Configuración de la copia de seguridad y la restauración nativas - Amazon Relational Database Service
Creación manual de un rol de IAM

Configuración de la copia de seguridad y la restauración nativas

Para configurar la copia de seguridad y la restauración nativas, son necesarios tres componentes:

  1. Un bucket de Amazon S3 para almacenar los archivos de copia de seguridad.

    Debe tener un bucket S3 para utilizar con sus archivos de copia de seguridad y después cargar las copias de seguridad que quiera migrar a RDS. Si ya tiene un bucket de Amazon S3, puede utilizarlo. Si no dispone de un bucket, puede crear un bucket. También puede hacer que se cree automáticamente un bucket cuando añada la opción SQLSERVER_BACKUP_RESTORE mediante la AWS Management Console.

    Para obtener más información sobre el uso de S3, consulte la Guía del usuario de Amazon Simple Storage Service.

  2. Un rol de AWS Identity and Access Management (IAM) para acceder al bucket.

    Si ya tiene un rol de IAM, puede utilizarlo. También puede elegir que un nuevo rol de IAM se cree en su nombre cuando se agregue la opción SQLSERVER_BACKUP_RESTORE mediante la AWS Management Console. Si lo desea, puede crear uno nuevo manualmente.

    Si desea crear un nuevo rol de IAM manualmente, siga las indicaciones de la siguiente sección. Haga lo mismo si desea asociar relaciones de confianza y directivas de permisos a un rol de IAM existente.

  3. La opción SQLSERVER_BACKUP_RESTORE añadida a un grupo de opciones en la instancia de base de datos.

    Para activar la copia de seguridad y la restauración nativas en la instancia de base de datos, añada la opción SQLSERVER_BACKUP_RESTORE a un grupo de opciones en la instancia de base de datos. Para obtener más información e instrucciones, consulte Compatibilidad con copia de seguridad y restauración nativas en SQL Server.

Creación manual de un rol de IAM para la copia de seguridad y la restauración nativas

Si desea crear manualmente un nuevo rol de IAM para utilizarlo con la copia de seguridad y la restauración nativas, puede hacerlo. En este caso, se crea un rol para delegar los permisos desde el servicio de Amazon RDS a su bucket de Amazon S3. Cuando cree un rol de IAM, asocie una relación de confianza y una política de permisos. La relación de confianza permite que RDS adopte este rol. La política de permisos define las acciones que puede realizar este rol. Para obtener más información acerca de cómo crear un rol, consulte Crear un rol para delegar permisos a un servicio AWS.

En el caso de la copia de seguridad y la restauración nativas, utilice relacione de confianza y políticas de permisos similares a las de los ejemplos de esta sección. En el ejemplo siguiente, vamos a usar el nombre de la entidad principal de servicio, rds.amazonaws.com, como alias de todas las cuentas del servicio. En los otros ejemplos, especificamos un Nombre de recurso de Amazon (ARN) para identificar otra cuenta, usuario o función con acceso a la política de confianza.

Le recomendamos que utilice las claves de contexto de condición globales de aws:SourceArn y aws:SourceAccount en las relaciones de confianza basadas en recursos para limitar los permisos del servicio a un recurso específico. Esta es la forma más eficaz de protegerse contra el problema del suplente confuso.

Puede utilizar claves de contexto de condición globales y hacer que el valor de aws:SourceArn contenga el ID de cuenta. En estos casos, el valor de aws:SourceAccount y la cuenta del valor de aws:SourceArn deben utilizar el mismo ID de cuenta cuando se utilizan en la misma instrucción.

  • Use aws:SourceArn si quiere acceso entre servicios para un único recurso.

  • Use aws:SourceAccount si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.

En la relación de confianza, asegúrese de utilizar la clave de contexto de condición global aws:SourceArn con el ARN completo de los recursos que acceden al rol. Para la restauración y la copia de seguridad nativa, asegúrese de incluir tanto el grupo de opciones de base de datos como las instancias de base de datos, como se muestra en el siguiente ejemplo.

ejemplo relación de confianza con la clave de contexto de condición global para la restauración y la copia de seguridad nativa
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

En el siguiente ejemplo se utiliza un ARN para especificar un recurso. Para obtener más información sobre cómo usar ARN, consulte Nombres de recursos de Amazon (ARN).

ejemplo política de permisos para la restauración y copia de seguridad nativa sin cifrado
{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
ejemplo política de permisos para la restauración y copia de seguridad nativa con cifrado

Si desea cifrar los archivos de copia de seguridad, incluya una clave de cifrado en la política de permisos. Para obtener más información acerca de las claves de cifrado, consulte la introducción en la guía para desarrolladores de AWS Key Management Service.

nota

Debe utilizar una clave de cifrado de KMS simétrica para cifrar las copias de seguridad. Amazon RDS no admite las claves de KMS asimétricas. Para obtener más información, consulte Creación de claves KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service.

El rol de IAM también debe ser un usuario de claves y un administrador de claves de la clave de KMS; es decir, debe estar especificado en la política de claves. Para obtener más información, consulte Creación de claves KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt"
            ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}