nuova tabella. Per avviare il ripristino, è necessario abilitare l'ultima chiave gestita dal cliente utilizzata per la tabella e Amazon Keyspaces deve potervi accedere.
**Nota**
Quando crei una tabella crittografata utilizzando una chiave gestita dal cliente inaccessibile o pianificata per l'eliminazione prima del completamento del processo di creazione, si verifica un errore. L'operazione di creazione della tabella non riesce e ti viene inviata una notifica via e-mail.
## Note sull'utilizzo di Encryption at Rest
Considera quanto segue quando utilizzi la crittografia a riposo in Amazon Keyspaces.
+ La crittografia lato server a riposo è abilitata su tutte le tabelle Amazon Keyspaces e non può essere disabilitata. L'intera tabella è crittografata quando è inattiva, non è possibile selezionare colonne o righe specifiche per la crittografia.
+ Per impostazione predefinita, Amazon Keyspaces utilizza una chiave predefinita a servizio singolo (Chiave di proprietà di AWS) per crittografare tutte le tabelle. Se questa chiave non esiste, viene creata per te. Le chiavi predefinite del servizio non possono essere disabilitate.
+ La crittografia a riposo crittografa i dati solo quando sono statici (a riposo) su un supporto di archiviazione persistente. Se la sicurezza dei dati è un problema per i dati in transito o per i dati in uso, è necessario adottare misure aggiuntive:
+ Dati in transito: tutti i dati in Amazon Keyspaces sono crittografati in transito. Per impostazione predefinita, le comunicazioni da e verso Amazon Keyspaces sono protette utilizzando la crittografia Secure Sockets Layer (SSL) /Transport Layer Security (TLS).
+ Dati in uso: proteggi i dati prima di inviarli ad Amazon Keyspaces utilizzando la crittografia lato client.
+ Chiavi gestite dal cliente: i dati inattivi nelle tabelle vengono sempre crittografati utilizzando le chiavi gestite dal cliente. Tuttavia, le operazioni che eseguono aggiornamenti atomici di più righe crittografano temporaneamente i dati, utilizzandoli Chiavi di proprietà di AWS durante l'elaborazione. Ciò include le operazioni di eliminazione degli intervalli e le operazioni che accedono simultaneamente a dati statici e non statici.
+ [Una singola chiave gestita dal cliente può avere fino a 50.000 concessioni.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Ogni tabella Amazon Keyspaces associata a una chiave gestita dal cliente consuma 2 concessioni. Una concessione viene rilasciata quando la tabella viene eliminata. La seconda concessione viene utilizzata per creare un'istantanea automatica della tabella per proteggerla dalla perdita di dati nel caso in cui Amazon Keyspaces perda l'accesso alla chiave gestita dal cliente per errore. Questa concessione viene rilasciata 42 giorni dopo l'eliminazione della tabella.
# Crittografia dei dati inattivi: come utilizzare le chiavi gestite dal cliente per crittografare le tabelle in Amazon Keyspaces
Puoi utilizzare la console o le istruzioni CQL AWS KMS key per specificare le nuove tabelle e aggiornare le chiavi di crittografia delle tabelle esistenti in Amazon Keyspaces. Il seguente argomento descrive come implementare le chiavi gestite dal cliente per tabelle nuove ed esistenti.
**Topics**
+ [Prerequisiti: creare una chiave gestita dal cliente utilizzando AWS KMS e concedere le autorizzazioni ad Amazon Keyspaces](#encryption.createCMKMS)
+ [Fase 3: Specificare una chiave gestita dal cliente per una nuova tabella](#encryption.tutorial-creating)
+ [Passaggio 4: Aggiornare la chiave di crittografia di una tabella esistente](#encryption.tutorial-update)
+ [Fase 5: utilizza il contesto di crittografia Amazon Keyspaces nei log](#encryption-context)
+ [Fase 6: Configurare il monitoraggio con AWS CloudTrail](#encryption-cmk-trail)
## Prerequisiti: creare una chiave gestita dal cliente utilizzando AWS KMS e concedere le autorizzazioni ad Amazon Keyspaces
Prima di poter proteggere una tabella Amazon Keyspaces con una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed), devi prima creare la chiave in AWS Key Management Service (AWS KMS) e quindi autorizzare Amazon Keyspaces a utilizzare quella chiave.
### Fase 1: crea una chiave gestita dal cliente utilizzando AWS KMS
Per creare una chiave gestita dal cliente da utilizzare per proteggere una tabella Amazon Keyspaces, puoi seguire i passaggi in [Creazione di chiavi KMS con crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) utilizzando la console o l'API. AWS
### Fase 2: Autorizza l'uso della chiave gestita dal cliente
Prima di poter scegliere una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed) per proteggere una tabella Amazon Keyspaces, le politiche su tale chiave gestita dal cliente devono autorizzare Amazon Keyspaces a utilizzarla per tuo conto. Hai il pieno controllo sulle politiche e sulle concessioni relative alla chiave gestita dal cliente. È possibile fornire queste autorizzazioni in una [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), in una [policy IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) o mediante una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Amazon Keyspaces non necessita di autorizzazioni aggiuntive per utilizzare l'impostazione predefinita [Chiave di proprietà di AWS](encryption.howitworks.md#keyspaces-owned)per proteggere le tabelle Amazon Keyspaces nel tuo account. AWS
I seguenti argomenti mostrano come configurare le autorizzazioni richieste utilizzando le policy e le concessioni IAM che consentono alle tabelle Amazon Keyspaces di utilizzare una chiave gestita dal cliente.
**Topics**
+ [Politica chiave per le chiavi gestite dai clienti](#encryption-customer-managed-policy)
+ [Esempi di policy delle chiavi](#encryption-customer-managed-policy-sample)
+ [Utilizzo delle sovvenzioni per autorizzare Amazon Keyspaces](#encryption-grants)
#### Politica chiave per le chiavi gestite dai clienti
Quando selezioni una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed) per proteggere una tabella Amazon Keyspaces, Amazon Keyspaces ottiene l'autorizzazione a utilizzare la chiave gestita dal cliente per conto del principale che effettua la selezione. Tale principale, un utente o un ruolo, deve disporre delle autorizzazioni sulla chiave gestita dal cliente richieste da Amazon Keyspaces.
Amazon Keyspaces richiede almeno le seguenti autorizzazioni su una chiave gestita dal cliente:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (per e) kms: ReEncryptFrom kms: ReEncryptTo
+ [kms: GenerateDataKey \$1 (per [kms: GenerateDataKey e kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)) GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Esempi di policy delle chiavi
Ad esempio, la policy della chiave di esempio riportata di seguito fornisce solo le autorizzazioni necessarie. La policy ha i seguenti effetti:
+ Consente ad Amazon Keyspaces di utilizzare la chiave gestita dal cliente nelle operazioni crittografiche e creare sovvenzioni, ma solo quando agisce per conto dei responsabili dell'account che dispongono dell'autorizzazione a utilizzare Amazon Keyspaces. Se i responsabili specificati nell'informativa non sono autorizzati a utilizzare Amazon Keyspaces, la chiamata ha esito negativo, anche se proviene dal servizio Amazon Keyspaces.
+ La chiave [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) condition consente le autorizzazioni solo quando la richiesta proviene da Amazon Keyspaces per conto dei principali elencati nell'informativa. Tali entità principali non possono chiamare direttamente queste operazioni. Nota: il valore `kms:ViaService`,`cassandra.*.amazonaws.com`, ha un asterisco (\$1) nella posizione Regione. Amazon Keyspaces richiede l'autorizzazione per essere indipendente da qualsiasi particolare. Regione AWS
+ Fornisce agli amministratori delle chiavi gestite dal cliente (utenti che possono assumere il `db-team` ruolo) l'accesso in sola lettura alla chiave gestita dal cliente e l'autorizzazione a revocare le concessioni, incluse le concessioni richieste da [Amazon Keyspaces](#encryption-grants) per proteggere la tabella.
+ Fornisce ad Amazon Keyspaces l'accesso in sola lettura alla chiave gestita dal cliente. In questo caso, Amazon Keyspaces può richiamare direttamente queste operazioni. Non deve agire per conto del responsabile del conto.
Prima di utilizzare una politica chiave di esempio, sostituisci i principali di esempio con i principali effettivi del tuo. Account AWS
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Utilizzo delle sovvenzioni per autorizzare Amazon Keyspaces
Oltre alle politiche chiave, Amazon Keyspaces utilizza le concessioni per impostare le autorizzazioni su una chiave gestita dal cliente. Per visualizzare le concessioni della chiave gestita dal cliente nell'account, utilizza l'operazione [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). Amazon Keyspaces non necessita di concessioni o autorizzazioni aggiuntive per utilizzarlo per [Chiave di proprietà di AWS](encryption.howitworks.md#keyspaces-owned)proteggere la tabella.
Amazon Keyspaces utilizza le autorizzazioni di concessione quando esegue attività di manutenzione del sistema in background e di protezione continua dei dati. Utilizza inoltre concessioni per generare le chiavi delle tabelle.
Ogni concessione è specifica di una tabella. Se l'account include più tabelle crittografate con la stessa chiave gestita dal cliente, è prevista una concessione di ogni tipo per ogni tabella. La concessione è vincolata dal [contesto di crittografia Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), che include il nome della tabella e l'ID. Account AWS La concessione include l'autorizzazione a [ritirarla](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) se non è più necessaria.
Per creare le concessioni, Amazon Keyspaces deve disporre dell'autorizzazione a effettuare `CreateGrant` chiamate per conto dell'utente che ha creato la tabella crittografata.
La policy delle chiavi può anche consentire all'account di [revocare la concessione](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) sulla chiave gestita dal cliente. Tuttavia, se revochi la concessione su una tabella crittografata attiva, Amazon Keyspaces non sarà in grado di proteggere e mantenere la tabella.
## Fase 3: Specificare una chiave gestita dal cliente per una nuova tabella
Segui questi passaggi per specificare la chiave gestita dal cliente su una nuova tabella utilizzando la console Amazon Keyspaces o CQL.
### Crea una tabella crittografata utilizzando una chiave gestita dal cliente (console)
1. [Accedi a e apri Console di gestione AWS la console Amazon Keyspaces a casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Nel pannello di navigazione, scegli **Tabelle**, quindi seleziona **Crea tabella**.
1. **Nella pagina Crea tabella**, nella sezione **Dettagli della tabella**, seleziona un keyspace e fornisci un nome per la nuova tabella.
1. Nella sezione **Schema**, crea lo schema per la tua tabella.
1. Nella sezione **Impostazioni tabella**, scegli **Personalizza impostazioni**.
1. Continua con le **impostazioni di crittografia**.
In questo passaggio, si selezionano le impostazioni di crittografia per la tabella.
Nella sezione **Encryption at rest**, sotto **Scegli un AWS KMS key**, scegli l'opzione **Scegli una chiave KMS diversa (avanzata)** e nel campo di ricerca scegli AWS KMS key o inserisci un Amazon Resource Name (ARN).
**Nota**
Se la chiave selezionata non è accessibile o non dispone delle autorizzazioni richieste, consulta la sezione [Risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) nella Guida per gli AWS Key Management Service sviluppatori.
1. Scegli **Create (Crea)** per creare la tabella crittografata.
### Crea una nuova tabella utilizzando una chiave gestita dal cliente per la crittografia a riposo (CQL)
Per creare una nuova tabella che utilizza una chiave gestita dal cliente per la crittografia a riposo, è possibile utilizzare l'`CREATE TABLE`istruzione come illustrato nell'esempio seguente. Assicurati di sostituire la chiave ARN con un ARN per una chiave valida con autorizzazioni concesse ad Amazon Keyspaces.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Se ne ricevi una`Invalid Request Exception`, devi confermare che la chiave gestita dal cliente è valida e che Amazon Keyspaces dispone delle autorizzazioni richieste. Per confermare che la chiave è stata configurata correttamente, consulta [Risoluzione dei problemi di accesso tramite chiave nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) per gli AWS Key Management Service sviluppatori.
## Passaggio 4: Aggiornare la chiave di crittografia di una tabella esistente
Puoi anche utilizzare la console Amazon Keyspaces o CQL per modificare le chiavi di crittografia di una tabella esistente tra una Chiave di proprietà di AWS chiave KMS gestita dal cliente in qualsiasi momento.
### Aggiorna una tabella esistente con la nuova chiave gestita dal cliente (console)
1. [Accedi a e apri Console di gestione AWS la console Amazon Keyspaces a casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Nel pannello di navigazione, seleziona **Tabelle**.
1. Scegli la tabella che desideri aggiornare, quindi scegli la scheda **Impostazioni aggiuntive**.
1. Nella sezione **Crittografia a riposo**, scegli **Gestisci crittografia** per modificare le impostazioni di crittografia per la tabella.
In **Scegli un AWS KMS key**, scegli l'opzione **Scegli una chiave KMS diversa (avanzata)** e nel campo di ricerca scegli AWS KMS key o inserisci un Amazon Resource Name (ARN).
**Nota**
Se la chiave selezionata non è valida, consulta la sezione [Risoluzione dei problemi di accesso tramite chiave nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) per gli AWS Key Management Service sviluppatori.
In alternativa, puoi sceglierne una Chiave di proprietà di AWS per una tabella crittografata con una chiave gestita dal cliente.
1. Scegli **Salva modifiche** per salvare le modifiche alla tabella.
### Aggiorna la chiave di crittografia utilizzata per una tabella esistente
Per modificare la chiave di crittografia di una tabella esistente, si utilizza l'`ALTER TABLE`istruzione per specificare una chiave gestita dal cliente per la crittografia a riposo. Assicurati di sostituire la chiave ARN con un ARN per una chiave valida con autorizzazioni concesse ad Amazon Keyspaces.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Se ne ricevi una`Invalid Request Exception`, devi confermare che la chiave gestita dal cliente è valida e che Amazon Keyspaces dispone delle autorizzazioni richieste. Per confermare che la chiave è stata configurata correttamente, consulta [Risoluzione dei problemi di accesso tramite chiave nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) per gli AWS Key Management Service sviluppatori.
Per riportare la chiave di crittografia all'opzione predefinita di crittografia a riposo con Chiavi di proprietà di AWS, è possibile utilizzare l'`ALTER TABLE`istruzione come illustrato nell'esempio seguente.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Fase 5: utilizza il contesto di crittografia Amazon Keyspaces nei log
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.
Amazon Keyspaces utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Se utilizzi una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed) per proteggere la tua tabella Amazon Keyspaces, puoi utilizzare il contesto di crittografia per identificare l'uso della chiave gestita dal cliente nei record e nei log di controllo. [Viene inoltre visualizzato in testo non crittografato nei log, ad esempio in logs for e [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Amazon Logs. CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
Nelle sue richieste a AWS KMS, Amazon Keyspaces utilizza un contesto di crittografia con tre coppie chiave-valore.
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace**: la prima coppia chiave-valore identifica lo spazio chiave che include la tabella che Amazon Keyspaces sta crittografando. La chiave è `aws:cassandra:keyspaceName`. Il valore è il nome del keyspace.
```
"aws:cassandra:keyspaceName": ""
```
Esempio:
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Tabella**: la seconda coppia chiave-valore identifica la tabella che Amazon Keyspaces sta crittografando. La chiave è `aws:cassandra:tableName`. Il valore è il nome della tabella.
```
"aws:cassandra:tableName": ""
```
Esempio:
```
"aws:cassandra:tableName": "my_table"
```
+ **Account**: la terza coppia chiave-valore identifica il. Account AWS La chiave è `aws:cassandra:subscriberId`. Il valore è l'ID dell'account.
```
"aws:cassandra:subscriberId": ""
```
Esempio:
```
"aws:cassandra:subscriberId": "111122223333"
```
## Fase 6: Configurare il monitoraggio con AWS CloudTrail
Se utilizzi una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed) per proteggere le tue tabelle Amazon Keyspaces, puoi utilizzare AWS CloudTrail i log per tenere traccia delle richieste a cui Amazon Keyspaces invia per tuo conto. AWS KMS
Le `CreateGrant` richieste`GenerateDataKey`, `DescribeKey``Decrypt`, e vengono discusse in questa sezione. Inoltre, Amazon Keyspaces utilizza un'[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operazione per rimuovere una concessione quando elimini una tabella.
**Nota**
Quando lavori con Amazon Keyspaces, alcune operazioni possono generare CloudTrail eventi con un `invokedBy` campo di. `dynamodb.amazonaws.com` Ciò è previsto e si verifica perché Amazon Keyspaces si integra con Amazon DynamoDB per fornire il proprio servizio.
**GenerateDataKey**
Amazon Keyspaces crea una chiave di tabella unica per crittografare i dati inattivi. Invia una *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*richiesta a AWS KMS che specifica la chiave KMS per la tabella.
L’evento che registra l’operazione `GenerateDataKey` è simile a quello del seguente evento di esempio. L'utente è l'account del servizio Amazon Keyspaces. I parametri includono l'Amazon Resource Name (ARN) della chiave gestita dal cliente, un identificatore di chiave che richiede una chiave a 256 bit e il [contesto di crittografia](#encryption-context) che identifica lo spazio delle chiavi, la tabella e il. Account AWS
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces utilizza un'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione per determinare se la chiave KMS selezionata esiste nell'account e nella regione.
L’evento che registra l’operazione `DescribeKey` è simile a quello del seguente evento di esempio. L'utente è l'account del servizio Amazon Keyspaces. I parametri includono l'ARN della chiave gestita dal cliente e un identificatore di chiave che richiede una chiave a 256 bit.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Quando accedi a una tabella Amazon Keyspaces, Amazon Keyspaces deve decrittografare la chiave della tabella in modo da poter decrittografare le chiavi sottostanti nella gerarchia. Quindi decrittografa i dati nella tabella. Per decrittografare la chiave della tabella, Amazon Keyspaces invia una richiesta [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS che specifica la chiave KMS per la tabella.
L’evento che registra l’operazione `Decrypt` è simile a quello del seguente evento di esempio. L'utente è il tuo principale che accede alla tabella. Account AWS I parametri includono la chiave crittografata della tabella (come blob di testo cifrato) e il [contesto di crittografia](#encryption-context) che identifica la tabella e il. Account AWS AWS KMS ricava l'ID della chiave gestita dal cliente dal testo cifrato.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Quando utilizzi una [chiave gestita dal cliente](encryption.howitworks.md#customer-managed) per proteggere la tua tabella Amazon Keyspaces, Amazon Keyspaces utilizza le [concessioni](#encryption-grants) per consentire al servizio di eseguire attività continue di protezione dei dati, manutenzione e durabilità. Queste sovvenzioni non sono obbligatorie. [Chiavi di proprietà di AWS](encryption.howitworks.md#keyspaces-owned)
Le concessioni create da Amazon Keyspaces sono specifiche per una tabella. Il principale della [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta è l'utente che ha creato la tabella.
L’evento che registra l’operazione `CreateGrant` è simile a quello del seguente evento di esempio. I parametri includono l'ARN della chiave gestita dal cliente per la tabella, il principale beneficiario e il principale ritirante (il servizio Amazon Keyspaces) e le operazioni coperte dalla sovvenzione. [Include anche un vincolo che richiede che tutte le operazioni di crittografia utilizzino il contesto di crittografia specificato.](#encryption-context)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Crittografia in transito in Amazon Keyspaces
Amazon Keyspaces accetta solo connessioni sicure tramite Transport Layer Security (TLS). La crittografia in transito fornisce un ulteriore livello di protezione dei dati crittografando i dati mentre viaggiano da e verso Amazon Keyspaces. Le politiche organizzative, le normative di settore o governative e i requisiti di conformità spesso richiedono l'uso della crittografia in transito per aumentare la sicurezza dei dati delle applicazioni quando trasmettono dati sulla rete.
Per informazioni su come crittografare `cqlsh` le connessioni ad Amazon Keyspaces utilizzando TLS, consulta. [Come configurare manualmente le `cqlsh` connessioni per TLS](programmatic.cqlsh.md#encrypt_using_tls) Per informazioni su come utilizzare la crittografia TLS con i driver client, consulta. [Utilizzo di un driver client Cassandra per accedere ad Amazon Keyspaces a livello di codice](programmatic.drivers.md)
# Privacy del traffico di rete in Amazon Keyspaces
Questo argomento descrive come Amazon Keyspaces (per Apache Cassandra) protegge le connessioni dalle applicazioni locali ad Amazon Keyspaces e tra Amazon Keyspaces e altre risorse all'interno delle stesse. AWS Regione AWS
## Traffico tra servizio e applicazioni e client locali
Sono disponibili due opzioni di connettività tra la rete privata e: AWS
+ Una AWS Site-to-Site VPN connessione. Per ulteriori informazioni, consulta [Che cos’è AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) nella *Guida per l’utente di AWS Site-to-Site VPN *.
+ Una Direct Connect connessione. Per ulteriori informazioni, consulta [Che cos’è Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) nella *Guida per l’utente di Direct Connect *.
In quanto servizio gestito, Amazon Keyspaces (per Apache Cassandra) è protetto dalla AWS sicurezza di rete globale. [Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security.](https://aws.amazon.com/security/) Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon Keyspaces attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Amazon Keyspaces supporta due metodi di autenticazione delle richieste dei client. Il primo metodo utilizza credenziali specifiche del servizio, che sono credenziali basate su password generate per uno specifico utente IAM. Puoi creare e gestire la password utilizzando la console IAM, l'o l'API AWS CLI. AWS Per ulteriori informazioni, consulta [Using IAM with Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
Il secondo metodo utilizza un plug-in di autenticazione per il driver DataStax Java open source per Cassandra. Questo plug-in consente [agli utenti, ai ruoli e alle identità federate IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) di aggiungere informazioni di autenticazione alle richieste API di Amazon Keyspaces (per Apache Cassandra) utilizzando il processo [AWS Signature Version](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) 4 (SigV4). Per ulteriori informazioni, consulta [Crea e configura AWS credenziali per Amazon Keyspaces](access.credentials.md).
## Traffico tra risorse nella stessa regione AWS
Gli endpoint VPC di interfaccia consentono la comunicazione privata tra il tuo cloud privato virtuale (VPC) in esecuzione su Amazon VPC e Amazon Keyspaces. Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, un AWS servizio che consente la comunicazione privata tra e VPCs servizi. AWS AWS PrivateLink consente ciò utilizzando un'interfaccia di rete elastica con dati privati IPs nel tuo VPC in modo che il traffico di rete non lasci la rete Amazon. Gli endpoint VPC di interfaccia non richiedono un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Per ulteriori informazioni, consulta [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoint ()](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink Per esempi di policy, consulta [Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).
# AWS Identity and Access Management per Amazon Keyspaces
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Keyspaces. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Keyspaces con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità di Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon Keyspaces](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Keyspaces](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Keyspaces con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità di Amazon Keyspaces](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Keyspaces con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Keyspaces, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Keyspaces. Per avere una visione di alto livello di come Amazon Keyspaces e AWS altri servizi funzionano con IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
**Topics**
+ [Politiche basate sull'identità di Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse di Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Politiche basate sull'identità di Amazon Keyspaces
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Keyspaces supporta azioni e risorse specifiche e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
*Per visualizzare le risorse e le azioni specifiche del servizio Amazon Keyspaces e le chiavi contestuali delle condizioni che possono essere utilizzate per le policy di autorizzazione IAM, consulta [Actions, resources and condition keys per Amazon Keyspaces (per Apache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) Cassandra) nel Service Authorization Reference.*
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Amazon Keyspaces utilizzano il seguente prefisso prima dell'azione:. `cassandra:` Ad esempio, per concedere a qualcuno l'autorizzazione a creare uno spazio di chiavi Amazon Keyspaces con l'istruzione `CREATE` CQL di Amazon Keyspaces, includi l'azione nella sua politica. `cassandra:Create` Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon Keyspaces definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
*Per visualizzare un elenco delle azioni di Amazon Keyspaces, consulta [Actions Defined by Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) nel Service Authorization Reference.*
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
In Amazon Keyspaces, gli spazi chiave, le tabelle e gli stream possono essere utilizzati nell'`Resource`elemento delle autorizzazioni IAM.
**Nota**
Per accedere agli spazi chiave e alle tabelle degli utenti in Amazon Keyspaces, la tua policy IAM deve `cassandra:Select` includere le autorizzazioni sulle tabelle di sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Ciò si applica ai seguenti scenari:
AWS Accesso alla console di gestione
Operazioni relative alle risorse SDK, ad esempio`GetKeyspace`, `GetTable``ListKeyspaces`, e `ListTables`
Connessioni standard ai driver del client Apache Cassandra, poiché i driver leggono automaticamente le tabelle di sistema durante l'inizializzazione della connessione
Le tabelle di sistema sono di sola lettura e non possono essere modificate.
La risorsa keyspace di Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
La risorsa della tabella Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
La risorsa di flusso Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS service namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare `mykeyspace` lo spazio delle chiavi nella tua dichiarazione, usa il seguente ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Per specificare tutti gli spazi chiave che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Alcune azioni di Amazon Keyspaces, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Ad esempio, per concedere `SELECT` le autorizzazioni a un principale IAM for `mytable` in`mykeyspace`, il principale deve disporre delle autorizzazioni per leggere entrambi, e. `mytable` `keyspace/system*` Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Per visualizzare un elenco dei tipi di risorse Amazon Keyspaces e relativi ARNs, consulta [Resources Defined by Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Actions Defined by Amazon Keyspaces (per](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Apache Cassandra).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon Keyspaces definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
Tutte le azioni di Amazon Keyspaces supportano le chiavi `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, the e `aws:TagKeys` condition. Per ulteriori informazioni, consulta [Accesso alle risorse Amazon Keyspaces basato su tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
*Per visualizzare un elenco delle chiavi di condizione di Amazon Keyspaces, consulta Condition [Keys for Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Actions Defined by Amazon Keyspaces (per Apache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Cassandra).
### Esempi
Per visualizzare esempi di policy basate sull'identità di Amazon Keyspaces, consulta. [Esempi di policy basate sull'identità di Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse di Amazon Keyspaces
Amazon Keyspaces non supporta politiche basate sulle risorse. Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorizzazione basata sui tag Amazon Keyspaces
Puoi gestire l'accesso alle tue risorse Amazon Keyspaces utilizzando i tag. Per gestire l'accesso alle risorse in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando i tasti `cassandra:ResourceTag/key-name``aws:RequestTag/key-name`, o `aws:TagKeys` condition. Per ulteriori informazioni sull'etichettatura delle risorse Amazon Keyspaces, consulta. [Utilizzo di tag ed etichette per le risorse Amazon Keyspaces](tagging-keyspaces.md)
Per visualizzare policy basate sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Accesso alle risorse Amazon Keyspaces basato su tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Ruoli IAM di Amazon Keyspaces
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Amazon Keyspaces
Puoi utilizzare credenziali temporanee per effettuare l'accesso utilizzando la federazione, per assumere un ruolo IAM o per assumere un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Amazon Keyspaces supporta l'uso di credenziali temporanee con il plug-in di autenticazione AWS Signature Version 4 (SigV4) disponibile nel repository Github per le seguenti lingue:
+ [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin)Java:.
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Vai:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Per esempi e tutorial che implementano il plug-in di autenticazione per accedere ad Amazon Keyspaces a livello di codice, consulta. [Utilizzo di un driver client Cassandra per accedere ad Amazon Keyspaces a livello di codice](programmatic.drivers.md)
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi Amazon Keyspaces, consulta. **[Utilizzo di ruoli collegati ai servizi per Amazon Keyspaces](using-service-linked-roles.md)**
### Ruoli di servizio
Amazon Keyspaces non supporta i ruoli di servizio.
# Esempi di policy basate sull'identità di Amazon Keyspaces
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Amazon Keyspaces. Inoltre, non possono eseguire attività utilizzando la console, CQLSH o l'API AWS CLI. AWS Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente di IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accesso alle tabelle Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Accesso alle risorse Amazon Keyspaces basato su tag](#security_iam_id-based-policy-examples-tags)
## Best practice delle policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Keyspaces nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Keyspaces
Amazon Keyspaces non richiede autorizzazioni specifiche per accedere alla console Amazon Keyspaces. Sono necessarie almeno autorizzazioni di sola lettura per elencare e visualizzare i dettagli sulle risorse Amazon Keyspaces presenti nel tuo. Account AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Le entità hanno a disposizione due policy AWS gestite per l'accesso alla console Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Questa policy garantisce l'accesso in sola lettura ad Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Questa politica concede le autorizzazioni per utilizzare Amazon Keyspaces con accesso completo a tutte le funzionalità.
Per ulteriori informazioni sulle politiche gestite di Amazon Keyspaces, consulta. [AWS politiche gestite per Amazon Keyspaces](security-iam-awsmanpol.md)
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso alle tabelle Amazon Keyspaces
**Nota**
Per accedere agli spazi chiave e alle tabelle degli utenti in Amazon Keyspaces, la tua policy IAM deve `cassandra:Select` includere le autorizzazioni sulle tabelle di sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Ciò si applica ai seguenti scenari:
AWS Accesso alla console di gestione
Operazioni relative alle risorse SDK, ad esempio`GetKeyspace`, `GetTable``ListKeyspaces`, e `ListTables`
Connessioni standard ai driver del client Apache Cassandra, poiché i driver leggono automaticamente le tabelle di sistema durante l'inizializzazione della connessione
Le tabelle di sistema sono di sola lettura e non possono essere modificate.
Di seguito è riportato un esempio di policy che concede l'accesso in sola lettura (`SELECT`) alle tabelle di sistema Amazon Keyspaces. Per tutti gli esempi, sostituisci la regione e l'ID dell'account nell'Amazon Resource Name (ARN) con i tuoi.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
La seguente policy di esempio aggiunge l'accesso in sola lettura alla tabella utente `mytable` nel keyspace. `mykeyspace`
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
La seguente politica di esempio assegna read/write l'accesso a una tabella utente e l'accesso in lettura alle tabelle di sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
La seguente politica di esempio consente a un utente di creare tabelle in `mykeyspace` keyspace.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
La seguente politica di esempio assegna l'accesso in lettura alle tabelle di sistema, ma limita l'accesso `SELECT` (lettura) e `MODIFY` (scrittura) alla tabella utente. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Accesso alle risorse Amazon Keyspaces basato su tag
Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse di Amazon Keyspaces in base ai tag. Queste politiche controllano la visibilità degli spazi chiave e delle tabelle nell'account. Tieni presente che le autorizzazioni basate su tag per le tabelle di sistema si comportano in modo diverso quando le richieste vengono effettuate utilizzando l' AWS SDK rispetto alle chiamate API Cassandra Query Language (CQL) tramite i driver Cassandra e gli strumenti di sviluppo.
+ Per effettuare `List` richieste di `Get` risorse con l' AWS SDK quando si utilizza l'accesso basato su tag, il chiamante deve avere accesso in lettura alle tabelle di sistema. Ad esempio, sono necessarie le autorizzazioni di `Select` azione per leggere i dati dalle tabelle di sistema tramite l'operazione. `GetTable` Se il chiamante dispone solo dell'accesso basato su tag a una tabella specifica, un'operazione che richiede un accesso aggiuntivo a una tabella di sistema avrà esito negativo.
+ Per motivi di compatibilità con il comportamento consolidato dei driver Cassandra, le politiche di autorizzazione basate su tag non vengono applicate quando si eseguono operazioni sulle tabelle di sistema utilizzando chiamate API Cassandra Query Language (CQL) tramite driver Cassandra e strumenti di sviluppo.
L'esempio seguente mostra come è possibile creare una politica che conceda a un utente le autorizzazioni per visualizzare una tabella se la tabella `Owner` contiene il valore del nome utente di quell'utente. In questo esempio si fornisce anche l'accesso in lettura alle tabelle di sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di visualizzare una tabella Amazon Keyspaces, la tabella deve essere contrassegnata con `Owner=richard-roe` o. `owner=richard-roe` In caso contrario, gli viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
La seguente politica concede le autorizzazioni a un utente per creare tabelle con tag se la tabella `Owner` contiene il valore del nome utente di quell'utente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS politiche gestite per Amazon Keyspaces
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonKeyspacesReadOnlyAccess \$1v2
È possibile allegare la policy `AmazonKeyspacesReadOnlyAccess_v2` alle identità IAM.
Questa policy garantisce l'accesso in sola lettura ad Amazon Keyspaces e include le autorizzazioni richieste per la connessione tramite endpoint VPC privati.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Keyspaces`— Fornisce accesso in sola lettura ad Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Consente ai mandanti di visualizzare i flussi CDC di Amazon Keyspaces.
+ `Application Auto Scaling`: consente ai principali di visualizzare le configurazioni da Application Auto Scaling. Ciò è necessario per consentire agli utenti di visualizzare le policy di dimensionamento automatico collegate a una tabella.
+ `CloudWatch`— Consente ai responsabili di visualizzare i dati metrici e gli allarmi configurati in. CloudWatch Ciò è necessario per consentire agli utenti di visualizzare le dimensioni fatturabili della tabella e gli CloudWatch allarmi configurati per una tabella.
+ `AWS KMS`— Consente ai presidi di visualizzare le chiavi configurate in. AWS KMS Ciò è necessario affinché gli utenti possano visualizzare AWS KMS le chiavi che creano e gestiscono nel proprio account per confermare che la chiave assegnata ad Amazon Keyspaces è una chiave di crittografia simmetrica abilitata.
+ `Amazon EC2`— Consente ai responsabili di connettersi ad Amazon Keyspaces tramite endpoint VPC di interrogare il VPC sulla tua istanza Amazon EC2 per ottenere informazioni sull'endpoint e sull'interfaccia di rete. Questo accesso in sola lettura all'istanza Amazon EC2 è necessario per consentire ad Amazon Keyspaces di cercare e archiviare gli endpoint VPC dell'interfaccia disponibili nella tabella utilizzata per il bilanciamento del carico di connessione. `system.peers`
[Per rivedere il formato della policy, consulta \$1v2. `JSON` AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)
## AWS politica gestita: AmazonKeyspacesReadOnlyAccess
È possibile allegare la policy `AmazonKeyspacesReadOnlyAccess` alle identità IAM.
Questa politica garantisce l'accesso in sola lettura ad Amazon Keyspaces.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Keyspaces`— Fornisce accesso in sola lettura ad Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Consente ai mandanti di visualizzare i flussi CDC di Amazon Keyspaces.
+ `Application Auto Scaling`: consente ai principali di visualizzare le configurazioni da Application Auto Scaling. Ciò è necessario per consentire agli utenti di visualizzare le policy di dimensionamento automatico collegate a una tabella.
+ `CloudWatch`— Consente ai responsabili di visualizzare i dati metrici e gli allarmi configurati in. CloudWatch Ciò è necessario per consentire agli utenti di visualizzare le dimensioni fatturabili della tabella e gli CloudWatch allarmi configurati per una tabella.
+ `AWS KMS`— Consente ai presidi di visualizzare le chiavi configurate in. AWS KMS Ciò è necessario affinché gli utenti possano visualizzare AWS KMS le chiavi che creano e gestiscono nel proprio account per confermare che la chiave assegnata ad Amazon Keyspaces è una chiave di crittografia simmetrica abilitata.
Per rivedere il `JSON` formato della policy, consulta. [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)
## AWS politica gestita: AmazonKeyspacesFullAccess
È possibile allegare la policy `AmazonKeyspacesFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono agli amministratori l'accesso illimitato ad Amazon Keyspaces.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Keyspaces`— Consente ai mandanti di accedere a qualsiasi risorsa Amazon Keyspaces ed eseguire tutte le azioni.
+ `Application Auto Scaling`— Consente ai responsabili di creare, visualizzare ed eliminare politiche di ridimensionamento automatico per le tabelle Amazon Keyspaces. Ciò è necessario per consentire agli amministratori di gestire le politiche di scalabilità automatica per le tabelle Amazon Keyspaces.
+ `CloudWatch`— Consente ai responsabili di visualizzare le dimensioni fatturabili della tabella e di creare, visualizzare ed eliminare CloudWatch allarmi per le politiche di scalabilità automatica di Amazon Keyspaces. Ciò è necessario per consentire agli amministratori di visualizzare le dimensioni fatturabili della tabella e creare una dashboard. CloudWatch
+ `IAM`— Consente ad Amazon Keyspaces di creare automaticamente ruoli collegati ai servizi con IAM quando sono attivate le seguenti funzionalità:
+ `Amazon Keyspaces CDC streams`— Quando un amministratore abilita uno stream per una tabella, Amazon Keyspaces crea il ruolo [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) collegato al servizio per pubblicare le CloudWatch metriche nel tuo account per tuo conto.
+ `Application Auto Scaling`— Quando un amministratore abilita Application Auto Scaling per una tabella, Amazon Keyspaces crea il ruolo collegato al servizio per eseguire azioni di scalabilità automatica [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)per tuo conto.
+ `Amazon Keyspaces multi-Region replication`— Quando un amministratore crea un nuovo keyspace multiregionale o ne aggiunge uno nuovo Regione AWS a uno esistente per una singola regione, Amazon Keyspaces crea il [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)ruolo collegato al servizio per eseguire la replica di tabelle, dati e metadati nelle regioni selezionate per tuo conto.
+ `AWS KMS`: consente ai principali di visualizzare le chiavi configurate in AWS KMS. Ciò è necessario affinché gli utenti possano visualizzare AWS KMS le chiavi che creano e gestiscono nel proprio account per confermare che la chiave assegnata ad Amazon Keyspaces è una chiave di crittografia simmetrica abilitata.
+ `Amazon EC2`— Consente ai responsabili di connettersi ad Amazon Keyspaces tramite endpoint VPC di interrogare il VPC sulla tua istanza Amazon EC2 per ottenere informazioni sull'endpoint e sull'interfaccia di rete. Questo accesso in sola lettura all'istanza Amazon EC2 è necessario per consentire ad Amazon Keyspaces di cercare e archiviare gli endpoint VPC dell'interfaccia disponibili nella tabella utilizzata per il bilanciamento del carico di connessione. `system.peers`
Per rivedere il formato della policy, consulta. `JSON` [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)
## AWS politica gestita: Keyspaces CDCService RolePolicy
Non è possibile collegare `KeyspacesCDCServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Keyspaces di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per gli stream CDC di Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Questa politica concede le autorizzazioni necessarie al ruolo collegato al servizio per pubblicare i dati delle metriche di flusso CDC di `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces per tuo conto. CloudWatch
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CloudWatch`— Consente al service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) di pubblicare i dati metrici dai flussi CDC di Amazon Keyspaces `"cloudwatch:namespace": "AWS/Cassandra"` nel tuo account per tuo conto. CloudWatch
Per rivedere il `JSON` formato della politica, consulta [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Amazon Keyspaces si aggiorna alle AWS policy gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Keyspaces da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti per Amazon Keyspaces (per Apache Cassandra)](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy — Nuova](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) politica | Amazon Keyspaces ha aggiunto una nuova policy gestita `KeyspacesCDCServiceRolePolicy` che concede le autorizzazioni necessarie al ruolo collegato al servizio per `AWSServiceRoleForAmazonKeyspacesCDC` pubblicare i dati delle metriche di streaming CDC di Amazon Keyspaces per tuo conto. CloudWatch Per ulteriori informazioni, consulta [Utilizzo dei ruoli per gli stream CDC di Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 02 luglio 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Aggiornamento a una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire ai responsabili IAM di visualizzare i flussi CDC di Amazon Keyspaces. Per ulteriori informazioni, consulta [Visualizza gli stream CDC in Amazon Keyspaces](keyspaces-view-cdc.md). | 02 luglio 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire ai responsabili IAM di visualizzare i flussi CDC di Amazon Keyspaces. Per ulteriori informazioni, consulta [Visualizza gli stream CDC in Amazon Keyspaces](keyspaces-view-cdc.md). | 02 luglio 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha creato la policy `KeyspacesCDCServiceRolePolicy` gestita per il ruolo [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) collegato al servizio per aggiungere le autorizzazioni necessarie quando un amministratore abilita uno stream per una tabella. Amazon Keyspaces utilizza il ruolo collegato al servizio `AWSServiceRoleForAmazonKeyspacesCDC` per pubblicare i CloudWatch parametri nel tuo account per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per gli stream CDC di Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 02 luglio 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiornato il `KeyspacesReplicationServiceRolePolicy` ruolo collegato al servizio [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)per aggiungere le autorizzazioni necessarie quando un amministratore ne aggiunge uno nuovo Regione AWS a un keyspace singolo o multiregionale. Amazon Keyspaces utilizza il ruolo collegato al servizio `AWSServiceRoleForAmazonKeyspacesReplication` per replicare le tabelle, le relative impostazioni e i dati per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per la replica multiregionale di Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 novembre 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire ad Amazon Keyspaces di creare un ruolo collegato ai servizi quando un amministratore aggiunge una nuova regione a uno spazio di chiavi singolo o multiregionale. Amazon Keyspaces utilizza il ruolo collegato al servizio per eseguire attività di replica dei dati per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per la replica multiregionale di Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 ottobre 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2 — Nuova politica](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) | Amazon Keyspaces ha creato una nuova policy per aggiungere autorizzazioni di sola lettura per i client che si connettono ad Amazon Keyspaces tramite endpoint VPC di interfaccia per accedere all'istanza Amazon EC2 per cercare informazioni di rete. Amazon Keyspaces memorizza gli endpoint VPC di interfaccia disponibili nella `system.peers` tabella per il bilanciamento del carico di connessione. Per ulteriori informazioni, consulta [Utilizzo di Amazon Keyspaces con endpoint VPC di interfaccia](vpc-endpoints.md). | 12 settembre 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire ad Amazon Keyspaces di creare un ruolo collegato al servizio quando un amministratore crea uno spazio chiave multiregionale. Amazon Keyspaces utilizza il ruolo collegato al servizio `AWSServiceRoleForAmazonKeyspacesReplication` per eseguire attività di replica dei dati per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per la replica multiregionale di Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 giugno 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare le dimensioni fatturabili di una tabella utilizzando. CloudWatch Amazon Keyspaces si integra con Amazon CloudWatch per consentirti di monitorare le dimensioni fatturabili delle tabelle. Per ulteriori informazioni, consulta [Parametri di Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 luglio 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare le dimensioni fatturabili di una tabella utilizzando. CloudWatch Amazon Keyspaces si integra con Amazon CloudWatch per consentirti di monitorare le dimensioni fatturabili delle tabelle. Per ulteriori informazioni, consulta [Parametri di Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 luglio 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare le AWS KMS chiavi che sono state configurate per la crittografia Amazon Keyspaces quando sono inutilizzate. La crittografia a riposo di Amazon Keyspaces si integra con la protezione e la gestione delle chiavi di crittografia utilizzate AWS KMS per crittografare i dati inattivi. Per visualizzare la AWS KMS chiave configurata per Amazon Keyspaces, sono state aggiunte autorizzazioni di sola lettura. | 1 giugno 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess): aggiornamento di una policy esistente | Amazon Keyspaces ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare le AWS KMS chiavi che sono state configurate per la crittografia Amazon Keyspaces quando sono inutilizzate. La crittografia a riposo di Amazon Keyspaces si integra con la protezione e la gestione delle chiavi di crittografia utilizzate AWS KMS per crittografare i dati inattivi. Per visualizzare la AWS KMS chiave configurata per Amazon Keyspaces, sono state aggiunte autorizzazioni di sola lettura. | 1 giugno 2021 |
| Amazon Keyspaces ha iniziato a tracciare le modifiche | Amazon Keyspaces ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 1 giugno 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Keyspaces
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Keyspaces e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [Ho modificato un utente o un ruolo IAM e le modifiche non hanno avuto effetto immediato](#security_iam_troubleshoot-effect)
+ [Non riesco a ripristinare una tabella utilizzando Amazon Keyspaces point-in-time recovery (PITR)](#security_iam_troubleshoot-pitr)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sono un amministratore e desidero consentire ad altri di accedere ad Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Keyspaces
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.
Il seguente errore di esempio si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per visualizzare i dettagli su a *table* ma non dispone `cassandra:Select` delle autorizzazioni per la tabella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `mytable` mediante l'operazione `cassandra:Select`.
## Ho modificato un utente o un ruolo IAM e le modifiche non hanno avuto effetto immediato
Le modifiche alle policy IAM possono richiedere fino a 10 minuti per avere effetto per le applicazioni con connessioni esistenti e stabilite ad Amazon Keyspaces. Le modifiche alle policy IAM hanno effetto immediato quando le applicazioni stabiliscono una nuova connessione. Se hai apportato modifiche a un utente o a un ruolo IAM esistente e non hanno avuto effetto immediato, attendi 10 minuti o disconnettiti e riconnettiti ad Amazon Keyspaces.
## Non riesco a ripristinare una tabella utilizzando Amazon Keyspaces point-in-time recovery (PITR)
Se stai tentando di ripristinare una tabella Amazon Keyspaces con point-in-time ripristino (PITR) e vedi che il processo di ripristino inizia, ma non viene completato correttamente, potresti non aver configurato tutte le autorizzazioni richieste necessarie per il processo di ripristino. Devi contattare il tuo amministratore per ricevere assistenza e chiedere a quella persona di aggiornare le tue politiche per consentirti di ripristinare una tabella in Amazon Keyspaces.
Oltre alle autorizzazioni utente, Amazon Keyspaces può richiedere le autorizzazioni per eseguire azioni durante il processo di ripristino per conto del tuo principale. Questo è il caso se la tabella è crittografata con una chiave gestita dal cliente o se utilizzi politiche IAM che limitano il traffico in entrata. Ad esempio, se utilizzi le chiavi di condizione nella tua policy IAM per limitare il traffico di origine a endpoint o intervalli IP specifici, l'operazione di ripristino non riesce. Per consentire ad Amazon Keyspaces di eseguire l'operazione di ripristino della tabella per conto del tuo principale, devi aggiungere una chiave di condizione `aws:ViaAWSService` globale nella policy IAM.
Per ulteriori informazioni sulle autorizzazioni per ripristinare le tabelle, consulta. [Configura le autorizzazioni IAM della tabella di ripristino per Amazon Keyspaces PITR](howitworks_restore_permissions.md)
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Keyspaces.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Keyspaces. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Sono un amministratore e desidero consentire ad altri di accedere ad Amazon Keyspaces
Per consentire ad altri di accedere ad Amazon Keyspaces, devi concedere l'autorizzazione alle persone o alle applicazioni che devono accedervi. Se lo utilizzi AWS IAM Identity Center per gestire persone e applicazioni, assegni set di autorizzazioni a utenti o gruppi per definirne il livello di accesso. I set di autorizzazioni creano e assegnano automaticamente le policy IAM ai ruoli IAM associati alla persona o all'applicazione. Per ulteriori informazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
Se non utilizzi IAM Identity Center, devi creare entità IAM (utenti o ruoli) per le persone o le applicazioni che necessitano di accesso. Devi quindi allegare una policy all'entità che concede loro le autorizzazioni corrette in Amazon Keyspaces. Dopo aver concesso le autorizzazioni, fornisci le credenziali all'utente o allo sviluppatore dell'applicazione. Utilizzeranno tali credenziali per accedere. AWS*Per ulteriori informazioni sulla creazione di utenti, gruppi, policy e autorizzazioni IAM, consulta [IAM Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) and [Policies and permissions in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.*
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Keyspaces
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Keyspaces supporta queste funzionalità, consulta. [Come funziona Amazon Keyspaces con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Utilizzo di ruoli collegati ai servizi per Amazon Keyspaces
[Amazon Keyspaces (per Apache Cassandra) utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Keyspaces. I ruoli collegati ai servizi sono predefiniti da Amazon Keyspaces e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Sì nella colonna Ruoli collegati ai servizi.**** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
**Topics**
+ [Utilizzo dei ruoli per la scalabilità automatica delle applicazioni Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Utilizzo dei ruoli per la replica multiregionale di Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Utilizzo dei ruoli per gli stream CDC di Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Utilizzo dei ruoli per la scalabilità automatica delle applicazioni Amazon Keyspaces
[Amazon Keyspaces (per Apache Cassandra) utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Keyspaces. I ruoli collegati ai servizi sono predefiniti da Amazon Keyspaces e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Keyspaces perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Keyspaces definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Keyspaces può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon Keyspaces perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
## Autorizzazioni di ruolo collegate ai servizi per Amazon Keyspaces
Amazon Keyspaces utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**per consentire ad Application Auto Scaling di chiamare Amazon Keyspaces e Amazon per tuo conto. CloudWatch
Il ruolo AWSServiceRoleForApplicationAutoScaling\$1CassandraTable collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `cassandra.application-autoscaling.amazonaws.com`
La politica di autorizzazione dei ruoli consente ad Application Auto Scaling di completare le seguenti azioni sulle risorse Amazon Keyspaces specificate:
+ Operazione: `cassandra:Select` su `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Operazione: `cassandra:Select` sulla risorsa `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Operazione: `cassandra:Select` sulla risorsa `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Operazione: `cassandra:Alter` sulla risorsa `arn:*:cassandra:*:*:"*"`
## Creazione di un ruolo collegato ai servizi per Amazon Keyspaces
Non è necessario creare manualmente un ruolo collegato ai servizi per la scalabilità automatica di Amazon Keyspaces. Quando abiliti la scalabilità automatica di Amazon Keyspaces su una tabella con Console di gestione AWS, CQL, o l' AWS CLI AWS API, Application Auto Scaling crea il ruolo collegato al servizio per te.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la scalabilità automatica di Amazon Keyspaces per una tabella, Application Auto Scaling crea nuovamente il ruolo collegato al servizio per te.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Per ulteriori informazioni, consulta A [new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
## Modifica di un ruolo collegato al servizio per Amazon Keyspaces
Amazon Keyspaces non consente di modificare il ruolo collegato al AWSServiceRoleForApplicationAutoScaling\$1CassandraTable servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Keyspaces
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, devi prima disabilitare il ridimensionamento automatico su tutte le tabelle dell'account Regioni AWS prima di poter eliminare manualmente il ruolo collegato al servizio. Per disabilitare il ridimensionamento automatico sulle tabelle Amazon Keyspaces, consulta. [Disattiva la scalabilità automatica di Amazon Keyspaces per una tabella](autoscaling.turnoff.md)
**Nota**
Se il ridimensionamento automatico di Amazon Keyspaces utilizza il ruolo quando tenti di modificare le risorse, l'annullamento della registrazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio. AWSServiceRoleForApplicationAutoScaling\$1CassandraTable Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
**Nota**
Per eliminare il ruolo collegato al servizio utilizzato dalla scalabilità automatica di Amazon Keyspaces, devi prima disabilitare la scalabilità automatica su tutte le tabelle dell'account.
## Regioni supportate per i ruoli collegati ai servizi Amazon Keyspaces
Amazon Keyspaces supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Service endpoints for Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Utilizzo dei ruoli per la replica multiregionale di Amazon Keyspaces
[Amazon Keyspaces (per Apache Cassandra) utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Keyspaces. I ruoli collegati ai servizi sono predefiniti da Amazon Keyspaces e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Keyspaces perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Keyspaces definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Keyspaces può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon Keyspaces perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
## Autorizzazioni di ruolo collegate ai servizi per Amazon Keyspaces
Amazon Keyspaces utilizza il ruolo collegato al servizio denominato per consentire ad **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces di aggiungerne di nuovi a un keyspace Regioni AWS per tuo conto e di replicare le tabelle e tutti i relativi dati e impostazioni nella nuova regione. Il ruolo consente inoltre ad Amazon Keyspaces di replicare le scritture su tabelle in tutte le regioni per tuo conto.
Il ruolo AWSService RoleForAmazonKeyspacesReplication collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `replication.cassandra.amazonaws.com`
La politica di autorizzazione dei ruoli denominata KeyspacesReplicationServiceRolePolicy consente ad Amazon Keyspaces di completare le seguenti azioni:
+ Operazione: `cassandra:Select`
+ Operazione: `cassandra:SelectMultiRegionResource`
+ Operazione: `cassandra:Modify`
+ Operazione: `cassandra:ModifyMultiRegionResource`
+ Operazione: `cassandra:AlterMultiRegionResource`
+ Azione: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces utilizza le autorizzazioni di auto scaling dell'applicazione quando aggiungi una replica a una singola tabella regionale in modalità provisioning con la scalabilità automatica abilitata.
+ Operazione: `application-autoscaling:DeregisterScalableTarget`
+ Operazione: `application-autoscaling:DescribeScalableTargets`
+ Operazione: `application-autoscaling:PutScalingPolicy`
+ Operazione: `application-autoscaling:DescribeScalingPolicies`
+ Operazione: `cassandra:Alter`
+ Operazione: `cloudwatch:DeleteAlarms`
+ Operazione: `cloudwatch:DescribeAlarms`
+ Operazione: `cloudwatch:PutMetricAlarm`
Sebbene il ruolo collegato al servizio Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication fornisca le autorizzazioni: «Action:» per l'Amazon Resource Name (ARN) «arn: \$1» specificato nella policy, Amazon Keyspaces fornisce l'ARN del tuo account.
Le autorizzazioni per creare il ruolo collegato al servizio sono incluse nella policy gestita. AWSService RoleForAmazonKeyspacesReplication `AmazonKeyspacesFullAccess` Per ulteriori informazioni, consulta [AWS politica gestita: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon Keyspaces
Non puoi creare manualmente un ruolo collegato al servizio. Quando crei uno spazio chiave multiregionale nell' AWS API Console di gestione AWS, Amazon Keyspaces crea automaticamente il ruolo collegato al servizio. AWS CLI
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei uno spazio di chiavi multiregionale, Amazon Keyspaces crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Amazon Keyspaces
Amazon Keyspaces non consente di modificare il ruolo collegato al AWSService RoleForAmazonKeyspacesReplication servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Keyspaces
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, devi prima eliminare tutti gli spazi chiave multiregionali dell'account Regioni AWS prima di poter eliminare manualmente il ruolo collegato al servizio.
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, devi prima eliminare tutti gli spazi chiave e le tabelle multiregionali utilizzati dal ruolo.
**Nota**
Se il servizio Amazon Keyspaces utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse Amazon Keyspaces utilizzate da AWSService RoleForAmazonKeyspacesReplication (console)**
1. [Accedi a e apri Console di gestione AWS la console Amazon Keyspaces a casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Scegliete **Keyspaces** dal pannello a sinistra.
1. Seleziona tutti gli spazi chiave multiregionali dall'elenco.
1. Scegli **Elimina**, conferma l'eliminazione e scegli **Elimina** spazi chiave.
Puoi anche eliminare gli spazi chiave multiregione a livello di codice utilizzando uno dei seguenti metodi.
+ L'istruzione Cassandra Query Language (CQL). [RILASCIA LO SPAZIO CHIAVE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ L'operazione [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) della CLI. AWS
+ Il [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)funzionamento dell'API Amazon Keyspaces.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAmazonKeyspacesReplication servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi Amazon Keyspaces
Amazon Keyspaces non supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Puoi utilizzare il AWSService RoleForAmazonKeyspacesReplication ruolo nelle seguenti regioni.
****
| Nome della Regione | Identità della Regione | Support in Amazon Keyspaces |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | No |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | No |
# Utilizzo dei ruoli per gli stream CDC di Amazon Keyspaces
[Amazon Keyspaces (per Apache Cassandra) utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Keyspaces. I ruoli collegati ai servizi sono predefiniti da Amazon Keyspaces e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Keyspaces perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Keyspaces definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Keyspaces può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
Non puoi eliminare il ruolo collegato al servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon Keyspaces
Amazon Keyspaces utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForAmazonKeyspacesCDC** per consentire agli stream di Amazon Keyspaces CDC di pubblicare i parametri nel tuo account per CloudWatch tuo conto.
Il ruolo collegato al servizio AWSService RoleForAmazonKeyspaces CDC prevede che il seguente servizio assuma il ruolo:
+ `cassandra-streams.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [CDCServiceRolePolicyKeyspaces](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) consente ad Amazon Keyspaces di completare le seguenti azioni sulle risorse nel namespace: CloudWatch `AWS/Cassandra`
+ Operazione: `cloudwatch:PutMetricData` su `*`
Il AWSService RoleForAmazonKeyspaces CDC fornisce le autorizzazioni: Azione: cloudwatch: PutMetricData su tutte le risorse che soddisfano la seguente condizione:. `"cloudwatch:namespace": "AWS/Cassandra"`
Per ulteriori informazioni su Keyspaces CDCServiceRolePolicy, vedere. [AWS politica gestita: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Per abilitare gli stream CDC per una tabella, che crea automaticamente il ruolo AWSService RoleForAmazonKeyspaces CDC collegato al servizio, il principale IAM necessita delle seguenti autorizzazioni.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
Le autorizzazioni per creare il ruolo CDC collegato al servizio sono incluse nella policy gestita. AWSService RoleForAmazonKeyspaces `AmazonKeyspacesFullAccess` Per ulteriori informazioni, consulta [AWS politica gestita: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Creazione di un ruolo collegato ai servizi per Amazon Keyspaces
Non è necessario creare manualmente un ruolo collegato al servizio per gli stream CDC di Amazon Keyspaces. Quando abiliti gli stream Amazon Keyspaces CDC su una tabella con CQL Console di gestione AWS, o l'API, AWS Amazon Keyspaces crea il ruolo collegato al servizio per te. AWS CLI
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti gli stream Amazon Keyspaces CDC per una tabella, Amazon Keyspaces crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Amazon Keyspaces
Amazon Keyspaces non consente di modificare il ruolo collegato al servizio AWSService RoleForAmazonKeyspaces CDC. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi Amazon Keyspaces
Amazon Keyspaces supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Convalida della conformità per Amazon Keyspaces (per Apache Cassandra)
I revisori di terze parti valutano la sicurezza e la conformità di Amazon Keyspaces (per Apache Cassandra) come parte di più programmi di conformità. AWS Ciò include:
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Per ulteriori informazioni, consulta le certificazioni e i [AWS servizi ISO e CSA STAR](https://aws.amazon.com/compliance/iso-certified/).
+ System and Organization Controls (SOC)
+ Payment Card Industry (PCI)
+ Programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP) High
+ Health Insurance Portability and Accountability Act (HIPAA)
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza e disaster recovery in Amazon Keyspaces
L'infrastruttura AWS globale è costruita attorno a zone di disponibilità. Regioni AWS Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
Amazon Keyspaces replica i dati automaticamente tre volte in più zone di AWS disponibilità all'interno della stessa Regione AWS per garantire durabilità e disponibilità elevata.
Per ulteriori informazioni sulle Regioni AWS zone di disponibilità, consulta l'infrastruttura [AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Oltre all'infrastruttura AWS globale, Amazon Keyspaces offre diverse funzionalità per supportare le tue esigenze di resilienza e backup dei dati.
**Replica in più regioni**
Amazon Keyspaces offre la replica in più regioni se è necessario replicare dati o applicazioni su distanze geografiche maggiori. Puoi replicare le tue tabelle Amazon Keyspaces tra Regioni AWS diverse tabelle a tua scelta. Per ulteriori informazioni, consulta [Replica multiregionale per Amazon Keyspaces (per Apache Cassandra)](multiRegion-replication.md).
**Point-in-time recupero (PITR)**
PITR aiuta a proteggere le tabelle Amazon Keyspaces da operazioni di scrittura o cancellazione accidentali fornendo backup continui dei dati delle tabelle. Per ulteriori informazioni, consulta [P oint-in-time recovery for Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).
# Sicurezza dell'infrastruttura in Amazon Keyspaces
In quanto servizio gestito, Amazon Keyspaces (per Apache Cassandra) è protetto dalla AWS sicurezza di rete globale. [Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security.](https://aws.amazon.com/security/) Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon Keyspaces attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Amazon Keyspaces supporta due metodi di autenticazione delle richieste dei client. Il primo metodo utilizza credenziali specifiche del servizio, che sono credenziali basate su password generate per uno specifico utente IAM. Puoi creare e gestire la password utilizzando la console IAM, l'o l'API AWS CLI. AWS Per ulteriori informazioni, consulta [Using IAM with Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
Il secondo metodo utilizza un plug-in di autenticazione per il driver DataStax Java open source per Cassandra. Questo plug-in consente [agli utenti, ai ruoli e alle identità federate IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) di aggiungere informazioni di autenticazione alle richieste API di Amazon Keyspaces (per Apache Cassandra) utilizzando il processo [AWS Signature Version](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) 4 (SigV4). Per ulteriori informazioni, consulta [Crea e configura AWS credenziali per Amazon Keyspaces](access.credentials.md).
Puoi chiamare queste operazioni API da qualsiasi posizione di rete, ma Amazon Keyspaces supporta politiche di accesso basate sulle risorse, che possono includere restrizioni basate sull'indirizzo IP di origine. Puoi anche utilizzare le policy di Amazon Keyspaces per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) specifici o specifici. VPCs In effetti, questo isola l'accesso alla rete a una determinata risorsa Amazon Keyspaces solo dal VPC specifico all'interno della rete. AWS
Puoi utilizzare un endpoint VPC di interfaccia per impedire che il traffico tra Amazon VPC e Amazon Keyspaces esca dalla rete Amazon. Gli endpoint VPC di interfaccia sono basati su una AWS tecnologia che consente la comunicazione privata tra AWS i servizi utilizzando un'interfaccia di rete elastica con private nel IPs tuo Amazon VPC. AWS PrivateLink Per ulteriori informazioni, consulta [Utilizzo di Amazon Keyspaces con endpoint VPC di interfaccia](vpc-endpoints.md).
# Utilizzo di Amazon Keyspaces con endpoint VPC di interfaccia
Gli endpoint VPC di interfaccia consentono la comunicazione privata tra il tuo cloud privato virtuale (VPC) in esecuzione su Amazon VPC e Amazon Keyspaces. Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, un AWS servizio che consente la comunicazione privata tra e VPCs servizi. AWS
AWS PrivateLink consente ciò utilizzando un'interfaccia di rete elastica con indirizzi IP privati nel tuo VPC in modo che il traffico di rete non lasci la rete Amazon. Gli endpoint VPC dell'interfaccia non richiedono gateway Internet, dispositivo NAT, connessione VPN o connessione Direct Connect . Per ulteriori informazioni, consulta [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoint ()](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink
**Topics**
+ [Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Inserimento delle voci della `system.peers` tabella con informazioni sugli endpoint VPC dell'interfaccia](#system_peers)
+ [Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Disponibilità](#availability)
+ [Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)](#VPC_PITR_restore)
+ [Errori e avvertenze comuni](#vpc_troubleshooting)
## Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces
Puoi creare un endpoint VPC di interfaccia in modo che il traffico tra Amazon Keyspaces e le tue risorse Amazon VPC inizi a fluire attraverso l'endpoint VPC dell'interfaccia. [Per iniziare, segui i passaggi per creare un endpoint di interfaccia.](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Successivamente, modifica il gruppo di sicurezza associato all'endpoint creato nel passaggio precedente e configura una regola in entrata per la porta 9142. Per ulteriori informazioni, consulta [Aggiungere, rimuovere e](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules) aggiornare le regole.
Per un step-by-step tutorial su come configurare una connessione ad Amazon Keyspaces tramite un endpoint VPC, consulta. [Tutorial: Connettiti ad Amazon Keyspaces utilizzando un endpoint VPC di interfaccia](vpc-endpoints-tutorial.md) Per informazioni su come configurare l'accesso tra account diversi per le risorse Amazon Keyspaces separate dalle applicazioni in modo Account AWS diverso in un VPC, consulta. [Configura l'accesso tra account ad Amazon Keyspaces con endpoint VPC](access.cross-account.md)
## Inserimento delle voci della `system.peers` tabella con informazioni sugli endpoint VPC dell'interfaccia
I driver Apache Cassandra utilizzano la `system.peers` tabella per richiedere informazioni sui nodi relative al cluster. I driver Cassandra utilizzano le informazioni sui nodi per bilanciare il carico delle connessioni e riprovare le operazioni. Amazon Keyspaces inserisce automaticamente nove voci nella `system.peers` tabella per i client che si connettono tramite l'endpoint pubblico.
Per fornire ai client che si connettono tramite endpoint VPC di interfaccia con funzionalità simili, Amazon Keyspaces compila la `system.peers` tabella del tuo account con una voce per ogni zona di disponibilità in cui è disponibile un endpoint VPC. Per cercare e archiviare gli endpoint VPC di interfaccia disponibili nella tabella`system.peers`, Amazon Keyspaces richiede che tu conceda all'entità IAM utilizzata per connettersi ad Amazon Keyspaces le autorizzazioni di accesso per interrogare il tuo VPC per le informazioni sull'endpoint e sull'interfaccia di rete.
**Importante**
La compilazione della `system.peers` tabella con gli endpoint VPC dell'interfaccia disponibili migliora il bilanciamento del carico e aumenta il throughput. read/write È consigliato a tutti i client che accedono ad Amazon Keyspaces utilizzando endpoint VPC di interfaccia ed è necessario per Apache Spark.
Per concedere all'entità IAM utilizzata per connettersi ad Amazon Keyspaces le autorizzazioni per cercare le informazioni necessarie sugli endpoint VPC dell'interfaccia, puoi aggiornare il ruolo o la policy utente IAM esistente o creare una nuova policy IAM come mostrato nell'esempio seguente.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListVPCEndpoints",
"Effect":"Allow",
"Action":[
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints"
],
"Resource":"*"
}
]
}
```
**Nota**
Le policy gestite `AmazonKeyspacesFullAccess` includono `AmazonKeyspacesReadOnlyAccess_v2` le autorizzazioni necessarie per consentire ad Amazon Keyspaces di accedere all'istanza Amazon EC2 per leggere informazioni sugli endpoint VPC di interfaccia disponibili.
Per confermare che la policy sia stata impostata correttamente, consulta la `system.peers` tabella per visualizzare le informazioni di rete. Se la `system.peers` tabella è vuota, potrebbe indicare che la policy non è stata configurata correttamente o che hai superato la quota di frequenza delle richieste `DescribeNetworkInterfaces` e le azioni `DescribeVPCEndpoints` API. `DescribeVPCEndpoints`rientra nella `Describe*` categoria ed è considerata un'*azione non mutante*. `DescribeNetworkInterfaces`rientra nel sottoinsieme delle azioni non mutanti *non filtrate e non impaginate e* si applicano quote diverse. Per ulteriori informazioni, consulta le [dimensioni dei bucket di token e le frequenze di ricarica](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) nell'Amazon EC2 API Reference.
Se vedi una tabella vuota, riprova qualche minuto dopo per escludere problemi relativi alla quota delle tariffe di richiesta. Per verificare di aver configurato correttamente gli endpoint VPC, consulta. [La mia connessione endpoint VPC non funziona correttamente](troubleshooting.connecting.md#troubleshooting.connection.vpce) Se la tua query restituisce risultati dalla tabella, la tua policy è stata configurata correttamente.
## Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces
Con le policy degli endpoint VPC, puoi controllare l'accesso alle risorse in due modi:
+ **Policy IAM**: puoi controllare le richieste, gli utenti o i gruppi autorizzati ad accedere ad Amazon Keyspaces tramite un endpoint VPC specifico. Puoi farlo utilizzando una [chiave di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella policy associata a un utente, gruppo o ruolo IAM.
+ **Policy VPC**: puoi controllare quali endpoint VPC hanno accesso alle tue risorse Amazon Keyspaces associando loro delle policy. Per limitare l'accesso a uno spazio chiave o a una tabella specifici per consentire il traffico proveniente solo da un endpoint VPC specifico, modifica la policy IAM esistente che limita l'accesso alle risorse e aggiungi quell'endpoint VPC.
Di seguito sono riportati alcuni esempi di policy per gli endpoint per l'accesso alle risorse di Amazon Keyspaces.
+ **Esempio di policy IAM: limita tutti gli accessi a una tabella Amazon Keyspaces specifica a meno che il traffico non provenga dall'endpoint VPC** specificato: questa policy di esempio può essere associata a un utente, ruolo o gruppo IAM. Limita l'accesso a una tabella Amazon Keyspaces specificata a meno che il traffico in entrata non provenga da un endpoint VPC specificato.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UserOrRolePolicyToDenyAccess",
"Action": "cassandra:*",
"Effect": "Deny",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
}
]
}
```
**Nota**
Per limitare l'accesso a una tabella specifica, devi includere anche l'accesso alle tabelle di sistema. Le tabelle di sistema sono di sola lettura.
+ **Esempio di policy VPC: accesso in sola lettura:** questa policy di esempio può essere collegata a un endpoint VPC. (Per ulteriori informazioni, consulta [Controllare l'accesso alle risorse Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies). Limita le azioni all'accesso in sola lettura alle risorse Amazon Keyspaces tramite l'endpoint VPC a cui è collegato.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"cassandra:Select"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **Esempio di policy VPC: limita l'accesso a una tabella Amazon Keyspaces specifica**: questa policy di esempio può essere collegata a un endpoint VPC. Limita l'accesso a una tabella specifica tramite l'endpoint VPC a cui è collegata.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTable",
"Principal": "*",
"Action": "cassandra:*",
"Effect": "Allow",
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
**Nota**
Per limitare l'accesso a una tabella specifica, è necessario includere anche l'accesso alle tabelle di sistema. Le tabelle di sistema sono di sola lettura.
## Disponibilità
Amazon Keyspaces supporta l'utilizzo di endpoint VPC di interfaccia in tutti i luoghi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint di servizio per Amazon Keyspaces](programmatic.endpoints.md).
## Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)
Se utilizzi policy IAM con [chiavi di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per limitare il traffico in entrata, l'operazione di ripristino della tabella potrebbe non riuscire. Ad esempio, se limiti il traffico di origine a endpoint VPC specifici utilizzando chiavi di `aws:SourceVpce` condizione, l'operazione di ripristino della tabella ha esito negativo. Per consentire ad Amazon Keyspaces di eseguire un'operazione di ripristino per conto del tuo principale, devi aggiungere una chiave di `aws:ViaAWSService` condizione alla tua policy IAM. La chiave di `aws:ViaAWSService` condizione consente l'accesso quando un AWS servizio effettua una richiesta utilizzando le credenziali del principale. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Condition key](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*. La seguente policy ne è un esempio.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CassandraAccessForVPCE",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"false"
},
"StringEquals":{
"aws:SourceVpce":[
"vpce-12345678901234567"
]
}
}
},
{
"Sid":"CassandraAccessForAwsService",
"Effect":"Allow",
"Action":"cassandra:*",
"Resource":"*",
"Condition":{
"Bool":{
"aws:ViaAWSService":"true"
}
}
}
]
}
```
## Errori e avvertenze comuni
**Se utilizzi Amazon Virtual Private Cloud e ti connetti ad Amazon Keyspaces, potresti visualizzare il seguente avviso.**
```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration;
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```
Questo avviso si verifica perché la `system.peers` tabella contiene le voci per tutti gli endpoint Amazon VPC che Amazon Keyspaces dispone delle autorizzazioni per la visualizzazione, incluso l'endpoint Amazon VPC tramite il quale sei connesso. Puoi tranquillamente ignorare questo avviso.
Per altri errori, vedere[La mia connessione endpoint VPC non funziona correttamente](troubleshooting.connecting.md#troubleshooting.connection.vpce).
# Utilizzo dei flussi CDC di Amazon Keyspaces con endpoint VPC di interfaccia
Gli endpoint VPC di interfaccia consentono la comunicazione privata tra il tuo cloud privato virtuale (VPC) in esecuzione su Amazon VPC e Amazon Keyspaces. Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, un AWS servizio che consente la comunicazione privata tra e VPCs servizi. AWS
AWS PrivateLink consente ciò utilizzando un'interfaccia di rete elastica con indirizzi IP privati nel tuo VPC in modo che il traffico di rete non lasci la rete Amazon. Gli endpoint VPC dell'interfaccia non richiedono gateway Internet, dispositivo NAT, connessione VPN o connessione Direct Connect . Per ulteriori informazioni, consulta [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoint ()](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink
**Topics**
+ [Utilizzo degli endpoint VPC dell'interfaccia per i flussi CDC di Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Endpoint VPC dell'interfaccia CDC di Amazon Keyspaces (CDC)](#interface-vpc-endpoints-streams-types)
+ [Crea un endpoint VPC con interfaccia Streams CDC di Amazon Keyspaces](#create-interface-vpc-endpoints-streams)
+ [Aggiornamento di un endpoint VPC con interfaccia Amazon Keyspaces CDC Streams](#update-interface-vpc-endpoints-streams)
+ [Elenca i flussi utilizzando un endpoint VPC con interfaccia CDC Streams di Amazon Keyspaces](#list-interface-vpc-endpoints-streams)
+ [Crea una policy per un endpoint VPC con interfaccia Amazon Keyspaces CDC Streams](#interface-vpc-endpoints-streams-policy)
## Utilizzo degli endpoint VPC dell'interfaccia per i flussi CDC di Amazon Keyspaces
Puoi utilizzare un endpoint VPC di interfaccia in modo che il traffico tra i flussi CDC di Amazon Keyspaces e le tue risorse Amazon VPC inizi a fluire attraverso l'endpoint VPC dell'interfaccia. Puoi utilizzare le policy degli endpoint VPC per limitare l'accesso ai tuoi stream CDC.
Per ulteriori informazioni sugli stream CDC di Amazon Keyspaces, consulta. [Utilizzo di flussi di acquisizione dati di modifica (CDC) in Amazon Keyspaces](cdc.md)
## Endpoint VPC dell'interfaccia CDC di Amazon Keyspaces (CDC)
**Quando crei un endpoint di interfaccia, Amazon Keyspaces CDC Streams genera due tipi di nomi DNS specifici dell'endpoint per lo stream: regionale e zonale.**
**Regionale**
Il nome DNS regionale include le seguenti informazioni:
+ un ID endpoint Amazon VPC univoco
+ un identificatore di servizio
+ il Regione AWS
+ il `vpce.amazonaws.com` suffisso
Per un endpoint Amazon VPC con l'ID`vpce-1a2b3c4d`, il nome DNS generato potrebbe essere simile al seguente esempio:. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`
**Zonale**
Il nome DNS zonale include la [zona di disponibilità](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) oltre alle informazioni nel nome DNS regionale. Il nome DNS generato per l'endpoint Amazon VPC con l'`vpce-1a2b3c4d`ID sarebbe simile al seguente esempio, si noti che ora include Regione AWS la zona di disponibilità: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`
Puoi utilizzare questa opzione se la tua architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.
Per ottenere un'affidabilità ottimale, consigliamo di distribuire il servizio su un minimo di tre zone di disponibilità.
## Crea un endpoint VPC con interfaccia Streams CDC di Amazon Keyspaces
Puoi utilizzare l'SDK AWS CLI o l' AWS SDK per accedere alle operazioni dell'API Amazon Keyspaces CDC Streams tramite gli endpoint dell'interfaccia Amazon Keyspaces CDC Streams. Per un elenco completo di tutte le operazioni API disponibili, consulta [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html) API Reference.
Per ulteriori informazioni su come creare endpoint VPC, consulta [creare un endpoint di interfaccia nella](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Amazon VPC User Guide.
Per creare un endpoint VPC, puoi utilizzare la sintassi nell'esempio seguente.
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name api.aws.us-east-1.cassandra-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
## Aggiornamento di un endpoint VPC con interfaccia Amazon Keyspaces CDC Streams
Per aggiornare un endpoint VPC, puoi utilizzare la sintassi nell'esempio seguente.
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
```
## Elenca i flussi utilizzando un endpoint VPC con interfaccia CDC Streams di Amazon Keyspaces
Per elencare gli stream che utilizzano un endpoint VPC, puoi utilizzare la sintassi nell'esempio seguente. Assicurati di sostituire la regione e il nome DNS dell'ID dell'endpoint VPC con le tue informazioni.
```
aws keyspacesstreams \
--endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
--region us-east-1 \
list-streams
```
## Crea una policy per un endpoint VPC con interfaccia Amazon Keyspaces CDC Streams
Puoi allegare una policy per gli endpoint al tuo endpoint Amazon VPC che controlla l'accesso ai flussi CDC di Amazon Keyspaces. Questa policy specifica le informazioni riportate di seguito:
+ Il principio AWS Identity and Access Management (IAM) che può eseguire azioni
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
Per limitare l'accesso a flussi Amazon Keyspaces CDC specifici per consentire solo servizi specifici AWS nel tuo accesso ad Amazon VPC, puoi utilizzare il seguente esempio.
La seguente policy di flusso concede l'accesso a qualsiasi principale IAM per le azioni `cassandra:GetStream` e `cassandra:GetRecords` per lo stream specificato `2025-02-20T11:22:33.444` collegato alla risorsa appartenente all'account. `/keyspace/mykeyspace/table/mytable/` `123456788901` Per utilizzare questa policy sugli endpoint, assicurati di sostituire la regione, l'ID dell'account e la risorsa con l'etichetta stream.
```
{
"Version": "2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"cassandra:GetStream",
"cassandra:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
}
]
}
```
**Nota**
Amazon Keyspaces non supporta gli endpoint Gateway per gli stream CDC.
# Analisi della configurazione e delle vulnerabilità per Amazon Keyspaces
AWS gestisce attività di sicurezza di base come l'applicazione di patch al sistema operativo guest (OS) e al database, la configurazione del firewall e il disaster recovery. Queste procedure sono state riviste e certificate dalle terze parti appropriate. Per ulteriori dettagli, consulta le seguenti risorse :
+ Modello di [responsabilità condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di
+ [Amazon Web Services: panoramica dei processi di sicurezza](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (whitepaper)
# Best practice di sicurezza per Amazon Keyspaces
Amazon Keyspaces (per Apache Cassandra) offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
**Topics**
+ [Best practice di sicurezza preventiva per Amazon Keyspaces](best-practices-security-preventative.md)
+ [Best practice di sicurezza per i Detective per Amazon Keyspaces](best-practices-security-detective.md)
# Best practice di sicurezza preventiva per Amazon Keyspaces
Le seguenti best practice di sicurezza sono considerate preventive perché possono aiutarti ad anticipare e prevenire gli incidenti di sicurezza in Amazon Keyspaces.
**Usa la crittografia a riposo**
[Amazon Keyspaces crittografa a riposo tutti i dati utente archiviati nelle tabelle utilizzando chiavi di crittografia archiviate in AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Questo fornisce un livello aggiuntivo di protezione dei dati dagli accessi non autorizzati allo storage sottostante.
Per impostazione predefinita, Amazon Keyspaces utilizza un Chiave di proprietà di AWS per crittografare tutte le tabelle. Se questa chiave non esiste, viene creata per te. Le chiavi predefinite del servizio non possono essere disabilitate.
In alternativa, puoi utilizzare una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia di Rest. Per ulteriori informazioni, consulta [Amazon Keyspaces Encryption at](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html) Rest.
**Usa i ruoli IAM per autenticare l'accesso ad Amazon Keyspaces**
Affinché utenti, applicazioni e altri AWS servizi possano accedere ad Amazon Keyspaces, devono includere AWS credenziali valide nelle loro AWS richieste API. Non è necessario archiviare AWS le credenziali direttamente nell'applicazione o nell'istanza EC2. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e, pertanto, potrebbero avere un impatto aziendale significativo se compromesse. Un ruolo IAM consente di ottenere le chiavi di accesso temporanee che possono essere utilizzate per accedere ai servizi e alle risorse AWS .
Per ulteriori informazioni, consulta [IAM Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) (Ruoli IAM).
**Usa le policy IAM per l'autorizzazione di base di Amazon Keyspaces**
Quando concedi le autorizzazioni, decidi chi le ottiene, per quali Amazon Keyspaces APIs ottengono le autorizzazioni e le azioni specifiche che desideri consentire su tali risorse. L'implementazione del privilegio minimo è fondamentale per ridurre i rischi per la sicurezza e l'impatto che possono derivare da errori o intenzioni malevole.
Associa le policy di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedi le autorizzazioni per eseguire operazioni sulle risorse Amazon Keyspaces.
Puoi farlo usando quanto segue:
+ [AWS politiche gestite (predefinite)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Utilizzo di condizioni di policy IAM per il controllo granulare degli accessi**
Quando concedi le autorizzazioni in Amazon Keyspaces, puoi specificare le condizioni che determinano l'effetto di una politica di autorizzazioni. L'implementazione del privilegio minimo è fondamentale per ridurre i rischi per la sicurezza e l'impatto che può derivare da errori o intenzioni malevole.
Puoi specificare le condizioni durante la concessione delle autorizzazioni utilizzando una policy IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ Concedi le autorizzazioni per consentire agli utenti l'accesso in sola lettura a spazi chiave o tabelle specifici.
+ Concedi le autorizzazioni per consentire a un utente l'accesso in scrittura a una determinata tabella, in base all'identità di quell'utente.
Per ulteriori informazioni, consulta Esempi di policy [basate sull'identità](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Valutazione della crittografia lato client**
Se memorizzi dati sensibili o riservati in Amazon Keyspaces, potresti voler crittografare tali dati il più vicino possibile alla loro origine in modo che siano protetti per tutto il loro ciclo di vita. Grazie alla crittografia dei dati sensibili in transito e inattivi, puoi accertarti che i dati di testo non crittografato non siano disponibili per terze parti.
# Best practice di sicurezza per i Detective per Amazon Keyspaces
Le seguenti best practice di sicurezza sono considerate investigative perché possono aiutarti a rilevare potenziali punti deboli e incidenti di sicurezza.
**Usa AWS CloudTrail per monitorare l'utilizzo delle AWS Key Management Service chiavi (AWS KMS) AWS KMS **
Se utilizzi una [AWS KMS chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia a riposo, l'utilizzo di questa chiave viene AWS CloudTrail registrato. CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni intraprese sul tuo account. CloudTrail registra informazioni importanti su ogni azione, tra cui chi ha effettuato la richiesta, i servizi utilizzati, le azioni eseguite, i parametri delle azioni e gli elementi di risposta restituiti dal AWS servizio. Queste informazioni aiutano a tenere traccia delle modifiche apportate alle AWS risorse e a risolvere i problemi operativi. CloudTrail semplifica la garanzia della conformità alle politiche interne e agli standard normativi.
È possibile utilizzare CloudTrail per controllare l'utilizzo delle chiavi. CloudTrail crea file di registro che contengono una cronologia delle chiamate AWS API e degli eventi correlati per il tuo account. Questi file di registro includono tutte le richieste AWS KMS API effettuate utilizzando la console e gli strumenti della riga di comando, oltre a quelle effettuate tramite AWS servizi integrati. AWS SDKs È possibile utilizzare questi file di registro per ottenere informazioni su quando è stata utilizzata la AWS KMS chiave, l'operazione richiesta, l'identità del richiedente, l'indirizzo IP da cui proviene la richiesta e così via. Per ulteriori informazioni, consulta [Registrazione di chiamate API di AWS Key Management Service con AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) nella [Guida per l'utente di AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Utilizzato CloudTrail per monitorare le operazioni DDL (Data Definition Language) di Amazon Keyspaces**
CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni intraprese sul tuo account. CloudTrail registra informazioni importanti su ogni azione, tra cui chi ha effettuato la richiesta, i servizi utilizzati, le azioni eseguite, i parametri delle azioni e gli elementi di risposta restituiti dal AWS servizio. Queste informazioni consentono di tenere traccia delle modifiche apportate alle AWS risorse e di risolvere i problemi operativi. CloudTrail semplifica la garanzia della conformità alle politiche interne e agli standard normativi.
Tutte le [operazioni DDL](cql.ddl.md) di Amazon Keyspaces vengono registrate automaticamente. CloudTrail Le operazioni DDL consentono di creare e gestire gli spazi chiave e le tabelle di Amazon Keyspaces.
Quando si verifica un'attività in Amazon Keyspaces, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi. Per ulteriori informazioni, consulta [Registrazione delle operazioni di Amazon Keyspaces utilizzando](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
[Per una registrazione continua degli eventi nel tuo Account AWS, compresi gli eventi per Amazon Keyspaces, crea un percorso.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un trail consente di CloudTrail inviare file di log a un bucket Amazon Simple Storage Service (Amazon S3). Per impostazione predefinita, quando crei un percorso sulla console, il percorso si applica a tutti. Regioni AWS Il percorso registra gli eventi di tutte le regioni nella partizione AWS e distribuisce i file di log nel bucket S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log.
**Etichetta le tue risorse Amazon Keyspaces per l'identificazione e l'automazione**
Puoi assegnare metadati alle tue AWS risorse sotto forma di tag. Ogni tag è una semplice etichetta composta da una chiave definita dal cliente e da un valore opzionale che può semplificare la gestione, la ricerca e il filtraggio delle risorse.
Il tagging consente l’implementazione di gruppi controllati. Anche se non ci sono tipi di tag inerenti, è possibile suddividere le risorse in base a scopo, proprietario, ambiente o altri criteri. Di seguito vengono mostrati alcuni esempi:
+ Accesso: utilizzato per controllare l'accesso alle risorse di Amazon Keyspaces in base ai tag. Per ulteriori informazioni, consulta [Autorizzazione basata sui tag Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sicurezza: utilizzato per determinare requisiti come le impostazioni di protezione dei dati.
+ Riservatezza: un identificatore per lo specifico livello di riservatezza dei dati supportato da una risorsa.
+ Ambiente - Utilizzato per differenziare tra infrastruttura di sviluppo, test e produzione.
Per ulteriori informazioni, consulta [Strategie di AWS etichettatura](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) e [Aggiungere tag ed etichette](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html) alle risorse.