As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Configurar permissões do IAM da tabela de restauração para o PITR do Amazon Keyspaces Esta seção resume como configurar permissões para que um diretor AWS Identity and Access Management (IAM) restaure tabelas do Amazon Keyspaces. No IAM, a política gerenciada pela AWS `AmazonKeyspacesFullAccess` inclui as permissões para restaurar tabelas do Amazon Keyspaces. Para implementar uma política personalizada com o mínimo de permissões necessárias, considere os requisitos descritos na próxima seção. Para restaurar uma tabela com sucesso, a entidade principal do IAM precisa das seguintes permissões mínimas: + `cassandra:Restore`: a ação de restauração é necessária para que a tabela de destino seja restaurada. + `cassandra:Select`: a ação de seleção é necessária para ler a tabela de origem. + `cassandra:TagResource`: a ação da tag é opcional e necessária somente se a operação de restauração adicionar tags. Este é um exemplo de política que concede permissões mínimas necessárias a um usuário para restaurar tabelas no espaço de chaves `mykeyspace`. ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Restore", "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] } ``` Permissões adicionais para restaurar uma tabela podem ser necessárias com base em outros atributos selecionados. Por exemplo, se a tabela de origem for criptografada em repouso com uma chave gerenciada pelo cliente, o Amazon Keyspaces deverá ter permissões para acessar a chave gerenciada pelo cliente da tabela de origem para restaurar a tabela com sucesso. Para obter mais informações, consulte [Restauração PITR de tabelas criptografadas](PointInTimeRecovery_HowItWorks.md#howitworks_backup_encryption). Se você estiver usando políticas do IAM com [chaves de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) para restringir o tráfego de entrada para fontes específicas, você deve garantir que o Amazon Keyspaces tenha permissão para realizar uma operação de restauração em nome da sua entidade principal. Você deve adicionar uma chave de condição `aws:ViaAWSService` à sua política do IAM se ela restringir o tráfego de entrada a qualquer uma das seguintes opções: + Endpoints da VPC com `aws:SourceVpce` + Intervalos de IP com `aws:SourceIp` + VPCs com `aws:SourceVpc` A chave de condição `aws:ViaAWSService` permite acesso quando qualquer serviço da AWS faz uma solicitação usando as credenciais da entidade principal. Para obter mais informações, consulte [Elementos de política JSON do IAM: chave de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*. Veja a seguir um exemplo de uma política que restringe o tráfego de origem a um endereço IP específico e permite que o Amazon Keyspaces restaure uma tabela em nome da entidade principal. ``` { "Version":"2012-10-17", "Statement":[ { "Sid":"CassandraAccessForCustomIp", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"false" }, "ForAnyValue:IpAddress":{ "aws:SourceIp":[ "123.45.167.89" ] } } }, { "Sid":"CassandraAccessForAwsService", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"true" } } } ] } ``` Para ver um exemplo de política usando a chave de condição global `aws:ViaAWSService`, consulte [Políticas de endpoint de VPC e recuperação do Amazon point-in-time Keyspaces (PITR)](vpc-endpoints.md#VPC_PITR_restore).