VPC使用共享中的终端节点配置对 Amazon Keyspaces 的跨账户访问权限 VPC - Amazon Keyspaces(Apache Cassandra 兼容)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC使用共享中的终端节点配置对 Amazon Keyspaces 的跨账户访问权限 VPC

你可以创建不同的 AWS 账户 将资源与应用程序分开。例如,您可以为 Amazon Keyspaces 表创建一个账户,为开发环境中的应用程序创建一个不同的账户,为生产环境中的应用程序创建另一个账户。本主题将引导您完成使用共享中的VPC接口终端节点为 Amazon Keyspaces 设置跨账户访问权限所需的配置步骤。VPC

有关如何为 Amazon Keyspaces 配置VPC终端节点的详细步骤,请参阅。步骤 3:为 Amazon Keys VPC paces 创建终端节点

在此示例中,我们在共享账户中使用以下三个账户VPC:

  • Account A— 此账户包含基础设施,包括VPC终端节点、VPC子网和 Amazon Keyspaces 表。

  • Account B:此账户包含开发环境中的一个应用程序,该应用程序需要连接到Account A 中的 Amazon Keyspaces 表。

  • Account C:此账户包含生产环境中的一个应用程序,该应用程序需要连接到Account A 中的 Amazon Keyspaces 表。

该图显示了同一个组织在同一个组织中拥有的三个不同账户 AWS 区域 使用共享的VPC。

Account A 包含Account BAccount C 需要访问的资源,因此Account A信任账户。Account BAccount C 包含需要访问Account A 中的资源的主体,因此Account BAccount C受信账户。信任账户通过共享IAM角色向可信账户授予权限。以下程序概述了Account A 中所需的配置步骤。

Account A 所需的配置

  1. 使用 AWS Resource Access Manager 为子网创建资源共享并与Account B和共享私有子网Account C

    Account BAccount C 现在可以在与它们共享的子网中查看和创建资源。

  2. 创建由... 提供支持的 Amazon Keyspaces 私有VPC终端节点 AWS PrivateLink。 这将在共享子网和DNS条目中为 Amazon Keyspaces 服务终端节点创建多个终端节点。

  3. 创建 Amazon Keyspaces 密钥空间和表。

  4. 创建一个具有对 Amazon Keyspaces 表的完全访问权限、对 Amazon Keyspaces 系统表的读取权限并且能够描述亚马逊EC2VPC资源的IAM角色,如以下策略示例所示。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcEndpoints",
                "cassandra:*"
            ],
            "Resource": "*"
        }
    ]
}

  5. 配置Account C可以假设为可Account B信账户的IAM角色信任策略,如以下示例所示。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111111111111:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

    有关跨账户IAM政策的更多信息,请参阅IAM用户指南中的跨账户政策

Account BAccount C 中的配置

  1. Account BAccount C 中创建新角色并附加以下策略,允许主体代入在Account A 中创建的共享角色。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    允许委托人担任共享角色是使用以下方法实现AssumeRoleAPI的 AWS Security Token Service (AWS STS)。 有关更多信息,请参阅向其他IAM用户提供访问权限 AWS 账户 您在《IAM用户指南》中拥有的。

  2. Account B和中Account C,您可以创建使用SIGV4身份验证插件的应用程序,该插件允许应用程序扮演共享角色,Account A通过共享中的VPC终端节点连接到位于中的 Amazon Keyspaces 表。VPC有关SIGV4身份验证插件的更多信息,请参阅创建以编程方式访问 Amazon Keyspaces 的证书