Limitaciones Cifrado Copias entre regiones Instantáneas de instancias de base de datos creadas con versiones de motor personalizadas (CEV)Permisos necesarios Copia de instantánea de base de datos

Copia de una instantánea de base de datos de Amazon RDS Custom para SQL Server

Con RDS Custom para SQL Server, puede realizar copias de seguridad automatizadas e instantáneas de bases de datos manuales. Después de copiar una instantánea, la copia será una instantánea manual. Puede realizar varias copias de una copia de seguridad automatizada o instantánea manual, pero cada copia debe tener un identificador único.

Solo puede copiar una instantánea en la misma cuenta de AWS en Regiones de AWS en las que RDS Custom para SQL Server esté disponible. Actualmente, las siguientes operaciones no están disponibles:

Copiar instantáneas de bases de datos dentro de la misma Región de AWS.
Copiar instantáneas de bases de datos entre cuentas de AWS.

RDS Custom para SQL Server admite la copia incremental de instantáneas. Para obtener más información, consulte Aspectos a tener en cuenta sobre la copia de instantáneas incrementales.

Temas

Limitaciones
Tratamiento del cifrado
Copias entre regiones
Instantáneas de instancias de base de datos creadas con versiones de motor personalizadas (CEV)
Concesión de los permisos necesarios a la entidad principal de IAM
Copia de una instantánea de base de datos

Limitaciones

Las siguientes limitaciones se aplican a la copia de una instantánea de base de datos para RDS Custom para SQL Server:

Si elimina una instantánea de origen antes de que la instantánea de destino esté disponible, la copia de la instantánea podría generar un error. Compruebe que la instantánea de destino tenga el estado AVAILABLE antes de eliminar la instantánea de origen.
No puede especificar un nombre de grupo de opciones ni copiar un grupo de opciones en su solicitud de copia de instantánea de base de datos.
Si elimina algún recurso de AWS dependiente de la instantánea de base de datos de origen antes del proceso de copia o durante este, la solicitud de copia de la instantánea podría fallar de forma asíncrona.
- Si elimina el archivo de copia de seguridad de clave maestra de servicio (SMK) de la instancia de base de datos de origen almacenada en el bucket de S3 administrado por RDS Custom en su cuenta, la copia de la instantánea de base de datos se realizará correctamente de forma asíncrona. Sin embargo, las características de SQL Server que dependen de la SMK, como las bases de datos compatibles con TDE, tendrán problemas. Para obtener más información, consulte Resolución del problema PENDING_RECOVERY en bases de datos habilitadas para TDE en RDS Custom para SQL Server.
Actualmente, no se admite la copia de instantáneas de bases de datos dentro de la misma Región de AWS.
Actualmente, no se admite la copia de instantáneas de bases de datos entre cuentas de AWS.

Las limitaciones de copia de una instantánea de base de datos para Amazon RDS también se aplican a RDS Custom para SQL Server. Para obtener más información, consulte Limitaciones.

Tratamiento del cifrado

Todas las instancias de base de datos de RDS Custom para SQL Server se cifran con claves de KMS. Solo puede copiar una instantánea cifrada en una instantánea cifrada, por lo que debe especificar una clave de KMS valida en la Región de AWS de destino de la solicitud de copia de instantánea de base de datos.

La instantánea de origen permanece cifrada durante todo el proceso de copia. Amazon RDS utiliza el cifrado de sobre para proteger los datos durante la operación de copia con la clave de KMS de la Región de AWS de destino especificada. Para obtener más información, consulte Cifrado de sobre en la Guía para desarrolladores de AWS Key Management Service.

Copias entre regiones

Puede copiar instantáneas de base de datos en Regiones de AWS. Sin embargo, existen ciertas restricciones y consideraciones para la copia de instantáneas entre regiones.

Autorización de RDS para comunicarse entre Regiones de AWS para la copia de instantáneas

Cuando una solicitud de copia de instantánea de base de datos entre regiones se procesa correctamente, RDS inicia la copia. Se crea una solicitud de autorización para que RDS acceda a la instantánea de origen. Esta solicitud de autorización vincula la instantánea de base de datos de origen a la instantánea de base de datos de destino. Esto permite que RDS realice la copia solo en la instantánea de destino especificada.

RDS verifica la autorización mediante el permiso rds:CrossRegionCommunication en el rol de IAM vinculado al servicio. Si la copia está autorizada, RDS se comunica con la región de origen y completa la copia.

RDS no tiene acceso a instantáneas de base de datos que no estaban autorizadas previamente por una solicitud CopyDBSnapshot. La autorización se revoca cuando se completa la copia.

RDS utiliza el rol vinculado a servicios para verificar la autorización en la región de origen. La copia falla si elimina el rol vinculado al servicio durante el proceso de copia.

Para obtener más información, consulte Creación de un rol vinculado al servicio en la Guía del usuario de AWS Identity and Access Management.

Uso de credenciales de AWS Security Token Service

Los tokens de sesión del punto de conexión global de AWS Security Token Service (AWS STS) son válidos únicamente en Regiones de AWS que están habilitadas de forma predeterminada (regiones comerciales). Si utiliza credenciales de la operación de la API assumeRole en AWS STS, utilice el punto de conexión regional si la región de origen es una región registrada. De lo contrario, la solicitud devuelve un error. Las credenciales deben ser válidas en ambas regiones, pero, en el caso de las regiones registradas, solo cuando utiliza el punto de conexión regional de AWS STS.

Para utilizar el punto de conexión global, asegúrese de que está habilitado para operaciones en ambas regiones. Establezca el punto de conexión global en Valid en todas las Regiones de AWS en la configuración de la cuenta de AWS STS.

Para obtener más información, consulte Administración de AWS STS en una Región de AWS en la Guía del usuario de AWS Identity and Access Management.

Instantáneas de instancias de base de datos creadas con versiones de motor personalizadas (CEV)

En el caso de una instantánea de base de datos de una instancia de base de datos que utilice una versión de motor personalizada (CEV), RDS asocia la CEV a la instantánea de base de datos. Para copiar una instantánea de base de datos de origen asociada a una CEV entre Regiones de AWS, RDS copia la CEV junto con la instantánea de base de datos de origen en la región de destino.

Si va a copiar varias instantáneas de base de datos asociadas a la misma CEV en la misma región de destino, la primera solicitud de copia realiza la copia de la CEV asociada. El proceso de copia de las siguientes solicitudes busca la CEV copiada inicialmente y la asocia a las siguientes copias de instantáneas de base de datos. La copia de la CEV existente debe tener el estado AVAILABLE para que se pueda asociar a las copias de instantáneas de base de datos.

Para copiar una instantánea de base de datos asociada a una CEV, la política de IAM del solicitante debe tener los permisos necesarios para autorizar tanto la copia de la instantánea de base de datos como la copia de la CEV asociada. La política de IAM del solicitante requiere los siguientes permisos para permitir la copia de la CEV asociada:

rds:CopyCustomDBEngineVersion: la entidad principal de IAM del solicitante debe tener permiso para copiar la CEV de origen en la región de destino junto con la instantánea de base de datos de origen. Si la entidad principal de IAM del solicitante no está autorizada a copiar la CEV de origen, la solicitud de copia de la instantánea fallará debido a errores de autorización.
ec2:CreateTags: la AMI de EC2 subyacente de la CEV de origen se copia en la región de destino como parte de la copia de la CEV. RDS Custom intenta etiquetar la AMI con la etiqueta AWSRDSCustom antes de copiarla. Asegúrese de que la entidad principal de IAM del solicitante tenga el permiso necesario para crear la etiqueta con respecto a la AMI subyacente a la CEV de origen en la región de origen.

Para obtener más información sobre los permisos de copia de CEV, consulte Concesión de los permisos necesarios a la entidad principal de IAM.

Concesión de los permisos necesarios a la entidad principal de IAM

Debe tener el acceso necesario para copiar una instantánea de base de datos de RDS Custom para SQL Server. El usuario o rol de IAM (denominado entidad principal de IAM) para copiar una instantánea de base de datos mediante la consola o la CLI debe tener una de las siguientes políticas para crear correctamente la instancia de base de datos:

La política AdministratorAccess o

La política AmazonRDSFullAccess con los siguientes permisos adicionales:


s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom utiliza estos permisos durante la copia de instantáneas entre Regiones de AWS. Estos permisos configuran los recursos de su cuenta que son necesarios para las operaciones de RDS Custom. Para obtener más información acerca del permiso de kms:CreateGrant, consulte Administración de AWS KMS key.

La siguiente política de JSON de muestra otorga los permisos necesarios además de la política AmazonRDSFullAccess.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

nota

Asegúrese de que los permisos enumerados no están restringidos por las políticas de control de servicio (SCP), los límites de los permisos o las políticas de sesión asociadas a la entidad principal de IAM.

Si utiliza condiciones con claves de contexto en la política de IAM del solicitante, ciertas condiciones pueden provocar un error en la solicitud. Para obtener más información sobre los errores más comunes debidos a las condiciones de la política de IAM, consulte Solicitudes de copia de instantáneas de base de datos entre regiones.

Copia de una instantánea de base de datos

Utilice el siguiente procedimiento para copiar una instantánea de base de datos. Para cada cuenta AWS, puede copiar hasta 20 instantáneas de base de datos a la vez de una Región de AWS a otra. Si copia una instantánea de base de datos en otra Región de AWS, crea una instantánea de base de datos manual que se conserva en esa Región de AWS. Al copiar una instantánea de base de datos fuera de la Región de AWS origen, se producen cargos por transferencia de datos de Amazon RDS. Para obtener más información acerca de los precios de las transferencias de datos, consulte Precios de Amazon RDS.

Una vez que la copia de la instantánea de base de datos se ha creado en la nueva Región de AWS, la copia de la instantánea de base de datos se comporta como las demás instantáneas de base de datos de esa Región de AWS.

Puede copiar una instantánea de base de datos usando la AWS Management Console, la AWS CLI o la API de RDS.

Console

El siguiente procedimiento copia una instantánea de base de datos de RDS Custom para SQL Server con la AWS Management Console.

Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.
En el panel de navegación, elija Snapshots (Instantáneas).
Seleccione la instantánea de base de datos de RDS Custom para SQL Server que desea copiar.
En el menú desplegable Acciones, seleccione Copiar instantánea.
Para copiar la instantánea de base de datos en una Región de AWS diferente, establezca Región de destino en el valor necesario.

nota
La Región de AWS de destino debe tener la misma versión del motor de base de datos disponible que la Región de AWS de origen.
En Nuevo identificador de instantánea de base de datos, introduzca un nombre único para la instantánea de base de datos. Puede realizar varias copias de una copia de seguridad automatizada o instantánea manual, pero cada copia debe tener un identificador único.
(Opcional) Seleccione Copy Tags (Copiar etiquetqas) para copiar las etiquetas y los valores de la instantánea en la copia de la instantánea.
En Cifrado, especifique el identificador de la clave de KMS que se debe utilizar para cifrar la copia de la instantánea de base de datos.

nota
RDS Custom para SQL Server cifra todas las instantáneas de base de datos. No puede crear una instantánea de base de datos sin cifrar.
Elija Copy Snapshot (Copiar instantánea).

RDS Custom para SQL Server crea una copia de instantánea de base de datos de la instancia de base de datos en la Región de AWS que seleccione.

AWS CLI

Puede copiar una instantánea de base de datos de RDS Custom para SQL Server usando el comando copy-db-snapshot de la AWS CLI. Si desea copiar la instantánea en una nueva Región de AWS, ejecute el comando en la nueva Región de AWS. Las siguientes opciones se usan para copiar una instantánea de base de datos. No todas las opciones son necesarias para todos los escenarios.

--source-db-snapshot-identifier: identificador de la instantánea de base de datos de origen.
- Si la instantánea de origen está en una Región de AWS distinta de la de la copia, especifique un ARN de instantánea de base de datos válido. Por ejemplo, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
--target-db-snapshot-identifier: identificador de la nueva copia de la instantánea de base de datos.
--kms-key-id: identificador de la clave de KMS de una instantánea de base de datos cifrada. El identificador de la clave de KMS es el nombre de recurso de Amazon (ARN), el identificador de la clave o el alias de clave de la clave de KMS.
- Si copia una instantánea cifrada en otra Región de AWS, debe especificar una clave de KMS para la región de Región de AWS de destino. Las claves de KMS son específicas de la Región de AWS en la que se han creado; no se pueden utilizar las claves de cifrado de una Región de AWS en otra Región de AWS a no ser que se utilice una clave multirregión. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en AWS KMS.
--copy-tags: incluya las etiquetas y los valores de la instantánea de origen en la copia de la instantánea.

Las siguientes opciones no son compatibles en la copia de una instantánea de base de datos de RDS Custom para SQL Server:

--copy-option-group
--option-group-name
--pre-signed-url
--target-custom-availability-zone

El siguiente ejemplo de código copia una instantánea de base de datos cifrada de la región Oeste de EE. UU. (Oregón) a la región Este de EE. UU. (Norte de Virginia). Ejecute el comando en la región de destino (us-east-1).

Para Linux, macOS o Unix:


aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Para Windows:


aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

RDS API

Puede copiar una instantánea de base de datos de RDS Custom para SQL Server usando la operación CopyDBSnapshot de la API de Amazon RDS. Si desea copiar la instantánea en una nueva Región de AWS, realice la acción en la nueva Región de AWS. Los siguientes parámetros se usan para copiar una instantánea de base de datos. No todos los parámetros son obligatorios:

SourceDBSnapshotIdentifier: identificador de la instantánea de base de datos de origen.
- Si la instantánea de origen está en una Región de AWS distinta de la de la copia, especifique un ARN de instantánea de base de datos válido. Por ejemplo, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
TargetDBSnapshotIdentifier: identificador de la nueva copia de la instantánea de base de datos.
KmsKeyId: identificador de la clave de KMS de una instantánea de base de datos cifrada. El identificador de la clave de KMS es el nombre de recurso de Amazon (ARN), el identificador de la clave o el alias de clave de la clave de KMS.
- Si copia una instantánea cifrada en otra Región de AWS, debe especificar una clave de KMS para la región de Región de AWS de destino. Las claves de KMS son específicas de la Región de AWS en la que se han creado; no se pueden utilizar las claves de cifrado de una Región de AWS en otra Región de AWS a no ser que se utilice una clave multirregión. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en AWS KMS.
CopyTags: defina este parámetro como true para copiar las etiquetas y los valores de la instantánea de origen en la copia de la instantánea. El valor predeterminado es false.

Las siguientes opciones no son compatibles en la copia de una instantánea de base de datos de RDS Custom para SQL Server:

CopyOptionGroup
OptionGroupName
PreSignedUrl
TargetCustomAvailabilityZone

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la región US East (N. Virginia).


https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eliminación de copias de seguridad automatizadas de RDS Custom for SQL Server

Migración de una base de datos en las instalaciones a RDS Custom for SQL Server