As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure o acesso entre contas para Amazon Keyspaces e endpoints da VPC
Você pode criar e usar separadamente Contas da AWS para isolar recursos e para uso em ambientes diferentes, por exemplo, desenvolvimento e produção. Este tópico explica o acesso entre contas ao Amazon Keyspaces usando endpoints da VPC de interface em um Amazon Virtual Private Cloud. Para obter mais informações sobre a configuração de acesso entre contas do IAM, consulte [Exemplo de cenário usando contas de desenvolvimento e produção separadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html#id_roles_common-scenarios_aws-accounts-example) no Guia do usuário do IAM.
Para obter mais informações sobre Amazon Keyspaces e endpoints da VPC privados, consulte [Como usar o Amazon Keyspaces com endpoint da VPC de interface](vpc-endpoints.md).
**Topics**
+ [Configure o acesso entre contas em uma VPC compartilhada](access.cross-account.sharedVPC.md)
+ [Configure o acesso entre contas sem uma VPC compartilhada](access.cross-account.noVPC.setup.md)
# Configure o acesso entre contas para o Amazon Keyspaces usando endpoints da VPC em uma VPC compartilhada
Você pode criar recursos diferentes Contas da AWS ou separados dos aplicativos. Por exemplo, você pode criar uma conta para suas tabelas do Amazon Keyspaces, uma conta diferente para aplicativos em um ambiente de desenvolvimento e outra conta para aplicativos em um ambiente de produção. Este tópico mostra as etapas de configuração necessárias para configurar o acesso entre contas para o Amazon Keyspaces usando endpoints de VPC de interface em uma VPC compartilhada.
Para obter etapas detalhadas sobre como configurar um endpoint da VPC para o Amazon Keyspaces, consulte [Etapa 3: criar um endpoint da VPC para o Amazon Keyspaces](vpc-endpoints-tutorial.create-endpoint.md).
Neste exemplo, usamos as três contas a seguir em uma VPC compartilhada:
+ `Account A:111111111111`: essa conta contém infraestrutura, incluindo os endpoints da VPC, as sub-redes da VPC e as tabelas do Amazon Keyspaces.
+ `Account B:222222222222`: essa conta contém um aplicativo em um ambiente de desenvolvimento que precisa se conectar à tabela do Amazon Keyspaces em `Account A:111111111111`.
+ `Account C:333333333333`: essa conta contém um aplicativo em um ambiente de produção que precisa se conectar à tabela do Amazon Keyspaces em `Account A:111111111111`.
![\[Diagrama mostrando três contas diferentes pertencentes à mesma organização, na mesma Região da AWS , que usam uma VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png)
`Account A:111111111111`é a conta que contém os recursos (uma tabela do Amazon Keyspaces) que `Account B:222222222222` `Account C:333333333333` você precisa acessar, assim *como `Account A:111111111111` a conta confiável*. `Account B:222222222222`e `Account C:333333333333` são as contas com os diretores que precisam acessar os recursos (uma tabela do Amazon Keyspaces)`Account A:111111111111`, ou `Account B:222222222222` seja, `Account C:333333333333` *as* contas confiáveis. A conta confiável concede as permissões às contas confiáveis compartilhando um perfil do IAM. O procedimento a seguir descreve as etapas de configuração necessárias em `Account A:111111111111`.
**Configuração para a `Account A:111111111111`**
1. Use AWS Resource Access Manager para criar um compartilhamento de recursos para a sub-rede e compartilhar a sub-rede privada com e. `Account B:222222222222` `Account C:333333333333`
`Account B:222222222222` e `Account C:333333333333` agora podem ver e criar recursos na sub-rede que foi compartilhada com eles.
1. Crie um endpoint VPC privado do Amazon Keyspaces desenvolvido por. AWS PrivateLink Isso cria vários endpoints em sub-redes compartilhadas e entradas de DNS para o endpoint do serviço do Amazon Keyspaces.
1. Crie um espaço de chaves e uma tabela do Amazon Keyspaces.
1. Crie uma função do IAM `Account A:111111111111` que tenha acesso total à tabela Amazon Keyspaces, leia as tabelas do sistema Amazon Keyspaces e seja capaz de descrever os recursos da Amazon EC2 VPC conforme mostrado no exemplo de política a seguir.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcEndpoints",
"cassandra:*"
],
"Resource": "*"
}
]
}
```
1. Configure uma política de confiança para a função do IAM `Account A:111111111111` para que ela `Account B:222222222222` `Account C:333333333333` possa assumir a função como contas confiáveis. Isso é mostrado no exemplo a seguir.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Para ver mais informações sobre as políticas do IAM entre contas, consulte [Políticas entre contas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) no Guia do usuário do IAM.
**Configuração em `Account B:222222222222` e `Account C:333333333333`**
1. Em `Account B:222222222222` e `Account C:333333333333`, crie novos perfis e anexe a seguinte política que permite que a entidade principal assuma o perfil compartilhado criado em `Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Permitir que o diretor assuma a função compartilhada é implementado usando a `AssumeRole` API do AWS Security Token Service (AWS STS). Para obter mais informações, consulte [Fornecer acesso a um usuário do IAM em outro Conta da AWS de sua propriedade](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no Guia do usuário do IAM.
1. Em `Account B:222222222222` e`Account C:333333333333`, você pode criar aplicativos que utilizam o plug-in de SIGV4 autenticação, que permite que um aplicativo assuma a função compartilhada para se conectar à tabela do Amazon Keyspaces localizada `Account A:111111111111` por meio do endpoint da VPC na VPC compartilhada. Para obter mais informações sobre o plug-in de SIGV4 autenticação, consulte[Crie credenciais para acesso programático ao Amazon Keyspaces](programmatic.credentials.md). Para obter mais informações sobre como configurar um aplicativo para assumir uma função em outra AWS conta, consulte [Autenticação e acesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) no *AWS SDKs Guia de referência de ferramentas*.
# Como configurar o acesso entre contas para o Amazon Keyspaces sem uma VPC compartilhada
Se a tabela do Amazon Keyspaces e o endpoint privado da VPC pertencerem a contas diferentes, mas não estiverem compartilhando uma VPC, os aplicativos ainda poderão se conectar entre contas usando endpoints da VPC. Como as contas não estão compartilhando os endpoints da VPC, `Account A:111111111111`, `Account B:222222222222` e `Account C:333333333333` exigem seus próprios endpoints da VPC. Para o driver do cliente Cassandra, o Amazon Keyspaces aparece como um único nó em vez de um cluster de vários nós. Após a conexão, o driver do cliente chega ao servidor DNS, que retorna um dos endpoints disponíveis na VPC da conta.
Você também pode acessar tabelas do Amazon Keyspaces em contas diferentes sem um VPC endpoint compartilhado usando os endpoints públicos ou implantando um endpoint VPC privado em cada conta. Quando não está usando uma VPC compartilhada, cada conta exige seu próprio endpoint da VPC. Neste exemplo, `Account A:111111111111`, `Account B:222222222222` e `Account C:333333333333` exigem seus próprios endpoints da VPC para acessar a tabela em `Account A:111111111111`. Ao usar endpoints da VPC nessa configuração, o Amazon Keyspaces aparece como um cluster de nó único para o driver do cliente Cassandra em vez de um cluster de vários nós. Após a conexão, o driver do cliente chega ao servidor DNS, que retorna um dos endpoints disponíveis na VPC da conta. Mas o driver do cliente não consegue acessar a tabela `system.peers` para descobrir endpoints adicionais. Como há menos hosts disponíveis, o driver faz menos conexões. Para ajustar isso, aumente a configuração do pool de conexões do driver em um fator de três.
![\[Diagrama mostrando três contas diferentes pertencentes à mesma organização, na mesma Região da AWS sem uma VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)
`Account A:111111111111`é a conta que contém os recursos (uma tabela do Amazon Keyspaces) que `Account B:222222222222` `Account C:333333333333` você precisa acessar, assim *como `Account A:111111111111` a conta confiável*. `Account B:222222222222`e `Account C:333333333333` são as contas com os diretores que precisam acessar os recursos (uma tabela do Amazon Keyspaces)`Account A:111111111111`, ou `Account B:222222222222` seja, `Account C:333333333333` *as* contas confiáveis. A conta confiável concede as permissões às contas confiáveis compartilhando um perfil do IAM. O procedimento a seguir descreve as etapas de configuração necessárias em `Account A:111111111111`.
**Configuração para a `Account A:111111111111`**
1. Crie um keyspace do Amazon Keyspaces e insira uma tabela. `Account A:111111111111`
1. Crie uma função do IAM `Account A:111111111111` que tenha acesso total à tabela Amazon Keyspaces e acesso de leitura às tabelas do sistema Amazon Keyspaces.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
]
}
]
}
```
1. Configure uma política de confiança para a função do IAM em `Account A:111111111111` para que os diretores `Account C:333333333333` possam assumir a função como contas confiáveis. `Account B:222222222222` Isso é mostrado no exemplo a seguir.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
Para ver mais informações sobre as políticas do IAM entre contas, consulte [Políticas entre contas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) no Guia do usuário do IAM.
1. Configure o VPC endpoint `Account A:111111111111` e anexe permissões ao endpoint que permitem que as funções de `Account B:222222222222` e assumam `Account C:333333333333` a função no uso `Account A` do VPC endpoint. Essas permissões são válidas para o VPC endpoint ao qual elas estão conectadas. Para obter mais informações sobre as políticas de endpoint da VPC, consulte [Como controlar o acesso aos endpoints da VPC de interface para o Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies).
```
{{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessfromSpecificIAMroles",
"Effect": "Allow",
"Action": "cassandra:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::222222222222:role/Cross-Account-Role-B",
"arn:aws:iam::333333333333:role/Cross-Account-Role-C"
]
}
}
}
]
}
```
**Configuração em `Account B:222222222222` e `Account C:333333333333`**
1. Em `Account B:222222222222` e `Account C:333333333333`, crie novos perfis e anexe a seguinte política que permite que a entidade principal assuma o perfil compartilhado criado em `Account A:111111111111`.
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
}
}
```
Permitir que o diretor assuma a função compartilhada é implementado usando a `AssumeRole` API do AWS Security Token Service (AWS STS). Para obter mais informações, consulte [Fornecer acesso a um usuário do IAM em outro Conta da AWS de sua propriedade](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no Guia do usuário do IAM.
1. Em `Account B:222222222222` e`Account C:333333333333`, você pode criar aplicativos que utilizam o plug-in de SIGV4 autenticação, que permite que um aplicativo assuma a função compartilhada para se conectar à tabela Amazon Keyspaces localizada em. `Account A:111111111111` Para obter mais informações sobre o plug-in de SIGV4 autenticação, consulte[Crie credenciais para acesso programático ao Amazon Keyspaces](programmatic.credentials.md). Para obter mais informações sobre como configurar um aplicativo para assumir uma função em outra AWS conta, consulte [Autenticação e acesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) no *AWS SDKs Guia de referência de ferramentas*.