<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
CDKで <code>addToResourcePolicy</code> を使ってDynamoDBにポリシーを追加したはずが反映されていませんでした。結論から述べますとIssueとして報告されている事象で <code>addToResourcePolicy</code> を使わずに直接記載することでポリシーが反映されます。
<h2 id="%E8%83%8C%E6%99%AF" data-line="4" class="code-line">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h2>
株式会社モリサワではデータ基盤をAWS上に構築しています。現在はサービスで使われているDynamoDBのPITR(ポイントインタイムリカバリ)を日次でS3に取り込んでいます。よりリアルタイムにデータを取得することと、データパイプラインの簡素化を目的にZeroETLへの移行の可能性を検証していました。
<h2 id="dynamodb%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%A7%E3%83%8F%E3%83%9E%E3%81%A3%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D" data-line="8" class="code-line">
<a class="header-anchor-link" href="#dynamodb%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%A7%E3%83%8F%E3%83%9E%E3%81%A3%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D" aria-hidden="true"></a> DynamoDBの設定でハマったところ</h2>
昨年、発表された<a href="https://aws.amazon.com/jp/blogs/news/new-amazon-dynamodb-zero-etl-integration-with-amazon-sagemaker-lakehouse/" target="_blank" rel="nofollow noopener noreferrer">DynamoDBからSageMaker LakehouseへのZeroETL</a>の導入のためにPoC環境でZeroETLを検証していました。
ZeroETLのためにはDynamoDBのPITRの設定の有効化と、以下のようなリソースポリシーの設定が必要です。
<div class="code-block-container"><pre class="language-json"><code class="language-json code-line" data-line="14">{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "1111",
 "Effect": "Allow",
 "Principal": {
 "Service": "glue.amazonaws.com"
 },
 "Resource": "*",
 "Action": [
 "dynamodb:ExportTableToPointInTime",
 "dynamodb:DescribeTable",
 "dynamodb:DescribeExport"
 ],
 "Condition": {
 "StringEquals": {
 "aws:SourceAccount": "111122223333"
 },
 "ArnLike": {
 "aws:SourceArn": "arn:aws:glue:us-east-1:111122223333:integration:*"
 }
 }
 }
 ]
}
</code></pre></div>DynamoDBのテーブルはCDKによって管理されていたため、CDKでリソースポリシーを追加することにしました。
<div class="code-block-container"><pre class="language-typescript"><code class="language-typescript code-line" data-line="45"> // 既存のDynamoDBテーブル
 const table = new dynamodb.Table(this, 'MyTable', {
 tableName: 'example-table'
 });

 // ZeroETL用のリソースポリシーを追加
 table.addToResourcePolicy(
 new iam.PolicyStatement({
 // 省略
 })
 );
</code></pre></div>しかし、<code>addToResourcePolicy</code> ではリソースポリシーが追加されませんでした。
<h2 id="%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95" data-line="61" class="code-line">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 解決方法</h2>
<code>addToResourcePolicy</code> でリソースポリシーが追加されていないことについては<a href="https://github.com/aws/aws-cdk/issues/30793" target="_blank" rel="nofollow noopener noreferrer">Issue</a>があがっています。そのため、テーブルにリソースポリシーを直接記載する必要があります。
<div class="code-block-container"><pre class="language-typescript"><code class="language-typescript code-line" data-line="65"> // 既存のDynamoDBテーブル
 const table = new dynamodb.Table(this, 'ExampleTable', {
 tableName: 'example-table',
 partitionKey: {
 name: 'id',
 type: dynamodb.AttributeType.STRING,
 },
 pointInTimeRecovery: true, // PITRを有効化
 resourcePolicy: new PolicyDocument({
 statements: [
 // ここにポリシーを記載する //
 ]
 }),
 });
</code></pre></div>このように設定することでDynamoDBテーブルにリソースポリシーが正しく設定されます。
特にエラーがでるわけでもなく <code>cdk diff</code> や <code>cdk deploy</code> コマンドは通るため、CDK側の原因に気づくことが遅れました。小ネタではありますが同じ問題に遭遇した方の参考になれば幸いです。

CDKでaddToResourcePolicyを使ってDynamoDBにポリシー追加したのに反映されない！？

DynamoDBの設定でハマったところ

Discussion