翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このステップの手順では、Amazon Keyspaces でVPCエンドポイントを使用するためのルールとアクセス許可を設定する方法を示します。
インバウンドトラフィックを許可するように新しいエンドポイントのTCPインバウンドルールを設定するには
-
Amazon VPCコンソールの左側のパネルで、エンドポイントを選択し、前のステップで作成したエンドポイントを選択します。
-
[セキュリティグループ] を選択し、このエンドポイントに関連付けられているセキュリティグループを選択します。
-
[インバウンドルール] を選択し、[インバウンドルールを編集] を選択します。
-
Type が CQLSH/ CASSANDRAのインバウンドルールを追加します。これにより、[ポート範囲] が自動的に [9142] に設定されます。
-
新しいインバウンドルールを保存するには、[ルールを保存] を選択します。
IAM ユーザーアクセス許可を設定するには
-
Amazon Keyspaces への接続に使用したIAMユーザーに適切なアクセス許可があることを確認します。 AWS Identity and Access Management (IAM) では、 AWS 管理ポリシーを使用して
AmazonKeyspacesReadOnlyAccess
、IAMユーザーに Amazon Keyspaces への読み取りアクセスを許可できます。にサインイン AWS Management Console し、 で IAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
IAM コンソールダッシュボードで、ユーザーを選択し、リストからIAMユーザーを選択します。
-
[Summary (概要)] ページで、[Add permissions (許可の追加)] を選択します。
-
[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。
-
ポリシーのリストから を選択しAmazonKeyspacesReadOnlyAccess、次へ: 確認 を選択します。
-
[Add permissions (許可の追加)] を選択します。
-
VPC エンドポイントを介して Amazon Keyspaces にアクセスできることを確認します。
aws keyspaces list-tables --keyspace-name '
my_Keyspace
'必要に応じて、Amazon Keyspaces の他の AWS CLI コマンドを試すことができます。詳細については、『AWS CLI コマンドリファレンス』を参照してください。
注記
ユーザーIAMまたはロールが Amazon Keyspaces にアクセスするために必要な最小限のアクセス許可は、次のポリシーに示すように、システムテーブルへの読み取りアクセス許可です。このポリシーベースの許可に関する詳細については、「Amazon Keyspaces のアイデンティティベースポリシーの例」を参照してください。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:555555555555:/keyspace/system*" ] } ] }
-
を使用して Amazon EC2インスタンスへの読み取りアクセス権をIAMユーザーに付与しますVPC。
VPC エンドポイントで Amazon Keyspaces を使用する場合は、Amazon Keyspaces にアクセスするIAMユーザーまたはロールに Amazon EC2インスタンスと への読み取り専用アクセス許可を付与VPCして、エンドポイントとネットワークインターフェイスデータを収集する必要があります。Amazon Keyspaces はこの情報を
system.peers
テーブルに保存し、それで接続を管理します。注記
管理ポリシー
AmazonKeyspacesReadOnlyAccess_v2
とAmazonKeyspacesFullAccess
には、Amazon Keyspaces が Amazon EC2インスタンスにアクセスして、使用可能なインターフェイスVPCエンドポイントに関する情報を読み取るために必要なアクセス許可が含まれています。にサインイン AWS Management Console し、 で IAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
IAM コンソールダッシュボードで、ポリシーを選択します。
-
ポリシーの作成を選択し、JSONタブを選択します。
-
次のポリシーをコピーして [次へ: タグ] を選択します。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListVPCEndpoints", "Effect":"Allow", "Action":[ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints" ], "Resource": "*" } ] }
-
[ポリシーを確認] を選択してポリシーの名前
keyspacesVPCendpoint
を入力し、[ポリシーを作成] を選択します。 -
IAM コンソールダッシュボードで、ユーザーを選択し、リストからIAMユーザーを選択します。
-
[Summary (概要)] ページで、[Add permissions (許可の追加)] を選択します。
-
[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。
-
ポリシーのリストから を選択しkeyspacesVPCendpoint、次へ: 確認 を選択します。
-
[Add permissions (許可の追加)] を選択します。
-
Amazon Keyspaces
system.peers
テーブルがVPC情報で更新されていることを確認するには、 を使用して Amazon EC2インスタンスから次のクエリを実行しますcqlsh
。ステップ 2 で Amazon EC2インスタンスcqlsh
に をまだインストールしていない場合は、「」の手順に従いますcqlsh-expansion による Amazon Keyspaces までの接続。SELECT peer FROM system.peers;
出力は、 AWS リージョンの VPCとサブネットの設定に応じて、プライベート IP アドレスを持つノードを返します。
peer --------------- 112.11.22.123 112.11.22.124 112.11.22.125
注記
VPC エンドポイントが正しく設定されていることを確認するには、Amazon Keyspaces
cqlsh
への接続を使用する必要があります。ローカル環境または の Amazon Keyspaces CQLエディタを使用する場合 AWS Management Console、接続は自動的にエンドポイントではなくパブリックVPCエンドポイントを通過します。9 個の IP アドレスが表示される場合、これらはパブリックエンドポイント接続の際に Amazon Keyspaces によってsystem.peers
テーブルに自動的に書き込まれるエントリです。