As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança no Amazon Keyspaces (para Apache Cassandra)
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Keyspaces, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Também existe a responsabilidade por outros fatores, incluindo a confidencialidade de dados, os requisitos da organização e as leis e regulamentos aplicáveis. 

Esta documentação o ajudará a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Keyspaces. Os tópicos a seguir mostram como configurar o Amazon Keyspaces para atender aos seus objetivos de segurança e de conformidade. Você também aprenderá a usar outros AWS serviços que podem ajudá-lo a monitorar e proteger seus recursos do Amazon Keyspaces. 

**Topics**
+ [Proteção de dados no Amazon Keyspaces](data-protection.md)
+ [AWS Identity and Access Management para Amazon Keyspaces](security-iam.md)
+ [Validação de conformidade do Amazon Keyspaces (para Apache Cassandra)](Keyspaces-compliance.md)
+ [Resiliência e recuperação de desastres no Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Keyspaces](infrastructure-security.md)
+ [Análise de configuração e vulnerabilidade no Amazon Keyspaces](configuration-vulnerability.md)
+ [Práticas recomendadas de segurança para o Amazon Keyspaces](best-practices-security.md)

# Proteção de dados no Amazon Keyspaces
<a name="data-protection"></a>

O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Keyspaces (para Apache Cassandra). Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon Keyspaces ou outros Serviços da AWS usando o console, a API ou. AWS CLI AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

**Topics**
+ [Criptografia em repouso no Amazon Keyspaces](EncryptionAtRest.md)
+ [Criptografia em trânsito no Amazon Keyspaces](encryption-in-transit.md)
+ [Privacidade do tráfego entre redes no Amazon Keyspaces](inter-network-traffic-privacy.md)

# Criptografia em repouso no Amazon Keyspaces
<a name="EncryptionAtRest"></a>

A *criptografia em repouso* do Amazon Keyspaces (para Apache Cassandra) fornece segurança aprimorada ao criptografar seus dados em repouso usando chaves de criptografia armazenadas no [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Essa funcionalidade ajuda a reduzir a carga e complexidade operacionais necessárias para proteger dados confidenciais. Com a criptografia de dados em repouso, você pode criar aplicativos confidenciais que atendem a requisitos rigorosos de conformidade e regulamentação de criptografia para proteção de dados. 

 A criptografia em repouso do Amazon Keyspaces usa o Advanced Encryption Standard de 256 bits (AES-256). Isso ajuda a proteger seus dados contra o acesso não autorizado ao armazenamento subjacente. 

O Amazon Keyspaces criptografa e descriptografa os dados em tabelas e streams de forma transparente. O Amazon Keyspaces usa criptografia envelopada e uma hierarquia de chaves para proteger as chaves de criptografia de dados. Ele se integra ao AWS KMS para armazenar e gerenciar a chave de criptografia raiz. Para obter mais informações sobre a hierarquia de chaves da criptografia, consulte o [Criptografia em repouso: como funciona no Amazon Keyspaces](encryption.howitworks.md). Para obter mais informações sobre AWS KMS conceitos como criptografia de envelope, consulte [conceitos AWS KMS de serviços de gerenciamento](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) no *Guia do AWS Key Management Service desenvolvedor*.

 Ao criar uma nova tabela, você pode escolher uma das seguintes *chaves AWS KMS (chaves KMS)*: 
+ Chave pertencente à AWS — Esse é o tipo de criptografia padrão. A chave é de propriedade do Amazon Keyspaces (sem custo adicional). 
+ Chave gerenciada pelo cliente: a chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave gerenciada pelo cliente (AWS KMS taxas aplicáveis).

O Amazon Keyspaces criptografa automaticamente os fluxos de captura de dados alterados (CDC) com a mesma chave da tabela subjacente. Para obter mais informações sobre o CDC, consulte[Trabalhando com fluxos de captura de dados de alteração (CDC) no Amazon Keyspaces](cdc.md).

 Você pode alternar entre a chave gerenciada pelo cliente Chave pertencente à AWS e a chave gerenciada pelo cliente a qualquer momento. É possível especificar uma chave gerenciada pelo cliente quando você cria uma nova tabela ou alterou a chave KMS de uma tabela existente usando o console ou programaticamente usando as instruções CQL. Para saber como, consulte [Criptografia em repouso: como usar chaves gerenciadas pelo cliente para criptografar tabelas no Amazon Keyspaces](encryption.customermanaged.md).

 A criptografia em repouso usando a opção padrão de Chaves pertencentes à AWS é oferecida sem custo adicional. No entanto, as cobranças do AWS KMS se aplicam a chaves gerenciadas pelo cliente. Para obter mais informações sobre preços, consulte [Preços do AWS KMS](https://aws.amazon.com/kms/pricing).

A criptografia em repouso do Amazon Keyspaces está disponível em todas Regiões da AWS, incluindo as regiões da AWS China (Pequim) e AWS China (Ningxia). Para obter mais informações, consulte [Criptografia em repouso: como funciona no Amazon Keyspaces](encryption.howitworks.md).

**Topics**
+ [Criptografia em repouso: como funciona no Amazon Keyspaces](encryption.howitworks.md)
+ [Criptografia em repouso: como usar chaves gerenciadas pelo cliente para criptografar tabelas no Amazon Keyspaces](encryption.customermanaged.md)

# Criptografia em repouso: como funciona no Amazon Keyspaces
<a name="encryption.howitworks"></a>

A *criptografia em repouso* do Amazon Keyspaces (para Apache Cassandra) criptografa seus dados usando Advanced Encryption Standard (AES-256) de 256 bits. Isso ajuda a proteger seus dados contra o acesso não autorizado ao armazenamento subjacente. Todos os dados do cliente nas tabelas do Amazon Keyspaces são criptografados em repouso por padrão, e a criptografia do lado do servidor é transparente, o que significa que não são necessárias alterações nos aplicativos.

A criptografia em repouso se integra com AWS Key Management Service (AWS KMS) para gerenciar a chave de criptografia usada para criptografar suas tabelas. Ao criar uma nova tabela ou atualizar uma tabela existente, você pode escolher uma das seguintes opções de *chave AWS KMS *:
+ Chave pertencente à AWS — Esse é o tipo de criptografia padrão. A chave é de propriedade do Amazon Keyspaces (sem custo adicional).
+ Chave gerenciada pelo cliente: a chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave gerenciada pelo cliente (AWS KMS taxas aplicáveis).

**AWS KMS chave (chave KMS)**  
A criptografia em repouso protege todos os seus dados do Amazon Keyspaces com uma AWS KMS chave. Por padrão, o Amazon Keyspaces usa uma [Chave pertencente à AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), uma chave de criptografia multilocatário que é criada e gerenciada em uma conta de serviço do Amazon Keyspaces.   
No entanto, você pode criptografar suas tabelas do Amazon Keyspaces usando [uma chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) na sua Conta da AWS. Você pode selecionar uma chave do KMS diferente para cada tabela em uma keyspace. A chave do KMS selecionada para uma tabela também é usada para criptografar todos os metadados e backups restauráveis.   
Você seleciona a chave do KMS para uma tabela ao criar ou atualizar essa tabela. É possível alterar a chave do KMS de uma tabela a qualquer momento, seja no console do Amazon Keyspaces ou usando a instrução [ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). O processo de alternar chaves KMS é facilitado e não exige tempo de inatividade ou causa serviço de degradação.

**Hierarquia de chaves**  
O Amazon Keyspaces usa uma hierarquia de chaves para criptografar dados. Nessa hierarquia de chaves, a chave KMS é a chave raiz. É usado para criptografar e descriptografar a chave de criptografia de tabela do Amazon Keyspaces. A chave de criptografia da tabela é usada para criptografar as chaves de criptografia usadas internamente pelo Amazon Keyspaces para criptografar e descriptografar dados ao realizar operações de leitura e gravação.   
Com a hierarquia de chaves de criptografia, você pode fazer alterações na chave KMS sem precisar recriptografar os dados ou afetar os aplicativos e as operações de dados em andamento.   

![\[Hierarquia de chaves mostrando a chave raiz, a chave de criptografia de tabela e a chave de criptografia de dados usada para criptografia em repouso.\]](http://docs.aws.amazon.com/pt_br/keyspaces/latest/devguide/images/keyspaces_encryption.png)


**Chave de tabela**  
A chave de tabela do Amazon Keyspaces é usada como uma chave de criptografia de chaves. O Amazon Keyspaces usa a chave de tabela para proteger as chaves de criptografia de dados internas usadas para criptografar os dados armazenados em tabelas, arquivos de log e backups restauráveis. O Amazon Keyspaces gera uma chave de criptografia de dados exclusiva para cada estrutura subjacente em uma tabela. No entanto, várias linhas da tabela podem ser protegidas pela mesma chave de criptografia de dados.  
Quando você define pela primeira vez a chave KMS como uma chave gerenciada pelo cliente, AWS KMS gera uma *chave de dados*. A chave AWS KMS de dados se refere à chave da tabela no Amazon Keyspaces.  
Quando você acessa uma tabela criptografada, o Amazon Keyspaces envia uma solicitação para usar a chave KMS AWS KMS para descriptografar a chave da tabela. Ele usa a chave de tabela de texto simples para descriptografar as chaves de criptografia de dados do Amazon Keyspaces e usa as chaves de criptografia de dados de texto simples para descriptografar os dados da tabela.  
O Amazon Keyspaces usa e armazena a chave da tabela e as chaves de criptografia de dados fora do. AWS KMS Ele protege todas as chaves com a criptografia [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) e chaves de criptografia de 256 bits. Depois, armazena as chaves criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados da tabela sob demanda.

**Armazenamento em cache de chave de tabela**  
Para evitar a chamada AWS KMS para cada operação do Amazon Keyspaces, o Amazon Keyspaces armazena em cache as chaves da tabela de texto simples para cada conexão na memória. Se o Amazon Keyspaces receber uma solicitação para a chave da tabela em cache após cinco minutos de inatividade, ele enviará uma nova solicitação para AWS KMS descriptografar a chave da tabela. Essa chamada captura todas as alterações feitas nas políticas de acesso da chave KMS em AWS KMS ou AWS Identity and Access Management (IAM) desde a última solicitação para descriptografar a chave da tabela.

**criptografia envelopada**  
Se você alterar a chave da tabela gerenciada pelo cliente, o Amazon Keyspaces gera outra chave de tabela. Depois, ele usa a nova chave de tabela para criptografar novamente as chaves de criptografia de dados. Ele também usa a nova chave de tabela para criptografar chaves de tabela anteriores que são usadas para proteger backups restauráveis. Esse processo é chamado de criptografia envelopada. Isso garante que você possa acessar backups restauráveis mesmo se você alternar a chave gerenciada pelo cliente. Para obter mais informações sobre a criptografia envelopada, consulte [Criptografia de envelope](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) no *Guia do desenvolvedor do AWS Key Management Service *.

**Topics**
+ [AWS chaves de propriedade](#keyspaces-owned)
+ [Chaves gerenciadas pelo cliente](#customer-managed)
+ [Notas de uso de criptografia em repouso](#encryption.usagenotes)

## AWS chaves de propriedade
<a name="keyspaces-owned"></a>

Chaves pertencentes à AWS não estão armazenados no seu Conta da AWS. Elas fazem parte de uma coleção de chaves KMS que AWS possui e gerencia para uso em várias Contas da AWS. AWS serviços que você pode Chaves pertencentes à AWS usar para proteger seus dados.

Você não pode visualizar, gerenciar Chaves pertencentes à AWS, usar ou auditar seu uso. No entanto, você não precisa fazer nenhum trabalho nem alterar nenhum programa para proteger as chaves que criptografam seus dados.

Não é cobrada uma taxa mensal ou uma taxa de uso pelo uso de Chaves pertencentes à AWS, e elas não são contabilizadas nas AWS KMS cotas da sua conta.

## Chaves gerenciadas pelo cliente
<a name="customer-managed"></a>

As chaves gerenciadas pelo cliente são chaves Conta da AWS que você cria, possui e gerencia. Você tem controle total sobre essas chaves KMS. 

Use uma chave gerenciada pelo cliente para obter os seguintes recursos:
+ Você cria e gerencia a chave gerenciada pelo cliente, incluindo a configuração e a manutenção de [políticas de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [políticas do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) e [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para controlar o acesso à chave gerenciada pelo cliente. Você pode [habilitar e desabilitar](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) a chave gerenciada pelo cliente, habilitar e desabilitar a [alternância automática de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) e [programar a chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) para ser deletada quando ela não estiver mais em uso. Você pode criar tags e aliases para as chaves gerenciadas pelo cliente que você gerencia.
+ Você pode usar uma chave gerenciada pelo cliente com [material de chave importado](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) ou uma chave gerenciada pelo cliente em um [armazenamento de chaves personalizado](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que você possui e gerencia. 
+ Você pode usar o AWS CloudTrail Amazon CloudWatch Logs para rastrear as solicitações que o Amazon Keyspaces envia AWS KMS em seu nome. Para obter mais informações, consulte [Etapa 6: Configurar o monitoramento com AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).

As chaves gerenciadas pelo cliente são [cobradas](https://aws.amazon.com/kms/pricing/) por cada chamada de API, e as AWS KMS cotas se aplicam a essas chaves do KMS. Para obter mais informações, consulte [Cotas AWS KMS de recurso ou de solicitação](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).

Quando você especifica uma chave gerenciada pelo cliente como a chave de criptografia raiz de uma tabela, os backups restauráveis são criptografados com a mesma chave de criptografia especificada para a tabela no momento em que o backup é criado. Se a chave KMS da tabela for alternada, o envelopamento da chave garante que a chave KMS mais recente tenha acesso a todos os backups restauráveis.

O Amazon Keyspaces deve ter acesso à sua chave gerenciada pelo cliente para fornecer acesso aos dados da sua tabela. Se o estado da chave de criptografia estiver definido como desativado ou programado para exclusão, o Amazon Keyspaces não conseguirá criptografar ou descriptografar dados. Como resultado, você não consegue realizar operações de leitura e gravação na tabela. Assim que o serviço detectar que a chave de criptografia está inacessível, o Amazon Keyspaces enviará uma notificação por e-mail para alertar você. 

Você deve restaurar a acesso à sua chave de criptografia dentro de sete dias ou o Amazon Keyspaces excluirá sua tabela automaticamente. Como precaução, o Amazon Keyspaces cria um backup restaurável dos dados da tabela antes de excluí-la. O Amazon Keyspaces mantém o backup restaurável por 35 dias. Depois de 35 dias, você não poderá mais restaurar os dados da tabela. Você não é cobrado pelo backup restaurável, mas [cobranças de restauração](https://aws.amazon.com/keyspaces/pricing) padrão se aplicam. 

É possível usar esse backup restaurável e restaurar seus dados para uma nova tabela. Para iniciar a restauração, a última chave gerenciada pelo cliente usada na tabela deve estar habilitada e o Amazon Keyspaces deve ter acesso a ela.

**nota**  
Quando vovê cria uma tabela criptografada usando uma chave gerenciada pelo cliente que está inacessível ou programada para ser excluída antes da conclusão do processo de criação, ocorre um erro. A operação de criação de tabela falha e você recebe uma notificação por e-mail.

## Notas de uso de criptografia em repouso
<a name="encryption.usagenotes"></a>

Considere o seguinte ao usar criptografia em repouso no Amazon Keyspaces.
+ A criptografia do lado do servidor em repouso está habilitada em todas as tabelas do Amazon Keyspaces e não pode ser desabilitada. A tabela inteira é criptografada em repouso, você não pode selecionar colunas ou linhas específicas para criptografia.
+ Por padrão, o Amazon Keyspaces usa uma chave padrão de serviço único (Chave pertencente à AWS) para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas. 
+ A criptografia em repouso só criptografa dados enquanto eles estão estáticos (em repouso) em uma mídia de armazenamento persistente. Se a segurança dos dados for motivo de preocupação para dados em trânsito ou dados em uso, será necessário tomar outras medidas:
  + Dados em trânsito: todos os dados no Amazon Keyspaces são criptografados em trânsito. Por padrão, as comunicações com o Amazon Keyspaces são protegidas com a criptografia Secure Sockets Layer (SSL) /Transport Layer Security (TLS).
  + Dados em uso: proteja seus dados antes de enviá-los ao Amazon Keyspaces usando a criptografia do lado do cliente. 
  + Chaves gerenciadas pelo cliente: os dados em repouso em suas tabelas são sempre criptografados usando suas chaves gerenciadas pelo cliente. No entanto, as operações que realizam atualizações atômicas de várias linhas criptografam os dados temporariamente usando Chaves pertencentes à AWS durante o processamento. Isso inclui operações de exclusão de intervalos e operações que acessam simultaneamente dados estáticos e não estáticos.
+ Uma única chave gerenciada pelo cliente pode ter até 50.000 [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Cada tabela do Amazon Keyspaces associada a uma chave gerenciada pelo cliente consome 2 concessões. Uma concessão é liberada quando a tabela é excluída. A segunda concessão é usada para criar um snapshot automático da tabela para proteger contra perda de dados caso o Amazon Keyspaces perca o acesso à chave gerenciada pelo cliente acidentalmente. Essa concessão é liberada 42 dias após a exclusão da tabela.

# Criptografia em repouso: como usar chaves gerenciadas pelo cliente para criptografar tabelas no Amazon Keyspaces
<a name="encryption.customermanaged"></a>

Você pode usar o console ou as instruções CQL para especificar as AWS KMS key para novas tabelas e atualizar as chaves de criptografia das tabelas existentes no Amazon Keyspaces. O tópico a seguir descreve como implementar chaves gerenciadas pelo cliente para tabelas novas e existentes. 

**Topics**
+ [Pré-requisitos: Crie uma chave gerenciada pelo cliente usando AWS KMS e conceda permissões ao Amazon Keyspaces](#encryption.createCMKMS)
+ [Etapa 3: Especificar uma chave gerenciada pelo cliente para uma nova tabela](#encryption.tutorial-creating)
+ [Etapa 4: Atualizar a chave de criptografia de uma tabela existente](#encryption.tutorial-update)
+ [Etapa 5: Usar o contexto de criptografia do Amazon Keyspaces nos logs](#encryption-context)
+ [Etapa 6: Configurar o monitoramento com AWS CloudTrail](#encryption-cmk-trail)

## Pré-requisitos: Crie uma chave gerenciada pelo cliente usando AWS KMS e conceda permissões ao Amazon Keyspaces
<a name="encryption.createCMKMS"></a>

Antes de proteger uma tabela do Amazon Keyspaces com uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed), você deve primeiro criar a chave em AWS Key Management Service (AWS KMS) e depois autorizar o Amazon Keyspaces a usar essa chave.

### Etapa 1: criar uma chave gerenciada pelo cliente usando AWS KMS
<a name="encryption-create-key"></a>

Para criar uma chave gerenciada pelo cliente para ser usada para proteger uma tabela do Amazon Keyspaces, você pode seguir as etapas em [Criação de chaves KMS de criptografia simétrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) usando o console ou a API. AWS 

### Etapa 2: Autorizar o uso da chave gerenciada pelo cliente
<a name="encryption-authz"></a>

Antes de escolher uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed) para proteger uma tabela do Amazon Keyspaces, as políticas nessa chave gerenciada pelo cliente devem conceder ao Amazon Keyspaces permissão para usá-la em seu nome. Você tem controle total sobre as políticas e concessões em uma chave gerenciada pelo cliente. É possível fornecer essas permissões em uma [política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), em uma [política do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) ou em uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).

O Amazon Keyspaces não precisa de autorização adicional para usar o padrão [Chave pertencente à AWS](encryption.howitworks.md#keyspaces-owned) para proteger as tabelas do Amazon Keyspaces em sua conta AWS .

Os tópicos a seguir mostram como configurar as permissões necessárias usando concessões e políticas do IAM que permitem que as tabelas do Amazon Keyspaces usem uma chave gerenciada pelo cliente.

**Topics**
+ [Política de chaves para chaves gerenciadas pelo cliente](#encryption-customer-managed-policy)
+ [Exemplo de política de chave do](#encryption-customer-managed-policy-sample)
+ [Como usar concessões para autorizar o Amazon Keyspaces](#encryption-grants)

#### Política de chaves para chaves gerenciadas pelo cliente
<a name="encryption-customer-managed-policy"></a>

Ao escolher uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed) para proteger uma tabela do Amazon Keyspaces, o Amazon Keyspaces obtém permissão para usar a chave gerenciada pelo cliente em nome da entidade principal que faz a seleção. Essa entidade principal, um usuário ou um perfil deve ter as permissões na chave gerenciada pelo cliente exigida pelo Amazon Keyspaces. 

No mínimo, o Amazon Keyspaces exige as seguintes permissões em uma chave gerenciada pelo cliente:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (para kms: ReEncryptFrom e kms:ReEncryptTo)
+ kms: GenerateDataKey \$1 (para [kms: GenerateDataKey e [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html):](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)) GenerateDataKeyWithoutPlaintext
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)

#### Exemplo de política de chave do
<a name="encryption-customer-managed-policy-sample"></a>

Por exemplo, a política de chaves de exemplo a seguir fornece somente as permissões necessárias. A política tem os seguintes efeitos:
+ Permite que o Amazon Keyspaces use a chave gerenciada pelo cliente em operações criptográficas e cria concessões, mas somente quando está atuando em nome de entidades principais na conta que tem permissão para usar o Amazon Keyspaces. Se as entidades principais especificados na instrução da política não tiverem permissão para usar o Amazon Keyspaces, a chamada falhará, mesmo se vier do serviço do Amazon Keyspaces. 
+ A chave de ViaService condição [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) permite as permissões somente quando a solicitação vem do Amazon Keyspaces em nome dos diretores listados na declaração de política. Essas entidades principais não podem chamar essas operações diretamente. Observe que o valor de `kms:ViaService`, `cassandra.*.amazonaws.com`, tem um asterisco (\$1) na posição da região. O Amazon Keyspaces exige a permissão para ser independente de qualquer coisa específica. Região da AWS
+ Concede aos administradores da chave gerenciada pelo cliente (usuários que podem assumir o perfil `db-team`) acesso somente leitura à chave gerenciada pelo cliente e permissão para revogar concessões, incluindo as [concessões exigidas pelo Amazon Keyspaces](#encryption-grants) para proteger a tabela.
+ Concede ao Amazon Keyspaces acesso somente leitura à chave gerenciada pelo cliente. Nesse caso, o Amazon Keyspaces pode chamar essas operações diretamente. Ele não precisa atuar em nome da entidade principal de uma conta.

Antes de usar um exemplo de política de chaves, substitua os diretores de exemplo pelos diretores reais do seu. Conta da AWS

```
{
  "Id": "key-policy-cassandra",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "*",      
      "Condition": { 
         "StringLike": {
           "kms:ViaService" : "cassandra.*.amazonaws.com"
         }
      }
    },
    {
      "Sid":  "Allow administrators to view the customer managed key and revoke grants",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/db-team"
       },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}
```

#### Como usar concessões para autorizar o Amazon Keyspaces
<a name="encryption-grants"></a>

Além de políticas de chaves, o Amazon Keyspaces usa concessões para definir permissões em uma chave gerenciada pelo cliente. Para visualizar as concessões em uma chave gerenciada pelo cliente na sua conta, use a operação [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). O Amazon Keyspaces não precisa de concessões ou permissões adicionais para usar a [Chave pertencente à AWS](encryption.howitworks.md#keyspaces-owned) para proteger sua tabela.

O Amazon Keyspaces usa as permissões de concessão ao executar manutenção do sistema e tarefas de proteção de dados contínua em segundo plano. Usa também concessões para gerar chaves de tabela.

Cada concessão é específica a uma tabela. Se a conta inclui várias tabelas criptografadas na mesma chave gerenciada pelo cliente, há uma concessão de cada tipo para cada tabela. A concessão é restringida pelo contexto de [criptografia do Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), que inclui o nome da tabela e Conta da AWS o ID. A concessão inclui permissão para [retirar a concessão](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) se ela não for mais necessária. 

Para criar as concessões, o Amazon Keyspaces deve ter permissão para chamar `CreateGrant` em nome do usuário que criou a tabela criptografada.

A política de chaves também pode permitir que a conta [revogue a concessão](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) na chave gerenciada pelo cliente. No entanto, se você revogar a concessão em uma tabela criptografada ativa, o Amazon Keyspaces não poderá proteger e manter a tabela.

## Etapa 3: Especificar uma chave gerenciada pelo cliente para uma nova tabela
<a name="encryption.tutorial-creating"></a>

Siga estas etapas para especificar a chave gerenciada pelo cliente em uma nova tabela usando o console do Amazon Keyspaces ou o CQL.

### Crie uma tabela criptografada usando uma chave gerenciada pelo cliente (console)
<a name="encryption.tutorial-console"></a>

1. [Faça login no Console de gerenciamento da AWS e abra o console do Amazon Keyspaces em casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)

1. No painel de navegação, selecione **Tabelas** e **Criar tabela**.

1. Na página **Criar tabela**, na seção **Detalhes da tabela**, selecione um espaço de chaves e forneça um nome para a nova tabela.

1. Na seção **Esquema**, crie o esquema para sua tabela.

1. Na seção **Configurações da tabela**, selecione **Personalizar configurações**.

1. Continue com as **configurações de criptografia**.

   Nesta etapa, você seleciona as configurações de criptografia para a tabela. 

   Na seção **Criptografia em repouso**, em **Escolha uma AWS KMS key**, escolha a opção **Escolha uma chave KMS diferente (avançada)** e, no campo de pesquisa, escolha AWS KMS key ou insira um nome de recurso da Amazon (ARN).
**nota**  
Se a chave selecionada não estiver acessível ou não tiver as permissões necessárias, consulte [Solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) no Guia do AWS Key Management Service desenvolvedor.

1. Selecione **Create (Criar)** para criar a tabela criptografada. 

### Crie uma nova tabela usando uma chave gerenciada pelo cliente para criptografia em repouso (CQL)
<a name="encryption.tutorial-cql"></a>

Para criar uma nova tabela que usa uma chave gerenciada pelo cliente para criptografia em repouso, você pode usar a instrução `CREATE TABLE` como no exemplo a seguir. Certifique-se de substituir o ARN da chave por um ARN para uma chave válida com permissões concedidas ao Amazon Keyspaces.

```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
        'encryption_specification':{
                'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
            }
    };
```

Se você receber uma `Invalid Request Exception`, precisará confirmar que a chave gerenciada pelo cliente é válida e que o Amazon Keyspaces tem as permissões necessárias. Para confirmar se a chave foi configurada corretamente, consulte [Solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) no Guia do AWS Key Management Service desenvolvedor. 

## Etapa 4: Atualizar a chave de criptografia de uma tabela existente
<a name="encryption.tutorial-update"></a>

Você também pode usar o console do Amazon Keyspaces ou o CQL para alterar as chaves de criptografia de uma tabela existente entre uma chave KMS gerenciada pelo cliente Chave pertencente à AWS e uma chave KMS gerenciada pelo cliente a qualquer momento.

### Atualizar uma tabela existente com a nova chave gerenciada pelo cliente (console)
<a name="encryption.tutorial-update-console"></a>

1. [Faça login no Console de gerenciamento da AWS e abra o console do Amazon Keyspaces em casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)

1.  No painel de navegação, selecione **Tabelas**.

1. Escolha a tabela com a qual você deseja trabalhar e selecione a guia **Configurações adicionais**.

1. Na seção **Criptografia em repouso**, escolha **Gerenciar criptografia** para editar as configurações de criptografia da tabela.

   Em **Escolher uma AWS KMS key**, escolha a opção **Escolha uma chave KMS diferente (avançada)** e, no campo de pesquisa, escolha uma AWS KMS key ou insira um Nome de recurso da Amazon (ARN).
**nota**  
Se a chave selecionada não for válida, consulte [Solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) no Guia do AWS Key Management Service desenvolvedor.

   Como alternativa, você pode escolher um Chave pertencente à AWS para uma tabela criptografada com uma chave gerenciada pelo cliente.

1. Selecione **Salvar** para salvar as alterações. 

### Atualizar a chave de criptografia usada para uma tabela existente
<a name="encryption.tutorial-update-cql"></a>

Para alterar a chave de criptografia de uma tabela existente, use a instrução `ALTER TABLE` para especificar uma chave gerenciada pelo cliente para criptografia em repouso. Certifique-se de substituir o ARN da chave por um ARN para uma chave válida com permissões concedidas ao Amazon Keyspaces.

```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {     
              'encryption_specification':{ 
                      'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                      'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'     
                  } 
         };
```

Se você receber uma `Invalid Request Exception`, precisará confirmar que a chave gerenciada pelo cliente é válida e que o Amazon Keyspaces tem as permissões necessárias. Para confirmar se a chave foi configurada corretamente, consulte [Solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) no Guia do AWS Key Management Service desenvolvedor. 

Para alterar a chave de criptografia de volta para a opção padrão de criptografia em repouso com Chaves pertencentes à AWS, você pode usar a `ALTER TABLE` instrução conforme mostrado no exemplo a seguir.

```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
                'encryption_specification':{
                      'encryption_type' : 'AWS_OWNED_KMS_KEY' 
                    } 
         };
```

## Etapa 5: Usar o contexto de criptografia do Amazon Keyspaces nos logs
<a name="encryption-context"></a>

Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia. 

O Amazon Keyspaces usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas. Se você usar uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed) para proteger a tabela do Amazon Keyspaces, é possível usar o contexto de criptografia para identificar o uso da chave gerenciada pelo cliente em logs e registros de auditoria. Ela também aparece em texto simples em registros, como em registros para e [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs. 

Em suas solicitações para AWS KMS, o Amazon Keyspaces usa um contexto de criptografia com três pares de chave-valor.

```
"encryptionContextSubset": {
    "aws:cassandra:keyspaceName": "my_keyspace",
    "aws:cassandra:tableName": "mytable"
    "aws:cassandra:subscriberId": "111122223333"
}
```
+ **Espaço de chaves**: O primeiro par de chave-valor identifica o espaço de chaves que inclui a tabela que o Amazon Keyspaces está criptografando. A chave é `aws:cassandra:keyspaceName`. O valor é o nome do espaço de chaves.

  ```
  "aws:cassandra:keyspaceName": "<keyspace-name>"
  ```

  Por exemplo:

  ```
  "aws:cassandra:keyspaceName": "my_keyspace"
  ```
+ **Tabela**: o segundo par de chave/valor identifica a tabela que o Amazon Keyspaces está criptografando. A chave é `aws:cassandra:tableName`. O valor é o nome da tabela.

  ```
  "aws:cassandra:tableName": "<table-name>"
  ```

  Por exemplo:

  ```
  "aws:cassandra:tableName": "my_table"
  ```
+ **Conta**: o terceiro par de chave-valor identifica a Conta da AWS. A chave é `aws:cassandra:subscriberId`. O valor é o ID de conta.

  ```
  "aws:cassandra:subscriberId": "<account-id>"
  ```

  Por exemplo:

  ```
  "aws:cassandra:subscriberId": "111122223333"
  ```

## Etapa 6: Configurar o monitoramento com AWS CloudTrail
<a name="encryption-cmk-trail"></a>

Se você usa uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed) para proteger suas tabelas do Amazon Keyspaces, você pode usar AWS CloudTrail logs para rastrear as solicitações que o Amazon Keyspaces envia em seu nome. AWS KMS 

As solicitações `GenerateDataKey`, `DescribeKey`, `Decrypt`, e `CreateGrant` são discutidas nesta seção. Além disso, o Amazon Keyspaces usa uma [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operação para remover uma concessão quando você exclui uma tabela. 

**nota**  
Quando você trabalha com o Amazon Keyspaces, algumas operações podem gerar CloudTrail eventos com um `invokedBy` campo de. `dynamodb.amazonaws.com` Isso é esperado e ocorre porque o Amazon Keyspaces se integra ao Amazon DynamoDB para fornecer seu serviço.

**GenerateDataKey**  
O Amazon Keyspaces cria uma chave de tabela exclusiva para criptografar dados em repouso. Ele envia uma *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*solicitação para AWS KMS que especifique a chave KMS para a tabela.   
O evento que registra a operação `GenerateDataKey` é semelhante ao evento de exemplo a seguir. O usuário é a conta de serviço do Amazon Keyspaces. Os parâmetros incluem o Nome do recurso da Amazon (ARN) da chave gerenciada pelo cliente, um especificador de chave que requer uma chave de 256 bits e o [contexto de criptografia](#encryption-context) que identifica a tabela e a conta da Conta da AWS.  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:56:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
    "eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```

**DescribeKey**  
O Amazon Keyspaces usa uma [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação para determinar se a chave KMS que você selecionou existe na conta e na região.   
O evento que registra a operação `DescribeKey` é semelhante ao evento de exemplo a seguir. O usuário é a conta de serviço do Amazon Keyspaces. Os parâmetros incluem o ARN da chave gerenciada pelo cliente e um especificador de chaves que requer uma chave de 256 bits.  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::123SAMPLE012:user/admin",
        "accountId": "123SAMPLE012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:55:58Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
    "eventID": "0d96420e-707e-41b9-9118-56585a669658",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}
```

**Decrypt**  
Quando você acessa uma tabela criptografada do Amazon Keyspaces, o Amazon Keyspaces precisa descriptografar a chave da tabela para que possa descriptografar as chaves abaixo dela na hierarquia. Descriptografa os dados na tabela. Para descriptografar a chave da tabela, o Amazon Keyspaces envia uma solicitação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS que especifica a chave KMS para a tabela.  
O evento que registra a operação `Decrypt` é semelhante ao evento de exemplo a seguir. O usuário é o principal usuário Conta da AWS que está acessando a tabela. Os parâmetros incluem a chave da tabela criptografada (como um blob de texto cifrado) e o [contexto de criptografia](#encryption-context) que identifica a tabela e o. Conta da AWS AWS KMS deriva a ID da chave gerenciada pelo cliente do texto cifrado.   

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:29:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
    "eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```

**CreateGrant**  
Quando você usa uma [chave gerenciada pelo cliente](encryption.howitworks.md#customer-managed) para proteger sua tabela do Amazon Keyspaces, o Amazon Keyspaces usa [concessões](#encryption-grants) para permitir que o serviço execute a proteção de dados e tarefas de manutenção e durabilidade contínuas. Essas concessões não são necessárias em [Chaves pertencentes à AWS](encryption.howitworks.md#keyspaces-owned).  
As concessões que o Amazon Keyspaces cria são específicas a uma tabela. A entidade principal na solicitação [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) é o usuário que criou a tabela.   
O evento que registra a operação `CreateGrant` é semelhante ao evento de exemplo a seguir. Os parâmetros incluem o nome de recurso da Amazon (ARN) da chave gerenciada pelo cliente para a tabela, a entidade principal favorecida e a entidade principal que está sendo retirada (o serviço do Amazon Keyspaces) e as operações que a concessão abrange. Inclui também uma restrição que requer que todas as operações de criptografia usem o [contexto de criptografia](#encryption-context).  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
        "accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:11:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "a7d328af-215e-4661-9a69-88c858909f20",
        "operations": [
            "DescribeKey",
            "GenerateDataKey",
            "Decrypt",
            "Encrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "RetireGrant"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:cassandra:keyspaceName": "my_keyspace",
                "aws:cassandra:tableName": "my_table",
                "aws:cassandra:subscriberId": "123SAMPLE012"
            }
        },
        "retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
        "granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
    },
    "requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
    "eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}
```

# Criptografia em trânsito no Amazon Keyspaces
<a name="encryption-in-transit"></a>

O Amazon Keyspaces só aceita conexões seguras usando Transport Layer Security (TLS). A criptografia em trânsito fornece uma camada adicional de proteção de dados ao criptografar seus dados à medida que eles viajam de e para o Amazon Keyspaces. Políticas organizacionais, regulamentações setoriais ou governamentais e exigências de conformidade geralmente demandam o uso de criptografia em trânsito para aumentar a segurança de dados de seus aplicativos quando transmitem dados pela rede.

Para saber como criptografar conexões `cqlsh` com o Amazon Keyspaces usando TLS, consulte [Como configurar manualmente as conexões `cqlsh` para o TLS](programmatic.cqlsh.md#encrypt_using_tls). Para aprender a usar a criptografia TLS com drivers de cliente, consulte [Como usar um driver de cliente Cassandra para acessar o Amazon Keyspaces programaticamente](programmatic.drivers.md).

# Privacidade do tráfego entre redes no Amazon Keyspaces
<a name="inter-network-traffic-privacy"></a>

Este tópico descreve como o Amazon Keyspaces (para Apache Cassandra) protege conexões de aplicativos locais com o Amazon Keyspaces e entre o Amazon Keyspaces e outros recursos dentro do mesmo. AWS Região da AWS

## Tráfego entre clientes de serviço e on-premises e as aplicações
<a name="inter-network-traffic-privacy-on-prem"></a>

Você tem duas opções de conectividade entre sua rede privada e AWS: 
+ Uma AWS Site-to-Site VPN conexão. Para obter mais informações, consulte [O que é o AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) no * Guia do usuário do AWS Site-to-Site VPN *.
+ Uma Direct Connect conexão. Para obter mais informações, consulte [O que é o Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) no * Guia do usuário do Direct Connect *.

Como um serviço gerenciado, o Amazon Keyspaces (para Apache Cassandra) é protegido pela segurança de rede global. AWS Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa chamadas de API AWS publicadas para acessar o Amazon Keyspaces pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

O Amazon Keyspaces oferece suporte a dois métodos de autenticação de solicitações de clientes. O primeiro método usa credenciais específicas do serviço, que são credenciais baseadas em senha geradas para um usuário do IAM específico. Você pode criar e gerenciar a senha usando o console do IAM AWS CLI, o ou a AWS API. Para obter mais informações, consulte [Como usar o IAM com o Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).

O segundo método usa um plug-in de autenticação para o driver DataStax Java de código aberto para Cassandra. Esse plug-in permite que [usuários, perfis e identidades federadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adicionem informações de autenticação às solicitações de API do Amazon Keyspaces (para Apache Cassandra) usando o [Processo do Signature Version 4 (SigV4) da AWS](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Para obter mais informações, consulte [Crie e configure AWS credenciais para o Amazon Keyspaces](access.credentials.md). 

## Tráfego entre AWS recursos na mesma região
<a name="inter-network-traffic-privacy-within-region"></a>

Os endpoints da VPC de interface permitem a comunicação privada entre a nuvem privada virtual (VPC) em execução no Amazon VPC e no Amazon Keyspaces. Os endpoints VPC de interface são alimentados por AWS PrivateLink, que é um AWS serviço que permite a comunicação privada entre VPCs serviços e. AWS AWS PrivateLink permite isso usando uma interface de rede elástica com private IPs em sua VPC para que o tráfego de rede não saia da rede Amazon. Os endpoints VPC de interface não exigem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect Para obter mais informações, consulte [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Para obter exemplos de políticas, consulte [Como usar o endpoint da VPC para o Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).

# AWS Identity and Access Management para Amazon Keyspaces
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos do Amazon Keyspaces. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso do Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Uso de perfis vinculados ao serviço para o Amazon Keyspaces](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Keyspaces](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

### Listas de controle de acesso (ACLs)
<a name="security_iam_access-manage-acl"></a>

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Como o Amazon Keyspaces funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar o IAM para gerenciar o acesso ao Amazon Keyspaces, você deve entender quais recursos do IAM estão disponíveis para ser usado com ele. Para ter uma visão de alto nível de como o Amazon Keyspaces e AWS outros serviços funcionam com o IAM, [AWS consulte os serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.

**Topics**
+ [Políticas baseadas em identidade do Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Perfis do IAM no Amazon Keyspaces](#security_iam_service-with-iam-roles)

## Políticas baseadas em identidade do Amazon Keyspaces
<a name="security_iam_service-with-iam-id-based-policies"></a>

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Keyspaces oferece suporte a ações e recursos específicos e chaves de condição. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

*Para ver os recursos e as ações específicas do serviço Amazon Keyspaces e as chaves de contexto condicionais que podem ser usadas para políticas de permissões do IAM, consulte as [Ações, recursos e chaves de condição do Amazon Keyspaces (para Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)) na Referência de autorização de serviço*.

### Ações
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações de política no Amazon Keyspaces usam o seguinte prefixo antes da ação: `cassandra:`. Por exemplo, para conceder a uma pessoa permissão para criar um espaço de chaves do Amazon Keyspaces com a instrução `CREATE` CQL do Amazon Keyspaces, inclua a ação `cassandra:Create` na política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Keyspaces define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.

Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:

```
"Action": [
      "cassandra:CREATE",
      "cassandra:MODIFY"
          ]
```

Para ver uma lista de ações do Amazon Keyspaces, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) na *Referência de autorização do serviço*.

### Recursos
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

No Amazon Keyspaces, keyspaces, tabelas e streams podem ser usados no `Resource` elemento de permissões do IAM.

**nota**  
Para acessar tabelas e espaços de chave do usuário no Amazon Keyspaces, sua política do IAM deve `cassandra:Select` incluir permissões nas tabelas do sistema:  

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Isso se aplica aos seguintes cenários:  
AWS Acesso ao console de gerenciamento
Operações de recursos do SDK, por exemplo`GetKeyspace`,`GetTable`,`ListKeyspaces`, e `ListTables`
Conexões padrão do driver do cliente Apache Cassandra, porque os drivers leem automaticamente as tabelas do sistema durante a inicialização da conexão
As tabelas do sistema são somente para leitura e não podem ser modificadas.

O recurso de espaço de chaves do Amazon Keyspaces tem o seguinte ARN:

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```

O recurso de tabela do Amazon Keyspaces tem o seguinte ARN:

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```

O recurso de stream do Amazon Keyspaces tem o seguinte ARN:

```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```

Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e namespaces AWS de serviços](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Por exemplo, para especificar o espaço de chaves `mykeyspace` em sua instrução, use o seguinte ARN:

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```

Para especificar todos os espaços de chaves que pertencem a uma conta específica, use o curinga (\$1):

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```

Algumas ações do Amazon Keyspaces, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve utilizar o caractere curinga (\$1).

```
"Resource": "*"
```

 Por exemplo, para conceder `SELECT` permissões a um diretor do IAM para `mytable` entrar`mykeyspace`, o diretor deve ter permissões para ler tanto `mytable` quanto`keyspace/system*`. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas. 

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```

*Para ver uma lista dos tipos de recursos do Amazon Keyspaces e seus ARNs, consulte [Resources Defined by Amazon Keyspaces (para Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies)) na Referência de Autorização de Serviço.* Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).

### Chaves de condição
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

O Amazon Keyspaces define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.



 Todas as ações do Amazon Keyspaces oferecem suporte às chaves de condição `aws:RequestTag/${TagKey}`, `aws:ResourceTag/${TagKey}` e `aws:TagKeys`. Para obter mais informações, consulte [Acesso a recursos do Amazon Keyspaces com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags). 

Para ver uma lista de chaves de condição do Amazon Keyspaces, consulte [Chaves de condição do Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo Amazon Keyspaces (para Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions).

### Exemplos
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Para visualizar exemplos de políticas baseadas em identidade do Amazon Keyspaces, consulte [Exemplos de políticas baseadas em identidade do Amazon Keyspaces](security_iam_id-based-policy-examples.md).

## Políticas baseadas em recursos do Amazon Keyspaces
<a name="security_iam_service-with-iam-resource-based-policies"></a>

O Amazon Keyspaces não oferece suporte a políticas baseadas em recursos. Para visualizar um exemplo de uma política baseada em recurso detalhada, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).

## Autorização baseada em tags do Amazon Keyspaces
<a name="security_iam_service-with-iam-tags"></a>

Você pode gerenciar o acesso a seus recursos do Amazon Keyspaces usando tags. Para gerenciar o acesso a recursos baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as chaves de condição `cassandra:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Para obter mais informações sobre recursos de marcação do Amazon Keyspaces, consulte [Como trabalhar com tags e rótulos para recursos do Amazon Keyspaces](tagging-keyspaces.md).

Para visualizar exemplos de políticas baseadas em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Acesso a recursos do Amazon Keyspaces com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).

## Perfis do IAM no Amazon Keyspaces
<a name="security_iam_service-with-iam-roles"></a>

Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.

### Uso de credenciais temporárias com o Amazon Keyspaces
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

O Amazon Keyspaces oferece suporte ao uso de credenciais temporárias com o plug-in de autenticação AWS Signature Version 4 (SigV4) disponível no repositório Github para os seguintes idiomas:
+ Java: [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js: [https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Go: [https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).

Para ver exemplos e tutoriais que implementam o plug-in de autenticação para acessar o Amazon Keyspaces programaticamente, consulte [Como usar um driver de cliente Cassandra para acessar o Amazon Keyspaces programaticamente](programmatic.drivers.md). 

### Perfis vinculados ao serviço
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.

Para obter detalhes sobre como criar ou gerenciar perfis vinculados ao serviço do Amazon Keyspaces, consulte **[Uso de perfis vinculados ao serviço para o Amazon Keyspaces](using-service-linked-roles.md)**.

### Perfis de serviço
<a name="security_iam_service-with-iam-roles-service"></a>

O Amazon Keyspaces não é compatível com perfis de serviço.

# Exemplos de políticas baseadas em identidade do Amazon Keyspaces
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do Amazon Keyspaces. Eles também não podem realizar tarefas usando o console, o CQLSH ou AWS a AWS CLI API. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.

Para saber como criar uma política baseada em identidade do IAM utilizando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.

**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Uso do console do Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Como acessar as tabelas do Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Acesso a recursos do Amazon Keyspaces com base em tags](#security_iam_id-based-policy-examples-tags)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Keyspaces em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Uso do console do Amazon Keyspaces
<a name="security_iam_id-based-policy-examples-console"></a>

O Amazon Keyspaces não exige permissões específicas para acessar o seu console. Você precisa de pelo menos permissões de somente leitura para listar e visualizar detalhes sobre os recursos do Amazon Keyspaces em seu. Conta da AWS Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política.

Duas políticas AWS gerenciadas estão disponíveis para as entidades acessarem o console do Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Essa política concede acesso somente de leitura ao Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Essa política concede permissões para usar o Amazon Keyspaces com acesso total a todos os recursos.

Para obter mais informações sobre políticas gerenciadas no Amazon Keyspaces, consulte [AWS políticas gerenciadas para Amazon Keyspaces](security-iam-awsmanpol.md).

## Permitir que os usuários visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Como acessar as tabelas do Amazon Keyspaces
<a name="security_iam_id-based-policy-examples-access-one-table"></a>

**nota**  
Para acessar tabelas e espaços de chave do usuário no Amazon Keyspaces, sua política do IAM deve `cassandra:Select` incluir permissões nas tabelas do sistema:  

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Isso se aplica aos seguintes cenários:  
AWS Acesso ao console de gerenciamento
Operações de recursos do SDK, por exemplo`GetKeyspace`,`GetTable`,`ListKeyspaces`, e `ListTables`
Conexões padrão do driver do cliente Apache Cassandra, porque os drivers leem automaticamente as tabelas do sistema durante a inicialização da conexão
As tabelas do sistema são somente para leitura e não podem ser modificadas.

Veja a seguir um exemplo de política que concede acesso somente leitura (`SELECT`) às tabelas do sistema do Amazon Keyspaces. Para todas as amostras, substitua a ID da Região e da conta no nome do recurso da Amazon (ARN) pelo seu.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

O exemplo de política a seguir adiciona acesso somente leitura à tabela do usuário `mytable` no espaço de chaves `mykeyspace`.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

O exemplo de política a seguir atribui read/write acesso a uma tabela de usuários e acesso de leitura às tabelas do sistema.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select",
            "cassandra:Modify"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

O exemplo de política a seguir permite que um usuário crie tabelas no espaço de chaves `mykeyspace`.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Create",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

O exemplo de política a seguir atribui acesso de leitura às tabelas do sistema, mas restringe o acesso `SELECT` (leitura) e `MODIFY` (gravação) à tabela do usuário. `mytable` 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cassandra:Select"
      ],
      "Resource": [
        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "cassandra:Select",
        "cassandra:Modify"
      ],
      "Resource": [
        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
      ]
    }
  ]
}
```

## Acesso a recursos do Amazon Keyspaces com base em tags
<a name="security_iam_id-based-policy-examples-tags"></a>

Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon Keyspaces com base em etiquetas. Essas políticas controlam a visibilidade dos espaços de chaves e das tabelas na conta. Observe que as permissões baseadas em tags para tabelas do sistema se comportam de forma diferente quando as solicitações são feitas usando o AWS SDK em comparação com as chamadas da API Cassandra Query Language (CQL) por meio de drivers e ferramentas de desenvolvedor do Cassandra.
+ Para fazer solicitações de recursos `List` e `Get` com o SDK da AWS ao usar o acesso baseado em tags, o chamador precisa ter acesso de leitura às tabelas do sistema. Por exemplo, as permissões de ação `Select` são necessárias para ler dados das tabelas do sistema por meio da operação `GetTable`. Se o chamador tiver apenas acesso baseado em tags a uma tabela específica, uma operação que exija acesso adicional a uma tabela do sistema falhará.
+ Para compatibilidade com o comportamento estabelecido do driver Cassandra, as políticas de autorização baseadas em tags não são aplicadas ao realizar operações em tabelas do sistema usando chamadas de API do Cassandra Query Language (CQL) por meio de drivers e ferramentas de desenvolvedor do Cassandra.

O exemplo a seguir mostra como você pode criar uma política que conceda permissões a um usuário para visualizar uma tabela se o `Owner` da tabela contiver o valor do nome do usuário em questão. Neste exemplo, você também concede acesso de leitura às tabelas do sistema.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ReadOnlyAccessTaggedTables",
         "Effect":"Allow",
         "Action":"cassandra:Select",
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}
```

É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard-roe` tentar visualizar uma tabela do Amazon Keyspaces, a tabela deverá estar marcada como `Owner=richard-roe` ou `owner=richard-roe`. Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.

A política a seguir concede permissões a um usuário para criar tabelas com tags se o `Owner` da tabela contiver o valor do nome de usuário desse usuário.

```
{ 
    "Version": "2012-10-17",		 	 	  
    "Statement": [ 
       { 
          "Sid": "CreateTagTableUser", 
          "Effect": "Allow", 
          "Action": [
              "cassandra:Create", 
              "cassandra:TagResource"
          ], 
          "Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*", 
          "Condition":{
             "StringEquals":{
                "aws:RequestTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}
```

# AWS políticas gerenciadas para Amazon Keyspaces
<a name="security-iam-awsmanpol"></a>





Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.









## AWS política gerenciada: AmazonKeyspacesReadOnlyAccess \$1v2
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2"></a>





É possível anexar a política `AmazonKeyspacesReadOnlyAccess_v2` às suas identidades do IAM.



Esta política concede acesso somente leitura ao Amazon Keyspaces e inclui as permissões necessárias ao se conectar por meio de endpoints da VPC privados.



**Detalhes das permissões**

Esta política inclui as seguintes permissões.




+ `Amazon Keyspaces`: fornece acesso somente leitura ao Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite que os diretores visualizem os streams CDC do Amazon Keyspaces.
+ `Application Auto Scaling`: isso permite que as entidades principais visualizem configurações do Aplicativo de ajuste de escala automático. Isso é necessário para que os usuários possam visualizar as políticas de escalabilidade automática anexadas a uma tabela.
+ `CloudWatch`— Permite que os diretores visualizem dados métricos e alarmes configurados em. CloudWatch Isso é necessário para que os usuários possam visualizar o tamanho da tabela faturável e CloudWatch os alarmes que foram configurados para uma tabela.
+ `AWS KMS`— Permite que os diretores visualizem as chaves configuradas em AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.
+ `Amazon EC2`: permite que as entidades principais que se conectam ao Amazon Keyspaces por meio de endpoints da VPC consultem a VPC em sua instância do Amazon EC2 para obter informações sobre endpoints e interfaces de rede. Esse acesso somente leitura à instância do Amazon EC2 é necessário para que o Amazon Keyspaces possa pesquisar e armazenar endpoints da VPC de interface disponíveis na tabela `system.peers` usada para balanceamento de carga de conexão.



Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html).

## AWS política gerenciada: AmazonKeyspacesReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess"></a>





É possível anexar a política `AmazonKeyspacesReadOnlyAccess` às suas identidades do IAM.



Esta política concede acesso somente leitura ao Amazon Keyspaces.



**Detalhes das permissões**

Esta política inclui as seguintes permissões.




+ `Amazon Keyspaces`: fornece acesso somente leitura ao Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Permite que os diretores visualizem os streams CDC do Amazon Keyspaces.
+ `Application Auto Scaling`: isso permite que as entidades principais visualizem configurações do Aplicativo de ajuste de escala automático. Isso é necessário para que os usuários possam visualizar as políticas de escalabilidade automática anexadas a uma tabela.
+ `CloudWatch`— Permite que os diretores visualizem dados métricos e alarmes configurados em. CloudWatch Isso é necessário para que os usuários possam visualizar o tamanho da tabela faturável e CloudWatch os alarmes que foram configurados para uma tabela.
+ `AWS KMS`— Permite que os diretores visualizem as chaves configuradas em AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.



Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html).

## AWS política gerenciada: AmazonKeyspacesFullAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesFullAccess"></a>





É possível anexar a política `AmazonKeyspacesFullAccess` às suas identidades do IAM.



Esta política concede permissões administrativas que permitem aos administradores acesso irrestrito ao Amazon Keyspaces.



**Detalhes das permissões**

Esta política inclui as seguintes permissões.




+ `Amazon Keyspaces`: permite que as entidades entidade principais acessem qualquer recurso do Amazon Keyspaces e executem todas as ações.
+ `Application Auto Scaling`: permite que as entidades principais criem, visualizem e excluam políticas de escalabilidade automática para tabelas do Amazon Keyspaces. Isso é necessário para que os administradores possam gerenciar políticas de escalabilidade automática para tabelas do Amazon Keyspaces.
+ `CloudWatch`— Permite que os diretores vejam o tamanho da tabela faturável, bem como criem, visualizem e excluam CloudWatch alarmes para as políticas de escalabilidade automática do Amazon Keyspaces. Isso é necessário para que os administradores possam visualizar o tamanho da tabela faturável e criar um painel. CloudWatch 
+ `IAM`: permite que o Amazon Keyspaces crie perfis vinculados a serviços com o IAM automaticamente quando os seguintes atributos são ativados:
  + `Amazon Keyspaces CDC streams`— Quando um administrador habilita um stream para uma tabela, o Amazon Keyspaces cria a função [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) vinculada ao serviço para publicar CloudWatch métricas em sua conta em seu nome.
  + `Application Auto Scaling`— Quando um administrador habilita o Application Auto Scaling para uma tabela, o Amazon Keyspaces cria a função vinculada ao serviço [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)para realizar ações automáticas de escalabilidade em seu nome.
  + `Amazon Keyspaces multi-Region replication`— Quando um administrador cria um novo espaço de chave multirregional ou adiciona um novo Região da AWS a um espaço de chave de região única existente, o Amazon Keyspaces cria a [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)função vinculada ao serviço para realizar a replicação de tabelas, dados e metadados para as regiões selecionadas em seu nome.
+ `AWS KMS`: permite que as entidades principais visualizem as chaves configuradas no AWS KMS. Isso é necessário para que os usuários possam visualizar AWS KMS as chaves que eles criam e gerenciam em suas contas para confirmar que a chave atribuída ao Amazon Keyspaces é uma chave de criptografia simétrica que está habilitada.
+ `Amazon EC2`: permite que as entidades principais que se conectam ao Amazon Keyspaces por meio de endpoints da VPC consultem a VPC em sua instância do Amazon EC2 para obter informações sobre endpoints e interfaces de rede. Esse acesso somente leitura à instância do Amazon EC2 é necessário para que o Amazon Keyspaces possa pesquisar e armazenar endpoints da VPC de interface disponíveis na tabela `system.peers` usada para balanceamento de carga de conexão.



Para revisar o `JSON` formato da política, consulte [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html).

## AWS política gerenciada: Keyspaces CDCService RolePolicy
<a name="security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy"></a>





Não é possível anexar a `KeyspacesCDCServiceRolePolicy` às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite que o Amazon Keyspaces execute ações em seu nome. Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).



Essa política concede as permissões necessárias à função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesCDC` para publicar dados de métricas de stream CDC do Amazon Keyspaces em seu nome. CloudWatch 



**Detalhes das permissões**

Esta política inclui as seguintes permissões.




+ `CloudWatch`— Permite que o service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) publique dados métricos dos fluxos CDC do Amazon Keyspaces em sua conta em `"cloudwatch:namespace": "AWS/Cassandra"` CloudWatch seu nome.



Para revisar a política em `JSON` formato, consulte [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).





## Atualizações do Amazon Keyspaces para AWS políticas gerenciadas
<a name="security-iam-awsmanpol-updates"></a>



Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Keyspaces desde que esse serviço começou a rastrear essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos para Amazon Keyspaces (para Apache Cassandra)](doc-history.md).




| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  [Keyspaces CDCService RolePolicy — Nova](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) política  |  O Amazon Keyspaces adicionou uma nova política gerenciada `KeyspacesCDCServiceRolePolicy` que concede as permissões necessárias à função vinculada ao serviço para publicar dados de métricas de stream do CDC do `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces em seu nome. CloudWatch Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).  | 02 de julho de 2025 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — Atualização de uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os diretores do IAM visualizem os streams CDC do Amazon Keyspaces. Para obter mais informações, consulte [Veja os streams do CDC no Amazon Keyspaces](keyspaces-view-cdc.md).  | 02 de julho de 2025 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os diretores do IAM visualizem os streams CDC do Amazon Keyspaces. Para obter mais informações, consulte [Veja os streams do CDC no Amazon Keyspaces](keyspaces-view-cdc.md).  | 02 de julho de 2025 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces criou a política `KeyspacesCDCServiceRolePolicy` gerenciada para a função vinculada ao serviço [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) para adicionar as permissões que são necessárias quando um administrador habilita um stream para uma tabela. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesCDC` para publicar CloudWatch métricas em sua conta em seu nome. Para obter mais informações, consulte [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).  | 02 de julho de 2025 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces atualizou a função vinculada `KeyspacesReplicationServiceRolePolicy` do serviço [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)para adicionar as permissões que são necessárias quando um administrador adiciona uma nova Região da AWS a um espaço de chave único ou multirregional. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesReplication` para replicar tabelas, suas configurações e dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | 19 de novembro de 2024 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que o Amazon Keyspaces crie uma função vinculada ao serviço quando um administrador adiciona uma nova região a um keyspace único ou multirregional. O Amazon Keyspaces usa o perfil vinculado ao serviço para executar tarefas de replicação de dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | 3 de outubro de 2023 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2 — Nova](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) política  |  O Amazon Keyspaces criou uma nova política para adicionar permissões somente de leitura para clientes que se conectam ao Amazon Keyspaces por meio de endpoints VPC de interface para acessar a instância do Amazon EC2 e pesquisar informações de rede. O Amazon Keyspaces armazena os endpoints da VPC de interface disponíveis na tabela `system.peers` para balanceamento de carga de conexão. Para obter mais informações, consulte [Como usar o Amazon Keyspaces com endpoint da VPC de interface](vpc-endpoints.md).  | 12 de setembro de 2023 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que o Amazon Keyspaces crie um perfil vinculado ao serviço quando um administrador cria um espaço de chaves de várias regiões. O Amazon Keyspaces usa a função vinculada ao serviço `AWSServiceRoleForAmazonKeyspacesReplication` para realizar tarefas de replicação de dados em seu nome. Para obter mais informações, consulte [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | 5 de junho de 2023 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem o tamanho faturável de uma tabela usando. CloudWatch O Amazon Keyspaces se integra à Amazon CloudWatch para permitir que você monitore o tamanho da tabela faturável. Para obter mais informações, consulte [Métricas do Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions).  | 7 de julho de 2022 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem o tamanho faturável de uma tabela usando. CloudWatch O Amazon Keyspaces se integra à Amazon CloudWatch para permitir que você monitore o tamanho da tabela faturável. Para obter mais informações, consulte [Métricas do Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions).  | 7 de julho de 2022 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem AWS KMS chaves que foram configuradas para criptografia do Amazon Keyspaces em repouso. A criptografia em repouso do Amazon Keyspaces se integra à AWS KMS proteção e ao gerenciamento das chaves de criptografia usadas para criptografar dados em repouso. Para visualizar a AWS KMS chave configurada para o Amazon Keyspaces, permissões somente de leitura foram adicionadas.  | 1º de junho de 2021 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – atualização para uma política existente  |  O Amazon Keyspaces adicionou novas permissões para permitir que os usuários visualizem AWS KMS chaves que foram configuradas para criptografia do Amazon Keyspaces em repouso. A criptografia em repouso do Amazon Keyspaces se integra à AWS KMS proteção e ao gerenciamento das chaves de criptografia usadas para criptografar dados em repouso. Para visualizar a AWS KMS chave configurada para o Amazon Keyspaces, permissões somente de leitura foram adicionadas.  | 1º de junho de 2021 | 
|  O Amazon Keyspaces passou a monitorar alterações  |  O Amazon Keyspaces começou a monitorar as mudanças em suas políticas AWS gerenciadas.  | 1º de junho de 2021 | 

# Solução de problemas de identidade e acesso do Amazon Keyspaces
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Keyspaces e o IAM.

**Topics**
+ [Não estou autorizado a executar uma ação no Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [Eu modifiquei um usuário ou perfil do IAM e as alterações não entraram em vigor imediatamente](#security_iam_troubleshoot-effect)
+ [Não consigo restaurar uma tabela usando a point-in-time recuperação do Amazon Keyspaces (PITR)](#security_iam_troubleshoot-pitr)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sou administrador e quero permitir que outras pessoas tenham acesso ao Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Amazon Keyspaces](#security_iam_troubleshoot-cross-account-access)

## Não estou autorizado a executar uma ação no Amazon Keyspaces
<a name="security_iam_troubleshoot-no-permissions"></a>

Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.

O exemplo de erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para ver detalhes sobre um*table*, mas não tem `cassandra:Select` permissões para a tabela.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```

Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `mytable` usando a ação `cassandra:Select`.

## Eu modifiquei um usuário ou perfil do IAM e as alterações não entraram em vigor imediatamente
<a name="security_iam_troubleshoot-effect"></a>

As alterações na política do IAM podem levar até 10 minutos para entrar em vigor em aplicativos com conexões existentes e estabelecidas com o Amazon Keyspaces. As alterações na política do IAM entram em vigor imediatamente quando os aplicativos estabelecem uma nova conexão. Se você fez modificações em um usuário ou perfil do IAM existente e elas não tiveram efeito imediato, aguarde 10 minutos ou desconecte-se e reconecte-se ao Amazon Keyspaces.

## Não consigo restaurar uma tabela usando a point-in-time recuperação do Amazon Keyspaces (PITR)
<a name="security_iam_troubleshoot-pitr"></a>

Se você está tentando restaurar uma tabela do Amazon Keyspaces com point-in-time recuperação (PITR) e vê o processo de restauração começar, mas não ser concluído com sucesso, talvez você não tenha configurado todas as permissões necessárias para o processo de restauração. Você deve entrar em contato com o administrador para obter assistência e pedir a essa pessoa para atualizar suas políticas para permitir que você restaure uma tabela no Amazon Keyspaces. 

Além das permissões de usuário, o Amazon Keyspaces pode exigir permissões para realizar ações durante o processo de restauração em nome da sua entidade principal. Esse é o caso se a tabela for criptografada com uma chave gerenciada pelo cliente ou se você estiver usando políticas do IAM que restringem o tráfego de entrada. Por exemplo, se você estiver usando chaves de condição em sua política do IAM para restringir o tráfego de origem a endpoints ou intervalos de IP específicos, a operação de restauração falhará. Para permitir que o Amazon Keyspaces execute a operação de restauração da tabela em nome da sua entidade principal, você deve adicionar uma chave de condição `aws:ViaAWSService` global na política do IAM.

Para obter mais informações sobre as permissões para restaurar tabelas, consulte [Configurar permissões do IAM da tabela de restauração para o PITR do Amazon Keyspaces](howitworks_restore_permissions.md).

## Não estou autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir a transmissão de um perfil ao Amazon Keyspaces.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O erro exemplificado a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Amazon Keyspaces. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Sou administrador e quero permitir que outras pessoas tenham acesso ao Amazon Keyspaces
<a name="security_iam_troubleshoot-admin-delegate"></a>

Para permitir que outras pessoas acessem o Amazon Keyspaces, você deve conceder permissão às pessoas ou aplicações que precisam de acesso. Se você estiver usando o Centro de Identidade do AWS IAM para gerenciar pessoas e aplicações, atribua conjuntos de permissões a usuários ou grupos para definir o nível de acesso. Os conjuntos de permissões criam e atribuem automaticamente políticas do IAM aos perfis do IAM associados à pessoa ou aplicação. Para ter mais informações, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

Se você não estiver usando o Centro de Identidade do IAM, deverá criar entidades do IAM (usuários ou perfis) para as pessoas ou aplicações que precisam de acesso. Você deve anexar uma política à entidade que concede a elas as permissões corretas no Amazon Keyspaces. Depois que as permissões forem concedidas, forneça as credenciais ao usuário ou desenvolvedor da aplicação. Eles usarão essas credenciais para acessar AWS. Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.

## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Amazon Keyspaces
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Amazon Keyspaces é compatível com esses recursos, consulte [Como o Amazon Keyspaces funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Uso de perfis vinculados ao serviço para o Amazon Keyspaces
<a name="using-service-linked-roles"></a>

[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.

**Topics**
+ [Usando funções para o ajuste de escala automático do aplicativo Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Uso de perfis para replicação multirregional do Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Usando funções para streams CDC do Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)

# Usando funções para o ajuste de escala automático do aplicativo Amazon Keyspaces
<a name="using-service-linked-roles-app-auto-scaling"></a>

[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Amazon Keyspaces, pois você não pode remover por engano as permissões para acessá-los.

## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
<a name="service-linked-role-permissions-app-auto-scaling"></a>

O Amazon Keyspaces usa a função vinculada ao serviço nomeada **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**para permitir que o Application Auto Scaling chame o Amazon Keyspaces e a Amazon em seu nome. CloudWatch 

A função AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `cassandra.application-autoscaling.amazonaws.com`

A política de permissões do perfil permite que o ajuste de escala automático ao aplicativo conclua as seguintes ações nos recursos especificados:
+ Ação: `cassandra:Select` em `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Ação: `cassandra:Select` no recurso `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Ação: `cassandra:Select` no recurso `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Ação: `cassandra:Alter` no recurso `arn:*:cassandra:*:*:"*"`

## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
<a name="create-service-linked-role-app-auto-scaling"></a>

Você não precisa criar manualmente um perfil vinculado ao serviço para escalar automaticamente o Amazon Keyspaces. Quando você ativa o escalonamento automático do Amazon Keyspaces em uma tabela com a Console de gerenciamento da AWS, CQL, a ou a AWS API AWS CLI, o Application Auto Scaling cria a função vinculada ao serviço para você. 

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você ativa o ajuste de escala automático do Amazon Keyspaces para uma tabela, o ajuste de escala automático do aplicativo cria a função vinculada ao serviço para você novamente.

**Importante**  
 Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
<a name="edit-service-linked-role-app-auto-scaling"></a>

O Amazon Keyspaces não permite que você edite a função vinculada ao AWSServiceRoleForApplicationAutoScaling\$1CassandraTable serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Exclusão de um perfil vinculado ao serviço do Amazon Keyspaces
<a name="delete-service-linked-role-app-auto-scaling"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, primeiro você deve desativar o escalonamento automático em todas as tabelas da conta Regiões da AWS antes de excluir manualmente a função vinculada ao serviço. Para desativar o ajuste de escala automático nas tabelas do Amazon Keyspaces, consulte [Desativar o ajuste de escala automático do Amazon Keyspaces para uma tabela](autoscaling.turnoff.md).

**nota**  
Se a escalabilidade automática do Amazon Keyspaces estiver usando o perfil quando você tentar modificar os recursos, o cancelamento do registro poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForApplicationAutoScaling\$1CassandraTable vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

**nota**  
Para excluir o perfil vinculado ao serviço usado pela escalabilidade automática do Amazon Keyspaces, você deve primeiro desativar a escalabilidade automática em todas as tabelas da conta.

## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
<a name="slr-regions-app-auto-scaling"></a>

O Amazon Keyspaces oferece suporte a perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints de serviço do Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).

# Uso de perfis para replicação multirregional do Amazon Keyspaces
<a name="using-service-linked-roles-multi-region-replication"></a>

[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Amazon Keyspaces, pois você não pode remover por engano as permissões para acessá-los.

## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
<a name="service-linked-role-permissions-multi-region-replication"></a>

O Amazon Keyspaces usa a função vinculada ao serviço nomeada para permitir que o **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces adicione algo novo Regiões da AWS a um keyspace em seu nome e replique tabelas e todos os seus dados e configurações para a nova região. A função também permite que o Amazon Keyspaces replique gravações em tabelas em todas as regiões em seu nome.

A função AWSService RoleForAmazonKeyspacesReplication vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `replication.cassandra.amazonaws.com`

A política de permissões de função nomeada KeyspacesReplicationServiceRolePolicy permite que o Amazon Keyspaces conclua as seguintes ações:
+ Ação: `cassandra:Select` 
+ Ação: `cassandra:SelectMultiRegionResource` 
+ Ação: `cassandra:Modify` 
+ Ação: `cassandra:ModifyMultiRegionResource` 
+ Ação: `cassandra:AlterMultiRegionResource`
+ Ação: `application-autoscaling:RegisterScalableTarget` — O Amazon Keyspaces usa as permissões de auto scaling do aplicativo quando você adiciona uma réplica a uma única tabela de regiões no modo provisionado com o auto scaling ativado. 
+ Ação: `application-autoscaling:DeregisterScalableTarget` 
+ Ação: `application-autoscaling:DescribeScalableTargets` 
+ Ação: `application-autoscaling:PutScalingPolicy` 
+ Ação: `application-autoscaling:DescribeScalingPolicies` 
+ Ação: `cassandra:Alter`
+ Ação: `cloudwatch:DeleteAlarms`
+ Ação: `cloudwatch:DescribeAlarms`
+ Ação: `cloudwatch:PutMetricAlarm`

Embora a função vinculada ao serviço Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication forneça as permissões: “Ação:” para o nome de recurso da Amazon (ARN) “arn: \$1” especificado na política, o Amazon Keyspaces fornece o ARN da sua conta.

As permissões para criar a função vinculada ao serviço AWSService RoleForAmazonKeyspacesReplication estão incluídas na política `AmazonKeyspacesFullAccess` gerenciada. Para obter mais informações, consulte [AWS política gerenciada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
<a name="create-service-linked-role-multi-region-replication"></a>

Não é possível criar manualmente um perfil vinculado ao serviço. Quando você cria um keyspace multirregional na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Keyspaces cria a função vinculada ao serviço para você. 

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um espaço de chaves multirregional, o Amazon Keyspaces cria o perfil vinculado ao serviço para você novamente. 

## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
<a name="edit-service-linked-role-multi-region-replication"></a>

O Amazon Keyspaces não permite que você edite a função vinculada ao AWSService RoleForAmazonKeyspacesReplication serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Exclusão de um perfil vinculado ao serviço do Amazon Keyspaces
<a name="delete-service-linked-role-multi-region-replication"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve primeiro excluir todos os espaços-chave multirregionais da conta Regiões da AWS antes de excluir manualmente a função vinculada ao serviço. 

### Limpar um perfil vinculado ao serviço
<a name="service-linked-role-review-before-delete-multi-region-replication"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deve primeiro excluir quaisquer espaços de chaves e tabelas multirregionais usados pelo perfil.

**nota**  
Se o serviço do Amazon Keyspaces estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir recursos do Amazon Keyspaces usados pelo AWSService RoleForAmazonKeyspacesReplication (console)**

1. [Faça login no Console de gerenciamento da AWS e abra o console do Amazon Keyspaces em casahttps://console.aws.amazon.com/keyspaces/.](https://console.aws.amazon.com/keyspaces/home)

1. Selecione **Espaços de chaves** no painel do lado esquerdo.

1. Selecione todos os espaços de chaves multirregionais da lista.

1. Selecione **Excluir**, confirme a exclusão e selecione **Excluir espaços de chaves**.

Você também pode excluir os espaços de chaves multirregionais de forma programática usando qualquer um dos seguintes métodos.
+ A instrução [DESCARTAR ESPAÇO DE CHAVES](cql.ddl.keyspace.md#cql.ddl.keyspace.drop) do Cassandra Query Language (CQL).
+ A operação [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) da CLI. AWS 
+ A [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)operação da API Amazon Keyspaces.

### Excluir manualmente o perfil vinculado ao serviço
<a name="slr-manual-delete-multi-region-replication"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAmazonKeyspacesReplication vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
<a name="slr-regions-multi-region-replication"></a>

O Amazon Keyspaces não oferece suporte ao uso de perfis vinculados a serviços em todas as regiões em que o serviço está disponível. Você pode usar a AWSService RoleForAmazonKeyspacesReplication função nas seguintes regiões.


****  

| Nome da região | Identidade da região | Suporte no Amazon Keyspaces | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| África (Cidade do Cabo) | af-south-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não | 

# Usando funções para streams CDC do Amazon Keyspaces
<a name="using-service-linked-roles-CDC-streams"></a>

[O Amazon Keyspaces (para Apache Cassandra) usa funções vinculadas a serviços AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Keyspaces. As funções vinculadas ao serviço são predefinidas pelo Amazon Keyspaces e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon Keyspaces porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Keyspaces define as permissões dos perfis vinculados serviços e, a não ser que esteja definido de outra forma, somente o Amazon Keyspaces poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Você não pode excluir a função vinculada ao serviço.

## Permissões de perfil vinculado ao serviço para o Amazon Keyspaces
<a name="service-linked-role-permissions-CDC-streams"></a>

O Amazon Keyspaces usa a função vinculada ao serviço chamada **AWSServiceRoleForAmazonKeyspacesCDC para permitir que os streams de CDC** do Amazon Keyspaces publiquem métricas em sua conta em seu CloudWatch nome. 

A função vinculada ao serviço do AWSService RoleForAmazonKeyspaces CDC confia no seguinte serviço para assumir a função:
+ `cassandra-streams.amazonaws.com`

A política de permissões de função chamada [Keyspaces permite](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) que o CDCService RolePolicy Amazon Keyspaces conclua a seguinte ação em recursos no namespace: CloudWatch `AWS/Cassandra`
+ Ação: `cloudwatch:PutMetricData` em `*`

  O AWSService RoleForAmazonKeyspaces CDC fornece as permissões: Ação: cloudwatch: PutMetricData em todos os recursos que correspondem à seguinte condição:. `"cloudwatch:namespace": "AWS/Cassandra"` 

Para obter mais informações sobre Keyspaces CDCServiceRolePolicy, consulte. [AWS política gerenciada: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)

Para habilitar fluxos de CDC para uma tabela, que cria automaticamente a função AWSService RoleForAmazonKeyspaces CDC vinculada ao serviço, o diretor do IAM precisa das seguintes permissões.

```
{
    "Sid": "KeyspacesCDCServiceLinkedRole",
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
    "Condition": {
    "StringLike": {
        "iam:AWSServiceName": "cassandra-streams.amazonaws.com"
    }
}
```

As permissões para criar a função AWSService RoleForAmazonKeyspaces CDC vinculada ao serviço estão incluídas na política gerenciada`AmazonKeyspacesFullAccess`. Para obter mais informações, consulte [AWS política gerenciada: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).

## Criação de um perfil vinculado ao serviço para o Amazon Keyspaces
<a name="create-service-linked-role-CDC-streams"></a>

Você não precisa criar manualmente uma função vinculada ao serviço para os streams CDC do Amazon Keyspaces. Quando você habilita streams de CDC do Amazon Keyspaces em uma tabela com o Console de gerenciamento da AWS, CQL, o ou a API AWS CLI, o AWS Amazon Keyspaces cria a função vinculada ao serviço para você. 

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você habilita streams CDC do Amazon Keyspaces para uma tabela, o Amazon Keyspaces cria a função vinculada ao serviço para você novamente.

## Edição de um perfil vinculado ao serviço do Amazon Keyspaces
<a name="edit-service-linked-role-CDC-streams"></a>

O Amazon Keyspaces não permite que você edite a função vinculada ao serviço AWSService RoleForAmazonKeyspaces CDC. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte para perfis vinculados ao serviço do Amazon Keyspaces
<a name="slr-regions-CDC-streams"></a>

O Amazon Keyspaces oferece suporte a perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Validação de conformidade do Amazon Keyspaces (para Apache Cassandra)
<a name="Keyspaces-compliance"></a>

Auditores terceirizados avaliam a segurança e a conformidade do Amazon Keyspaces (para Apache Cassandra) como parte de vários programas de conformidade. AWS Isso inclui:
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Para obter mais informações, consulte as [certificações e serviços ISO e CSA STAR da AWS](https://aws.amazon.com/compliance/iso-certified/).
+ Controles do Sistema e da Organização (CSO)
+ PCI (Payment Card Industry)
+ Federal Risk and Authorization Management Program (FedRAMP) High
+ Health Insurance Portability and Accountability Act (HIPAA)

Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .

Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).

# Resiliência e recuperação de desastres no Amazon Keyspaces
<a name="disaster-recovery-resiliency"></a>

A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais. 

O Amazon Keyspaces replica dados automaticamente três vezes em várias zonas de AWS disponibilidade dentro da mesma Região da AWS para maior durabilidade e alta disponibilidade.

Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

Além da infraestrutura AWS global, o Amazon Keyspaces oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados.

**Replicação em várias regiões**  
O Amazon Keyspaces fornece replicação em várias regiões se você precisar replicar seus dados ou aplicativos em distâncias geográficas maiores. Você pode replicar suas tabelas do Amazon Keyspaces em Regiões da AWS diferentes tabelas de sua escolha. Para obter mais informações, consulte [Replicação multirregional para Amazon Keyspaces (para Apache Cassandra)](multiRegion-replication.md).

**Point-in-time recuperação (PITR)**  
A PITR ajuda a proteger as tabelas do Amazon Keyspaces contra operações acidentais de gravação ou exclusão ao fornecer backups contínuos dos dados da tabela. Para obter mais informações, consulte [oint-in-timeRecuperação de P para Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).

# Segurança da infraestrutura no Amazon Keyspaces
<a name="infrastructure-security"></a>

Como um serviço gerenciado, o Amazon Keyspaces (para Apache Cassandra) é protegido pela segurança de rede global. AWS Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa chamadas de API AWS publicadas para acessar o Amazon Keyspaces pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

O Amazon Keyspaces oferece suporte a dois métodos de autenticação de solicitações de clientes. O primeiro método usa credenciais específicas do serviço, que são credenciais baseadas em senha geradas para um usuário do IAM específico. Você pode criar e gerenciar a senha usando o console do IAM AWS CLI, o ou a AWS API. Para obter mais informações, consulte [Como usar o IAM com o Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).

O segundo método usa um plug-in de autenticação para o driver DataStax Java de código aberto para Cassandra. Esse plug-in permite que [usuários, perfis e identidades federadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adicionem informações de autenticação às solicitações de API do Amazon Keyspaces (para Apache Cassandra) usando o [Processo do Signature Version 4 (SigV4) da AWS](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Para obter mais informações, consulte [Crie e configure AWS credenciais para o Amazon Keyspaces](access.credentials.md). 

Você pode chamar essas operações de API de qualquer local de rede, mas o Amazon Keyspaces oferece suporte a políticas de acesso baseadas em recursos, que podem incluir restrições com base no endereço IP de origem. Você também pode usar as políticas do Amazon Keyspaces para controlar o acesso de endpoints específicos ou específicos da Amazon Virtual Private Cloud (Amazon VPC). VPCs Efetivamente, isso isola o acesso à rede a um determinado recurso do Amazon Keyspaces somente da VPC específica dentro da rede. AWS 

Você pode usar um endpoint da VPC de interface para manter o tráfego entre sua Amazon VPC e o Amazon Keyspaces saindo da rede da Amazon. Os endpoints de VPC de interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com privacidade em IPs sua Amazon VPC. Para obter mais informações, consulte [Como usar o Amazon Keyspaces com endpoint da VPC de interface](vpc-endpoints.md). 

# Como usar o Amazon Keyspaces com endpoint da VPC de interface
<a name="vpc-endpoints"></a>

Os endpoints da VPC de interface permitem a comunicação privada entre a nuvem privada virtual (VPC) em execução no Amazon VPC e no Amazon Keyspaces. Os endpoints VPC de interface são alimentados por AWS PrivateLink, que é um AWS serviço que permite a comunicação privada entre VPCs serviços e. AWS 

AWS PrivateLink permite isso usando uma interface de rede elástica com endereços IP privados em sua VPC para que o tráfego de rede não saia da rede Amazon. Os endpoints da VPC de interface não exigem um gateway da Internet, dispositivo NAT, conexão VPN ou conexão do Direct Connect . Para obter mais informações, consulte a [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) e os [Endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). 

**Topics**
+ [Como usar o endpoint da VPC para o Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Como preencher entradas da tabela `system.peers` com informações do endpoint da VPC de interface](#system_peers)
+ [Como controlar o acesso aos endpoints da VPC de interface para o Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Disponibilidade](#availability)
+ [Políticas de endpoint de VPC e recuperação do Amazon point-in-time Keyspaces (PITR)](#VPC_PITR_restore)
+ [Erros e avisos comuns](#vpc_troubleshooting)

## Como usar o endpoint da VPC para o Amazon Keyspaces
<a name="using-interface-vpc-endpoints"></a>

Você pode criar uma endpoint da VPC de interface para que o tráfego entre o Amazon Keyspaces e seus recursos do Amazon VPC comece a fluir pelo endpoint da VPC de interface. Para começar, siga as etapas para [criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint). Em seguida, edite o grupo de segurança associado ao endpoint que você criou na etapa anterior e configure uma regra de entrada para a porta 9142. Para obter mais informações consulte [Adicionar, remover e atualizar regras](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).

Para obter um step-by-step tutorial sobre como configurar uma conexão com o Amazon Keyspaces por meio de um VPC endpoint, consulte. [Tutorial: Conecte-se ao Amazon Keyspaces usando uma interface VPC endpoint](vpc-endpoints-tutorial.md) Para saber como configurar o acesso entre contas para recursos do Amazon Keyspaces separados de aplicativos Contas da AWS diferentes em uma VPC, consulte. [Configure o acesso entre contas para Amazon Keyspaces e endpoints da VPC](access.cross-account.md)

## Como preencher entradas da tabela `system.peers` com informações do endpoint da VPC de interface
<a name="system_peers"></a>

Os drivers do Apache Cassandra usam a tabela `system.peers` para consultar as informações do nó sobre o cluster. Os drivers do Cassandra usam as informações do nó para balancear a carga das conexões e repetir as operações. O Amazon Keyspaces preenche nove entradas na tabela `system.peers` automaticamente para clientes que se conectam por meio do endpoint público. 

Para fornecer aos clientes uma conexão por meio de endpoints da VPC de interface com funcionalidade semelhante, o Amazon Keyspaces preenche a tabela `system.peers` em sua conta com uma entrada para cada zona de disponibilidade em que um endpoint da VPC está disponível. Para pesquisar e armazenar endpoints da VPC de interface disponíveis na tabela `system.peers`, o Amazon Keyspaces exige que você conceda à entidade IAM usada para se conectar ao Amazon Keyspaces permissões de acesso para consultar sua VPC para obter informações sobre o endpoint e a interface de rede.

**Importante**  
Preencher a `system.peers` tabela com os endpoints de VPC da interface disponível melhora o balanceamento de carga e aumenta a taxa de transferência. read/write É recomendado para todos os clientes que acessam o Amazon Keyspaces usando endpoint da VPC de interface e é obrigatório para o Apache Spark.

Para conceder à entidade IAM usada para se conectar ao Amazon Keyspaces permissões para pesquisar as informações necessárias do endpoint da VPC de interface, você pode atualizar seu perfil do IAM ou política de usuário existente ou criar uma nova política do IAM, conforme mostrado no exemplo a seguir.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource":"*"
      }
   ]
}
```

**nota**  
As políticas gerenciadas `AmazonKeyspacesReadOnlyAccess_v2` e `AmazonKeyspacesFullAccess` incluem as permissões necessárias para permitir que o Amazon Keyspaces acesse a instância do Amazon EC2 para ler informações sobre os endpoints da VPC de interface disponíveis.

Para confirmar se a política foi configurada corretamente, consulte a tabela `system.peers` para ver as informações de rede. Se a tabela `system.peers` estiver vazia, isso pode indicar que a política não foi configurada com êxito ou que você excedeu a cota de taxa de solicitação para as ações da API `DescribeNetworkInterfaces` e `DescribeVPCEndpoints`. `DescribeVPCEndpoints` se enquadra na categoria `Describe*` e é considerada uma *ação não mutante.* `DescribeNetworkInterfaces` se enquadra no subconjunto de *ações não filtradas e não paginadas e não mutantes*, e diferentes cotas se aplicam. Para obter mais informações, consulte [Solicitar tamanhos de buckets de tokens e taxas de recarga](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) na Referência de API do Amazon EC2.

Se você vir uma tabela vazia, tente novamente alguns minutos depois para descartar problemas de cota de taxa de solicitação. Para verificar se você configurou os endpoints da VPC corretamente, consulte [Minha conexão de endpoint da VPC não funciona corretamente](troubleshooting.connecting.md#troubleshooting.connection.vpce). Se sua consulta retornar resultados da tabela, sua política foi configurada corretamente.



## Como controlar o acesso aos endpoints da VPC de interface para o Amazon Keyspaces
<a name="interface-vpc-endpoints-policies"></a>

Com as políticas de endpoint da VPC, você pode controlar o acesso aos recursos de duas maneiras:
+ **Política do IAM**: você pode controlar as solicitações, os usuários ou os grupos que têm permissão para acessar o Amazon Keyspaces por meio de um endpoint da VPC específico. É possível fazer isso usando uma [chave de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) na política anexada a um usuário, grupo ou perfil do IAM.
+ **Política da VPC**: você pode controlar quais endpoints da VPC têm acesso aos recursos do Amazon Keyspaces anexando políticas a eles. Para restringir o acesso a um espaço de chaves ou a uma tabela específica para permitir apenas o tráfego proveniente de um endpoint da VPC específico, edite a política do IAM existente que restringe o acesso aos recursos e adicione esse endpoint da VPC. 



Veja a seguir exemplos de políticas de endpoint para acessar os recursos do Amazon Keyspaces.
+ **Exemplo de política do IAM: restringir todo o acesso a uma tabela específica do Amazon Keyspaces, a menos que o tráfego venha do endpoint da VPC especificado**, esse exemplo de política pode ser anexado a um usuário, um perfil ou um grupo do IAM. Ela restringe o acesso a uma tabela específica do Amazon Keyspaces, a menos que o tráfego de entrada seja originado de um endpoint da VPC específico.

  ```
  {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
        {
           "Sid": "UserOrRolePolicyToDenyAccess",
           "Action": "cassandra:*",
           "Effect": "Deny",
           "Resource": [
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
             ],
           "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
        }
     ]
  }
  ```
**nota**  
Para restringir o acesso a uma tabela específica, você também deve incluir o acesso às tabelas do sistema. As tabelas do sistema são somente leitura. 
+ **Exemplo de política de VPC: acesso somente leitura**: esse exemplo de política pode ser anexado a um endpoint da VPC. (Para obter mais informações, consulte [Como controlar o acesso aos recursos da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Ela restringe as ações ao acesso somente de leitura aos recursos do Amazon Keyspaces por meio do endpoint da VPC ao qual está conectada.

  ```
  {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "ReadOnly",
        "Principal": "*",
        "Action": [
          "cassandra:Select"
        ],
        "Effect": "Allow",
        "Resource": "*"
      }
    ]
  }
  ```
+ **Exemplo de política de VPC: restringir o acesso a uma tabela específica do Amazon Keyspaces**: esse exemplo de política pode ser anexado a um endpoint da VPC. Ela restringe o acesso a uma tabela específica por meio do endpoint da VPC ao qual está anexada.

  ```
  {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
          {
              "Sid": "RestrictAccessToTable",
              "Principal": "*",
              "Action": "cassandra:*",
              "Effect": "Allow",
              "Resource": [
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
             ]
          }
     ]
  }
  ```
**nota**  
Para restringir o acesso a uma tabela específica, você também deve incluir o acesso às tabelas do sistema. As tabelas do sistema são somente leitura. 

## Disponibilidade
<a name="availability"></a>

O Amazon Keyspaces oferece suporte ao uso de endpoints VPC de interface em todos os lugares em que o serviço Regiões da AWS está disponível. Para obter mais informações, consulte [Endpoints de serviço para Amazon Keyspaces](programmatic.endpoints.md).

## Políticas de endpoint de VPC e recuperação do Amazon point-in-time Keyspaces (PITR)
<a name="VPC_PITR_restore"></a>

Se você estiver usando políticas do IAM com [chaves de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) para restringir o tráfego de entrada, a operação de restauração da tabela poderá falhar. Por exemplo, se você restringir o tráfego de origem a endpoints da VPC específicos usando chaves de condição `aws:SourceVpce`, a operação de restauração da tabela falhará. Para permitir que o Amazon Keyspaces execute uma operação de restauração em nome de sua entidade principal, você deve adicionar uma chave de condição `aws:ViaAWSService` à sua política do IAM. A chave de `aws:ViaAWSService` condição permite o acesso quando qualquer AWS serviço faz uma solicitação usando as credenciais do diretor. Para obter mais informações, consulte [Elementos de política JSON do IAM: chave de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*. A política a seguir é um exemplo disso. 

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"CassandraAccessForVPCE",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "StringEquals":{
               "aws:SourceVpce":[
                  "vpce-12345678901234567"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}
```

## Erros e avisos comuns
<a name="vpc_troubleshooting"></a>

**Se você estiver usando a Amazon Virtual Private Cloud e se conectar ao Amazon Keyspaces, talvez veja o seguinte aviso.**

```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; 
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```

Esse aviso ocorre porque a tabela `system.peers` contém entradas para todos os endpoint da VPC da Amazon que o Amazon Keyspaces tem permissão para visualizar, incluindo o endpoint da VPC da Amazon ao qual você está conectado. Você pode ignorar esse aviso com segurança.

Para outros erros, consulte [Minha conexão de endpoint da VPC não funciona corretamente](troubleshooting.connecting.md#troubleshooting.connection.vpce).

# Usando streams CDC do Amazon Keyspaces com endpoints de interface VPC
<a name="vpc-endpoints-streams"></a>

Os endpoints da VPC de interface permitem a comunicação privada entre a nuvem privada virtual (VPC) em execução no Amazon VPC e no Amazon Keyspaces. Os endpoints VPC de interface são alimentados por AWS PrivateLink, que é um AWS serviço que permite a comunicação privada entre VPCs serviços e. AWS 

AWS PrivateLink permite isso usando uma interface de rede elástica com endereços IP privados em sua VPC para que o tráfego de rede não saia da rede Amazon. Os endpoints da VPC de interface não exigem um gateway da Internet, dispositivo NAT, conexão VPN ou conexão do Direct Connect . Para obter mais informações, consulte [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) e [Endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). 

**Topics**
+ [Usando endpoints VPC de interface para fluxos CDC do Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Os streams CDC do Amazon Keyspaces interagem com endpoints VPC](#interface-vpc-endpoints-streams-types)
+ [Crie uma interface de streams CDC do Amazon Keyspaces (VPC endpoint)](#create-interface-vpc-endpoints-streams)
+ [Atualize um endpoint VPC da interface de streams CDC do Amazon Keyspaces](#update-interface-vpc-endpoints-streams)
+ [Listar streams usando uma interface de streams CDC do Amazon Keyspaces (VPC)](#list-interface-vpc-endpoints-streams)
+ [Crie uma política para um endpoint VPC da interface de streams CDC do Amazon Keyspaces](#interface-vpc-endpoints-streams-policy)

## Usando endpoints VPC de interface para fluxos CDC do Amazon Keyspaces
<a name="using-interface-vpc-endpoints-streams"></a>

Você pode usar uma interface VPC endpoint para que o tráfego entre os streams de CDC do Amazon Keyspaces e seus recursos do Amazon VPC comece a fluir pela interface VPC endpoint. Você pode usar políticas de VPC endpoint para restringir o acesso aos seus streams de CDC.

Para obter mais informações sobre os streams CDC do Amazon Keyspaces, consulte. [Trabalhando com fluxos de captura de dados de alteração (CDC) no Amazon Keyspaces](cdc.md)

## Os streams CDC do Amazon Keyspaces interagem com endpoints VPC
<a name="interface-vpc-endpoints-streams-types"></a>

**Quando você cria um endpoint de interface, os streams CDC do Amazon Keyspaces geram dois tipos de nome DNS específico do endpoint para o stream: regional e zonal.**

**Regional**  
O nome do DNS regional inclui as seguintes informações:  
+ um ID de endpoint exclusivo da Amazon VPC
+ um identificador de serviço
+ o Região da AWS
+ o `vpce.amazonaws.com` sufixo
Para um endpoint Amazon VPC com o ID`vpce-1a2b3c4d`, o nome DNS gerado pode ser semelhante ao exemplo a seguir:. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`

**Zonal**  
O nome do DNS zonal inclui a [zona de disponibilidade](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/), além das informações no nome do DNS regional. O nome DNS gerado para o endpoint Amazon VPC com o `vpce-1a2b3c4d` ID seria semelhante ao exemplo a seguir. Observe que agora inclui Região da AWS a zona de disponibilidade: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`  
Você pode usar essa opção se sua arquitetura isolar zonas de disponibilidade. Por exemplo, você pode usar para contenção de falhas ou para reduzir os custos regionais de transferência de dados.  
Para obter a confiabilidade ideal, recomendamos implantar seu serviço em um mínimo de três zonas de disponibilidade.

## Crie uma interface de streams CDC do Amazon Keyspaces (VPC endpoint)
<a name="create-interface-vpc-endpoints-streams"></a>

Você pode usar o SDK AWS CLI ou o AWS SDK para acessar as operações da API CDC Streams do Amazon Keyspaces por meio dos endpoints de interface do Amazon Keyspaces CDC Streams. Para obter uma lista completa de todas as operações de API disponíveis, consulte a Referência de API do [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html).

Para obter mais informações sobre como criar endpoints de VPC, consulte [criar um endpoint de interface no](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Guia do usuário da Amazon VPC. 

Para criar um VPC endpoint, você pode usar a sintaxe no exemplo a seguir.

```
aws ec2 create-vpc-endpoint \
  --region us-east-1 \
  --service-name api.aws.us-east-1.cassandra-streams \
  --vpc-id client-vpc-id \
  --subnet-ids client-subnet-id \
  --vpc-endpoint-type Interface \
  --security-group-ids client-sg-id
```

## Atualize um endpoint VPC da interface de streams CDC do Amazon Keyspaces
<a name="update-interface-vpc-endpoints-streams"></a>

Para atualizar um VPC endpoint, você pode usar a sintaxe no exemplo a seguir.

```
aws ec2 modify-vpc-endpoint \
  --region us-east-1 \
  --vpc-endpoint-id client-vpc-id \
  --policy-document policy-document \ #example optional parameter
  --add-security-group-ids security-group-ids \ #example optional parameter
```

## Listar streams usando uma interface de streams CDC do Amazon Keyspaces (VPC)
<a name="list-interface-vpc-endpoints-streams"></a>

Para listar os streams que estão usando um VPC endpoint, você pode usar a sintaxe no exemplo a seguir. Certifique-se de substituir a região e o nome DNS do ID do VPC endpoint por suas próprias informações.

```
aws keyspacesstreams \
  --endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
  --region us-east-1 \
  list-streams
```

## Crie uma política para um endpoint VPC da interface de streams CDC do Amazon Keyspaces
<a name="interface-vpc-endpoints-streams-policy"></a>

Você pode anexar uma política de endpoint ao seu endpoint Amazon VPC que controla o acesso aos streams do Amazon Keyspaces CDC. Essa política especifica as seguintes informações:
+ O principal AWS Identity and Access Management (IAM) que pode realizar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas

Para restringir o acesso a fluxos específicos do Amazon Keyspaces CDC para permitir somente serviços específicos AWS em seu acesso à Amazon VPC, você pode usar o exemplo a seguir. 

A política de stream a seguir concede acesso a qualquer principal do IAM para as ações `cassandra:GetStream` e `cassandra:GetRecords` para o stream especificado `2025-02-20T11:22:33.444` anexado ao recurso `/keyspace/mykeyspace/table/mytable/` pertencente à conta`123456788901`. Para usar essa política de endpoint, certifique-se de substituir a região, o ID da conta e o recurso pelo rótulo do stream.

```
{
"Version": "2012-10-17",		 	 	 
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "cassandra:GetStream",
        "cassandra:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
```

**nota**  
O Amazon Keyspaces não oferece suporte a endpoints do Gateway para fluxos de CDC.

# Análise de configuração e vulnerabilidade no Amazon Keyspaces
<a name="configuration-vulnerability"></a>

AWS lida com tarefas básicas de segurança, como sistema operacional (SO) convidado e aplicação de patches em bancos de dados, configuração de firewall e recuperação de desastres. Esses procedimentos foram revisados e certificados por terceiros certificados. Para obter mais detalhes, consulte os seguintes recursos da : 
+ [Modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) 
+ [Amazon Web Services: Overview of security processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (Amazon Web Services: visão geral do processo de segurança) (whitepaper) 

# Práticas recomendadas de segurança para o Amazon Keyspaces
<a name="best-practices-security"></a>

O Amazon Keyspaces (para Apache Cassandra) fornece uma série de atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições. 

**Topics**
+ [Práticas preventivas de segurança recomendadas para o Amazon Keyspaces](best-practices-security-preventative.md)
+ [Práticas recomendadas de detecção de segurança para o Amazon Keyspaces](best-practices-security-detective.md)

# Práticas preventivas de segurança recomendadas para o Amazon Keyspaces
<a name="best-practices-security-preventative"></a>

As práticas recomendadas de segurança a seguir são consideradas preventivas porque podem ajudar você a antecipar e prevenir incidentes de segurança no Amazon Keyspaces.

**Use criptografia em repouso**  
O Amazon Keyspaces criptografa em repouso todos os dados de usuário gravados em tabelas, usando chaves de criptografia armazenadas no [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Isso oferece uma camada de proteção de dados adicional ao proteger seus dados contra acesso não autorizado ao armazenamento subjacente.  
Por padrão, o Amazon Keyspaces usa um Chave pertencente à AWS para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas.   
Como alternativa, você pode usar uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia em repouso. Para obter mais informações, consulte [Criptografia em repouso do Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).

**Usar perfis do IAM para autenticar o acesso ao Amazon Keyspaces**  
Para que usuários, aplicativos e outros AWS serviços acessem o Amazon Keyspaces, eles devem incluir AWS credenciais válidas em suas AWS solicitações de API. Você não deve armazenar AWS credenciais diretamente no aplicativo ou na instância do EC2. Essas são credenciais de longo prazo que não são automaticamente alternadas e, portanto, podem ter impacto comercial significativo se forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os serviços e recursos da AWS .  
Para obter mais informações, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**Usar políticas do IAM para autorizações de base do Amazon Keyspaces**  
Ao conceder permissões, você decide quem as está recebendo, para quais Amazon APIs Keyspaces elas estão recebendo permissões e as ações específicas que você deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.  
Anexe políticas de permissões para identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, dê permissões para eles executarem operações nos recursos do Amazon Keyspaces.  
Para isso, você pode usar o seguinte:  
+ [AWS políticas gerenciadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**Uso de condições de política do IAM para controle de acesso refinado**  
Ao conceder permissões no Amazon Keyspaces, você pode especificar as condições que determinam como uma política de permissões entra em vigor. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.  
É possível especificar as condições ao conceder permissões usando uma política do IAM. Por exemplo, você pode fazer o seguinte:  
+ Conceda permissões para permitir que os usuários tenham acesso somente leitura a tabelas ou espaços de chaves específicos.
+ Conceda permissões para permitir que um usuário tenha acesso de gravação a uma determinada tabela, com base na identidade desse usuário.
 Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).

**Considere utilizar a criptografia do lado do cliente**  
Se você armazena dados confidenciais e sensíveis no Amazon Keyspaces, talvez seja melhor criptografar os dados o mais próximo possível da origem, para que eles fiquem protegidos durante todo o ciclo de vida. A criptografia dos seus dados confidenciais em trânsito e em repouso ajuda você a garantir que os dados em texto simples não estejam disponíveis a terceiros.

# Práticas recomendadas de detecção de segurança para o Amazon Keyspaces
<a name="best-practices-security-detective"></a>

As práticas recomendadas de segurança a seguir são consideradas de detecção porque podem ajudá-lo a detectar possíveis falhas e incidentes de segurança.

**Use AWS CloudTrail para monitorar o uso da AWS KMS chave AWS Key Management Service (AWS KMS)**  
Se você estiver usando uma [AWS KMS chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia em repouso, o uso dessa chave será registrado. AWS CloudTrail CloudTrail fornece visibilidade da atividade do usuário ao registrar as ações realizadas em sua conta. CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo AWS serviço. Essas informações ajudam você a monitorar as alterações feitas em seus AWS recursos e solucionar problemas operacionais. CloudTrail facilita a garantia da conformidade com políticas internas e padrões regulatórios.  
Você pode usar CloudTrail para auditar o uso da chave. CloudTrail cria arquivos de log que contêm um histórico de chamadas de AWS API e eventos relacionados à sua conta. Esses arquivos de log incluem todas as solicitações de AWS KMS API feitas usando o console e as ferramentas de linha de comando, além das feitas por meio de AWS serviços integrados. AWS SDKs Você pode usar esses arquivos de log para obter informações sobre quando a AWS KMS chave foi usada, a operação solicitada, a identidade do solicitante, o endereço IP de origem da solicitação e assim por diante. Para obter mais informações, consulte [Como registrar chamadas de API do AWS Key Management Service com o AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) no [Guia do usuário do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

**Use CloudTrail para monitorar as operações da linguagem de definição de dados (DDL) do Amazon Keyspaces**  
CloudTrail fornece visibilidade da atividade do usuário ao registrar as ações realizadas em sua conta. CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo AWS serviço. Essas informações ajudam você a monitorar as alterações feitas em seus AWS recursos e a solucionar problemas operacionais. CloudTrail facilita a garantia da conformidade com políticas internas e padrões regulatórios.  
Todas as [operações de DDL](cql.ddl.md) do Amazon Keyspaces são registradas automaticamente. CloudTrail As operações DDL permitem criar e gerenciar tabelas e espaços de chaves do Amazon Keyspaces.  
Quando a atividade ocorre no Amazon Keyspaces, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos. Para obter mais informações, consulte [Registrar operações do Amazon Keyspaces usando o AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de CloudTrail eventos com histórico](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) de eventos no *Guia AWS CloudTrail do usuário*.  
[Para obter um registro contínuo dos eventos em seu Conta da AWS, incluindo eventos do Amazon Keyspaces, crie uma trilha.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon Simple Storage Service (Amazon S3). Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na partição da AWS e fornece os arquivos de log ao bucket do S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros.

**Marque seus recursos do Amazon Keyspaces para identificação e automação**  
Você pode atribuir metadados aos seus AWS recursos na forma de tags. Cada tag é um rótulo simples que consiste em uma chave definida pelo cliente e um valor opcional que pode facilitar o gerenciamento, a pesquisa e a filtragem de recursos.   
A atribuição de tags (tagging) permite a implementação de controles agrupados. Embora não haja tipos de tags inerentes, elas permitem categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Veja os seguintes exemplos:  
+ Acesso – usado para controlar o acesso aos recursos do Amazon Keyspaces com base em tags. Para obter mais informações, consulte [Autorização baseada em tags do Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Segurança – usada para determinar requisitos como configurações de proteção de dados.
+ Confidencialidade: um identificador para o nível de confidencialidade de dados específico suportado por um recurso.
+ Ambiente: usada para distinguir entre as infraestruturas de desenvolvimento, teste e produção. 
Para obter mais informações, consulte [AWS estratégias de marcação](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) e [Adicionar tags e rótulos a recursos](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).