本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 Amazon Keyspaces PITR 配置还原表 IAM 权限 为还原配置 IAM 权限 本节总结了如何为 Amazon Identity and Access Management (IAM) 委托人配置恢复 Amazon Keyspaces 表的权限。在 IAM 中, Amazon 托管式策略 `AmazonKeyspacesFullAccess` 包括还原 Amazon Keyspaces 表所需的权限。要实施具有最低所需权限的自定义策略,请考虑下一节中概述的要求。 要成功还原表,IAM 主体需要以下最低权限: + `cassandra:Restore`:需要执行还原操作才能还原目标表。 + `cassandra:Select`:需要执行选择操作才能从源表中读取数据。 + `cassandra:TagResource`:标签操作是可选的,只有在还原操作添加标签时才需要执行此操作。 下面举例说明了向用户授予还原键空间 `mykeyspace` 中的表所需的最低权限的策略。 ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cassandra:Restore", "cassandra:Select" ], "Resource":[ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] } ``` 根据选定的其他功能,可能需要其他权限才能还原表。例如,如果使用客户自主管理型密钥对源表进行静态加密,则 Amazon Keyspaces 必须有权访问源表的客户自主管理型密钥才能成功还原表。有关更多信息,请参阅 [使用 PITR 还原加密表](PointInTimeRecovery_HowItWorks.md#howitworks_backup_encryption)。 如果您使用带有[条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)的 IAM 策略来限制特定源的传入流量,则必须确保 Amazon Keyspaces 有权代表您的主体执行还原操作。如果您的策略将传入流量限制为以下任一项,则您必须将 `aws:ViaAWSService` 条件键添加到 IAM 策略: + 具有 `aws:SourceVpce` 的 VPC 端点 + 使用 `aws:SourceIp` 的 IP 范围 + VPCs 与 `aws:SourceVpc` `aws:ViaAWSService` 条件键允许在任何 Amazon 服务使用主体的凭证发出请求时进行访问。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 以下是将源流量限制到特定 IP 地址并允许 Amazon Keyspaces 代表主体还原表的策略示例。 ``` { "Version":"2012-10-17", "Statement":[ { "Sid":"CassandraAccessForCustomIp", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"false" }, "ForAnyValue:IpAddress":{ "aws:SourceIp":[ "123.45.167.89" ] } } }, { "Sid":"CassandraAccessForAwsService", "Effect":"Allow", "Action":"cassandra:*", "Resource":"*", "Condition":{ "Bool":{ "aws:ViaAWSService":"true" } } } ] } ``` 有关使用 `aws:ViaAWSService` 全局条件键的策略示例,请参阅 [VPC 终端节点策略和 Amazon Keyspaces point-in-time 恢复 (PITR)](vpc-endpoints.md#VPC_PITR_restore)。