VPC使用共享中的终端节点配置对 Amazon Keyspaces 的跨账户访问权限 VPC - Amazon Keyspaces(Apache Cassandra 兼容)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC使用共享中的终端节点配置对 Amazon Keyspaces 的跨账户访问权限 VPC

你可以创建不同的 Amazon Web Services 账户 将资源与应用程序分开。例如,您可以为 Amazon Keyspaces 表创建一个账户,为开发环境中的应用程序创建一个不同的账户,为生产环境中的应用程序创建另一个账户。本主题将引导您完成使用共享中的VPC接口终端节点为 Amazon Keyspaces 设置跨账户访问权限所需的配置步骤。VPC

有关如何为 Amazon Keyspaces 配置VPC终端节点的详细步骤,请参阅。步骤 3:为 Amazon Keys VPC paces 创建终端节点

在此示例中,我们在共享账户中使用以下三个账户VPC:

  • Account A— 此账户包含基础设施,包括VPC终端节点、VPC子网和 Amazon Keyspaces 表。

  • Account B:此账户包含开发环境中的一个应用程序,该应用程序需要连接到Account A 中的 Amazon Keyspaces 表。

  • Account C:此账户包含生产环境中的一个应用程序,该应用程序需要连接到Account A 中的 Amazon Keyspaces 表。

该图显示了同一个组织在同一个组织中拥有的三个不同账户 Amazon Web Services 区域 使用共享的VPC。

Account A 包含Account BAccount C 需要访问的资源,因此Account A信任账户。Account BAccount C 包含需要访问Account A 中的资源的主体,因此Account BAccount C受信账户。信任账户通过共享IAM角色向可信账户授予权限。以下程序概述了Account A 中所需的配置步骤。

Account A 所需的配置
  1. 使用 Amazon Resource Access Manager 为子网创建资源共享并与Account B和共享私有子网Account C

    Account BAccount C 现在可以在与它们共享的子网中查看和创建资源。

  2. 创建由... 提供支持的 Amazon Keyspaces 私有VPC终端节点 Amazon PrivateLink。 这将在共享子网和DNS条目中为 Amazon Keyspaces 服务终端节点创建多个终端节点。

  3. 创建 Amazon Keyspaces 密钥空间和表。

  4. 创建一个具有对 Amazon Keyspaces 表的完全访问权限、对 Amazon Keyspaces 系统表的读取权限并且能够描述亚马逊EC2VPC资源的IAM角色,如以下策略示例所示。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
  5. 配置Account C可以假设为可Account B信账户的IAM角色信任策略,如以下示例所示。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

    有关跨账户IAM政策的更多信息,请参阅IAM用户指南中的跨账户政策

Account BAccount C 中的配置
  1. Account BAccount C 中创建新角色并附加以下策略,允许主体代入在Account A 中创建的共享角色。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    允许委托人担任共享角色是使用以下方法实现AssumeRoleAPI的 Amazon Security Token Service (Amazon STS)。 有关更多信息,请参阅向其他IAM用户提供访问权限 Amazon Web Services 账户 您在《IAM用户指南》中拥有的。

  2. Account B和中Account C,您可以创建使用SIGV4身份验证插件的应用程序,该插件允许应用程序扮演共享角色,Account A通过共享中的VPC终端节点连接到位于中的 Amazon Keyspaces 表。VPC有关SIGV4身份验证插件的更多信息,请参阅创建以编程方式访问 Amazon Keyspaces 的证书