As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Identity and Access Management para Amazon Keyspaces
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos do Amazon Keyspaces. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso do Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Uso de perfis vinculados ao serviço para o Amazon Keyspaces](using-service-linked-roles.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Keyspaces funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Keyspaces, você deve entender quais recursos do IAM estão disponíveis para ser usado com ele. Para ter uma visão de alto nível de como o Amazon Keyspaces e AWS outros serviços funcionam com o IAM, [AWS consulte os serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.
**Topics**
+ [Políticas baseadas em identidade do Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Perfis do IAM no Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade do Amazon Keyspaces
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Keyspaces oferece suporte a ações e recursos específicos e chaves de condição. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
*Para ver os recursos e as ações específicas do serviço Amazon Keyspaces e as chaves de contexto condicionais que podem ser usadas para políticas de permissões do IAM, consulte as [Ações, recursos e chaves de condição do Amazon Keyspaces (para Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)) na Referência de autorização de serviço*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Amazon Keyspaces usam o seguinte prefixo antes da ação: `cassandra:`. Por exemplo, para conceder a uma pessoa permissão para criar um espaço de chaves do Amazon Keyspaces com a instrução `CREATE` CQL do Amazon Keyspaces, inclua a ação `cassandra:Create` na política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Keyspaces define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
Para ver uma lista de ações do Amazon Keyspaces, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) na *Referência de autorização do serviço*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
No Amazon Keyspaces, keyspaces, tabelas e streams podem ser usados no `Resource` elemento de permissões do IAM.
**nota**
Para acessar tabelas e espaços de chave do usuário no Amazon Keyspaces, sua política do IAM deve `cassandra:Select` incluir permissões nas tabelas do sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Isso se aplica aos seguintes cenários:
AWS Acesso ao console de gerenciamento
Operações de recursos do SDK, por exemplo`GetKeyspace`,`GetTable`,`ListKeyspaces`, e `ListTables`
Conexões padrão do driver do cliente Apache Cassandra, porque os drivers leem automaticamente as tabelas do sistema durante a inicialização da conexão
As tabelas do sistema são somente para leitura e não podem ser modificadas.
O recurso de espaço de chaves do Amazon Keyspaces tem o seguinte ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
O recurso de tabela do Amazon Keyspaces tem o seguinte ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
O recurso de stream do Amazon Keyspaces tem o seguinte ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e namespaces AWS de serviços](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar o espaço de chaves `mykeyspace` em sua instrução, use o seguinte ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Para especificar todos os espaços de chaves que pertencem a uma conta específica, use o curinga (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Algumas ações do Amazon Keyspaces, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Por exemplo, para conceder `SELECT` permissões a um diretor do IAM para `mytable` entrar`mykeyspace`, o diretor deve ter permissões para ler tanto `mytable` quanto`keyspace/system*`. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Para ver uma lista dos tipos de recursos do Amazon Keyspaces e seus ARNs, consulte [Resources Defined by Amazon Keyspaces (para Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies)) na Referência de Autorização de Serviço.* Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Amazon Keyspaces define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Todas as ações do Amazon Keyspaces oferecem suporte às chaves de condição `aws:RequestTag/${TagKey}`, `aws:ResourceTag/${TagKey}` e `aws:TagKeys`. Para obter mais informações, consulte [Acesso a recursos do Amazon Keyspaces com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
Para ver uma lista de chaves de condição do Amazon Keyspaces, consulte [Chaves de condição do Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).
### Exemplos
Para visualizar exemplos de políticas baseadas em identidade do Amazon Keyspaces, consulte [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos do Amazon Keyspaces
O Amazon Keyspaces não oferece suporte a políticas baseadas em recursos. Para visualizar um exemplo de uma política baseada em recurso detalhada, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorização baseada em tags do Amazon Keyspaces
Você pode gerenciar o acesso a seus recursos do Amazon Keyspaces usando tags. Para gerenciar o acesso a recursos baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as chaves de condição `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Para obter mais informações sobre recursos de marcação do Amazon Keyspaces, consulte [Como trabalhar com tags e rótulos para recursos do Amazon Keyspaces](tagging-keyspaces.md).
Para visualizar exemplos de políticas baseadas em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Acesso a recursos do Amazon Keyspaces com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Perfis do IAM no Amazon Keyspaces
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.
### Uso de credenciais temporárias com o Amazon Keyspaces
É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Amazon Keyspaces oferece suporte ao uso de credenciais temporárias com o plug-in de autenticação AWS Signature Version 4 (SigV4) disponível no repositório Github para os seguintes idiomas:
+ Java: [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js: [https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Go: [https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Para ver exemplos e tutoriais que implementam o plug-in de autenticação para acessar o Amazon Keyspaces programaticamente, consulte [Como usar um driver de cliente Cassandra para acessar o Amazon Keyspaces programaticamente](programmatic.drivers.md).
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados ao serviço do Amazon Keyspaces, consulte **[Uso de perfis vinculados ao serviço para o Amazon Keyspaces](using-service-linked-roles.md)**.
### Perfis de serviço
O Amazon Keyspaces não é compatível com perfis de serviço.
# Exemplos de políticas baseadas em identidade do Amazon Keyspaces
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do Amazon Keyspaces. Eles também não podem realizar tarefas usando o console, o CQLSH ou AWS a AWS CLI API. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM utilizando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Uso do console do Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Como acessar as tabelas do Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Acesso a recursos do Amazon Keyspaces com base em tags](#security_iam_id-based-policy-examples-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Keyspaces em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Uso do console do Amazon Keyspaces
O Amazon Keyspaces não exige permissões específicas para acessar o seu console. Você precisa de pelo menos permissões de somente leitura para listar e visualizar detalhes sobre os recursos do Amazon Keyspaces em seu. Conta da AWS Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política.
Duas políticas AWS gerenciadas estão disponíveis para as entidades acessarem o console do Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Essa política concede acesso somente de leitura ao Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Essa política concede permissões para usar o Amazon Keyspaces com acesso total a todos os recursos.
Para obter mais informações sobre políticas gerenciadas no Amazon Keyspaces, consulte [AWS políticas gerenciadas para Amazon Keyspaces](security-iam-awsmanpol.md).
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Como acessar as tabelas do Amazon Keyspaces
**nota**
Para acessar tabelas e espaços de chave do usuário no Amazon Keyspaces, sua política do IAM deve `cassandra:Select` incluir permissões nas tabelas do sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Isso se aplica aos seguintes cenários:
AWS Acesso ao console de gerenciamento
Operações de recursos do SDK, por exemplo`GetKeyspace`,`GetTable`,`ListKeyspaces`, e `ListTables`
Conexões padrão do driver do cliente Apache Cassandra, porque os drivers leem automaticamente as tabelas do sistema durante a inicialização da conexão
As tabelas do sistema são somente para leitura e não podem ser modificadas.
Veja a seguir um exemplo de política que concede acesso somente leitura (`SELECT`) às tabelas do sistema do Amazon Keyspaces. Para todas as amostras, substitua a ID da Região e da conta no nome do recurso da Amazon (ARN) pelo seu.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
O exemplo de política a seguir adiciona acesso somente leitura à tabela do usuário `mytable` no espaço de chaves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
O exemplo de política a seguir atribui read/write acesso a uma tabela de usuários e acesso de leitura às tabelas do sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Select",
"cassandra:Modify"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
O exemplo de política a seguir permite que um usuário crie tabelas no espaço de chaves `mykeyspace`.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"cassandra:Create",
"cassandra:Select"
],
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
}
]
}
```
O exemplo de política a seguir atribui acesso de leitura às tabelas do sistema, mas restringe o acesso `SELECT` (leitura) e `MODIFY` (gravação) à tabela do usuário. `mytable`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cassandra:Select"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
]
},
{
"Effect": "Deny",
"Action": [
"cassandra:Select",
"cassandra:Modify"
],
"Resource": [
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
]
}
]
}
```
## Acesso a recursos do Amazon Keyspaces com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon Keyspaces com base em etiquetas. Essas políticas controlam a visibilidade dos espaços de chaves e das tabelas na conta. Observe que as permissões baseadas em tags para tabelas do sistema se comportam de forma diferente quando as solicitações são feitas usando o AWS SDK em comparação com as chamadas da API Cassandra Query Language (CQL) por meio de drivers e ferramentas de desenvolvedor do Cassandra.
+ Para fazer solicitações de recursos `List` e `Get` com o SDK da AWS ao usar o acesso baseado em tags, o chamador precisa ter acesso de leitura às tabelas do sistema. Por exemplo, as permissões de ação `Select` são necessárias para ler dados das tabelas do sistema por meio da operação `GetTable`. Se o chamador tiver apenas acesso baseado em tags a uma tabela específica, uma operação que exija acesso adicional a uma tabela do sistema falhará.
+ Para compatibilidade com o comportamento estabelecido do driver Cassandra, as políticas de autorização baseadas em tags não são aplicadas ao realizar operações em tabelas do sistema usando chamadas de API do Cassandra Query Language (CQL) por meio de drivers e ferramentas de desenvolvedor do Cassandra.
O exemplo a seguir mostra como você pode criar uma política que conceda permissões a um usuário para visualizar uma tabela se o `Owner` da tabela contiver o valor do nome do usuário em questão. Neste exemplo, você também concede acesso de leitura às tabelas do sistema.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReadOnlyAccessTaggedTables",
"Effect":"Allow",
"Action":"cassandra:Select",
"Resource":[
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/Owner":"${aws:username}"
}
}
}
]
}
```
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard-roe` tentar visualizar uma tabela do Amazon Keyspaces, a tabela deverá estar marcada como `Owner=richard-roe` ou `owner=richard-roe`. Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
A política a seguir concede permissões a um usuário para criar tabelas com tags se o `Owner` da tabela contiver o valor do nome de usuário desse usuário.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"cassandra:Create",
"cassandra:TagResource"
],
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Owner":"${aws:username}"
}
}
}
]
}
```
# AWS políticas gerenciadas para Amazon Keyspaces
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonKeyspacesReadOnlyAccess \$1v2
É possível anexar a política `AmazonKeyspacesReadOnlyAccess_v2` às suas identidades do IAM.
Esta política concede acesso somente leitura ao Amazon Keyspaces e inclui as permissões necessárias ao se conectar por meio de endpoints da VPC privados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `Amazon Keyspaces`: fornece acesso somente leitura ao Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite que os diretores visualizem os streams CDC do Amazon Keyspaces.
+ `Application Auto Scaling`: isso permite que as entidades principais visualizem configurações do Aplicativo de ajuste de escala automático. Isso é necessário para que os usuários possam visualizar as políticas de escalabilidade automática anexadas a uma tabela.
+ `CloudWatch`— Permite que os diretores visualizem dados métricos e alarmes configurados em. CloudWatch Isso é necessário para que os usuários possam visualizar o tamanho da tabela faturável e CloudWatch os alarmes que foram configurados para uma tabela.
+ `AWS KMS`— Permite que os diretores visualizem as chaves configuradas em AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.
+ `Amazon EC2`: permite que as entidades principais que se conectam ao Amazon Keyspaces por meio de endpoints da VPC consultem a VPC em sua instância do Amazon EC2 para obter informações sobre endpoints e interfaces de rede. Esse acesso somente leitura à instância do Amazon EC2 é necessário para que o Amazon Keyspaces possa pesquisar e armazenar endpoints da VPC de interface disponíveis na tabela `system.peers` usada para balanceamento de carga de conexão.
Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html).
## AWS política gerenciada: AmazonKeyspacesReadOnlyAccess
É possível anexar a política `AmazonKeyspacesReadOnlyAccess` às suas identidades do IAM.
Esta política concede acesso somente leitura ao Amazon Keyspaces.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `Amazon Keyspaces`: fornece acesso somente leitura ao Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite que os diretores visualizem os streams CDC do Amazon Keyspaces.
+ `Application Auto Scaling`: isso permite que as entidades principais visualizem configurações do Aplicativo de ajuste de escala automático. Isso é necessário para que os usuários possam visualizar as políticas de escalabilidade automática anexadas a uma tabela.
+ `CloudWatch`— Permite que os diretores visualizem dados métricos e alarmes configurados em. CloudWatch Isso é necessário para que os usuários possam visualizar o tamanho da tabela faturável e CloudWatch os alarmes que foram configurados para uma tabela.
+ `AWS KMS`— Permite que os diretores visualizem as chaves configuradas em AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.
Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html).
## AWS política gerenciada: AmazonKeyspacesFullAccess
É possível anexar a política `AmazonKeyspacesFullAccess` às suas identidades do IAM.
Esta política concede permissões administrativas que permitem aos administradores acesso irrestrito ao Amazon Keyspaces.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `Amazon Keyspaces`: permite que as entidades entidade principais acessem qualquer recurso do Amazon Keyspaces e executem todas as ações.
+ `Application Auto Scaling`: permite que as entidades principais criem, visualizem e excluam políticas de escalabilidade automática para tabelas do Amazon Keyspaces. Isso é necessário para que os administradores possam gerenciar políticas de escalabilidade automática para tabelas do Amazon Keyspaces.
+ `CloudWatch`— Permite que os diretores vejam o tamanho da tabela faturável, bem como criem, visualizem e excluam CloudWatch alarmes para as políticas de escalabilidade automática do Amazon Keyspaces. Isso é necessário para que os administradores possam visualizar o tamanho da tabela faturável e criar um painel. CloudWatch
+ `IAM`: permite que o Amazon Keyspaces crie perfis vinculados a serviços com o IAM automaticamente quando os seguintes atributos são ativados:
+ `Amazon Keyspaces CDC streams`— Quando um administrador habilita um stream para uma tabela, o Amazon Keyspaces cria a função [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculada ao serviço para publicar CloudWatch métricas em sua conta em seu nome.
+ `Application Auto Scaling`— Quando um administrador habilita o Application Auto Scaling para uma tabela, o Amazon Keyspaces cria a função vinculada ao serviço [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)para realizar ações automáticas de escalabilidade em seu nome.
+ `Amazon Keyspaces multi-Region replication`— Quando um administrador cria um novo espaço de chave multirregional ou adiciona um novo Região da AWS a um espaço de chave de região única existente, o Amazon Keyspaces cria a [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)função vinculada ao serviço para realizar a replicação de tabelas, dados e metadados para as regiões selecionadas em seu nome.
+ `AWS KMS`: permite que as entidades principais visualizem as chaves configuradas no AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.
+ `Amazon EC2`: permite que as entidades principais que se conectam ao Amazon Keyspaces por meio de endpoints da VPC consultem a VPC em sua instância do Amazon EC2 para obter informações sobre endpoints e interfaces de rede. Esse acesso somente leitura à instância do Amazon EC2 é necessário para que o Amazon Keyspaces possa pesquisar e armazenar endpoints da VPC de interface disponíveis na tabela `system.peers` usada para balanceamento de carga de conexão.
Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html).
## AWS política gerenciada: Keyspaces CDCService RolePolicy
Não é possível anexar a `KeyspacesCDCServiceRolePolicy` às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite que o Amazon Keyspaces execute ações em seu nome. Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).
Essa política concede as permissões necessárias à função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesCDC` para publicar dados de métricas de stream CDC do Amazon Keyspaces em seu nome. CloudWatch
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `CloudWatch`— Permite que o service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) publique dados métricos dos fluxos CDC do Amazon Keyspaces em sua conta em `"cloudwatch:namespace": "AWS/Cassandra"` CloudWatch seu nome.
Para revisar a política em `JSON` formato, consulte [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).
## Atualizações do Amazon Keyspaces para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Keyspaces desde que esse serviço começou a rastrear essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos para Amazon Keyspaces (para Apache Cassandra)](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [Keyspaces CDCService RolePolicy — Nova](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) política | O Amazon Keyspaces adicionou uma nova política gerenciada `KeyspacesCDCServiceRolePolicy` que concede as permissões necessárias à função vinculada ao serviço para publicar dados de métricas de stream do CDC do `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces em seu nome. CloudWatch Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 02 de julho de 2025 |
| [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Atualização de uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os diretores do IAM visualizem os streams CDC do Amazon Keyspaces. Para obter mais informações, consulte [Veja os streams do CDC no Amazon Keyspaces](keyspaces-view-cdc.md). | 02 de julho de 2025 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os diretores do IAM visualizem os streams CDC do Amazon Keyspaces. Para obter mais informações, consulte [Veja os streams do CDC no Amazon Keyspaces](keyspaces-view-cdc.md). | 02 de julho de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces criou a política `KeyspacesCDCServiceRolePolicy` gerenciada para a função vinculada ao serviço [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) para adicionar as permissões que são necessárias quando um administrador habilita um stream para uma tabela. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesCDC` para publicar CloudWatch métricas em sua conta em seu nome. Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md). | 02 de julho de 2025 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces atualizou a função vinculada `KeyspacesReplicationServiceRolePolicy` do serviço [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)para adicionar as permissões que são necessárias quando um administrador adiciona uma nova Região da AWS a um espaço de chave único ou multirregional. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesReplication` para replicar tabelas, suas configurações e dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 19 de novembro de 2024 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que o Amazon Keyspaces crie uma função vinculada ao serviço quando um administrador adiciona uma nova região a um keyspace único ou multirregional. O Amazon Keyspaces usa o perfil vinculado ao serviço para executar tarefas de replicação de dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 3 de outubro de 2023 |
| [AmazonKeyspacesReadOnlyAccess\$1v2 — Nova](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) política | O Amazon Keyspaces criou uma nova política para adicionar permissões somente de leitura para clientes que se conectam ao Amazon Keyspaces por meio de endpoints VPC de interface para acessar a instância do Amazon EC2 e pesquisar informações de rede. O Amazon Keyspaces armazena os endpoints da VPC de interface disponíveis na tabela `system.peers` para balanceamento de carga de conexão. Para obter mais informações, consulte [Como usar o Amazon Keyspaces com endpoint da VPC de interface](vpc-endpoints.md). | 12 de setembro de 2023 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que o Amazon Keyspaces crie um perfil vinculado ao serviço quando um administrador cria um espaço de chaves de várias regiões. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesReplication` para realizar tarefas de replicação de dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md). | 5 de junho de 2023 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem o tamanho faturável de uma tabela usando. CloudWatch O Amazon Keyspaces se integra à Amazon CloudWatch para permitir que você monitore o tamanho da tabela faturável. Para obter mais informações, consulte [Métricas do Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julho de 2022 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem o tamanho faturável de uma tabela usando. CloudWatch O Amazon Keyspaces se integra à Amazon CloudWatch para permitir que você monitore o tamanho da tabela faturável. Para obter mais informações, consulte [Métricas do Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions). | 7 de julho de 2022 |
| [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem AWS KMS chaves que foram configuradas para criptografia do Amazon Keyspaces em repouso. A criptografia em repouso do Amazon Keyspaces se integra à AWS KMS proteção e ao gerenciamento das chaves de criptografia usadas para criptografar dados em repouso. Para visualizar a AWS KMS chave configurada para o Amazon Keyspaces, permissões somente de leitura foram adicionadas. | 1º de junho de 2021 |
| [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente | O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem AWS KMS chaves que foram configuradas para criptografia do Amazon Keyspaces em repouso. A criptografia em repouso do Amazon Keyspaces se integra à AWS KMS proteção e ao gerenciamento das chaves de criptografia usadas para criptografar dados em repouso. Para visualizar a AWS KMS chave configurada para o Amazon Keyspaces, permissões somente de leitura foram adicionadas. | 1º de junho de 2021 |
| O Amazon Keyspaces passou a monitorar alterações | O Amazon Keyspaces começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |
# Solução de problemas de identidade e acesso do Amazon Keyspaces
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Keyspaces e o IAM.
**Topics**
+ [Não estou autorizado a executar uma ação no Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [Eu modifiquei um usuário ou perfil do IAM e as alterações não entraram em vigor imediatamente](#security_iam_troubleshoot-effect)
+ [Não consigo restaurar uma tabela usando a point-in-time recuperação do Amazon Keyspaces (PITR)](#security_iam_troubleshoot-pitr)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sou administrador e quero permitir que outras pessoas tenham acesso ao Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a executar uma ação no Amazon Keyspaces
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O exemplo de erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para ver detalhes sobre um*table*, mas não tem `cassandra:Select` permissões para a tabela.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `mytable` usando a ação `cassandra:Select`.
## Eu modifiquei um usuário ou perfil do IAM e as alterações não entraram em vigor imediatamente
As alterações na política do IAM podem levar até 10 minutos para entrar em vigor em aplicativos com conexões existentes e estabelecidas com o Amazon Keyspaces. As alterações na política do IAM entram em vigor imediatamente quando os aplicativos estabelecem uma nova conexão. Se você fez modificações em um usuário ou perfil do IAM existente e elas não tiveram efeito imediato, aguarde 10 minutos ou desconecte-se e reconecte-se ao Amazon Keyspaces.
## Não consigo restaurar uma tabela usando a point-in-time recuperação do Amazon Keyspaces (PITR)
Se você está tentando restaurar uma tabela do Amazon Keyspaces com point-in-time recuperação (PITR) e vê o processo de restauração começar, mas não ser concluído com sucesso, talvez você não tenha configurado todas as permissões necessárias para o processo de restauração. Você deve entrar em contato com o administrador para obter assistência e pedir a essa pessoa para atualizar suas políticas para permitir que você restaure uma tabela no Amazon Keyspaces.
Além das permissões de usuário, o Amazon Keyspaces pode exigir permissões para realizar ações durante o processo de restauração em nome da sua entidade principal. Esse é o caso se a tabela for criptografada com uma chave gerenciada pelo cliente ou se você estiver usando políticas do IAM que restringem o tráfego de entrada. Por exemplo, se você estiver usando chaves de condição em sua política do IAM para restringir o tráfego de origem a endpoints ou intervalos de IP específicos, a operação de restauração falhará. Para permitir que o Amazon Keyspaces execute a operação de restauração da tabela em nome da sua entidade principal, você deve adicionar uma chave de condição `aws:ViaAWSService` global na política do IAM.
Para obter mais informações sobre as permissões para restaurar tabelas, consulte [Configurar permissões do IAM da tabela de restauração para o PITR do Amazon Keyspaces](howitworks_restore_permissions.md).
## Não estou autorizado a realizar iam: PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir a transmissão de um perfil ao Amazon Keyspaces.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Amazon Keyspaces. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Sou administrador e quero permitir que outras pessoas tenham acesso ao Amazon Keyspaces
Para permitir que outras pessoas acessem o Amazon Keyspaces, você deve conceder permissão às pessoas ou aplicações que precisam de acesso. Se você estiver usando o Centro de Identidade do AWS IAM para gerenciar pessoas e aplicações, atribua conjuntos de permissões a usuários ou grupos para definir o nível de acesso. Os conjuntos de permissões criam e atribuem automaticamente políticas do IAM aos perfis do IAM associados à pessoa ou aplicação. Para ter mais informações, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
Se você não estiver usando o Centro de Identidade do IAM, deverá criar entidades do IAM (usuários ou perfis) para as pessoas ou aplicações que precisam de acesso. Você deve anexar uma política à entidade que concede a elas as permissões corretas no Amazon Keyspaces. Depois que as permissões forem concedidas, forneça as credenciais ao usuário ou desenvolvedor da aplicação. Eles usarão essas credenciais para acessar AWS. Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Amazon Keyspaces
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Keyspaces é compatível com esses recursos, consulte [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Uso de perfis vinculados ao serviço para o Amazon Keyspaces
[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
**Topics**
+ [Usando funções para o ajuste de escala automático do aplicativo Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)
# Usando funções para o ajuste de escala automático do aplicativo Amazon Keyspaces
[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Amazon Keyspaces, pois você não pode remover por engano as permissões para acessá-los.
## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
O Amazon Keyspaces usa a função vinculada ao serviço nomeada **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**para permitir que o Application Auto Scaling chame o Amazon Keyspaces e a Amazon em seu nome. CloudWatch
A função AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `cassandra.application-autoscaling.amazonaws.com`
A política de permissões do perfil permite que o ajuste de escala automático ao aplicativo conclua as seguintes ações nos recursos especificados:
+ Ação: `cassandra:Select` em `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Ação: `cassandra:Select` no recurso `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Ação: `cassandra:Select` no recurso `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Ação: `cassandra:Alter` no recurso `arn:*:cassandra:*:*:"*"`
## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
Você não precisa criar manualmente um perfil vinculado ao serviço para escalar automaticamente o Amazon Keyspaces. Quando você ativa o escalonamento automático do Amazon Keyspaces em uma tabela com a Console de gerenciamento da AWS, CQL, a ou a AWS API AWS CLI, o Application Auto Scaling cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você ativa o ajuste de escala automático do Amazon Keyspaces para uma tabela, o ajuste de escala automático do aplicativo cria a função vinculada ao serviço para você novamente.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
O Amazon Keyspaces não permite que você edite a função vinculada ao AWSServiceRoleForApplicationAutoScaling\$1CassandraTable serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Exclusão de um perfil vinculado ao serviço do Amazon Keyspaces
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, primeiro você deve desativar o escalonamento automático em todas as tabelas da conta Regiões da AWS antes de excluir manualmente a função vinculada ao serviço. Para desativar o ajuste de escala automático nas tabelas do Amazon Keyspaces, consulte [Desativar o ajuste de escala automático do Amazon Keyspaces para uma tabela](autoscaling.turnoff.md).
**nota**
Se a escalabilidade automática do Amazon Keyspaces estiver usando o perfil quando você tentar modificar os recursos, o cancelamento do registro poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
**nota**
Para excluir o perfil vinculado ao serviço usado pela escalabilidade automática do Amazon Keyspaces, você deve primeiro desativar a escalabilidade automática em todas as tabelas da conta.
## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
O Amazon Keyspaces oferece suporte a perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints de serviço do Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).
# Uso de perfis para replicação multirregional do Amazon Keyspaces
[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Amazon Keyspaces, pois você não pode remover por engano as permissões para acessá-los.
## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
O Amazon Keyspaces usa a função vinculada ao serviço nomeada para permitir que o **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces adicione algo novo Regiões da AWS a um keyspace em seu nome e replique tabelas e todos os seus dados e configurações para a nova região. A função também permite que o Amazon Keyspaces replique gravações em tabelas em todas as regiões em seu nome.
A função AWSService RoleForAmazonKeyspacesReplication vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `replication.cassandra.amazonaws.com`
A política de permissões de função nomeada KeyspacesReplicationServiceRolePolicy permite que o Amazon Keyspaces conclua as seguintes ações:
+ Ação: `cassandra:Select`
+ Ação: `cassandra:SelectMultiRegionResource`
+ Ação: `cassandra:Modify`
+ Ação: `cassandra:ModifyMultiRegionResource`
+ Ação: `cassandra:AlterMultiRegionResource`
+ Ação: `application-autoscaling:RegisterScalableTarget` — O Amazon Keyspaces usa as permissões de auto scaling do aplicativo quando você adiciona uma réplica a uma única tabela de regiões no modo provisionado com o auto scaling ativado.
+ Ação: `application-autoscaling:DeregisterScalableTarget`
+ Ação: `application-autoscaling:DescribeScalableTargets`
+ Ação: `application-autoscaling:PutScalingPolicy`
+ Ação: `application-autoscaling:DescribeScalingPolicies`
+ Ação: `cassandra:Alter`
+ Ação: `cloudwatch:DeleteAlarms`
+ Ação: `cloudwatch:DescribeAlarms`
+ Ação: `cloudwatch:PutMetricAlarm`
Embora a função vinculada ao serviço Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication forneça as permissões: “Ação:” para o nome de recurso da Amazon (ARN) “arn: \$1” especificado na política, o Amazon Keyspaces fornece o ARN da sua conta.
As permissões para criar a função vinculada ao serviço AWSService RoleForAmazonKeyspacesReplication estão incluídas na política `AmazonKeyspacesFullAccess` gerenciada. Para obter mais informações, consulte [AWS política gerenciada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
Não é possível criar manualmente um perfil vinculado ao serviço. Quando você cria um keyspace multirregional na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Keyspaces cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um espaço de chaves multirregional, o Amazon Keyspaces cria o perfil vinculado ao serviço para você novamente.
## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
O Amazon Keyspaces não permite que você edite a função vinculada ao AWSService RoleForAmazonKeyspacesReplication serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Exclusão de um perfil vinculado ao serviço do Amazon Keyspaces
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve primeiro excluir todos os espaços-chave multirregionais da conta Regiões da AWS antes de excluir manualmente a função vinculada ao serviço.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deve primeiro excluir quaisquer espaços de chaves e tabelas multirregionais usados pelo perfil.
**nota**
Se o serviço do Amazon Keyspaces estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir recursos do Amazon Keyspaces usados pelo AWSService RoleForAmazonKeyspacesReplication (console)**
1. [Faça login no Console de gerenciamento da AWS e abra o console do Amazon Keyspaces em casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)
1. Selecione **Espaços de chaves** no painel do lado esquerdo.
1. Selecione todos os espaços de chaves multirregionais da lista.
1. Selecione **Excluir**, confirme a exclusão e selecione **Excluir espaços de chaves**.
Você também pode excluir os espaços de chaves multirregionais de forma programática usando qualquer um dos seguintes métodos.
+ A instrução [DESCARTAR ESPAÇO DE CHAVES](cql.ddl.keyspace.md#cql.ddl.keyspace.drop) do Cassandra Query Language (CQL).
+ A operação [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) da CLI. AWS
+ A [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)operação da API Amazon Keyspaces.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAmazonKeyspacesReplication vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
O Amazon Keyspaces não oferece suporte ao uso de perfis vinculados a serviços em todas as regiões em que o serviço está disponível. Você pode usar a AWSService RoleForAmazonKeyspacesReplication função nas seguintes regiões.
****
| Nome da região | Identidade da região | Suporte no Amazon Keyspaces |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
# Usando funções para streams CDC do Amazon Keyspaces
[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Você não pode excluir a função vinculada ao serviço.
## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
O Amazon Keyspaces usa a função vinculada ao serviço chamada **AWSServiceRoleForAmazonKeyspacesCDC para permitir que os streams de CDC** do Amazon Keyspaces publiquem métricas em sua conta em seu CloudWatch nome.
A função vinculada ao serviço do AWSService RoleForAmazonKeyspaces CDC confia no seguinte serviço para assumir a função:
+ `cassandra-streams.amazonaws.com`
A política de permissões de função chamada [Keyspaces permite](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) que o CDCService RolePolicy Amazon Keyspaces conclua a seguinte ação em recursos no namespace: CloudWatch `AWS/Cassandra`
+ Ação: `cloudwatch:PutMetricData` em `*`
O AWSService RoleForAmazonKeyspaces CDC fornece as permissões: Ação: cloudwatch: PutMetricData em todos os recursos que correspondem à seguinte condição:. `"cloudwatch:namespace": "AWS/Cassandra"`
Para obter mais informações sobre Keyspaces CDCServiceRolePolicy, consulte. [AWS política gerenciada: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)
Para habilitar fluxos de CDC para uma tabela, que cria automaticamente a função AWSService RoleForAmazonKeyspaces CDC vinculada ao serviço, o diretor do IAM precisa das seguintes permissões.
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
As permissões para criar a função AWSService RoleForAmazonKeyspaces CDC vinculada ao serviço estão incluídas na política gerenciada`AmazonKeyspacesFullAccess`. Para obter mais informações, consulte [AWS política gerenciada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).
## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
Você não precisa criar manualmente uma função vinculada ao serviço para os streams CDC do Amazon Keyspaces. Quando você habilita streams de CDC do Amazon Keyspaces em uma tabela com o Console de gerenciamento da AWS, CQL, o ou a API AWS CLI, o AWS Amazon Keyspaces cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você habilita streams CDC do Amazon Keyspaces para uma tabela, o Amazon Keyspaces cria a função vinculada ao serviço para você novamente.
## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
O Amazon Keyspaces não permite que você edite a função vinculada ao serviço AWSService RoleForAmazonKeyspaces CDC. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
O Amazon Keyspaces oferece suporte a perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).