Considerazioni sull’integrazione multi-account con CMK - Amazon DynamoDB
Politiche e autorizzazioni richieste AWS KMSConsiderazioni importanti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sull’integrazione multi-account con CMK

Quando si effettua l’integrazione da DynamoDB ad Amazon Redshift, l’azione iniziale viene avviata da Amazon Redshift. Senza le autorizzazioni appropriate, questa azione potrebbe causare un errore non segnalato. Le sezioni seguenti descrivono in dettaglio le autorizzazioni necessarie per l’integrazione multi-account.

Politiche e autorizzazioni richieste AWS KMS

Negli esempi, sostituisci i segnaposto seguenti:

  • 111122223333: l' Account AWS ID in cui è ospitato Amazon Redshift

  • 444455556666: L' Account AWS ID in cui è ospitato DynamoDB

  • REDSHIFT_ROLE_NAME: il nome del ruolo IAM utilizzato da Amazon Redshift

  • REGION: Il Regione AWS luogo in cui si trovano le tue risorse

  • TABLE_NAME: il nome della tabella DynamoDB

  • KMS_KEY_ID: l’ID della chiave KMS

Policy della chiave KMS nell’account DynamoDB

La seguente policy AWS KMS chiave consente l'accesso tra account diversi tra i servizi DynamoDB e Amazon Redshift. In questo esempio, l'account 444455556666 contiene la tabella e la AWS KMS chiave DynamoDB, mentre l'account 111122223333 contiene il cluster Amazon Redshift che necessita dell'accesso per decrittografare i dati.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow Redshift to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*"
        }
    ]
}

Policy IAM per il ruolo Amazon Redshift (in un account Amazon Redshift)

La seguente policy IAM consente a un servizio Amazon Redshift di accedere alle tabelle DynamoDB e alle relative chiavi di AWS KMS crittografia associate in uno scenario tra più account. In questo esempio, l'account 444455556666 contiene le risorse e le chiavi DynamoDB a cui AWS KMS il servizio Amazon Redshift deve accedere.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDynamoDBAccess",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        },
        {
            "Sid": "AllowKMSAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "arn:aws:kms:us-east-1:444455556666:key/KMS_KEY_ID"
        }
    ]
}

Relazione di attendibilità per il ruolo Amazon Redshift

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Policy per le tabelle DynamoDB (in caso di utilizzo di policy basate su risorse)

La seguente policy basata su risorse consente a un servizio Amazon Redshift nell’account 111122223333 di accedere alle tabelle DynamoDB e ai flussi nell’account 444455556666. Collega questa policy alla tabella DynamoDB per abilitare l’accesso multi-account.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/REDSHIFT_ROLE_NAME"
            },
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:BatchGetItem",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME",
                "arn:aws:dynamodb:*:444455556666:table/TABLE_NAME/stream/*"
            ]
        }
    ]
}

Considerazioni importanti

  1. Assicurati che la chiave KMS si trovi nella stessa Regione della tabella DynamoDB.

  2. La chiave KMS deve essere una chiave gestita dal cliente (CMK), non una. Chiave gestita da AWS

  3. In caso di utilizzo di tabelle globali DynamoDB, configura le autorizzazioni per tutte le Regioni pertinenti.

  4. Prendi in considerazione l’aggiunta di istruzioni condizionali per limitare l’accesso in base agli endpoint VPC o agli intervalli IP.

  5. Per una maggiore sicurezza, prendi in considerazione l’utilizzo della condizione aws:PrincipalOrgID per limitare l’accesso all’organizzazione.

  6. Monitora l'utilizzo delle chiavi KMS tramite CloudTrail e le metriche. CloudWatch