适用于 Amazon Keyspaces 的 Amazon 托管式策略 - Amazon Keyspaces(Apache Cassandra 兼容)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Keyspaces 的 Amazon 托管式策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管式策略:AmazonKeyspacesReadOnlyAccess_v2

您可以将 AmazonKeyspacesReadOnlyAccess_v2 策略附加得到 IAM 身份。

该策略授予对 Amazon Keyspaces 的只读访问权限,并包括通过私有 VPC 端点进行连接时所需的权限。

权限详细信息

此策略包含以下权限。

  • Amazon Keyspaces:提供对 Amazon Keyspaces 的只读访问权限。

  • Application Auto Scaling:允许主体从 Application Auto Scaling 查看配置。这是必需权限,以便用户可以查看附加到表的自动扩展策略。

  • CloudWatch:允许主体查看在 CloudWatch 中配置的指标数据和警报。这是必需权限,以便用户可以查看可计费表大小以及已为表配置的 CloudWatch 警报。

  • Amazon KMS:允许主体查看 Amazon KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 Amazon KMS 密钥,从而确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。

  • Amazon EC2:允许主体通过 VPC 端点连接到 Amazon Keyspaces,以查询 Amazon EC2 实例上的 VPC,从而获取端点和网络接口信息。必须具有对 Amazon EC2 实例的这种只读访问权限,这样 Amazon Keyspaces 才能在用于连接负载均衡的 system.peers 表中查找和存储可用的接口 VPC 端点。

要查看 JSON 格式的策略,请参阅 AmazonKeyspacesReadOnlyAccess_v2

Amazon 托管式策略:AmazonKeyspacesReadOnlyAccess

您可以将 AmazonKeyspacesReadOnlyAccess 策略附加得到 IAM 身份。

此策略将授予对 Amazon Keyspaces 的只读访问权限。

权限详细信息

此策略包含以下权限。

  • Amazon Keyspaces:提供对 Amazon Keyspaces 的只读访问权限。

  • Application Auto Scaling:允许主体从 Application Auto Scaling 查看配置。这是必需权限,以便用户可以查看附加到表的自动扩展策略。

  • CloudWatch:允许主体查看在 CloudWatch 中配置的指标数据和警报。这是必需权限,以便用户可以查看可计费表大小以及已为表配置的 CloudWatch 警报。

  • Amazon KMS:允许主体查看 Amazon KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 Amazon KMS 密钥,从而确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。

要查看 JSON 格式的策略,请参阅 AmazonKeyspacesReadOnlyAccess

Amazon 托管式策略:AmazonKeyspacesFullAccess

您可以将 AmazonKeyspacesFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许您的管理员不受限制地访问 Amazon Keyspaces。

权限详细信息

此策略包含以下权限。

  • Amazon Keyspaces:允许主体访问任何 Amazon Keyspaces 资源并执行所有操作。

  • Application Auto Scaling:允许主体创建、查看和删除 Amazon Keyspaces 表的自动扩展策略。这是必需权限,以便管理员可以管理 Amazon Keyspaces 表的自动扩展策略。

  • CloudWatch:让主体能够查看可计费表大小以及创建、查看和删除 Amazon Keyspaces 自动扩展策略的 CloudWatch 警报。这是必需权限,以便管理员可以查看可计费表大小并创建 CloudWatch 控制面板。

  • IAM:允许 Amazon Keyspaces 在启用以下功能时自动使用 IAM 创建服务相关角色:

    • Application Auto Scaling:当管理员为表启用 Application Auto Scaling 时,Amazon Keyspaces 会创建一个服务相关角色来代表您执行自动扩展操作。

    • Amazon Keyspaces Multi-Region Replication:当管理员创建多区域键空间时,系统会自动创建一个服务相关角色来代表您将数据复制到选定的 Amazon Web Services 区域。

    有关服务相关角色的更多信息,请参阅 对 Amazon Keyspaces 使用服务相关角色

  • Amazon KMS:允许主体查看 Amazon KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 Amazon KMS 密钥,从而确认分配给 Amazon Keyspaces 的密钥是已启用的对称加密密钥。

  • Amazon EC2:允许主体通过 VPC 端点连接到 Amazon Keyspaces,以查询 Amazon EC2 实例上的 VPC,从而获取端点和网络接口信息。必须具有对 Amazon EC2 实例的这种只读访问权限,这样 Amazon Keyspaces 才能在用于连接负载均衡的 system.peers 表中查找和存储可用的接口 VPC 端点。

要查看 JSON 格式的策略,请参阅 AmazonKeyspacesFullAccess

适用于 Amazon Keyspaces 的 Amazon 托管式策略的更新

查看有关适用于 Amazon Keyspaces 的 Amazon 托管式策略更新的详细信息(自此服务开始跟踪这些更改以来)。要获得有关此页面更改的自动提示,请订阅 Amazon Keyspaces(Apache Cassandra 兼容)的文档历史记录 页面上的 RSS 源。

更改 说明 日期

AmazonKeyspacesFullAccess:对现有策略的更新

Amazon Keyspaces 为通过接口 VPC 端点连接到 Amazon Keyspaces 的客户端添加了新的只读权限,以便访问 Amazon EC2 实例来查询网络信息。

Amazon Keyspaces 将可用的接口 VPC 端点存储在 system.peers 表中,以实现连接负载均衡。有关更多信息,请参阅 将 Amazon Keyspaces 与接口 VPC 端点结合使用

2023 年 10 月 3 日

AmazonKeyspacesReadOnlyAccess_v2:新策略

Amazon Keyspaces 创建了一个新策略,为通过接口 VPC 端点连接到 Amazon Keyspaces 的客户端添加只读权限,以便访问 Amazon EC2 实例来查找网络信息。

Amazon Keyspaces 将可用的接口 VPC 端点存储在 system.peers 表中,以实现连接负载均衡。有关更多信息,请参阅 将 Amazon Keyspaces 与接口 VPC 端点结合使用

2023 年 9 月 12 日

AmazonKeyspacesFullAccess:对现有策略的更新

Amazon Keyspaces 添加了新权限,以允许 Amazon Keyspaces 在管理员创建多区域键空间时创建服务相关角色。

Amazon KeysSpaces 使用服务相关角色代表您执行数据复制任务。有关更多信息,请参阅 使用角色进行 Amazon Keyspaces 多区域复制

2023 年 6 月 5 日

AmazonKeyspacesReadOnlyAccess:对现有策略的更新

Amazon KeysSpaces 添加了新的权限,以允许用户使用 CloudWatch 查看表的可计费大小。

Amazon Keyspaces 与 Amazon CloudWatch 集成,允许您监控可计费表大小。有关更多信息,请参阅 Amazon Keyspaces 指标与维度

2022 年 7 月 7 日

AmazonKeyspacesFullAccess:对现有策略的更新

Amazon KeysSpaces 添加了新的权限,以允许用户使用 CloudWatch 查看表的可计费大小。

Amazon Keyspaces 与 Amazon CloudWatch 集成,允许您监控可计费表大小。有关更多信息,请参阅 Amazon Keyspaces 指标与维度

2022 年 7 月 7 日

AmazonKeyspacesReadOnlyAccess:对现有策略的更新

Amazon Keyspaces 添加了新的权限,以允许用户查看已为 Amazon Keyspaces 静态加密配置的 Amazon KMS 密钥。

Amazon Keyspaces 静态加密与 Amazon KMS 集成,可保护和管理用于加密静态数据的加密密钥。为便于查看为 Amazon Keyspaces 配置的 Amazon KMS 密钥,我们添加了只读权限。

2021 年 6 月 1 日

AmazonKeyspacesFullAccess:对现有策略的更新

Amazon Keyspaces 添加了新的权限,以允许用户查看已为 Amazon Keyspaces 静态加密配置的 Amazon KMS 密钥。

Amazon Keyspaces 静态加密与 Amazon KMS 集成,可保护和管理用于加密静态数据的加密密钥。为便于查看为 Amazon Keyspaces 配置的 Amazon KMS 密钥,我们添加了只读权限。

2021 年 6 月 1 日

Amazon Keyspaces 开始跟踪更改

Amazon Keyspaces 开始跟踪其 Amazon 托管式策略的更改。

2021 年 6 月 1 日