Freigeben eines Snapshots - Amazon Redshift
Einen Cluster-Snapshot über die Konsole teilenSicherheitsüberlegungen für das Teilen verschlüsselter Snapshots

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Freigeben eines Snapshots

Sie können einen vorhandenen manuellen Snapshot mit anderen teilen AWS Kundenkonten, indem Sie den Zugriff auf den Snapshot autorisieren. Sie können bis zu 20 pro Snapshot und 100 pro Snapshot autorisieren AWS Key Management Service (AWS KMS) Schlüssel. Das heißt, wenn Sie 10 Snapshots haben, die mit einem einzigen KMS Schlüssel verschlüsselt sind, können Sie 10 autorisieren AWS Konten zur Wiederherstellung jedes Snapshots oder andere Kombinationen, die bis zu 100 Konten hinzufügen und 20 Konten pro Snapshot nicht überschreiten. Eine Person, die als ein Benutzer in einem der genehmigten Konten angemeldet ist, kann dann den Snapshot beschreiben oder ihn wiederherstellen, um einen neuen Amazon-Redshift-Cluster unter ihrem Konto zu erstellen. Wenn Sie beispielsweise separate verwenden AWS Kundenkonten für Produktion und Test können sich Benutzer mit dem Produktionskonto anmelden und einen Snapshot mit Benutzern im Testkonto teilen. Jemand, der sich als Testkonto-Benutzer angemeldet hat, kann dann den Snapshot wiederherstellen, um einen neuen Cluster für Test- oder Diagnosearbeiten zu erstellen, der Eigentum des Testkontos ist.

Ein manueller Snapshot ist dauerhaft Eigentum der AWS Kundenkonto, unter dem es erstellt wurde. Nur Benutzer im Konto, dem der Snapshot gehört, könnten anderen Konten die Berechtigung zum Zugriff auf den Snapshot gewähren oder solche Berechtigung wieder entziehen. Benutzer in den genehmigten Konten können nur einen Snapshot beschreiben oder wiederherstellen, der für sie freigegeben wurde; sie können keine Snapshots kopieren oder löschen, die für sie freigegeben wurden. Eine Berechtigung bleibt gültig, bis der Eigentümer des Snapshot sie widerruft. Wird eine Berechtigung widerrufen, verliert der zuvor autorisierte Benutzer die Sichtbarkeit für den Snapshot und kann keine neuen Aktionen starten, die auf den Snapshot verweisen. Wenn das Konto dabei ist, den Snapshot wiederherzustellen, wenn der Zugriff widerrufen wird, wird die Wiederherstellung vollständig abgeschlossen. Sie können keinen Snapshot löschen, während aktive Berechtigungen vorliegen; Sie müssen zuerst alle Berechtigungen widerrufen.

AWS Kundenkonten sind immer berechtigt, auf Snapshots zuzugreifen, die dem Konto gehören. Bei Versuchen, den Zugriff zum Eigentümerkonto zu genehmigen oder zu widerrufen, erscheint eine Fehlermeldung. Sie können einen Snapshot, der einem inaktiven Benutzer gehört, nicht wiederherstellen oder beschreiben AWS Kundenkonto.

Nachdem Sie den Zugriff auf ein autorisiertes AWS Bei einem Kundenkonto können Benutzer in diesem Konto keine Aktionen mit dem Snapshot ausführen, es sei denn, sie übernehmen eine Rolle mit Richtlinien, die ihnen dies ermöglichen.

  • Benutzer im Snapshot-Besitzerkonto können den Zugriff auf einen Snapshot nur autorisieren und entziehen, wenn sie eine Rolle mit einer IAM Richtlinie annehmen, die es ihnen ermöglicht, diese Aktionen mit einer Ressourcenspezifikation durchzuführen, die den Snapshot beinhaltet. Die folgende Richtlinie ermöglicht beispielsweise einem Benutzer oder einer Rolle in AWS Konto012345678912, um anderen Konten den Zugriff auf einen Snapshot mit dem Namen my-snapshot20130829 zu autorisieren:

    {
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
          "redshift:AuthorizeSnapshotAccess",
          "redshift:RevokeSnapshotAccess"
          ],
      "Resource":[
           "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-snapshot20130829"
          ]
    }
  ]
}

  • Benutzer in einem AWS Ein Konto, mit dem ein Snapshot geteilt wurde, kann keine Aktionen für diesen Snapshot ausführen, es sei denn, sie verfügen über die entsprechenden Berechtigungen. Weisen Sie dazu die Richtlinie einer Rolle zu und übernehmen Sie die Rolle.

    • Um einen Snapshot aufzulisten oder zu beschreiben, müssen sie über eine IAM Richtlinie verfügen, die diese DescribeClusterSnapshots Aktion zulässt. Der folgende Code zeigt ein Beispiel dafür:

      {
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
          "redshift:DescribeClusterSnapshots"
          ],
      "Resource":[
           "*"
          ]
    }
  ]
}

    • Um einen Snapshot wiederherzustellen, muss ein Benutzer eine Rolle mit einer IAM Richtlinie annehmen, die die RestoreFromClusterSnapshot Aktion zulässt und über ein Ressourcenelement verfügt, das sowohl den Cluster, den er zu erstellen versucht, als auch den Snapshot abdeckt. Wenn beispielsweise ein Benutzer in einem Konto 012345678912 den Snapshot my-snapshot20130829 für Konto 219876543210 freigegeben hat, um durch Wiederherstellen des Snapshot einen Cluster zu erstellen, muss ein Benutzer im Konto 219876543210 eine Rolle mit einer Richtlinie wie die folgende übernehmen:

      {
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
          "redshift:RestoreFromClusterSnapshot"
          ],
      "Resource":[
           "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-snapshot20130829",
           "arn:aws:redshift:us-east-1:219876543210:cluster:from-another-account"
          ]
    }
  ]
}

    • Nach dem Widerruf des Zugriffs auf einen Snapshot für ein AWS Konto, keine Benutzer in diesem Konto können auf den Snapshot zugreifen. Dies ist auch dann der Fall, wenn diese Konten über IAM Richtlinien verfügen, die Aktionen auf der zuvor gemeinsam genutzten Snapshot-Ressource zulassen.

Einen Cluster-Snapshot über die Konsole teilen

Auf der Konsole können Sie andere Benutzer autorisieren, auf einen manuellen Snapshot zuzugreifen, den Sie besitzen, und Sie können diesen Zugriff später widerrufen, wenn er nicht mehr benötigt wird.

So geben Sie einen Snapshot für ein anderes -Konto frei

  1. Melden Sie sich an bei AWS Management Console und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Wählen Sie im Navigationsmenü Clusters (Cluster), Snapshots und dann den manuellen Snapshot aus, der freigegeben werden soll.

  3. Wählen Sie für Actions (Aktionen) Manual snapshot settings (Manuelle Snapshot-Einstellungen) aus, um die Eigenschaften des manuellen Snapshots anzuzeigen.

  4. Geben Sie im Abschnitt Manage access (Zugriff verwalten) das oder die Konten ein, für die Sie freigeben möchten. Wählen Sie dann Save (Speichern) aus.

Sicherheitsüberlegungen für das Teilen verschlüsselter Snapshots

Wenn Sie Zugriff auf einen verschlüsselten Snapshot gewähren, verlangt Redshift, dass AWS KMSDer vom Kunden verwaltete Schlüssel, der zur Erstellung des Snapshots verwendet wurde, wird mit dem Konto oder den Konten geteilt, die die Wiederherstellung durchführen. Wenn der Schlüssel nicht freigegeben ist, führt der Versuch, den Snapshot wiederherzustellen, zu dem Fehler „Zugriff verweigert“. Das empfangende Konto benötigt keine zusätzlichen Berechtigungen, um einen freigegebenen Snapshot wiederherzustellen. Wenn Sie Snapshot-Zugriff autorisieren und den Schlüssel freigeben, muss die Identität, die den Zugriff autorisiert, über kms:DescribeKey-Berechtigungen für den Schlüssel verfügen, der zum Verschlüsseln des Snapshots verwendet wurde. Diese Berechtigung wird ausführlicher beschrieben unter AWS KMS Berechtigungen. Weitere Informationen finden Sie DescribeKeyin der Amazon Redshift API Redshift-Referenzdokumentation.

Die vom Kunden verwaltete Schlüsselrichtlinie kann programmgesteuert oder in der AWS Key Management Service console.

Ermöglicht den Zugriff auf die AWS KMSSchlüssel für einen verschlüsselten Snapshot

Um das zu teilen AWS KMSAktualisieren Sie die Schlüsselrichtlinie, indem Sie den vom Kunden verwalteten Schlüssel für einen verschlüsselten Snapshot wie folgt durchführen:

  1. Aktualisieren Sie die KMS Schlüsselrichtlinie mit dem Amazon-Ressourcennamen (ARN) des AWS Konto, für das Sie Daten teilen, wie Principal in der KMS Hauptrichtlinie beschrieben.

  2. Erlauben Sie die kms:Decrypt-Aktion.

Im folgenden Beispiel für eine Schlüsselrichtlinie 111122223333 ist der Benutzer der Eigentümer des KMS Schlüssels und der Benutzer 444455556666 das Konto, mit dem der Schlüssel geteilt wird. Diese wichtige Richtlinie gibt AWS Kontozugriff auf den KMS Beispielschlüssel, indem der ARN für den Stamm hinzugefügt wird AWS Kontoidentität für den Benutzer 444455556666 Principal gemäß der Richtlinie und durch Zulassen der kms:Decrypt Aktion. 

{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Nachdem der Zugriff auf den vom Kunden verwalteten KMS Schlüssel gewährt wurde, muss das Konto, das den verschlüsselten Snapshot wiederherstellt, eine AWS Identity and Access Management (IAM) Rolle oder Benutzer, falls noch keine vorhanden ist. Darüber hinaus ist das AWS Das Konto muss dieser IAM Rolle oder diesem Benutzer außerdem eine IAM Richtlinie zuordnen, die es ihnen ermöglicht, mithilfe Ihres KMS Schlüssels einen verschlüsselten Datenbank-Snapshot wiederherzustellen.

Weitere Informationen zur Gewährung des Zugriffs auf ein AWS KMS Schlüssel finden Sie unter Zulassen, dass Benutzer mit anderen Konten einen KMS Schlüssel verwenden können, in der AWS Key Management Service Entwicklerhandbuch.

Einen Überblick über die wichtigsten Richtlinien finden Sie unter So verwendet Amazon Redshift AWS KMS.