使用 DynamoDB 零 ETL 整合的 IAM 政策加密 DynamoDB 整合加密內容

為 DynamoDB 建立零 ETL 整合

在建立零 ETL 整合之前，請檢閱中概述的考量事項和要求將零 ETL 整合與 Amazon Redshift 搭配使用的考量。遵循此一般流程，建立從 DynamoDB 到 Amazon Redshift 的零 ETL 整合

使用零 ETL 整合將 DynamoDB 資料複寫至 Amazon Redshift

確認您的登入憑證允許許可使用 Amazon Redshift 和 DynamoDB 的零 ETL 整合。如需範例 IAM 政策使用 DynamoDB 零 ETL 整合的 IAM 政策，請參閱。
從 DynamoDB 主控台，將 DynamoDB 資料表設定為具有point-in-time(PITR)、資源政策、身分型政策和加密金鑰許可，如 Amazon DynamoDB 開發人員指南中所述。
從 Amazon Redshift 主控台：建立和設定目標 Amazon Redshift 資料倉儲。
- 從 AWS CLI 或 Amazon Redshift 主控台：為資料倉儲開啟區分大小寫功能。
- 從 Amazon Redshift 主控台：設定 Amazon Redshift 資料倉儲的授權。
從 Amazon Redshift 主控台建立零 ETL 整合整合，如本主題稍後所述。
從 Amazon Redshift 主控台，在您的 Amazon Redshift 資料倉儲中建立目的地資料庫。如需詳細資訊，請參閱在 Amazon Redshift 中建立目的地資料庫。
從 Amazon Redshift 主控台，查詢 Amazon Redshift 資料倉儲中的複寫資料。如需詳細資訊，請參閱在 Amazon Redshift 中查詢複寫的資料。

在此步驟中，您會建立與 Amazon Redshift 的 Amazon DynamoDB 零 ETL 整合。

Amazon Redshift console

使用 Amazon Redshift 主控台建立與 Amazon Redshift 的 Amazon DynamoDB 零 ETL 整合

從 Amazon Redshift 主控台中，選擇零 ETL 整合。在具有零 ETL 整合清單的窗格中，選擇建立零 ETL 整合、建立 DynamoDB 整合。
在建立整合的頁面上，輸入整合的相關資訊，如下所示：
- 輸入整合名稱 – 這是可用來參考整合的唯一名稱。
- 輸入描述 – 描述要從來源複寫到目標的資料。
- 選擇 DynamoDB 來源資料表 – 可以選擇一個 DynamoDB 資料表。必須在資料表上啟用Point-in-time復原 (PITR)。只會顯示資料表大小上限為 100 TB (TiB) 的資料表。來源 DynamoDB 資料表必須加密。來源也必須具有具有授權委託人和整合來源的資源政策。如果這些政策不正確，您會看到選項為您修正。
- 選擇目標 Amazon Redshift 資料倉儲 – 資料倉儲可以是 Amazon Redshift 佈建叢集或 Redshift Serverless 工作群組。如果您的目標 Amazon Redshift 位於相同的帳戶中，您可以選取目標。如果目標位於不同的帳戶中，您可以指定 Redshift 資料倉儲 ARN。目標必須具有具有授權主體和整合來源的資源政策，且 enable_case_sensitive_identifier 參數設定為 true。如果您在目標上沒有正確的資源政策，且您的目標位於相同的帳戶中，您可以選取修正它，以在建立整合程序期間自動套用資源政策。如果您的目標位於不同的 AWS 帳戶，您需要在 Amazon Redshift 倉儲上手動套用資源政策。如果您的目標 Amazon Redshift 資料倉儲沒有將正確的參數群組選項enable_case_sensitive_identifier設定為 true，您可以選取為我修正選項，以在建立整合過程中自動更新此參數群組並重新啟動倉儲。
- 輸入最多 50 個標籤金鑰和選用值 – 提供關於整合的其他中繼資料。如需詳細資訊，請參閱在 Amazon Redshift 中標記資源。
- 選擇加密選項 – 加密整合。如需詳細資訊，請參閱使用客戶受管金鑰加密 DynamoDB 整合。
  
  當您加密整合時，您也可以新增其他加密內容。如需詳細資訊，請參閱加密內容。
系統會顯示檢閱頁面，您可以在其中選擇建立 DynamoDB 整合。
此時會顯示進度頁面，您可以在其中檢視各種任務的進度，以建立零 ETL 整合。
建立整合並處於作用中狀態後，在整合的詳細資訊頁面上，選擇連線至資料庫。第一次建立 Amazon Redshift 資料倉儲時，也會建立資料庫。您需要連線到目標資料倉儲中的任何資料庫，才能為整合建立另一個資料庫。在連線至資料庫頁面中，判斷您是否可以使用最近的連線，並選擇身分驗證方法。根據您的身分驗證方法，輸入資訊以連接到目標中的現有資料庫。此身分驗證資訊可以包含現有的資料庫名稱 （通常是 dev)，以及使用 Amazon Redshift 資料倉儲建立資料庫時指定的資料庫使用者。
連線至資料庫後，請選擇從整合建立資料庫，以建立從來源接收資料的資料庫。當您建立資料庫時，您會提供整合 ID、資料倉儲名稱和資料庫名稱。
整合狀態和目的地資料庫為之後Active，資料會從 DynamoDB 資料表開始複寫到目標資料表。當您將資料新增至來源時，資料會自動複寫到目標 Amazon Redshift 資料倉儲。

AWS CLI

若要使用建立與 Amazon Redshift 的 Amazon DynamoDB 零 ETL 整合 AWS CLI，請使用 create-integration命令搭配下列選項：

integration-name - 指定整合的名稱。
source-arn – 指定 DynamoDB 來源的 ARN。
target-arn – 指定 Amazon Redshift 佈建叢集或 Redshift Serverless 工作群組目標的命名空間 ARN。

下列範例透過提供整合名稱、來源 ARN 和目標 ARN 來建立整合。整合不會加密。


aws redshift create-integration \
--integration-name ddb-integration \
--source-arn arn:aws:dynamodb:us-east-1:123456789012:table/books \
--target-arn arn:aws:redshift:us-east-1:123456789012:namespace:a1b2c3d4-5678-90ab-cdef-EXAMPLE22222
          
{
    "Status": "creating",
    "IntegrationArn": "arn:aws:redshift:us-east-1:123456789012:integration:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Errors": [],
    "ResponseMetadata": {
        "RetryAttempts": 0,
        "HTTPStatusCode": 200,
        "RequestId": "132cbe27-fd10-4f0a-aacb-b68f10bb2bfb",
        "HTTPHeaders": {
            "x-amzn-requestid": "132cbe27-fd10-4f0a-aacb-b68f10bb2bfb",
            "date": "Sat, 24 Aug 2024 05:44:08 GMT",
            "content-length": "934",
            "content-type": "text/xml"
        }
    },
    "Tags": [],
    "CreateTime": "2024-08-24T05:44:08.573Z",
    "KMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "AdditionalEncryptionContext": {},
    "TargetArn": "arn:aws:redshift:us-east-1:123456789012:namespace:a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "IntegrationName": "ddb-integration",
    "SourceArn": "arn:aws:dynamodb:us-east-1:123456789012:table/books"
}

下列範例使用客戶受管金鑰建立整合以進行加密。建立整合之前：

在來源 DynamoDB 資料表的相同帳戶中建立客戶受管金鑰（在範例中稱為「CMCMK」) （在範例中稱為「AccountA」)。
確保使用者/角色（在範例中稱為「RoleA」) 用於建立整合具有此 KMS 金鑰的 kms:CreateGrant和 kms:DescribeKey許可。
將以下內容新增至金鑰政策。


{
    "Sid": "Enable RoleA to create grants with key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "RoleA-ARN"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        // Add "StringEquals" condition if you plan to provide additional encryption context
        // for the zero-ETL integration. Ensure that the key-value pairs added here match
        // the key-value pair you plan to use while creating the integration.
        // Remove this if you don't plan to use additional encryption context
        "StringEquals": {
            "kms:EncryptionContext:context-key1": "context-value1"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": [
                "Decrypt",
                "GenerateDataKey",
                "CreateGrant"
            ]
        }
    }
},
{
    "Sid": "Enable RoleA to describe key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "RoleA-ARN"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Allow use by RS SP",
    "Effect": "Allow",
    "Principal": {
        "Service": "redshift.amazonaws.com" 
           },
    "Action": "kms:CreateGrant",
    "Resource": "*"
}


aws redshift create-integration \
--integration-name ddb-integration \
--source-arn arn:aws:dynamodb:us-east-1:123456789012:table/books \
--target-arn arn:aws:redshift:us-east-1:123456789012:namespace:a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--kms-key-id arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333 \
--additional-encryption-context key33=value33  // This matches the condition in the key policy.
          {
    "IntegrationArn": "arn:aws:redshift:us-east-1:123456789012:integration:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "IntegrationName": "ddb-integration",
    "SourceArn": "arn:aws:dynamodb:us-east-1:123456789012:table/books",
    "SourceType": "dynamodb",
    "TargetArn": "arn:aws:redshift:us-east-1:123456789012:namespace:a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "Status": "creating",
    "Errors": [],
    "CreateTime": "2024-10-02T18:29:26.710Z",
    "KMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "AdditionalEncryptionContext": {
        "key33": "value33"
    },
    "Tags": []
}

建立零 ETL 整合時，您的登入憑證必須同時在 DynamoDB 和 Amazon Redshift 動作以及做為整合來源和目標所涉及的資源上具有的許可。以下是示範所需最低許可的範例。

使用客戶受管金鑰加密 DynamoDB 整合

如果您在建立 DynamoDB 零 ETL 整合 AWS 擁有的金鑰時指定自訂 KMS 金鑰，而不是，則金鑰政策必須提供 Amazon Redshift 服務主體對 CreateGrant動作的存取權。此外，它必須允許請求者帳戶或角色許可來執行 DescribeKey和 CreateGrant動作。

下列範例金鑰政策陳述式示範政策中所需的許可。某些範例包含內容索引鍵，以進一步降低許可範圍。

下列政策陳述式允許申請者帳戶或角色擷取 KMS 金鑰的相關資訊。


{
   "Effect":"Allow",
   "Principal":{
      "AWS":"arn:aws:iam::{account-ID}:role/{role-name}"
   },
   "Action":"kms:DescribeKey",
   "Resource":"*"
}

下列政策陳述式允許申請者帳戶或角色將授予新增至 KMS 金鑰。kms:ViaService 條件金鑰會將 KMS 金鑰的使用限制為來自 Amazon Redshift 的請求。


{
   "Effect":"Allow",
   "Principal":{
      "AWS":"arn:aws:iam::{account-ID}:role/{role-name}"
   },
   "Action":"kms:CreateGrant",
   "Resource":"*",
   "Condition":{
      "StringEquals":{
         "kms:EncryptionContext:{context-key}":"{context-value}",
         "kms:ViaService":"redshift.{region}.amazonaws.com"
      },
      "ForAllValues:StringEquals":{
         "kms:GrantOperations":[
            "Decrypt",
            "GenerateDataKey",
            "CreateGrant"
         ]
      }
   }
}

下列政策陳述式允許 Amazon Redshift 服務主體將授予新增至 KMS 金鑰。


{
   "Effect":"Allow",
   "Principal":{
      "Service":"redshift.amazonaws.com"
   },
   "Action":"kms:CreateGrant",
   "Resource":"*",
   "Condition":{
      "StringEquals":{
         "kms:EncryptionContext:{context-key}":"{context-value}",
         "aws:SourceAccount":"{account-ID}"
      },
      "ForAllValues:StringEquals":{
         "kms:GrantOperations":[
            "Decrypt",
            "GenerateDataKey",
            "CreateGrant"
         ]
      },
      "ArnLike":{
         "aws:SourceArn":"arn:aws:*:{region}:{account-ID}:integration:*"
      }
   }
}

如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的建立金鑰政策。

加密內容

當您加密零 ETL 整合時，您可以將金鑰/值對新增為其他加密內容。您可能想要新增這些鍵/值對，以新增有關複寫資料的其他內容資訊。如需詳細資訊，請參閱 AWS Key Management Service 開發人員指南中的加密內容。

除了您新增的任何之外，Amazon Redshift 還會新增下列加密內容對：

aws:redshift:integration:arn - IntegrationArn
aws:servicename:id - Redshift

這可減少您可以新增的配對總數，從 8 到 6，並對授予限制的整體字元限制做出貢獻。如需詳細資訊，請參閱《 AWS Key Management Service 開發人員指南》中的使用授予限制。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

為 Amazon RDS 建立零 ETL 整合

建立與應用程式的零 ETL 整合