Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Freigeben eines DB-Cluster-Snapshots
Mithilfe von Neptune können Sie einen manuellen DB-Cluster-Snapshot wie folgt freigeben:
Durch die gemeinsame Nutzung eines manuellen DB-Cluster-Snapshots, ob verschlüsselt oder unverschlüsselt, können autorisierte AWS Konten den Snapshot kopieren.
Durch die gemeinsame Nutzung eines manuellen DB-Cluster-Snapshots, ob verschlüsselt oder unverschlüsselt, können autorisierte AWS Konten einen DB-Cluster direkt aus dem Snapshot wiederherstellen, anstatt eine Kopie davon zu erstellen und die Wiederherstellung von dort aus durchzuführen.
Anmerkung
Um einen automatisierten DB-Cluster-Snapshot freizugeben, erstellen Sie einen manuellen DB-Cluster-Snapshot, indem Sie den automatisierten Snapshot kopieren und diese Kopie dann freigeben.
Weitere Informationen zum Wiederherstellen eines DB-Clusters aus einem DB-Cluster-Snapshot finden Sie unter Sie führen Sie eine Wiederherstellung aus einem Snapshot durch.
Sie können einen manuellen Snapshot mit bis zu 20 anderen AWS Konten teilen. Sie können einen unverschlüsselten manuellen Snapshot auch öffentlich teilen, sodass der Snapshot für alle AWS Konten verfügbar ist. Achten Sie bei der Freigabe eines Snapshots als öffentlich darauf, dass in Ihren öffentlichen Snapshots keine privaten Informationen enthalten sind.
Anmerkung
Wenn Sie einen DB-Cluster aus einem gemeinsam genutzten Snapshot mithilfe der AWS Command Line Interface (AWS CLI) - oder Neptune-API wiederherstellen, müssen Sie den Amazon-Ressourcennamen (ARN) des gemeinsam genutzten Snapshots als Snapshot-ID angeben.
Freigeben eines verschlüsselten DB-Cluster-Snapshots
Sie können DB-Cluster-Snapshots freigeben, die während der Speicherung mittels des AES-256-Verschlüsselungsalgorithmus verschlüsselt wurden. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten in Ihrer Amazon Neptune Neptune-Datenbank. Hierzu müssen Sie die folgenden Schritte ausführen:
-
Teilen Sie den Verschlüsselungsschlüssel AWS Key Management Service (AWS KMS), der zur Verschlüsselung des Snapshots verwendet wurde, mit allen Konten, die auf den Snapshot zugreifen möchten.
Sie können AWS KMS Verschlüsselungsschlüssel mit einem anderen AWS Konto teilen, indem Sie das andere Konto zur KMS-Schlüsselrichtlinie hinzufügen. Details zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Schlüsselrichtlinien im AWS KMS -Entwicklerhandbuch. Ein Beispiel für die Erstellung einer Schlüsselrichtlinie finden Sie unter Erstellen einer IAM-Richtlinie, um das Kopieren des verschlüsselten Snapshots zu ermöglichen an späterer Stelle in diesem Thema.
Verwenden Sie die AWS Management Console, AWS CLI, oder Neptune-API, um den verschlüsselten Snapshot mit den anderen Konten zu teilen.
Die folgenden Einschränkungen gelten für die Freigabe verschlüsselter Snapshots:
Sie können verschlüsselte Snapshots nicht als öffentlich freigeben.
Sie können keinen Snapshot teilen, der mit dem AWS KMS Standardverschlüsselungsschlüssel des AWS Kontos verschlüsselt wurde, das den Snapshot geteilt hat.
Zugriff auf einen AWS KMS Verschlüsselungsschlüssel zulassen
Damit ein anderes AWS Konto einen verschlüsselten DB-Cluster-Snapshot kopieren kann, der von Ihrem Konto gemeinsam genutzt wurde, muss das Konto, mit dem Sie Ihren Snapshot teilen, Zugriff auf den KMS-Schlüssel haben, mit dem der Snapshot verschlüsselt wurde. Um einem anderen AWS Konto Zugriff auf einen AWS KMS Schlüssel zu gewähren, aktualisieren Sie die Schlüsselrichtlinie für den KMS-Schlüssel mit dem ARN des AWS Kontos, für das Sie die Daten teilen, als Principal in der KMS-Schlüsselrichtlinie. Lassen Sie anschließend die Aktion kms:CreateGrant zu. Allgemeine Informationen dazu finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service -Entwicklerhandbuch.
Nachdem Sie einem AWS Konto Zugriff auf Ihren KMS-Verschlüsselungsschlüssel gewährt haben, muss dieses AWS Konto zum Kopieren Ihres verschlüsselten Snapshots einen IAM-Benutzer erstellen, falls es noch keinen hat. Die KMS-Sicherheitseinschränkungen lassen die Verwendung einer AWS Root-Kontoidentität zu diesem Zweck nicht zu. Das AWS Konto muss diesem IAM-Benutzer außerdem eine IAM-Richtlinie zuordnen, die es dem IAM-Benutzer ermöglicht, mithilfe Ihres KMS-Schlüssels einen verschlüsselten DB-Cluster-Snapshot zu kopieren.
Im folgenden Beispiel für eine Schlüsselrichtlinie ist der Benutzer 111122223333 der Besitzer des KMS-Verschlüsselungsschlüssels und der Benutzer 444455556666 ist das Konto, für das der Schlüssel freigegeben wird. Diese aktualisierte Schlüsselrichtlinie gewährt dem AWS Konto Zugriff auf den KMS-Schlüssel, indem sie den ARN für die AWS Root-Kontoidentität für den Benutzer 444455556666 als Principal für die Richtlinie einbezieht und die kms:CreateGrant Aktion zulässt.
{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
Erstellen einer IAM-Richtlinie, um das Kopieren des verschlüsselten Snapshots zu ermöglichen
Sobald das externe AWS Konto Zugriff auf Ihren KMS-Schlüssel hat, kann der Besitzer dieses Kontos eine Richtlinie erstellen, die es einem für das Konto erstellten IAM-Benutzer ermöglicht, einen verschlüsselten Snapshot zu kopieren, der mit diesem KMS-Schlüssel verschlüsselt wurde.
Das folgende Beispiel zeigt eine Richtlinie, die einem IAM-Benutzer für das AWS
-Konto 444455556666 angefügt werden kann. Dies ermöglicht dem IAM-Benutzer das Kopieren eines freigegebenen Snapshots aus dem AWS -Konto 111122223333, das mit dem KMS-Schlüssel c989c1dd-a3f2-4a5d-8d96-e793d082ab26 in der Region us-west-2 verschlüsselt wurde.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Details zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Schlüsselrichtlinien im AWS Key Management Service -Entwicklerhandbuch.
Freigeben eines DB-Cluster-Snapshots
Sie können einen DB-Cluster-Snapshot mit der AWS Management Console AWS CLI, der oder der Neptune-API teilen.
Verwenden der Konsole zum Freigeben eines DB-Cluster-Snapshots
Mithilfe der Neptune-Konsole geben Sie einen manuellen DB-Cluster-Snapshot für bis zu 20 AWS -Konten frei. Sie können auch die Freigabe eines manuellen Snapshots mit einem oder mehreren Konten beenden.
So geben Sie einen manuellen DB-Cluster-Snapshot frei
Wählen Sie im Navigationsbereich die Option Snapshots.
Wählen Sie den manuellen Snapshot, den Sie freigeben möchten.
Wählen Sie Actions (Aktionen), Share Snapshot (Snapshot freigeben) aus.
-
Wählen Sie für DB Snapshot Visibility (Sichtbarkeit des DB-Snapshots) eine der folgenden Optionen.
-
Wenn die Quelle nicht verschlüsselt ist, wählen Sie Öffentlich, um allen AWS -Konten die Wiederherstellung eines DB-Clusters aus Ihrem manuellen DB-Cluster-Snapshot zu gestatteten. Oder wählen Sie Privat, um nur von Ihnen angegebene AWS Konten die Wiederherstellung eines DB-Clusters aus Ihrem manuellen DB-Cluster-Snapshot zuzulassen.
Warnung
Wenn Sie die Sichtbarkeit von DB-Snapshots auf Öffentlich setzen, können alle AWS Konten einen DB-Cluster aus Ihrem manuellen DB-Cluster-Snapshot wiederherstellen und haben Zugriff auf Ihre Daten. Geben Sie keine manuellen DB-Cluster-Snapshots als Public (Öffentlich) frei, die private Informationen enthalten.
Ist die Quelle verschlüsselt, ist DB Snapshot Visibility (Sichtbarkeit des DB-Snapshots) auf Private (Privat) festgelegt, da verschlüsselte Snapshots nicht als öffentlich freigegeben werden können.
-
-
Geben Sie AWS unter Konto-ID die AWS Konto-ID für ein Konto ein, dem Sie die Wiederherstellung eines DB-Clusters aus Ihrem manuellen Snapshot erlauben möchten. Wählen Sie dann Add (Hinzufügen). Wiederholen Sie den Vorgang, um weitere AWS Kontokennungen hinzuzufügen, bis zu 20 AWS Konten.
Wenn Ihnen beim Hinzufügen einer AWS Konto-ID zur Liste der zulässigen Konten ein Fehler unterläuft, können Sie diese aus der Liste löschen, indem Sie rechts neben der falschen AWS Konto-ID die Option Löschen auswählen.
Nachdem Sie Kennungen für alle AWS Konten hinzugefügt haben, denen Sie die Wiederherstellung des manuellen Snapshots erlauben möchten, wählen Sie Speichern.
Um die gemeinsame Nutzung eines manuellen DB-Cluster-Snapshots mit einem AWS Konto zu beenden
Wählen Sie im Navigationsbereich die Option Snapshots.
Wählen Sie den manuellen Snapshot, für den Sie die Freigabe beenden möchten.
Wählen Sie die Option Aktionen und anschließend Share Snapshot (Snapshot freigeben) aus.
Um die Erlaubnis für ein AWS Konto zu entfernen, wählen Sie Löschen als AWS Konto-ID für dieses Konto aus der Liste der autorisierten Konten.
Wählen Sie Save (Speichern) aus.
