Considérations relatives à l’intégration entre comptes avec CMK - Amazon DynamoDB
AWS KMS Politiques et autorisations requisesConsidérations Importantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à l’intégration entre comptes avec CMK

Lorsque vous tentez d’intégrer DynamoDB à Amazon Redshift, l’action initiale est lancée depuis Amazon Redshift. Sans les autorisations appropriées, cette action peut entraîner un échec silencieux. Les sections suivantes détaillent les autorisations requises pour cette intégration entre comptes.

AWS KMS Politiques et autorisations requises

Dans les examples, remplacez les espaces réservés suivants  :

  • 111122223333: Compte AWS ID où Amazon Redshift est hébergé

  • 444455556666: Compte AWS ID où DynamoDB est hébergé

  • REDSHIFT_ROLE_NAME : nom de rôle IAM utilisé par Amazon Redshift

  • REGION: L' Région AWS endroit où se trouvent vos ressources

  • TABLE_NAME : nom de votre table DynamoDB

  • KMS_KEY_ID: ID de votre clé KMS

Stratégie de clé KMS dans le compte DynamoDB

La politique AWS KMS clé suivante permet l'accès entre comptes entre vos services DynamoDB et Amazon Redshift. Dans cet exemple, le compte 444455556666 contient la table AWS KMS et la clé DynamoDB, tandis que le compte 111122223333 contient le cluster Amazon Redshift qui doit avoir accès pour déchiffrer les données.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow Redshift to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*"
        }
    ]
}

Politique IAM pour le rôle Amazon Redshift (dans le compte Amazon Redshift)

La politique IAM suivante permet à un service Amazon Redshift d'accéder aux tables DynamoDB et aux clés de chiffrement AWS KMS associées dans le cadre d'un scénario entre comptes. Dans cet exemple, le compte 444455556666 contient les ressources et les AWS KMS clés DynamoDB auxquelles le service Amazon Redshift doit accéder.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDynamoDBAccess",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        },
        {
            "Sid": "AllowKMSAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "arn:aws:kms:us-east-1:444455556666:key/KMS_KEY_ID"
        }
    ]
}

Relation de confiance pour le rôle Amazon Redshift

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Politique de table DynamoDB (si vous utilisez des politiques basées sur les ressources)

La politique basée sur les ressources suivante permet à un service Amazon Redshift du compte 111122223333 d’accéder aux tables DynamoDB et aux flux du compte 444455556666. Joignez cette politique à votre table DynamoDB pour activer l’accès intercompte.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        }
    ]
}

Considérations Importantes

  1. Vérifiez que la clé KMS se situe dans la même région que votre table DynamoDB.

  2. La clé KMS doit être une clé gérée par le client (CMK) et non une Clé gérée par AWS.

  3. Si vous utilisez des tables globales DynamoDB, configurez les autorisations pour toutes les régions pertinentes.

  4. Envisagez d’ajouter des instructions de condition pour restreindre l’accès en fonction des points de terminaison d’un VPC ou des plages d’adresses IP.

  5. Pour une sécurité renforcée, pensez à utiliser une condition aws:PrincipalOrgID pour restreindre l’accès à votre organisation.

  6. Surveillez l'utilisation des clés KMS grâce à CloudTrail des CloudWatch indicateurs.