Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Compartir una instantánea de clúster de base de datos

PDF
RSS
Modo de enfoque
Compartir una instantánea de clúster de base de datos - Amazon Neptune
Instantáneas cifradasUso compartido

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Al utilizar Neptune, puede compartir una instantánea manual de clúster de base de datos de las siguientes maneras:

  • Compartir una instantánea manual de un clúster de base de datos, ya sea cifrada o no, permite a AWS las cuentas autorizadas copiar la instantánea.

  • Al compartir una instantánea manual de un clúster de base de datos, ya sea cifrada o no, las AWS cuentas autorizadas pueden restaurar directamente un clúster de base de datos a partir de la instantánea, en lugar de tomar una copia y restaurarla a partir de ella.

nota

Para compartir una instantánea automatizada de clúster de base de datos, cree una instantánea manual de clúster de base de datos al copiar la instantánea automatizada y, a continuación, comparta esa copia.

Para obtener más información sobre cómo restaurar un clúster de base de datos a partir de una instantánea de clúster de base de datos, consulte Cómo realizar la restauración a partir de una instantánea.

Puede compartir una instantánea manual con hasta 20 AWS cuentas más. También puedes compartir una instantánea manual sin cifrar como pública, lo que hace que la instantánea esté disponible para todas las AWS cuentas. Al compartir una instantánea como pública, tenga cuidado de que no incluya información confidencial.

nota

Al restaurar un clúster de base de datos a partir de una instantánea compartida mediante la API AWS Command Line Interface (AWS CLI) o Neptune, debe especificar el nombre de recurso de Amazon (ARN) de la instantánea compartida como identificador de la instantánea.

Uso compartido de una instantánea de clúster de base de datos cifrada

Puede compartir instantáneas de clúster de base de datos que se han cifrado "en reposo" utilizando el algoritmo de cifrado AES-256. Para obtener más información, consulte Cifrado de datos en reposo en la base de datos de Amazon Neptune. Para ello, debe seguir estos pasos:

  1. Comparta la clave de cifrado AWS Key Management Service (AWS KMS) que se utilizó para cifrar la instantánea con las cuentas a las que desee que puedan acceder a la instantánea.

    Puede compartir las claves de AWS KMS cifrado con otra AWS cuenta añadiendo la otra cuenta a la política de claves de KMS. Para obtener información detallada sobre cómo actualizar una política de claves, consulte Políticas de claves en la Guía para desarrolladores de AWS KMS . Para ver un ejemplo de cómo crear una política de claves, consulte Creación de una política de IAM para permitir la copia de la instantánea cifrada más adelante en este tema.

  2. Usa la API AWS Management Console AWS CLI, o Neptune para compartir la instantánea cifrada con las demás cuentas.

Estas restricciones se aplican al uso compartido de instantáneas cifradas:

  • No se pueden compartir instantáneas cifradas como públicas.

  • No puede compartir una instantánea que se haya cifrado con la clave de AWS KMS cifrado predeterminada de la AWS cuenta que compartió la instantánea.

Permitir el acceso a una clave AWS KMS de cifrado

Para que otra AWS cuenta copie una instantánea de un clúster de base de datos cifrada compartida desde su cuenta, la cuenta con la que comparta la instantánea debe tener acceso a la clave de KMS que cifró la instantánea. Para permitir que otra AWS cuenta acceda a una AWS KMS clave, actualice la política de claves de la clave de KMS con el ARN de la AWS cuenta con la que está compartiendo, como figura Principal en la política de claves de KMS. A continuación, permita la acción kms:CreateGrant. Consulte Allowing users in other accounts to use a KMS key en la Guía para desarrolladores de AWS Key Management Service para conocer las instrucciones generales.

Una vez que hayas dado a una AWS cuenta acceso a tu clave de cifrado de KMS, para copiar la instantánea cifrada, esa AWS cuenta debe crear un usuario de IAM si aún no lo tiene. Las restricciones de seguridad de KMS no permiten utilizar la identidad de una AWS cuenta raíz para ello. La AWS cuenta también debe adjuntar una política de IAM a ese usuario de IAM que le permita copiar una instantánea de un clúster de base de datos cifrada con su clave de KMS.

En el siguiente ejemplo de política de claves, el usuario 111122223333 es el propietario de la clave de cifrado de KMS, y el usuario 444455556666 es la cuenta con la que se comparte la clave. Esta política de claves actualizada da a la AWS cuenta acceso a la clave de KMS al incluir el ARN de la identidad de la AWS cuenta raíz del Principal usuario 444455556666 como política y al permitir la kms:CreateGrant acción. 

{
  "Id": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUseOfTheKey",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/KeyUser",
        "arn:aws:iam::444455556666:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAttachmentOfPersistentResources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/KeyUser",
        "arn:aws:iam::444455556666:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}

Creación de una política de IAM para permitir la copia de la instantánea cifrada

Una vez que la AWS cuenta externa tenga acceso a tu clave de KMS, el propietario de esa cuenta puede crear una política que permita a un usuario de IAM creado para la cuenta copiar una instantánea cifrada con esa clave de KMS.

En el siguiente ejemplo, se muestra una política que puede asociarse a un usuario de IAM para la cuenta de AWS 444455556666. Permite al usuario de IAM copiar una instantánea compartida de la cuenta de AWS 111122223333 que se ha cifrado con la clave de KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 en la región us-west-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Para obtener información detallada sobre cómo actualizar una política de claves, consulte Políticas de claves en la Guía para desarrolladores de AWS Key Management Service .

Compartir una instantánea de clúster de base de datos

Puede compartir una instantánea de un clúster de base de datos mediante la AWS Management Console AWS CLI, la o la API de Neptune.

Uso de la consola para compartir una instantánea de clúster de base de datos

Con la consola de Neptune, puede compartir una instantánea manual de clúster de base de datos con un máximo de 20 cuentas de AWS . También puede dejar de compartir una instantánea manual con una o varias cuentas.

Compartir una instantánea manual de un clúster de base de datos

  1. Inicie sesión en la consola AWS de administración y abra la consola de Amazon Neptune en https://console.aws.amazon.com/neptune/ casa.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Elija la instantánea manual que desea compartir.

  4. Elija Actions (Acciones), Share Snapshot (Compartir instantánea).

  5. Elija una de las siguientes opciones para DB Snapshot Visibility (Visibilidad de instantánea de base de datos).

    • Si el origen no está cifrado, elija Público para permitir que todas las cuentas de AWS restauren un clúster de base de datos a partir de su instantánea manual de clúster de base de datos. O bien, elija Privada para permitir que solo AWS las cuentas que usted especifique restauren un clúster de base de datos a partir de la instantánea manual del clúster de base de datos.

      aviso

      Si establece la visibilidad de la instantánea de base de datos en Pública, todas AWS las cuentas pueden restaurar un clúster de base de datos a partir de la instantánea manual del clúster de base de datos y tener acceso a sus datos. No comparta como Public (Pública) ninguna instantánea de clúster de base de datos manual que contenga información confidencial.

    • Si el original está cifrado, DB Snapshot Visibility (Visibilidad de instantánea de base de datos) se establece en Private (Privada), ya que las instantáneas cifradas no se pueden compartir como públicas.

  6. En el AWS campo ID de cuenta, introduzca el AWS identificador de la cuenta a la que desee permitir que restaure un clúster de base de datos a partir de su instantánea manual. A continuación, elija Add (Añadir). Repita este procedimiento para incluir identificadores de AWS cuenta adicionales, hasta 20 AWS cuentas.

    Si cometes un error al añadir un identificador de AWS cuenta a la lista de cuentas permitidas, puedes eliminarlo de la lista seleccionando Eliminar a la derecha del identificador de AWS cuenta incorrecto.

  7. Tras añadir los identificadores de todas las AWS cuentas a las que desee permitir la restauración manual de la instantánea, seleccione Guardar.

Para dejar de compartir una instantánea manual de un clúster de base de datos con una cuenta AWS

  1. Abre la consola Amazon Neptune en https://console.aws.amazon.com/neptune/ casa.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Elija la instantánea manual que desea dejar de compartir.

  4. Elija Actions (Acciones) y, a continuación, elija Share Snapshot (Compartir instantánea).

  5. Para eliminar el permiso de una AWS cuenta, seleccione Eliminar como identificador de AWS cuenta de esa cuenta en la lista de cuentas autorizadas.

  6. Seleccione Guardar.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.