Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces Inserimento delle voci della system.peers tabella con informazioni sugli endpoint VPC dell'interfaccia Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces Disponibilità Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)Errori e avvertenze comuni

Utilizzo di Amazon Keyspaces con endpoint VPC di interfaccia

Gli endpoint VPC di interfaccia consentono la comunicazione privata tra il tuo cloud privato virtuale (VPC) in esecuzione su Amazon VPC e Amazon Keyspaces. Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, un AWS servizio che consente la comunicazione privata tra VPC e servizi. AWS

AWS PrivateLink consente ciò utilizzando un'interfaccia di rete elastica con indirizzi IP privati nel tuo VPC in modo che il traffico di rete non lasci la rete Amazon. Gli endpoint VPC dell'interfaccia non richiedono gateway Internet, dispositivo NAT, connessione VPN o connessione AWS Direct Connect . Per ulteriori informazioni, consulta Amazon Virtual Private Cloud and Interface VPC endpoint ().AWS PrivateLink

Argomenti

Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces
Inserimento delle voci della system.peers tabella con informazioni sugli endpoint VPC dell'interfaccia
Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces
Disponibilità
Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)
Errori e avvertenze comuni

Utilizzo degli endpoint VPC dell'interfaccia per Amazon Keyspaces

Puoi creare un endpoint VPC di interfaccia in modo che il traffico tra Amazon Keyspaces e le tue risorse Amazon VPC inizi a fluire attraverso l'endpoint VPC dell'interfaccia. Per iniziare, segui i passaggi per creare un endpoint di interfaccia. Successivamente, modifica il gruppo di sicurezza associato all'endpoint creato nel passaggio precedente e configura una regola in entrata per la porta 9142. Per ulteriori informazioni, consulta Aggiungere, rimuovere e aggiornare le regole.

Per un step-by-step tutorial su come configurare una connessione ad Amazon Keyspaces tramite un endpoint VPC, consulta. Tutorial: Connessione ad Amazon Keyspaces utilizzando un endpoint VPC di interfaccia Per informazioni su come configurare l'accesso tra account diversi per le risorse Amazon Keyspaces separate dalle applicazioni in modo Account AWS diverso in un VPC, consulta. Configurazione dell'accesso multiaccount per Amazon Keyspaces

Inserimento delle voci della `system.peers` tabella con informazioni sugli endpoint VPC dell'interfaccia

I driver Apache Cassandra utilizzano la system.peers tabella per richiedere informazioni sui nodi relative al cluster. I driver Cassandra utilizzano le informazioni sui nodi per bilanciare il carico delle connessioni e riprovare le operazioni. Amazon Keyspaces inserisce automaticamente nove voci nella system.peers tabella per i client che si connettono tramite l'endpoint pubblico.

Per fornire ai client che si connettono tramite endpoint VPC di interfaccia con funzionalità simili, Amazon Keyspaces compila la system.peers tabella del tuo account con una voce per ogni zona di disponibilità in cui è disponibile un endpoint VPC. Per cercare e archiviare gli endpoint VPC di interfaccia disponibili nella tabellasystem.peers, Amazon Keyspaces richiede che tu conceda all'entità IAM utilizzata per connettersi ad Amazon Keyspaces le autorizzazioni di accesso per interrogare il tuo VPC per le informazioni sull'endpoint e sull'interfaccia di rete.

Importante

La compilazione della system.peers tabella con gli endpoint VPC dell'interfaccia disponibili migliora il bilanciamento del carico e aumenta il throughput di lettura/scrittura. È consigliato a tutti i client che accedono ad Amazon Keyspaces utilizzando endpoint VPC di interfaccia ed è necessario per Apache Spark.

Per concedere all'entità IAM utilizzata per connettersi ad Amazon Keyspaces le autorizzazioni per cercare le informazioni necessarie sugli endpoint VPC dell'interfaccia, puoi aggiornare il ruolo o la policy utente IAM esistente o creare una nuova policy IAM come mostrato nell'esempio seguente.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource":"*"
      }
   ]
}

Nota

Le policy gestite AmazonKeyspacesFullAccess includono AmazonKeyspacesReadOnlyAccess_v2 le autorizzazioni necessarie per consentire ad Amazon Keyspaces di accedere all'istanza Amazon EC2 per leggere informazioni sugli endpoint VPC di interfaccia disponibili.

Per confermare che la policy sia stata impostata correttamente, consulta la system.peers tabella per visualizzare le informazioni di rete. Se la system.peers tabella è vuota, potrebbe indicare che la policy non è stata configurata correttamente o che hai superato la quota di frequenza delle richieste DescribeNetworkInterfaces e le azioni DescribeVPCEndpoints API. DescribeVPCEndpointsrientra nella Describe* categoria ed è considerata un'azione non mutante. DescribeNetworkInterfacesrientra nel sottoinsieme delle azioni non mutanti non filtrate e non impaginate e si applicano quote diverse. Per ulteriori informazioni, consulta le dimensioni dei bucket di token e le frequenze di ricarica nell'Amazon EC2 API Reference.

Se vedi una tabella vuota, riprova qualche minuto dopo per escludere problemi relativi alla quota delle tariffe di richiesta. Per verificare di aver configurato correttamente gli endpoint VPC, consulta. La mia connessione endpoint VPC non funziona correttamente Se la tua query restituisce risultati dalla tabella, la tua policy è stata configurata correttamente.

Controllo dell'accesso agli endpoint VPC di interfaccia per Amazon Keyspaces

Con le policy degli endpoint VPC, puoi controllare l'accesso alle risorse in due modi:

Policy IAM: puoi controllare le richieste, gli utenti o i gruppi autorizzati ad accedere ad Amazon Keyspaces tramite un endpoint VPC specifico. Puoi farlo utilizzando una chiave di condizione nella policy associata a un utente, gruppo o ruolo IAM.
Policy VPC: puoi controllare quali endpoint VPC hanno accesso alle tue risorse Amazon Keyspaces associando loro delle policy. Per limitare l'accesso a uno spazio chiave o a una tabella specifici per consentire il traffico proveniente solo da un endpoint VPC specifico, modifica la policy IAM esistente che limita l'accesso alle risorse e aggiungi quell'endpoint VPC.

Di seguito sono riportati alcuni esempi di policy sugli endpoint per l'accesso alle risorse di Amazon Keyspaces.

Esempio di policy IAM: limita tutti gli accessi a una tabella Amazon Keyspaces specifica a meno che il traffico non provenga dall'endpoint VPC specificato: questa policy di esempio può essere associata a un utente, ruolo o gruppo IAM. Limita l'accesso a una tabella Amazon Keyspaces specificata a meno che il traffico in entrata non provenga da un endpoint VPC specificato.
```
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "UserOrRolePolicyToDenyAccess",
         "Action": "cassandra:*",
         "Effect": "Deny",
         "Resource": [
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
           ],
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
      }
   ]
}
```
Nota
Per limitare l'accesso a una tabella specifica, devi includere anche l'accesso alle tabelle di sistema. Le tabelle di sistema sono di sola lettura.
Esempio di policy VPC: accesso in sola lettura: questa policy di esempio può essere collegata a un endpoint VPC. (Per ulteriori informazioni, consulta Controllare l'accesso alle risorse Amazon VPC). Limita le azioni all'accesso in sola lettura alle risorse Amazon Keyspaces tramite l'endpoint VPC a cui è collegato.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "cassandra:Select"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

Esempio di policy VPC: limita l'accesso a una tabella Amazon Keyspaces specifica: questa policy di esempio può essere collegata a un endpoint VPC. Limita l'accesso a una tabella specifica tramite l'endpoint VPC a cui è collegata.


{
   "Version": "2012-10-17",
   "Statement": [
        {
            "Sid": "RestrictAccessToTable",
            "Principal": "*",
            "Action": "cassandra:*",
            "Effect": "Allow",
            "Resource": [
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
           ]
        }
   ]
}

Nota

Per limitare l'accesso a una tabella specifica, è necessario includere anche l'accesso alle tabelle di sistema. Le tabelle di sistema sono di sola lettura.

Disponibilità

Amazon Keyspaces supporta l'utilizzo di endpoint VPC di interfaccia in tutti i luoghi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint di servizio per Amazon Keyspaces.

Policy degli endpoint VPC e ripristino di Amazon point-in-time Keyspaces (PITR)

Se utilizzi policy IAM con chiavi di condizione per limitare il traffico in entrata, l'operazione di ripristino della tabella potrebbe non riuscire. Ad esempio, se limiti il traffico di origine a endpoint VPC specifici utilizzando chiavi di aws:SourceVpce condizione, l'operazione di ripristino della tabella ha esito negativo. Per consentire ad Amazon Keyspaces di eseguire un'operazione di ripristino per conto del tuo principale, devi aggiungere una chiave di aws:ViaAWSService condizione alla tua policy IAM. La chiave di aws:ViaAWSService condizione consente l'accesso quando un AWS servizio effettua una richiesta utilizzando le credenziali del principale. Per ulteriori informazioni, consulta IAM JSON Policy elements: Condition key nella IAM User Guide. La seguente policy ne è un esempio.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForVPCE",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "StringEquals":{
               "aws:SourceVpce":[
                  "vpce-12345678901234567"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

Errori e avvertenze comuni

Se utilizzi Amazon Virtual Private Cloud e ti connetti ad Amazon Keyspaces, potresti visualizzare il seguente avviso.


Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; 
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.

Questo avviso si verifica perché la system.peers tabella contiene le voci per tutti gli endpoint Amazon VPC che Amazon Keyspaces dispone delle autorizzazioni per la visualizzazione, incluso l'endpoint Amazon VPC tramite il quale sei connesso. Puoi tranquillamente ignorare questo avviso.

Per altri errori, vedereLa mia connessione endpoint VPC non funziona correttamente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell'infrastruttura

Analisi della configurazione e delle vulnerabilità per Amazon Keyspaces