本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置共享 VPKeyspaces 跨账户访问权限
您可以创建不同的资源Amazon Web Services 账户来将资源与应用程序分开。例如,您可以为 Amazon Keyspaces 表创建一个账户,为开发环境中的应用程序创建另一个账户,为生产环境中的应用程序创建另一个账户。本主题引导您完成在共享 VPC 中使用接口 VPC 终端节点为 Amazon Keyspaces 设置跨账户访问所需的配置步骤。
有关如何为 Amazon Keyspaces 配置 VPC 终端节点的详细步骤,请参阅步骤 3:为亚马逊密钥空间 VPC 终端节点。
在此示例中,我们在共享 VPC 中使用以下三个账户:
Account A
— 此账户包含基础设施,包括 VPC 终端节点、VPC 子网和 Amazon Keyspaces 表。Account B
— 此账户包含开发环境中的应用程序,该应用程序需要连接到中的 Amazon Keyspaces 表Account A
。Account C
— 此账户包含生产环境中的应用程序,该应用程序需要连接到中的 Amazon Keyspaces 表Account A
。

Account A
是包含Account C
需要访问的资源Account B
的账户,信任账户Account A
也是如此。 Account B
并且Account C
是需要访问其中的资源的委托人的账户Account A
,也是 anAccount B
dAccount C
是可信账户。信任账户通过共享 IAM 角色向可信账户授予权限。中所需的配置步骤概括介绍如下Account A
。
的配置Account A
用于为子网创建资源共享并与
Account B
和共享私有子网Account C
。Amazon Resource Access ManagerAccount B
并且现在Account C
可以在与他们共享、共享、共享、共享。创建由Amazon PrivateLink提供支持的 Amazon Keyspaces 私有 VPC 终端节 这会在共享子网中创建多个终端节点,并为 Amazon Keyspaces 服务终端节点创建多个终端节点。
创建亚马逊Keyspaces 密钥空间和表。
创建一个 IAM 角色,该角色具有对 Amazon Keyspaces 表的完全访问权限,对 Amazon Keyspaces 系统表具有读取权限,并且能够描述 Amazon EC2 VPC 资源,如以下策略示例所示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
配置
Account B
和Account C
可以假设为可信账户的 IAM 角色信任策略,如以下示例所示。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
有关跨账户 IAM 策略的更多信息,请参阅《IAM 用户指南》中的跨账户策略。
Account B
和中的配置Account C
在
Account B
和中Account C
,创建新角色并附加以下策略,允许委托人代入在中创建的共享角色Account A
。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
允许委托人担任共享角色是使用Amazon Security Token Service (Amazon STS) 的
AssumeRole
API 实现的。有关更多信息,请参阅《IAM 用户指南》中的为您拥有Amazon Web Services 账户的另一个IAM 用户提供访问权限。在
Account B
和中Account C
,您可以创建使用 SIGV4 身份验证插件的应用程序,该插件允许应用程序代入共享角色,Account A
通过共享 VPC 中的 VPC 终端节点连接到位于的 Amazon Keyspaces 表。有关 SIGV4 身份验证插件的更多信息,请参阅创建以编程方式访问亚马逊Keyspaces 的证书。