本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用共用 VPC 中的 VPC 端點設定跨帳戶存取
您可以建立不同 AWS 帳戶 的資源與應用程式分開。例如,您可以為 Amazon Keyspaces 表格建立一個帳戶、在開發環境中為應用程式建立不同的帳戶,以及為生產環境中的應用程式建立另一個帳戶。本主題將引導您完成使用共用 VPC 中的介面 VPC 端點為 Amazon Keyspaces 設定跨帳戶存取所需的組態步驟。
如需如何為 Amazon Keyspaces 設定 VPC 端點的詳細步驟,請參閱。步驟 3:為 Amazon Keyspaces 創建 VPC 端點
在此範例中,我們在共用 VPC 中使用下列三個帳戶:
Account A
— 此帳戶包含基礎設施,包括 VPC 端點、VPC 子網路和 Amazon Keyspaces 表。Account B
— 此帳戶包含開發環境中的應用程式,該應用程式需要連線至中的 Amazon Keyspaces 表格Account A
。Account C
— 此帳戶包含生產環境中的應用程式,該應用程式需要連線至中的 Amazon Keyspaces 表格Account A
。
Account A
是包含Account B
和Account C
需要訪問的資源的帳戶,信任帳戶Account A
也是如此。 Account B
並且Account C
是具有需要存取中資源的主體的帳戶Account A
,以Account B
及Account C
是受信任的帳戶。信任帳戶會透過共用 IAM 角色,將許可授與受信任的帳戶。下列程序概述了中所需的組態步驟Account A
。
的組態 Account A
用 AWS Resource Access Manager 於建立子網路的資源共用,並與和共用私有
Account B
子網路Account C
。Account B
現在Account C
可以在已與他們共享的子網中查看和創建資源。建立由支援的 Amazon Keyspaces 私有 VPC 端點。 AWS PrivateLink這會跨共用子網路和 Amazon Keyspaces 服務端點的 DNS 項目建立多個端點。
創建一個 Amazon 密 Keyspaces 間和表。
建立可完整存取 Amazon Keyspaces 表格的 IAM 角色、讀取 Amazon Keyspaces 系統表格的存取權限,以及能夠描述 Amazon EC2 VPC 資源,如下列政策範例所示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
設定
Account C
可假設為受信任帳戶的Account B
IAM 角色信任政策,如下列範例所示。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
如需跨帳戶 IAM 政策的詳細資訊,請參閱 IAM 使用者指南中的跨帳戶政策。
Account B
和中的組態 Account C
在
Account B
和中Account C
,建立新角色並附加下列原則,以允許主參與者擔任在中建立的共用角色Account A
。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
允許主體假設共用角色是使用 AWS Security Token Service (AWS STS) 的
AssumeRole
API 來實作。如需詳細資訊,請參閱《IAM 使用者指南》中您擁有 AWS 帳戶 的其他 IAM 使用者提供存取權限。在
Account B
和中Account C
,您可以建立使用 SIGV4 身份驗證外掛程式的應用程式,該應用程式允許應用程式假設共用角色Account A
透過共用 VPC 中的 VPC 端點連接至位於中的 Amazon Keyspaces 表。如需 SIGV4 驗證外掛程式的詳細資訊,請參閱創建憑據以編程方式訪問 Amazon Keyspaces。