Amazon Keyspaces 身份和访问 - Amazon Keyspaces (for Apache Cassandra)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 身份和访问

可以使用以下信息,以帮助您诊断和修复在使用 Amazon Keyspaces 和 IAM 时可能遇到的常见问题。

我无权在 Amazon Keyspaces 中执行操作

如果 Amazon Web Services Management Console 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。您的管理员是指为您提供用户名和密码的那个人。

以下示例错误发生在mateojacksonIAM 用户尝试使用控制台查看有关桌子但没有cassandra:Select表的权限。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable

在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 cassandra:Select 操作访问 mytable 资源。

我修改了 IAM 用户或角色,但更改没有立即生效

对于已建立与 Amazon Keyspaces 的现有连接的应用程序,IAM 策略更改最多可能需要 10 分钟才能生效。IAM 策略更改在应用程序建立新连接时立即生效。如果您对现有 IAM 用户或角色进行了修改,但修改尚未立即生效,请等待 10 分钟,或者断开连接并重新连接到 Amazon Keyspaces。

我无法使用亚马逊Keyspaces 恢复表 point-in-time 恢复 (PITR)

如果您正在尝试使用以下方法恢复 Amazon Keyspaces 表 point-in-time 恢复 (PITR),您看到还原过程开始但未成功完成,您可能没有配置还原过程所需的所有必要权限。您必须联系您的管理员以寻求帮助,请求该人员更新您的策略,以允许您在 Amazon Keyspaces 中恢复表。

除了用户权限外,Amazon Keyspaces 可能还需要权限才能在恢复过程中代表您的委托人执行操作。如果表使用客户管理的密钥加密,或者您使用限制传入流量的 IAM 策略,则会出现这种情况。例如,如果您在 IAM 策略中使用条件键将源流量限制到特定的终端节点或 IP 范围,则还原操作将失败。要允许 Amazon Keyspaces 代表您的委托人执行表恢复操作,您必须添加一个aws:ViaAWSServiceIAM 策略中的全局条件密钥。

有关恢复表的权限的更多信息,请参阅还原表所需的权限.

我无权执行 iam:PassRole

如果您收到错误消息,提示您无权执行iam:PassRole操作,您必须更新您的策略,以允许您将角色传递给到 Amazon Keyspaces。

有些 Amazon Web Services允许您将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。

当名为的 IAM 用户时,会发生以下示例错误marymajor尝试使用控制台在 Amazon Keyspaces 中执行操作。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。

如果您需要帮助,请联系您的 Amazon 管理员。管理员是向您提供登录凭证的人。

我想要查看我的访问密钥

在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。

访问密钥包含两部分:访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。

重要

请不要向第三方提供访问密钥,即便是为了帮助找到您的规范用户 ID 也不行。如果您这样做,可能会向某人提供对您的账户的永久访问权限。

当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 IAM 用户指南中的管理访问密钥

我是管理员并希望允许其他人访问 Amazon Keyspaces

要允许其他人访问 Amazon Keyspaces,您必须为需要访问权限的人员或应用程序创建一个 IAM 实体(用户或角色)。它们将使用该实体的凭证访问 Amazon。然后,您必须将策略附加到实体,以便在 Amazon Keyspaces 中向其授予正确的权限。

要立即开始使用,请参阅 IAM 用户指南中的创建您的第一个 IAM 委派用户和组

我想要允许我的之外的用户Amazon Web Services 账户访问我的亚马逊 Keyspaces 资源

您可以创建一个角色,以便其它账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACL) 的服务,您可以使用这些策略向人员授予对您的资源的访问权。

要了解更多信息,请参阅以下内容: