将 Amazon Keyspaces 与接口 VPC 终端节点一起使用 - Amazon Keyspaces(针对 Apache Cassandra)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Keyspaces 与接口 VPC 终端节点一起使用

接口 VPC 终端节点可在 Amazon VPC 中运行的 Virtual Private Cloud (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由 Amazon PrivateLink 支持,这是一种实现 VPC 与 Amazon 服务之间私有通信的 Amazon 服务。 Amazon PrivateLink 通过对 VPC 中的私有 IP 使用弹性网络接口启用此功能,以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。有关更多信息,请参阅 。Amazon Virtual Private Cloud接口 VPC 终端节点 ( Amazon PrivateLink )

将接口 VPC 终端节点用于 Amazon Keyspaces

您可以创建接口 VPC 终端节点,以便 Amazon Keyspaces 和 Amazon VPC 资源之间的流量开始通过接口 VPC 终端节点流动。要开始使用,请按照以下步骤创建接口终端节点。接下来,编辑与您在上一步中创建的终端节点关联的安全组,并为端口 9142 配置入站规则。有关详细信息,请参阅添加、删除和更新规则

控制对 Amazon Keyspaces 的接口 VPC 终端节点的访问

VPC 终端节点策略使您能够通过两种方式控制对资源的访问:

  • IAM 策略— 您可以控制允许通过特定 VPC 终端节点访问 Amazon Keyspaces 的请求、用户或组。您可以通过在附加到 IAM 用户、组或角色的策略中使用条件键来完成此操作。

  • VPC 策略— 您可以通过向 VPC 终端节点附加策略来控制哪些终端节点可以访问 Amazon Keyspaces 资源。要限制仅允许通过特定 VPC 终端节点的流量来访问特定键空间或表,请编辑限制资源访问的现有 IAM 策略并添加该 VPC 终端节点。

下面是访问 Amazon Keyspaces 资源的终端节点策略示例。

  • IAM 策略示例:限制对特定 Amazon Keyspaces 表的所有访问,除非流量来自指定的 VPC 终端节点。— 此示例策略可以附加到 IAM 用户、角色或组。它限制对指定 Amazon Keyspaces 表的访问,除非传入流量来自指定的 VPC 终端节点。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "UserOrRolePolicyToDenyAccess", "Action": "cassandra:*", "Effect": "Deny", "Resource": [ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ], "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } } } ] }
    注意

    要限制对特定表的访问,还必须包括对系统表的访问权限。系统表为只读。

  • VPC 策略示例:只读访问权限— 此示例策略可以附加到 VPC 终端节点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它将操作限制为通过所附加到 VPC 终端节点对 Amazon Keyspaces 资源的只读访问。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "cassandra:Select" ], "Effect": "Allow", "Resource": "*" } ] }
  • VPC 策略示例:限制对特定 Amazon Keyspaces 表的访问权限— 此示例策略可以附加到 VPC 终端节点。它限制通过所附加到的 VPC 终端节点访问特定表。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTable", "Principal": "*", "Action": "cassandra:*", "Effect": "Allow", "Resource": [ "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*" ] } ] }
    注意

    要限制对特定表的访问,还必须包括对系统表的访问权限。系统表为只读。

Availability

Amazon Keyspaces 支持在服务可用的所有区域中使用接口 VPC 终端节点。有关更多信息,请参阅亚马逊 Keyspaces 的服务终端节点