将 Amazon Keyspaces (for Apache Cassandra) 和接口 VPC 终端节点一起使用 - Amazon Keyspaces(针对 Apache Cassandra)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

将 Amazon Keyspaces (for Apache Cassandra) 和接口 VPC 终端节点一起使用

接口 VPC 终端节点可在 Amazon VPC 中运行的 Virtual Private Cloud (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由 AWS PrivateLink 支持,这是一种实现 VPC 与 AWS 服务之间私有通信的 AWS 服务。AWS PrivateLink 通过对 VPC 中的私有 IP 使用弹性网络接口启用此功能,以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。有关更多信息,请参阅 Amazon Virtual Private Cloud接口 VPC 终端节点 (AWS PrivateLink)

使用适用于 Amazon Keyspaces 的接口 VPC 终端节点

您可以创建接口 VPC 终端节点,以便 Amazon Keyspaces 与您的 Amazon VPC 资源之间的流量开始通过 接口 VPC 终端节点 流动。要开始使用,请按照以下步骤创建接口终端节点。接下来,编辑与您在上一步中创建的终端节点关联的安全组,并为端口 9142 配置入站规则。有关详细信息,请参阅添加、删除和更新规则

控制 Amazon Keyspaces 对接口 VPC 终端节点的访问

VPC 终端节点策略使您能够通过两种方式控制对资源的访问:

  • IAM 策略 – 您可以控制允许通过特定 VPC 终端节点访问 Amazon Keyspaces 的请求、用户或组。您可以通过在附加到 IAM 用户、组或角色的策略中使用条件键来完成此操作。

  • VPC 策略 – 您可以通过向 VPC 终端节点附加策略来控制哪些终端节点可以访问您的 Amazon Keyspaces 资源。要限制仅允许通过特定 VPC 终端节点的流量来访问特定键空间或表,请编辑限制资源访问的现有 IAM 策略并添加该 VPC 终端节点。

下面是访问 Amazon Keyspaces 资源的终端节点策略示例。

  • IAM 策略示例:限制对特定 Amazon Keyspaces 表的所有访问,除非流量来自指定的 VPC 终端节点 – 此示例策略可以附加到 IAM 用户、角色或组。它限制对指定 Amazon Keyspaces 表的访问,除非传入流量来自指定的 VPC 终端节点。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "UserOrRolePolicyToDenyAccess", "Action": "cassandra:*", "Effect": "Deny", "Resource": "arn:aws-cn:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } } } ] }
  • VPC 策略示例:只读访问 – 此示例策略可以附加到 VPC 终端节点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问。)它将操作限制为通过所附加到 VPC 终端节点对 Amazon Keyspaces 资源的只读访问。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "cassandra:Select" ], "Effect": "Allow", "Resource": "*" } ] }
  • VPC 策略示例:限制对特定 Amazon Keyspaces 表的访问 – 此示例策略可以附加到 VPC 终端节点。它限制通过所附加到的 VPC 终端节点访问特定表。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTable", "Principal": "*", "Action": "cassandra:*", "Effect": "Allow", "Resource": "arn:aws-cn:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable" } ] }

可用性

Amazon Keyspaces 支持在该服务可用的所有区域中使用接口 VPC 终端节点。有关更多信息,请参阅Amazon Keyspaces 的服务终端节点