Politiche basate sull'identità di Amazon Keyspaces Politiche basate sulle risorse di Amazon Keyspaces Autorizzazione basata sui tag Amazon Keyspaces Ruoli di Amazon Keyspaces IAM

Come funziona Amazon Keyspaces con IAM

Prima di utilizzare IAM per gestire l'accesso ad Amazon Keyspaces, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con Amazon Keyspaces. Per una panoramica generale del funzionamento di Amazon Keyspaces e di AWS altri servizi, AWS consulta i servizi che funzionano IAM IAM con nella Guida per IAMl'utente.

Argomenti

Politiche basate sull'identità di Amazon Keyspaces
Politiche basate sulle risorse di Amazon Keyspaces
Autorizzazione basata sui tag Amazon Keyspaces
Ruoli di Amazon Keyspaces IAM

Politiche basate sull'identità di Amazon Keyspaces

Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Amazon Keyspaces supporta azioni e risorse specifiche e chiavi di condizione. Per conoscere tutti gli elementi utilizzati in una JSON policy, consulta il riferimento agli elementi IAM JSON della policy nella Guida per l'IAMutente.

Per visualizzare le risorse e le azioni specifiche del servizio Amazon Keyspaces e le chiavi contestuali delle condizioni che possono essere utilizzate per le politiche di IAM autorizzazione, consulta le Azioni, risorse e chiavi di condizione per Amazon Keyspaces (per Apache Cassandra) nel Service Authorization Reference.

Azioni

Gli amministratori possono utilizzare le AWS JSON policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Amazon Keyspaces utilizzano il seguente prefisso prima dell'azione:. cassandra: Ad esempio, per concedere a qualcuno l'autorizzazione a creare uno spazio di chiavi Amazon Keyspaces con l'CREATECQListruzione Amazon Keyspaces, includi l'cassandra:Createazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Keyspaces definisce il proprio set di azioni che descrivono le attività che puoi eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:


"Action": [
      "cassandra:CREATE",
      "cassandra:MODIFY"
          ]

Per visualizzare un elenco delle azioni di Amazon Keyspaces, consulta Actions Defined by Amazon Keyspaces (per Apache Cassandra) nel Service Authorization Reference.

Risorse

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.


"Resource": "*"

In Amazon Keyspaces, gli spazi chiave e le tabelle possono essere utilizzati nell'Resourceelemento delle autorizzazioni. IAM

La risorsa keyspace di Amazon Keyspaces ha le seguenti caratteristiche: ARN


arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${KeyspaceName}/

La risorsa della tabella Amazon Keyspaces contiene quanto segue: ARN


arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${KeyspaceName}/table/${tableName}

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS service namespaces.

Ad esempio, per specificare mykeyspace lo spazio delle chiavi nella tua dichiarazione, usa quanto segue: ARN


"Resource": "arn:aws:cassandra:us-east-1:123456789012:/keyspace/mykeyspace/"

Per specificare tutti gli spazi chiave che appartengono a un account specifico, usa il carattere jolly (*):


"Resource": "arn:aws:cassandra:us-east-1:123456789012:/keyspace/*"

Alcune azioni di Amazon Keyspaces, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).


"Resource": "*"

Per connettersi ad Amazon Keyspaces in modo programmatico con un driver standard, un principale deve avere SELECT accesso alle tabelle di sistema, poiché la maggior parte dei driver legge gli spazi e le tabelle di sistema al momento della connessione. Ad esempio, per concedere SELECT le autorizzazioni a un IAM utente per mytable inmykeyspace, il principale deve disporre delle autorizzazioni per leggere sia il. mytable system keyspace Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.


"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"

Per visualizzare un elenco dei tipi di risorse Amazon Keyspaces e relativiARNs, consulta Resources Defined by Amazon Keyspaces (per Apache Cassandra) nel Service Authorization Reference. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ogni risorsa, consulta Actions Defined by Amazon Keyspaces (per Apache Cassandra).

Chiavi di condizione

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logicaOR. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta gli elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.

Amazon Keyspaces definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.

Tutte le azioni di Amazon Keyspaces supportano le chiavi aws:RequestTag/${TagKey}aws:ResourceTag/${TagKey}, the e aws:TagKeys condition. Per ulteriori informazioni, consulta Accesso alle risorse Amazon Keyspaces basato su tag.

Per visualizzare un elenco delle chiavi di condizione di Amazon Keyspaces, consulta Condition Keys for Amazon Keyspaces (per Apache Cassandra) nel Service Authorization Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Actions Defined by Amazon Keyspaces (per Apache Cassandra).

Esempi

Per visualizzare esempi di policy basate sull'identità di Amazon Keyspaces, consulta. Esempi di policy basate sull'identità di Amazon Keyspaces

Politiche basate sulle risorse di Amazon Keyspaces

Amazon Keyspaces non supporta politiche basate sulle risorse. Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.

Autorizzazione basata sui tag Amazon Keyspaces

Puoi gestire l'accesso alle tue risorse Amazon Keyspaces utilizzando i tag. Per gestire l'accesso alle risorse in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti cassandra:ResourceTag/key-nameaws:RequestTag/key-name, o aws:TagKeys condition. Per ulteriori informazioni sull'etichettatura delle risorse Amazon Keyspaces, consulta. Utilizzo di tag ed etichette per le risorse Amazon Keyspaces

Per visualizzare policy basate sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta Accesso alle risorse Amazon Keyspaces basato su tag.

Ruoli di Amazon Keyspaces IAM

Un IAMruolo è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Amazon Keyspaces

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come o. AssumeRole GetFederationToken

Amazon Keyspaces supporta l'uso di credenziali temporanee con il plug-in di autenticazione AWS Signature Version 4 (SigV4) disponibile nel repository Github per le seguenti lingue:

Per esempi e tutorial che implementano il plug-in di autenticazione per accedere ad Amazon Keyspaces a livello di codice, consulta. Utilizzo di un driver client Cassandra per accedere ad Amazon Keyspaces a livello di codice

Ruoli collegati ai servizi

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi Amazon Keyspaces, consulta. Utilizzo di ruoli collegati ai servizi per Amazon Keyspaces

Ruoli di servizio

Amazon Keyspaces non supporta i ruoli di servizio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS Identity and Access Management

Esempi di policy basate su identità