Uso compartido de instantáneas cifradas para Amazon RDS
Puede compartir instantáneas de base de datos que se han cifrado "en reposo" utilizando el algoritmo de cifrado AES-256, como se describe en Cifrado de recursos de Amazon RDS.
Cuando se comparten instantáneas cifradas, se aplican las siguientes restricciones:
-
No se pueden compartir instantáneas cifradas como públicas.
-
No se pueden compartir instantáneas de Oracle o Microsoft SQL Server cifradas mediante el cifrado de datos transparente (TDE).
-
No se puede compartir una instantánea que se ha cifrado utilizando la clave de KMS predeterminada de la Cuenta de AWS que compartió la instantánea.
Para obtener más información sobre la administración de claves de AWS KMS para Amazon RDS, consulte Administración de AWS KMS key.
Para solucionar el problema de la clave de KMS predeterminada, realice las siguientes tareas:
Creación de una clave administrada por el cliente y concesión de acceso a ella
En primer lugar, debe crear una clave KMS personalizada en la misma Región de AWS que la instantánea de base de datos cifrada. Al crear la clave administrada por el cliente, le da acceso a ella a otra Cuenta de AWS.
Para crear una clave administrada por el cliente y dar acceso a ella
-
Inicie sesión en la AWS Management Console desde la Cuenta de AWS de origen.
-
Abra la consola de AWS KMS en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija Create key.
-
En la página Configurar clave:
-
En Tipo de clave, seleccione Simétrica.
-
En Uso de claves, seleccione Cifrar y descifrar.
-
Expanda Advanced options (Opciones avanzadas).
-
En Origen del material de claves, seleccione Externo.
-
En Regionalidad, seleccione Clave de una sola región.
-
Elija Siguiente.
-
-
En la página Agregar etiquetas:
-
Para Alias, introduzca un nombre que mostrar para su clave KMS, por ejemplo
share-snapshot
. -
(Opcional) Introduzca una descripción de su clave KMS.
-
(Opcional) Agregue etiquetas a su clave KMS.
-
Elija Siguiente.
-
-
En la página Definir permisos de administración de claves, elija Siguiente.
-
En la página Definir permisos de uso de claves:
-
En Otras Cuentas de AWS, seleccione Agregar otra Cuenta de AWS.
-
Introduzca el ID de la Cuenta de AWS a la que desee conceder acceso.
Puede conceder acceso a varias Cuentas de AWS.
-
Elija Siguiente.
-
-
Revise su clave KMS y, a continuación, seleccione Finalizar.
Copia y compartición de la instantánea desde la cuenta de origen
A continuación, debe copiar la instantánea de base de datos de origen en una nueva instantánea mediante la clave administrada por el cliente. A continuación, la debe compartir con la Cuenta de AWS de destino.
Para copiar y compartir la instantánea
-
Inicie sesión en la AWS Management Console desde la Cuenta de AWS de origen.
-
Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/
. -
En el panel de navegación, elija Instantáneas.
-
Seleccione la instantánea de base de datos que desea copiar.
-
En Actions (Acciones), elija Copy snapshot (Copiar instantánea).
-
En la página Copiar instantánea:
-
Para Región de destino, elija la Región de AWS en la que creó la clave administrada por el cliente en el procedimiento anterior.
-
Introduzca el nombre de la copia de la instantánea de base de datos en Nuevo identificador de instantánea de base de datos.
-
Para AWS KMS key, elija la clave administrada por el cliente que ha creado.
-
Elija Copy Snapshot (Copiar instantánea).
-
-
Cuando la copia de la instantánea esté disponible, selecciónela.
-
En Actions) (Acciones), elija Share Snapshot (Compartir instantánea).
-
En la página Permisos de la instantánea:
-
Introduzca el ID de la Cuenta de AWS con la que vaya a compartir la copia de la instantánea y, a continuación, seleccione Agregar.
-
Seleccione Guardar.
La instantánea ya se ha compartido.
-
Copia de la instantánea compartida en la cuenta de destino
Ahora puede copiar la instantánea compartida en la Cuenta de AWS de destino.
Para copiar la instantánea compartida
-
Inicie sesión en la AWS Management Console desde la Cuenta de AWS de destino.
-
Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/
. -
En el panel de navegación, elija Instantáneas.
-
Seleccione la pestaña Compartido conmigo.
-
Seleccione la instantánea compartida.
-
En Actions (Acciones), elija Copy snapshot (Copiar instantánea).
-
Elija la configuración para copiar la instantánea como en el procedimiento anterior, pero utilice una AWS KMS key que pertenezca a la cuenta de destino.
Elija Copy Snapshot (Copiar instantánea).