Einrichtung für native Backups und Wiederherstellungen - Amazon Relational Database Service
Manuelles Erstellen einer IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung für native Backups und Wiederherstellungen

Zum Einrichten nativer Backup und Wiederherstellungen benötigen Sie drei Komponenten:

  1. Einen Amazon S3-Bucket zum Speichern Ihrer Sicherungsdateien

    Sie müssen über einen S3-Bucket verfügen, den Sie für Ihre Backup-Dateien verwenden können, und dann Backups hochladen, zu denen Sie migrieren möchtenRDS. Wenn Sie bereits über einen Amazon S3-Bucket verfügen, können Sie diesen verwenden. Andernfalls können Sie einen Bucket erstellen. Alternativ können Sie wählen, dass ein neuer Bucket für Sie erstellt wird, wenn Sie die Option SQLSERVER_BACKUP_RESTORE mithilfe der AWS Management Console hinzufügen.

    Weitere Informationen zur Verwendung von S3 finden Sie im Benutzerhandbuch für Amazon Simple Storage Service.

  2. Eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Bucket.

    Wenn Sie bereits eine IAM Rolle haben, können Sie diese verwenden. Sie können wählen, ob eine neue IAM Rolle für Sie erstellt werden soll, wenn Sie die SQLSERVER_BACKUP_RESTORE Option hinzufügen, indem Sie die AWS Management Console. Alternativ können Sie manuell eine neue Rolle erstellen.

    Wenn Sie eine neue IAM Rolle manuell erstellen möchten, gehen Sie wie im nächsten Abschnitt beschrieben vor. Gehen Sie genauso vor, wenn Sie einer vorhandenen IAM Rolle Vertrauensbeziehungen und Berechtigungsrichtlinien zuordnen möchten.

  3. Die Option SQLSERVER_BACKUP_RESTORE in einer Optionsgruppe auf Ihrer DB-Instance

    Zur Aktivierung nativer Backups und Wiederherstellungen auf Ihrer DB-Instance fügen Sie einer Optionsgruppe auf Ihrer DB-Instance die Option SQLSERVER_BACKUP_RESTORE hinzu. Weitere Informationen und Anweisungen finden Sie unter Unterstützung für native Sicherung und Backup in SQL Server.

Manuelles Erstellen einer IAM Rolle für systemeigenes Backup und Wiederherstellung

Wenn Sie manuell eine neue IAM Rolle für die native Sicherung und Wiederherstellung erstellen möchten, können Sie dies tun. In diesem Fall erstellen Sie eine Rolle, um Berechtigungen vom RDS Amazon-Service an Ihren Amazon S3-Bucket zu delegieren. Wenn Sie eine IAM Rolle erstellen, fügen Sie eine Vertrauensbeziehung und eine Berechtigungsrichtlinie hinzu. Die Vertrauensbeziehung ermöglicht esRDS, diese Rolle zu übernehmen. Die Berechtigungsrichtlinie definiert die Aktionen, die über diese Rolle ausgeführt werden können. Weitere Informationen zum Erstellen der Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS -Service.

Für die Funktion zu nativen Backups und Wiederherstellungen verwenden Sie ähnliche Vertrauensbeziehungen und Berechtigungsrichtlinien wie in den in diesem Abschnitt gezeigten Beispielen. Im folgenden Beispiel wird der Dienstprinzipalname rds.amazonaws.com als Alias für alle Dienstkonten verwendet. In den anderen Beispielen geben wir einen Amazon-Ressourcennamen (ARN) an, um ein anderes Konto, einen Benutzer oder eine Rolle zu identifizieren, auf die wir in der Vertrauensrichtlinie Zugriff gewähren.

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in ressourcenbasierten Vertrauensbeziehungen, um die Berechtigungen des Services auf eine bestimmte Ressource zu beschränken. Dies ist der effektivste Weg, um sich vor dem verwirrtes Stellvertreterproblem zu schützen.

Sie können beide globalen Bedingungskontextschlüssel verwenden und der Wert aws:SourceArn enthält die Konto-ID. Stellen Sie in diesen Fällen sicher, dass der Wert aws:SourceAccount und das Konto im Wert aws:SourceArn dieselbe Konto-ID verwenden, wenn sie in derselben Anweisung verwendet werden.

  • Verwenden von aws:SourceArn wenn Sie einen serviceübergreifenden Zugriff für eine einzelne Ressource wünschen.

  • Verwenden von aws:SourceAccount wenn Sie zulassen möchten, dass eine Ressource in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft wird.

Stellen Sie in der Vertrauensbeziehung sicher, dass Sie den aws:SourceArn globalen Bedingungskontextschlüssel mit allen ARN Ressourcen verwenden, die auf die Rolle zugreifen. Stellen Sie bei nativen Backups und Wiederherstellungen sicher, dass Sie sowohl die DB-Optionsgruppe als auch die DB-Instances einschließen, wie im folgenden Beispiel gezeigt.

Beispiel Vertrauensbeziehung mit globalem Kontextschlüssel für native Backups und Wiederherstellungen
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Im folgenden Beispiel wird eine Ressource verwendetARN, um eine Ressource anzugeben. Weitere Informationen zur Verwendung ARNs finden Sie unter Amazon-Ressourcennamen (ARNs).

Beispiel Berechtigungsrichtlinie für native Backups und Wiederherstellungen ohne Verschlüsselungsunterstützung
{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
Beispiel Berechtigungsrichtlinie für native Backups und Wiederherstellungen mit Verschlüsselungsunterstützung

Wenn Sie Ihre Sicherungsdateien verschlüsseln möchten, geben Sie in Ihrer Berechtigungsrichtlinie einen Verschlüsselungsschlüssel an. Weitere Informationen zu Verschlüsselungsschlüsseln finden Sie unter Erste Schritte im AWS Key Management Service -Entwicklerhandbuch.

Anmerkung

Sie müssen einen symmetrischen KMS Verschlüsselungsschlüssel verwenden, um Ihre Backups zu verschlüsseln. Amazon unterstützt RDS keine asymmetrischen KMS Schlüssel. Weitere Informationen finden Sie unter Erstellen symmetrischer KMS Verschlüsselungsschlüssel im AWS Key Management Service Entwicklerhandbuch.

Die IAM Rolle muss außerdem ein Schlüsselbenutzer und ein Schlüsseladministrator für den KMS Schlüssel sein, d. h. er muss in der Schlüsselrichtlinie angegeben werden. Weitere Informationen finden Sie im AWS Key Management Service Developer Guide unter Creating symmetric Encryption KMS Keys.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt"
            ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}