Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon DocumentDB-Cluster-Snapshots teilen
Mit Amazon DocumentDB können Sie einen manuellen Cluster-Snapshot auf folgende Weise teilen:
+ Durch die gemeinsame Nutzung eines manuellen Cluster-Snapshots, ob verschlüsselt oder unverschlüsselt, können autorisierte AWS Konten den Snapshot kopieren.
+ Durch die gemeinsame Nutzung eines manuellen Cluster-Snapshots, ob verschlüsselt oder unverschlüsselt, können autorisierte AWS Konten einen Cluster direkt aus dem Snapshot wiederherstellen, anstatt eine Kopie davon zu erstellen und die Wiederherstellung von dort aus durchzuführen.
**Anmerkung**
Um einen automatisierten Cluster-Snapshot gemeinsam zu nutzen, erstellen Sie einen manuellen Cluster-Snapshot, indem Sie den automatisierten Snapshot kopieren, und geben Sie diese Kopie dann weiter. Dieser Prozess gilt auch für durch AWS Backup generierte Ressourcen.
Sie können einen manuellen Snapshot mit bis zu 20 anderen teilen. AWS-Konten Sie können darüber hinaus einen nicht verschlüsselten Snapshot als öffentlich freigeben. Damit ist der Snapshot für alle -Konten verfügbar. Vergewissern Sie sich bei der Freigabe eines Snapshots als öffentlich darauf, dass in Ihren öffentlichen Snapshots keine privaten Informationen enthalten sind.
Wenn Sie manuelle Snapshots mit anderen AWS-Konten teilen und einen Cluster aus einem gemeinsam genutzten Snapshot mithilfe der AWS CLI oder der Amazon DocumentDB DocumentDB-API wiederherstellen, müssen Sie den Amazon-Ressourcennamen (ARN) des gemeinsam genutzten Snapshots als Snapshot-ID angeben.
## Freigeben eines verschlüsselten Snapshots
Die folgenden Einschränkungen gelten für die Freigabe verschlüsselter Snapshots:
+ Sie können verschlüsselte Snapshots nicht als öffentlich freigeben.
+ Sie können keinen Snapshot teilen, der mit dem AWS KMS Standardverschlüsselungsschlüssel des Kontos verschlüsselt wurde, das den Snapshot geteilt hat.
Führen Sie die folgenden Schritte aus, um verschlüsselte Snapshots freizugeben.
1. Teilen Sie den Verschlüsselungsschlüssel AWS Key Management Service (AWS KMS), der zum Verschlüsseln des Snapshots verwendet wurde, mit allen Konten, die auf den Snapshot zugreifen möchten.
Sie können AWS KMS Verschlüsselungsschlüssel mit anderen AWS Konten teilen, indem Sie die anderen Konten zur AWS KMS Schlüsselrichtlinie hinzufügen. Einzelheiten zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service Entwicklerhandbuch*. Ein Beispiel für die Erstellung einer Schlüsselrichtlinie finden Sie unter [Erstellen einer IAM-Richtlinie, um das Kopieren des verschlüsselten Snapshots zu erlauben](#backup_restore-share_encrypted_snapshots-create_key_policy) an späterer Stelle in diesem Thema.
1. Verwenden Sie AWS CLI, [wie unten gezeigt](#backup_restore-share_snapshots), um den verschlüsselten Snapshot mit den anderen Konten zu teilen.
### Erlaubt den Zugriff auf einen AWS KMS Verschlüsselungsschlüssel
Damit ein anderer AWS-Konto einen verschlüsselten Snapshot kopieren kann, der von Ihrem Konto geteilt wurde, muss das Konto, mit dem Sie Ihren Snapshot teilen, Zugriff auf den AWS KMS Schlüssel haben, mit dem der Snapshot verschlüsselt wurde. Um einem anderen Konto Zugriff auf einen AWS KMS Schlüssel zu gewähren, aktualisieren Sie die Schlüsselrichtlinie für den AWS KMS Schlüssel mit dem ARN des Kontos, das Sie als Principal teilen, in der AWS KMS Schlüsselrichtlinie. Lassen Sie anschließend die Aktion `kms:CreateGrant` zu.
Nachdem Sie einem Konto Zugriff auf Ihren AWS KMS Verschlüsselungsschlüssel gewährt haben, muss dieses Konto, um Ihren verschlüsselten Snapshot zu kopieren, einen AWS Identity and Access Management (IAM-) Benutzer erstellen, falls es noch keinen hat. Darüber hinaus muss dieses Konto diesem IAM-Benutzer eine IAM-Richtlinie zuordnen, die es dem Benutzer ermöglicht, mithilfe Ihres Schlüssels einen verschlüsselten Snapshot zu kopieren. AWS KMS Das Konto muss ein IAM-Benutzer sein und darf aufgrund von Sicherheitseinschränkungen keine AWS-Konto Root-Identität sein. AWS KMS
Im folgenden Beispiel für eine Schlüsselrichtlinie ist der Benutzer 123451234512 der Besitzer des Verschlüsselungsschlüssels. AWS KMS Bei Benutzer 123456789012 handelt es sich um das Konto, für das der Schlüssel freigegeben wird. Diese aktualisierte Schlüsselrichtlinie gewährt dem Konto Zugriff auf den Schlüssel. AWS KMS Dazu wird der ARN für die AWS-Konto Root-Identität für den Benutzer 123456789012 als Principal für die Richtlinie aufgenommen und die Aktion zugelassen. `kms:CreateGrant`
------
#### [ JSON ]
****
```
{
"Id": "key-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::123451234512:user/KeyUser",
"arn:aws:iam::123456789012:root"
]},
"Action": [
"kms:CreateGrant",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::123451234512:user/KeyUser",
"arn:aws:iam::123456789012:root"
]},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}
]
}
```
------
### Erstellen einer IAM-Richtlinie, um das Kopieren des verschlüsselten Snapshots zu erlauben
Wenn der externe Benutzer Zugriff auf Ihren AWS KMS Schlüssel AWS-Konto hat, kann der Besitzer dieses Kontos eine Richtlinie erstellen, die es einem IAM-Benutzer, der für das Konto erstellt wurde, ermöglicht, einen verschlüsselten Snapshot zu kopieren, der mit diesem Schlüssel verschlüsselt ist. AWS KMS
Das folgende Beispiel zeigt eine Richtlinie, die einem IAM-Benutzer für AWS-Konto 123456789012 zugewiesen werden kann. Die Richtlinie ermöglicht es dem IAM-Benutzer, einen gemeinsam genutzten Snapshot aus dem Konto 123451234512 zu kopieren, der mit dem AWS KMS Schlüssel `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` in der Region us-west-2 verschlüsselt wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
*Einzelheiten zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Verwenden](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) von Schlüsselrichtlinien im Entwicklerhandbuch. AWS KMSAWS Key Management Service *
## Freigeben eines Snapshots
Sie können einen manuellen Amazon DocumentDB-Cluster-Snapshot (oder eine Kopie eines automatisierten Snapshots) mit dem AWS-Managementkonsole oder dem AWS CLI teilen:
------
#### [ Using the AWS-Managementkonsole ]
Gehen Sie wie folgt vor AWS-Managementkonsole, um einen Snapshot mit dem zu teilen:
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Wählen Sie im Navigationsbereich die Option **Snapshots**.
1. Wählen Sie den manuellen Snapshot, den Sie freigeben möchten.
1. Wählen Sie im Drop-down-Menü **Aktionen** die Option Teilen aus.
1. Wählen Sie eine der folgenden Optionen für die **Sichtbarkeit von DB-Snapshots**:
+ Wenn die Quelle unverschlüsselt ist, wählen Sie **Öffentlich**, damit alle AWS Konten einen Cluster aus Ihrem manuellen Snapshot wiederherstellen können. Oder wählen Sie **Privat**, um nur AWS Konten zuzulassen, die Sie für die Wiederherstellung eines Clusters aus Ihrem manuellen Snapshot angeben.
**Warnung**
Wenn Sie die **Sichtbarkeit von DB-Snapshots** auf **Öffentlich** setzen, können alle AWS Konten einen Cluster aus Ihrem manuellen Snapshot wiederherstellen und haben Zugriff auf Ihre Daten. Geben Sie keine manuellen Cluster-Snapshots, die private Informationen enthalten, als **öffentlich** frei.
+ Ist die Quelle verschlüsselt, ist **DB Snapshot Visibility (Sichtbarkeit des DB-Snapshots)** auf **Private (Privat)** festgelegt, da verschlüsselte Snapshots nicht als öffentlich freigegeben werden können.
**Anmerkung**
Snapshots, die mit der Standardeinstellung verschlüsselt wurden, AWS KMS key können nicht geteilt werden.
1. Geben Sie **AWS unter Konto-ID** die AWS Konto-ID für ein Konto ein, dem Sie die Wiederherstellung eines Clusters aus Ihrem manuellen Snapshot erlauben möchten, und wählen Sie dann **Hinzufügen** aus. Wiederholen Sie den Vorgang, um weitere AWS Kontokennungen hinzuzufügen, bis zu 20 AWS Konten.
Wenn Ihnen beim Hinzufügen einer AWS Konto-ID zur Liste der zulässigen Konten ein Fehler unterläuft, können Sie diese aus der Liste löschen, indem Sie rechts neben der falschen AWS Konto-ID die Option **Löschen** auswählen.
![\[Diagramm: Snapshot-Einstellungen teilen\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/share-snapshot.png)
1. Nachdem Sie Kennungen für alle AWS Konten hinzugefügt haben, denen Sie die Wiederherstellung des manuellen Snapshots erlauben möchten, wählen Sie **Speichern**, um Ihre Änderungen zu speichern.
------
#### [ Using the AWS CLI ]
Um einen Snapshot mit dem zu teilen AWS CLI, verwenden Sie den Amazon DocumentDB `modify-db-snapshot-attribute` DocumentDB-Vorgang. Verwenden Sie den `--values-to-add` Parameter, um eine Liste der Personen IDs hinzuzufügen AWS-Konten , die berechtigt sind, den manuellen Snapshot wiederherzustellen.
Im folgenden Beispiel sind zwei AWS-Konto Kennungen, 123451234512 und 123456789012, für die Wiederherstellung des genannten Snapshots zulässig. `manual-snapshot1` Außerdem wird der `all`-Attributwert entfernt, um den Snapshot als privat zu markieren.
Für Linux, macOS oder Unix:
```
aws docdb modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier sample-cluster-snapshot \
--attribute-name restore \
--values-to-add '["123451234512","123456789012"]'
```
Für Windows:
```
aws docdb modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier sample-cluster-snapshot ^
--attribute-name restore ^
--values-to-add '["123451234512","123456789012"]'
```
Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus.
```
{
"DBClusterSnapshotAttributesResult": {
"DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
"DBClusterSnapshotAttributes": [
{
"AttributeName": "restore",
"AttributeValues": [
"123451234512",
"123456789012"
]
}
]
}
}
```
Verwenden Sie den Parameter, um einen AWS-Konto Bezeichner aus der Liste zu entfernen. `--values-to-remove` Das folgende Beispiel verhindert, dass AWS-Konto ID 123456789012 den Snapshot wiederherstellt.
Für Linux, macOS oder Unix:
```
aws docdb modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier sample-cluster-snapshot \
--attribute-name restore \
--values-to-remove '["123456789012"]'
```
Für Windows:
```
aws docdb modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier sample-cluster-snapshot ^
--attribute-name restore ^
--values-to-remove '["123456789012"]'
```
Die Ausgabe dieser Operation sieht in etwa folgendermaßen aus.
```
{
"DBClusterSnapshotAttributesResult": {
"DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
"DBClusterSnapshotAttributes": [
{
"AttributeName": "restore",
"AttributeValues": [
"123451234512"
]
}
]
}
}
```
------