本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Amazon Keyspaces 的托管策略
<a name="security-iam-awsmanpol"></a>





 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。









## AWS 托管策略： AmazonKeyspacesReadOnlyAccess\$1v2
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2"></a>





您可以将 `AmazonKeyspacesReadOnlyAccess_v2` 策略附加到 IAM 身份。



该策略授予对 Amazon Keyspaces 的只读访问权限，并包括通过私有 VPC 端点进行连接时所需的权限。



**权限详细信息**

该策略包含以下权限。




+ `Amazon Keyspaces`：提供对 Amazon Keyspaces 的只读访问权限。
+ `Amazon Keyspaces CDC streams`— 允许委托人查看 Amazon Keyspaces CDC 直播。
+ `Application Auto Scaling`：允许主体从 Application Auto Scaling 查看配置。这是必需权限，以便用户可以查看附加到表的自动扩展策略。
+ `CloudWatch`— 允许委托人查看中 CloudWatch配置的指标数据和警报。这是必需的，这样用户才能查看为表配置的可计费表大小和 CloudWatch 警报。
+ `AWS KMS`— 允许委托人查看中 AWS KMS配置的密钥。这是必需的，这样用户才能查看他们在账户中创建和管理的 AWS KMS 密钥，以确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。
+ `Amazon EC2`：允许主体通过 VPC 端点连接到 Amazon Keyspaces，以查询 Amazon EC2 实例上的 VPC，从而获取端点和网络接口信息。必须具有对 Amazon EC2 实例的这种只读访问权限，这样 Amazon Keyspaces 才能在用于连接负载均衡的 `system.peers` 表中查找和存储可用的接口 VPC 端点。



要查看政策的`JSON`格式，请参阅 [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html)。

## AWS 托管策略： AmazonKeyspacesReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess"></a>





您可以将 `AmazonKeyspacesReadOnlyAccess` 策略附加到 IAM 身份。



此策略将授予对 Amazon Keyspaces 的只读访问权限。



**权限详细信息**

该策略包含以下权限。




+ `Amazon Keyspaces`：提供对 Amazon Keyspaces 的只读访问权限。
+ `Amazon Keyspaces CDC streams`— 允许委托人查看 Amazon Keyspaces CDC 直播。
+ `Application Auto Scaling`：允许主体从 Application Auto Scaling 查看配置。这是必需权限，以便用户可以查看附加到表的自动扩展策略。
+ `CloudWatch`— 允许委托人查看中 CloudWatch配置的指标数据和警报。这是必需的，这样用户才能查看为表配置的可计费表大小和 CloudWatch 警报。
+ `AWS KMS`— 允许委托人查看中 AWS KMS配置的密钥。这是必需的，这样用户才能查看他们在账户中创建和管理的 AWS KMS 密钥，以确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。



要查看政策的`JSON`格式，请参阅[AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html)。

## AWS 托管策略： AmazonKeyspacesFullAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesFullAccess"></a>





您可以将 `AmazonKeyspacesFullAccess` 策略附加到 IAM 身份。



此策略授予管理权限，允许您的管理员不受限制地访问 Amazon Keyspaces。



**权限详细信息**

该策略包含以下权限。




+ `Amazon Keyspaces`：允许主体访问任何 Amazon Keyspaces 资源并执行所有操作。
+ `Application Auto Scaling`：允许主体创建、查看和删除 Amazon Keyspaces 表的自动扩展策略。这是必需权限，以便管理员可以管理 Amazon Keyspaces 表的自动扩展策略。
+ `CloudWatch`— 允许委托人查看计费表的大小，以及创建、查看和删除 Amazon Keyspaces 自动扩展策略的 CloudWatch 警报。这是必需的，这样管理员才能查看计费表的大小并创建 CloudWatch 仪表板。
+ `IAM`：允许 Amazon Keyspaces 在启用以下功能时自动使用 IAM 创建服务相关角色：
  + `Amazon Keyspaces CDC streams`— 当管理员为表启用直播时，Amazon Keyspaces 会创建服务相关角色 [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams)，代表您向您的账户发布 CloudWatch 指标。
  + `Application Auto Scaling`— 当管理员为表启用 Application Auto Scaling 时，Amazon Keyspaces 会创建服务相关角色[AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)来代表您执行自动扩展操作。
  + `Amazon Keyspaces multi-Region replication`— 当管理员创建新的多区域密钥空间或 AWS 区域 向现有的单区域密钥空间添加新的密钥空间时，Amazon Keyspaces 会创建服务相关[AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)角色来代表您向选定区域执行表、数据和元数据的复制。
+ `AWS KMS`：允许主体查看 AWS KMS中配置的密钥。这是必需的，这样用户才能查看他们在账户中创建和管理的 AWS KMS 密钥，以确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。
+ `Amazon EC2`：允许主体通过 VPC 端点连接到 Amazon Keyspaces，以查询 Amazon EC2 实例上的 VPC，从而获取端点和网络接口信息。必须具有对 Amazon EC2 实例的这种只读访问权限，这样 Amazon Keyspaces 才能在用于连接负载均衡的 `system.peers` 表中查找和存储可用的接口 VPC 端点。



要查看政策的`JSON`格式，请参阅[AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)。

## AWS 托管策略：Keyspaces CDCService RolePolicy
<a name="security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy"></a>





您不能将 `KeyspacesCDCServiceRolePolicy` 附加到自己的 IAM 实体。本政策附属于一个服务相关角色，该角色允许 Amazon Keyspaces 代表您执行操作。有关更多信息，请参阅 [在 Amazon Keyspaces CDC 直播中使用角色](using-service-linked-roles-CDC-streams.md)。



此政策向服务相关角色`AWSServiceRoleForAmazonKeyspacesCDC`授予代表您发布 Amazon Keyspaces CDC 流媒体指标数据 CloudWatch 所需的权限。



**权限详细信息**

该策略包含以下权限。




+ `CloudWatch`— 允许 service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC 代表](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams)您将 Amazon Keyspaces CDC 数据流`"cloudwatch:namespace": "AWS/Cassandra"`中的指标数据发布到您的 CloudWatch 账户中。



要查看政策的`JSON`格式，请参阅 [Key CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) spaces。





## Amazon Keyspaces 更新了托管 AWS 策略
<a name="security-iam-awsmanpol-updates"></a>



查看自该服务开始跟踪这些更改以来，Amazon Keyspaces AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示，请订阅 [Amazon Keyspaces（Apache Cassandra 兼容）的文档历史记录](doc-history.md) 页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [Keyspaces CDCService RolePolicy](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)-新政策  |  Amazon Keyspaces 添加了一项新的托管策略`KeyspacesCDCServiceRolePolicy`，该策略向服务相关角色授予代表您`AWSServiceRoleForAmazonKeyspacesCDC`发布 Amazon Keyspaces CDC 流媒体指标数据所需的权限。 CloudWatch 有关更多信息，请参阅 [在 Amazon Keyspaces CDC 直播中使用角色](using-service-linked-roles-CDC-streams.md)。  | 2025 年 7 月 2 日 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) — 更新现有策略  |  Amazon Keyspaces 添加了新的权限，允许 IAM 委托人查看 Amazon Keyspaces CDC 直播。有关更多信息，请参阅 [在 Amazon Keyspaces 中查看 CDC 直播](keyspaces-view-cdc.md)。  | 2025 年 7 月 2 日 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许 IAM 委托人查看 Amazon Keyspaces CDC 直播。有关更多信息，请参阅 [在 Amazon Keyspaces 中查看 CDC 直播](keyspaces-view-cdc.md)。  | 2025 年 7 月 2 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keyspaces 为服务关联角色 [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) 创建了`KeyspacesCDCServiceRolePolicy`托管策略，以添加管理员为表启用流时所需的权限。 Amazon Keyspaces 使用服务相关角色代表您`AWSServiceRoleForAmazonKeyspacesCDC`向您的账户发布 CloudWatch 指标。有关更多信息，请参阅 [在 Amazon Keyspaces CDC 直播中使用角色](using-service-linked-roles-CDC-streams.md)。  | 2025 年 7 月 2 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keys `KeyspacesReplicationServiceRolePolicy` paces 更新了服务关联角色，添加了管理员[AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)向单区域或多区域密钥空间添加新 AWS 区域 密钥空间时所需的权限。 Amazon Keyspaces 使用服务相关角色`AWSServiceRoleForAmazonKeyspacesReplication`代表您复制表、表的设置和数据。有关更多信息，请参阅 [使用角色进行 Amazon Keyspaces 多区域复制](using-service-linked-roles-multi-region-replication.md)。  | 2024 年 11 月 19 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许在管理员向单区域或多区域密钥空间添加新区域时，Amazon Keyspaces 创建服务相关角色。 Amazon KeysSpaces 使用服务相关角色代表您执行数据复制任务。有关更多信息，请参阅 [使用角色进行 Amazon Keyspaces 多区域复制](using-service-linked-roles-multi-region-replication.md)。  | 2023 年 10 月 3 日 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2 — 新](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess)政策  |  Amazon Keyspaces 创建了一项新策略，为通过接口 VPC 终端节点连接到 Amazon Keyspaces 的客户端添加只读权限，以访问 Amazon EC2 实例以查找网络信息。 Amazon Keyspaces 将可用的接口 VPC 端点存储在 `system.peers` 表中，以实现连接负载均衡。有关更多信息，请参阅 [将 Amazon Keyspaces 与接口 VPC 端点结合使用](vpc-endpoints.md)。  | 2023 年 9 月 12 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新权限，以允许 Amazon Keyspaces 在管理员创建多区域键空间时创建服务相关角色。 Amazon Keyspaces 使用服务相关角色`AWSServiceRoleForAmazonKeyspacesReplication`代表您执行数据复制任务。有关更多信息，请参阅 [使用角色进行 Amazon Keyspaces 多区域复制](using-service-linked-roles-multi-region-replication.md)。  | 2023 年 6 月 5 日 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许用户使用查看表的计费大小。 CloudWatch Amazon Keyspaces 与亚马逊集成， CloudWatch 允许您监控计费表的大小。有关更多信息，请参阅 [Amazon Keyspaces 指标](metrics-dimensions.md#keyspaces-metrics-dimensions)。  | 2022 年 7 月 7 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许用户使用查看表的计费大小。 CloudWatch Amazon Keyspaces 与亚马逊集成， CloudWatch 允许您监控计费表的大小。有关更多信息，请参阅 [Amazon Keyspaces 指标](metrics-dimensions.md#keyspaces-metrics-dimensions)。  | 2022 年 7 月 7 日 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许用户查看为静态亚马逊 AWS KMS 密钥空间加密配置的密钥。 Amazon Keyspaces 静态加密与集成， AWS KMS 用于保护和管理用于加密静态数据的加密密钥。要查看为 Amazon Keyspaces 配置的密 AWS KMS 钥，已添加只读权限。  | 2021 年 6 月 1 日 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess)：对现有策略的更新  |  Amazon Keyspaces 添加了新的权限，允许用户查看为静态亚马逊 AWS KMS 密钥空间加密配置的密钥。 Amazon Keyspaces 静态加密与集成， AWS KMS 用于保护和管理用于加密静态数据的加密密钥。要查看为 Amazon Keyspaces 配置的密 AWS KMS 钥，已添加只读权限。  | 2021 年 6 月 1 日 | 
|  Amazon Keyspaces 开始跟踪更改  |  Amazon Keyspaces 开始跟踪其 AWS 托管策略的变更。  | 2021 年 6 月 1 日 |