Amazon Keyspaces の復元テーブルのIAMアクセス許可を設定する PITR - Amazon Keyspaces (Apache Cassandra 向け)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Keyspaces の復元テーブルのIAMアクセス許可を設定する PITR

このセクションでは、 のアクセス許可を設定する方法を要約します。 AWS Identity and Access Management Amazon Keyspaces テーブルを復元する (IAM) プリンシパル。ではIAM、 AWS 管理ポリシーAmazonKeyspacesFullAccessには、Amazon Keyspaces テーブルを復元するためのアクセス許可が含まれています。最低限必要なアクセス許可を持つカスタムポリシーを実装するには、次のセクションで概説されている要件を検討してください。

テーブルを正常に復元するには、IAMプリンシパルに次の最小限のアクセス許可が必要です。

  • cassandra:Restore — この復元アクションはターゲットテーブルの復元に必須です。

  • cassandra:Select — この選択アクションはソーステーブルからの読み取りに必須です。

  • cassandra:TagResource — タグアクションはオプションで、復元オペレーションによりタグが追加される場合にのみ必須です。

これは、キースペース のテーブルを復元するために必要な最小限のアクセス許可をユーザーに付与するポリシーの例ですmykeyspace

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Restore",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}

選択した他の機能に基づいて、テーブルを復元するための追加の許可が必要になる場合があります。例えば、ソーステーブルが保管時にカスタマーマネージドキーで暗号化されている場合、テーブルを正常に復元するために、Amazon Keyspaces にはソーステーブルのカスタマーマネージドキーへのアクセス許可が必要になります。詳細については、「PITR 暗号化されたテーブルの復元」を参照してください。

条件キーでIAMポリシーを使用して受信トラフィックを特定のソースに制限する場合は、Amazon Keyspaces にプリンシパルに代わって復元オペレーションを実行するアクセス許可があることを確認する必要があります。IAM ポリシーが受信トラフィックを次のいずれかに制限する場合は、ポリシーに aws:ViaAWSService条件キーを追加する必要があります。

  • VPC を使用した エンドポイント aws:SourceVpce

  • aws:SourceIp の場合は IP レンジ

  • VPCs で aws:SourceVpc

aws:ViaAWSService 条件キー は、 AWS サービスは、プリンシパルの認証情報を使用してリクエストを行います。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件キーIAM」を参照してください。

以下は、ソーストラフィックを特定の IP アドレスに制限し、プリンシパルの代わりに Amazon Keyspaces によってテーブルが復元されるようにするポリシーの例です。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"CassandraAccessForCustomIp",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "ForAnyValue:IpAddress":{
               "aws:SourceIp":[
                  "123.45.167.89"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}

aws:ViaAWSService グローバル条件キーを使用したポリシーの例については、「VPC エンドポイントポリシーと Amazon Keyspaces point-in-time リカバリ (PITR)」を参照してください。