As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como configurar o acesso entre contas para o Amazon Keyspaces sem uma VPC compartilhada
<a name="access.cross-account.noVPC.setup"></a>

Se a tabela do Amazon Keyspaces e o endpoint privado da VPC pertencerem a contas diferentes, mas não estiverem compartilhando uma VPC, os aplicativos ainda poderão se conectar entre contas usando endpoints da VPC. Como as contas não estão compartilhando os endpoints da VPC, `Account A:111111111111`, `Account B:222222222222` e `Account C:333333333333` exigem seus próprios endpoints da VPC. Para o driver do cliente Cassandra, o Amazon Keyspaces aparece como um único nó em vez de um cluster de vários nós. Após a conexão, o driver do cliente chega ao servidor DNS, que retorna um dos endpoints disponíveis na VPC da conta. 

Você também pode acessar tabelas do Amazon Keyspaces em contas diferentes sem um VPC endpoint compartilhado usando os endpoints públicos ou implantando um endpoint VPC privado em cada conta. Quando não está usando uma VPC compartilhada, cada conta exige seu próprio endpoint da VPC. Neste exemplo, `Account A:111111111111`, `Account B:222222222222` e `Account C:333333333333` exigem seus próprios endpoints da VPC para acessar a tabela em `Account A:111111111111`. Ao usar endpoints da VPC nessa configuração, o Amazon Keyspaces aparece como um cluster de nó único para o driver do cliente Cassandra em vez de um cluster de vários nós. Após a conexão, o driver do cliente chega ao servidor DNS, que retorna um dos endpoints disponíveis na VPC da conta. Mas o driver do cliente não consegue acessar a tabela `system.peers` para descobrir endpoints adicionais. Como há menos hosts disponíveis, o driver faz menos conexões. Para ajustar isso, aumente a configuração do pool de conexões do driver em um fator de três. 

![\[Diagrama mostrando três contas diferentes pertencentes à mesma organização, na mesma Região da AWS sem uma VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/keyspaces/latest/devguide/images/keyspaces_cross-account_noVPC.png)


`Account A:111111111111`é a conta que contém os recursos (uma tabela do Amazon Keyspaces) que `Account B:222222222222` `Account C:333333333333` você precisa acessar, assim *como `Account A:111111111111` a conta confiável*. `Account B:222222222222`e `Account C:333333333333` são as contas com os diretores que precisam acessar os recursos (uma tabela do Amazon Keyspaces)`Account A:111111111111`, ou `Account B:222222222222` seja, `Account C:333333333333` *as* contas confiáveis. A conta confiável concede as permissões às contas confiáveis compartilhando um perfil do IAM. O procedimento a seguir descreve as etapas de configuração necessárias em `Account A:111111111111`.

**Configuração para a `Account A:111111111111`**

1. Crie um keyspace do Amazon Keyspaces e insira uma tabela. `Account A:111111111111`

1. Crie uma função do IAM `Account A:111111111111` que tenha acesso total à tabela Amazon Keyspaces e acesso de leitura às tabelas do sistema Amazon Keyspaces.

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":[
               "cassandra:Select",
               "cassandra:Modify"
            ],
            "Resource":[
               "arn:aws:cassandra:us-east-1:111111111111:/keyspace/mykeyspace/table/mytable",
               "arn:aws:cassandra:us-east-1:111111111111:/keyspace/system*"
            ]
         }
      ]
   }
   ```

1. Configure uma política de confiança para a função do IAM em `Account A:111111111111` para que os diretores `Account C:333333333333` possam assumir a função como contas confiáveis. `Account B:222222222222` Isso é mostrado no exemplo a seguir. 

   ```
   {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::222222222222:role/Cross-Account-Role-B",
             "arn:aws:iam::333333333333:role/Cross-Account-Role-C"
           ]
         },
         "Action": "sts:AssumeRole",
         "Condition": {}
       }
     ]
   }
   ```

   Para ver mais informações sobre as políticas do IAM entre contas, consulte [Políticas entre contas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) no Guia do usuário do IAM.

1. Configure o VPC endpoint `Account A:111111111111` e anexe permissões ao endpoint que permitem que as funções de `Account B:222222222222` e assumam `Account C:333333333333` a função no uso `Account A` do VPC endpoint. Essas permissões são válidas para o VPC endpoint ao qual elas estão conectadas. Para obter mais informações sobre as políticas de endpoint da VPC, consulte [Como controlar o acesso aos endpoints da VPC de interface para o Amazon Keyspaces](vpc-endpoints.md#interface-vpc-endpoints-policies).

   ```
   {{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccessfromSpecificIAMroles",
         "Effect": "Allow",
         "Action": "cassandra:*",
         "Resource": "*",
         "Principal": "*",
         "Condition": {
           "ArnEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::222222222222:role/Cross-Account-Role-B",
               "arn:aws:iam::333333333333:role/Cross-Account-Role-C"
             ]
           }
         }
       }
     ]
   }
   ```

**Configuração em `Account B:222222222222` e `Account C:333333333333`**

1. Em `Account B:222222222222` e `Account C:333333333333`, crie novos perfis e anexe a seguinte política que permite que a entidade principal assuma o perfil compartilhado criado em `Account A:111111111111`.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": {
               "Effect": "Allow",
               "Action": "sts:AssumeRole",
               "Resource": "arn:aws:iam::111111111111:role/keyspaces_access"
           }
   }
   ```

   Permitir que o diretor assuma a função compartilhada é implementado usando a `AssumeRole` API do AWS Security Token Service (AWS STS). Para obter mais informações, consulte [Fornecer acesso a um usuário do IAM em outro Conta da AWS de sua propriedade](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no Guia do usuário do IAM. 

1. Em `Account B:222222222222` e`Account C:333333333333`, você pode criar aplicativos que utilizam o plug-in de SIGV4 autenticação, que permite que um aplicativo assuma a função compartilhada para se conectar à tabela Amazon Keyspaces localizada em. `Account A:111111111111` Para obter mais informações sobre o plug-in de SIGV4 autenticação, consulte[Crie credenciais para acesso programático ao Amazon Keyspaces](programmatic.credentials.md). Para obter mais informações sobre como configurar um aplicativo para assumir uma função em outra AWS conta, consulte [Autenticação e acesso](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) no *AWS SDKs Guia de referência de ferramentas*.