配置创建多区域键空间和表所需的 IAM 权限 - Amazon Keyspaces(Apache Cassandra 兼容)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置创建多区域键空间和表所需的 IAM 权限

要成功创建多区域键空间和表,IAM 主体需要能够创建服务相关角色。该服务相关角色是一种独特的 IAM 角色类型,由 Amazon Keyspaces 预定义。它包括 Amazon Keyspaces 代表您执行操作所需的所有权限。有关服务相关角色的更多信息,请参阅 使用角色进行 Amazon Keyspaces 多区域复制

要创建多区域复制所需的服务相关角色,IAM 委托人的策略需要以下元素:

  • iam:CreateServiceLinkedRole:主体可以执行的操作

  • arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication:可对其执行操作的资源

  • iam:AWSServiceName": "replication.cassandra.amazonaws.com— 此角色可以附加到的唯一 Amazon 服务是 Amazon Keyspaces。

以下是向主体授予创建多区域键空间和表所需的最低权限的策略示例。

{
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "replication.cassandra.amazonaws.com"}}
}

有关多区域键空间和表的其他 IAM 权限,请参阅《服务授权参考》中的 Amazon Keyspaces(Apache Cassandra 兼容)的操作、资源和条件键