本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
VPC使用共享中的终端节点配置对 Amazon Keyspaces 的跨账户访问权限 VPC
你可以创建不同的 Amazon Web Services 账户 将资源与应用程序分开。例如,您可以为 Amazon Keyspaces 表创建一个账户,为开发环境中的应用程序创建一个不同的账户,为生产环境中的应用程序创建另一个账户。本主题将引导您完成使用共享中的VPC接口终端节点为 Amazon Keyspaces 设置跨账户访问权限所需的配置步骤。VPC
有关如何为 Amazon Keyspaces 配置VPC终端节点的详细步骤,请参阅。步骤 3:为 Amazon Keys VPC paces 创建终端节点
在此示例中,我们在共享账户中使用以下三个账户VPC:
Account A
— 此账户包含基础设施,包括VPC终端节点、VPC子网和 Amazon Keyspaces 表。Account B
:此账户包含开发环境中的一个应用程序,该应用程序需要连接到Account A
中的 Amazon Keyspaces 表。Account C
:此账户包含生产环境中的一个应用程序,该应用程序需要连接到Account A
中的 Amazon Keyspaces 表。
Account A
包含Account B
和Account C
需要访问的资源,因此Account A
是信任账户。Account B
和Account C
包含需要访问Account A
中的资源的主体,因此Account B
和Account C
是受信账户。信任账户通过共享IAM角色向可信账户授予权限。以下程序概述了Account A
中所需的配置步骤。
Account A
所需的配置
使用 Amazon Resource Access Manager 为子网创建资源共享并与
Account B
和共享私有子网Account C
。Account B
和Account C
现在可以在与它们共享的子网中查看和创建资源。创建由... 提供支持的 Amazon Keyspaces 私有VPC终端节点 Amazon PrivateLink。 这将在共享子网和DNS条目中为 Amazon Keyspaces 服务终端节点创建多个终端节点。
创建 Amazon Keyspaces 密钥空间和表。
创建一个具有对 Amazon Keyspaces 表的完全访问权限、对 Amazon Keyspaces 系统表的读取权限并且能够描述亚马逊EC2VPC资源的IAM角色,如以下策略示例所示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] }
配置
Account C
可以假设为可Account B
信账户的IAM角色信任策略,如以下示例所示。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
有关跨账户IAM政策的更多信息,请参阅IAM用户指南中的跨账户政策。
Account B
和 Account C
中的配置
在
Account B
和Account C
中创建新角色并附加以下策略,允许主体代入在Account A
中创建的共享角色。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
允许委托人担任共享角色是使用以下方法实现
AssumeRole
API的 Amazon Security Token Service (Amazon STS)。 有关更多信息,请参阅向其他IAM用户提供访问权限 Amazon Web Services 账户 您在《IAM用户指南》中拥有的。在
Account B
和中Account C
,您可以创建使用SIGV4身份验证插件的应用程序,该插件允许应用程序扮演共享角色,Account A
通过共享中的VPC终端节点连接到位于中的 Amazon Keyspaces 表。VPC有关SIGV4身份验证插件的更多信息,请参阅创建以编程方式访问 Amazon Keyspaces 的证书 。