Consideraciones sobre la integración entre regiones con CMK - Amazon DynamoDB
Permisos y políticas de AWS KMS necesariosConsideraciones importantes

Consideraciones sobre la integración entre regiones con CMK

Cuando intenta realizar la integración de DynamoDB en Amazon Redshift, la acción inicial se lanza desde Amazon Redshift. Sin los permisos adecuados, esta acción podría provocar un error silencioso. En las siguientes secciones se detallan los permisos necesarios para esta integración entre cuentas.

Permisos y políticas de AWS KMS necesarios

Reemplace los marcadores de posición siguientes en los ejemplos:

  • 111122223333: el ID de Cuenta de AWS en el que se aloja Amazon Redshift

  • 444455556666: el ID de Cuenta de AWS en el que se aloja DynamoDB

  • REDSHIFT_ROLE_NAME: el nombre del rol de IAM que utiliza Amazon Redshift

  • REGION: la Región de AWS en la que se ubican los recursos

  • TABLE_NAME: el nombre de la tabla de DynamoDB

  • KMS_KEY_ID: el ID de la clave de KMS

Política de claves de KMS en la cuenta de DynamoDB

La siguiente política de claves de AWS KMS permite el acceso entre cuentas entre los servicios de DynamoDB y Amazon Redshift. En este ejemplo, la cuenta 444455556666 contiene la tabla y la clave de AWS KMS de DynamoDB, mientras que la cuenta 111122223333 contiene el clúster de Amazon Redshift al que se debe acceder para descifrar los datos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow Redshift to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*"
        }
    ]
}

Política de IAM para el rol de Amazon Redshift (en la cuenta de Amazon Redshift)

La siguiente política de IAM permite que un servicio de Amazon Redshift acceda a las tablas de DynamoDB y a sus claves de cifrado de AWS KMS asociadas en un escenario con varias cuentas. En este ejemplo, la cuenta 444455556666 contiene las claves y los recursos de AWS KMS de DynamoDB a los que necesita acceder el servicio de Amazon Redshift.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDynamoDBAccess",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        },
        {
            "Sid": "AllowKMSAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "arn:aws:kms:us-east-1:444455556666:key/KMS_KEY_ID"
        }
    ]
}

Relación de confianza para el rol de Amazon Redshift

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Política de tabla de DynamoDB (si se utilizan políticas basadas en recursos)

La siguiente política basada en recursos permite que un servicio de Amazon Redshift de la cuenta 111122223333 acceda a las tablas y transmisiones de DynamoDB en la cuenta 444455556666. Adjunte esta política a la tabla de DynamoDB para permitir el acceso entre cuentas.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        }
    ]
}

Consideraciones importantes

  1. Asegúrese de que la clave de KMS esté en la misma región que la tabla de DynamoDB.

  2. La clave de KMS debe ser una clave administrada por el cliente (CMK), no una Clave administrada de AWS.

  3. Si está utilizando tablas globales de DynamoDB, configure los permisos para todas las regiones pertinentes.

  4. Considere agregar declaraciones de condición para restringir el acceso en función de los puntos de conexión de VPC o los rangos de IP.

  5. Para mejorar la seguridad, considere el uso de la condición aws:PrincipalOrgID para restringir el acceso a la organización.

  6. Supervise el uso de la clave de KMS mediante métricas de CloudTrail y CloudWatch.