背景・目的
こちらの記事でGlueデータカタログへのアクセスを試しましたが、提供側のメタ情報を暗号化した場合に、そのままだとアクセスできません。
本記事では、メタ情報を暗号化しクロスアカウントアクセスする方法を試してみます。
まとめ
暗号化したデータカタログにクロスアカウントアクセスするには、Customer managed keyを作成し、キーポリシーのPrincipalを指定します。
概要
Data Catalog の暗号化
こちらのData Catalog の暗号化を元に整理します。
暗号化されるオブジェクトは、下記のとおりです。
- データベース
- テーブル
- パーティション
- テーブルのバージョン
- Connect
- ユーザ定義関数
暗号化に使用できる鍵は、下記のとおりです。このうち、AWS managed keyについてはクロスアカウントアクセスできないため、Customer managed keyを使用します。
- AWS managed key
- Customer managed key
実践
KMSキーの作成
-
下記を設定し、「次へ」をクリックします。
- キーのタイプ:対象
- キーの使用:暗号化および複合化
-
エイリアスを指定し、「次へ」をクリックします。
-
管理者の設定等を設定し作成します。
Glue Data catalog settings
- Encryption optionsで「Metadata encryption」をチェックし、先ほど作成したCustomer managed keyを指定し、「Save」をクリックします。
KMSのキーポリシーを修正
-
このままでは、クロスアカウントでアクセスができません。下記はAthenaのクエリエディタを参照した際のエラーです。
-
キーポリシーに、複合のために「kms:Decrypt」を追加します。
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{アカウントB}:root" }, "Action": "kms:Decrypt", "Resource": "arn:aws:kms:{リージョン名}:{アカウントA}:key/{キーID}" }
クロスアカウント(アカウントB)のAthenaで確認
- 確認できました。
考察
今回、暗号化済みデータカタログへのクロスアカウントでアクセスする方法を試しました。このようなケースは、多々あるかと思いますので、忘れないようにメモとして残しておきます。
参考