## ¿Cómo Amazon DynamoDB utiliza AWS KMS?

El cifrado disponible en DynamoDB ayuda a configurar una capa adicional de seguridad para que los datos transmitidos no sean visibles para terceros. Admite tanto el cifrado del lado del cliente como el cifrado en reposo. DynamoDB implementa su cifrado en:

* Datos en reposo
* Datos en tránsito

Los datos se cifrarán y firmarán antes de enviarse a AWS DynamoDB. Mientras se almacenan, los datos pasarán por un proceso de cifrado, proporcionando así una protección de extremo a extremo contra cambios no autorizados en los datos.

DynamoDB se integra con AWS Key Management Service (AWS KMS) para admitir una característica de cifrado del lado del servidor de cifrado en reposo. Con el cifrado en reposo, DynamoDB cifra de forma transparente todos los datos de los clientes en una tabla de DynamoDB, incluida su clave principal y los índices secundarios locales y globales, siempre que la tabla se almacene en el disco. (Si la tabla tiene una clave de ordenación, algunas de las claves de ordenación que marcan los límites del intervalo se almacenan en texto no cifrado en los metadatos de la tabla). Cuando obtiene acceso a la tabla, DynamoDB descifra los datos de la tabla de forma transparente. No es necesario que cambie sus aplicaciones para utilizar o administrar tablas cifradas.

El cifrado en reposo protege también las secuencias de DynamoDB, las tablas globales y las copias de seguridad siempre que estos objetos se guardan en un soporte duradero. Las instrucciones acerca de las tablas de este tema se aplican también a estos objetos.

Todas las tablas de DynamoDB están cifradas. No existe la opción de habilitar o deshabilitar el cifrado para tablas nuevas o existentes. De forma predeterminada, todas las tablas están cifradas en una Clave propiedad de AWS en la cuenta de servicio de DynamoDB. Sin embargo, puede seleccionar una opción para cifrar algunas o todas las tablas con una clave administrada por el cliente o la Clave administrada por AWS para DynamoDB en su cuenta.

In [1]:
import boto3
from botocore.exceptions import ClientError
import pandas as pd
import base64
from spdynamodb import DynamoTable
from datetime import datetime
import json
import time
from decimal import Decimal

In [2]:
dt=DynamoTable()
try:
    dt.select_table('Books')
    print(dt)
except:
    dt.create_table(
        table_name='Books',
        partition_key='Author',
        partition_key_type='S',
        sort_key='Title',
        sort_key_type='S',
    )

Table created successfully!


In [5]:
# Create a Books Dataframe

df = pd.DataFrame({
    'Title': ['The Great Gatsby','To Kill a Mockingbird','1984', 'Pride and Prejudice', 'The Odyssey'],
    'Author': ['F. Scott Fitzgerald','Harper Lee','George Orwell', 'Jane Austen', 'Homer'],
    'Length': [180, 281, 328, 226, 374],
    'Published': [1925, 1960, 1949, 1813, 1922],
    'Publisher': ['Charles Scribner\'s Sons','J.B. Lippincott & Co.','Secker & Warburg', 'Penguin','Scribner']
})
dt.batch_pandas(df)

Al crear una tabla nueva, puede elegir uno de los siguientes tipos de AWS KMS key para cifrarla. Puede cambiar entre estos tipos de claves en cualquier momento.

* **Clave propiedad de AWS**: tipo de cifrado predeterminado. La clave es propiedad de DynamoDB (sin cargo adicional).

* **Clave administrada por AWS**: la clave se almacena en la cuenta y la administra AWS KMS (se aplican los cargos de AWS KMS).

* **Customer managed key** (Clave administrada por el cliente): la clave se almacena en la cuenta y usted la crea, posee y administra. Usted controla plenamente la clave KMS (se aplican los cargos de AWS KMS).

In [20]:
# Create an STS client
sts = boto3.client('sts')

identity = sts.get_caller_identity()
account_id = identity['Account']

In [27]:
policy = {
    "Id": "protected-cmk-policy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": f"arn:aws:iam::{account_id}:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": f"arn:aws:iam::{account_id}:user/cloud_user"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": f"arn:aws:iam::{account_id}:user/cloud_user"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": f"arn:aws:iam::{account_id}:user/cloud_user"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

In [29]:
kms = boto3.client('kms')
try:
   response = kms.create_key(
       Policy=json.dumps(policy),
       Description='Customer Master Key for DynamoDB Data Encryption',
   )
except ClientError as e:
   print(e)
else:
   key_id = response["KeyMetadata"]["KeyId"]
   key_arn = response["KeyMetadata"]["Arn"]
   print("Key ID:", key_id)
   print("Key ARN:", key_arn)

Key ID: 6aefe290-028d-45d0-ae5d-c20a2bf7102e
Key ARN: arn:aws:kms:us-east-1:827456662682:key/6aefe290-028d-45d0-ae5d-c20a2bf7102e


In [30]:
alias = 'alias/DynamoDBTableDataCMK'
try:
    response = kms.create_alias(
        AliasName=alias,
        TargetKeyId=key_id
    )
    print(response)
except Exception as e:
    print(e)

{'ResponseMetadata': {'RequestId': '88d24ee1-21b0-43f6-9651-389359c6a2f1', 'HTTPStatusCode': 200, 'HTTPHeaders': {'x-amzn-requestid': '88d24ee1-21b0-43f6-9651-389359c6a2f1', 'cache-control': 'no-cache, no-store, must-revalidate, private', 'expires': '0', 'pragma': 'no-cache', 'date': 'Tue, 05 Dec 2023 00:36:02 GMT', 'content-type': 'application/x-amz-json-1.1', 'content-length': '0', 'connection': 'keep-alive'}, 'RetryAttempts': 0}}


In [39]:
dt.table.update(
    SSESpecification={
        "Enabled": True,
        "SSEType": "KMS",
        "KMSMasterKeyId": key_id
    }
)

dynamodb.Table(name='Books')

In [40]:
dt.table.sse_description

{'Status': 'UPDATING',
 'SSEType': 'KMS',
 'KMSMasterKeyArn': 'arn:aws:kms:us-east-1:827456662682:key/6aefe290-028d-45d0-ae5d-c20a2bf7102e'}