Configuration pour les sauvegarde et restauration natives - Amazon Relational Database Service
Création manuelle d'un rôle IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration pour les sauvegarde et restauration natives

Pour configurer la sauvegarde et la restauration natives, vous avez besoin de trois composants :

  1. Un compartiment Amazon S3 pour stocker vos fichiers de sauvegarde.

    Vous devez disposer d'un compartiment S3 à utiliser pour vos fichiers de sauvegarde, puis télécharger les sauvegardes vers lesquelles vous souhaitez migrerRDS. Si vous avez déjà un compartiment Amazon S3, vous pouvez l'utiliser. Si vous n'en avez pas, vous pouvez en créer un. Sinon, vous pouvez choisir d'avoir un compartiment créé pour vous quand vous ajoutez l'option SQLSERVER_BACKUP_RESTORE à l'aide de AWS Management Console.

    Pour obtenir des informations sur l'utilisation de S3, consultez le Guide de l'utilisateur Amazon Simple Storage Service

  2. Un rôle AWS Identity and Access Management (IAM) pour accéder au bucket.

    Si vous avez déjà un IAM rôle, vous pouvez l'utiliser. Vous pouvez choisir de créer un nouveau IAM rôle pour vous lorsque vous ajoutez l'SQLSERVER_BACKUP_RESTOREoption en utilisant le AWS Management Console. Vous pouvez également en créer un nouveau manuellement.

    Si vous souhaitez créer un nouveau IAM rôle manuellement, suivez l'approche décrite dans la section suivante. Procédez de même si vous souhaitez associer des relations de confiance et des politiques d'autorisation à un IAM rôle existant.

  3. L'option SQLSERVER_BACKUP_RESTORE ajoutée à un groupe d'options sur votre instance de base de données.

    Pour activer les sauvegarde et restauration natives sur votre instance de base de données, vous ajoutez l'option SQLSERVER_BACKUP_RESTORE à un groupe d'options sur votre instance de base de données. Pour plus d'informations et des instructions, consultez Prise en charge des sauvegarde et restauration natives dans SQL Server.

Création manuelle d'un IAM rôle pour la sauvegarde et la restauration natives

Si vous souhaitez créer manuellement un nouveau IAM rôle à utiliser avec la sauvegarde et la restauration natives, vous pouvez le faire. Dans ce cas, vous créez un rôle pour déléguer les autorisations du RDS service Amazon à votre compartiment Amazon S3. Lorsque vous créez un IAM rôle, vous lui associez une relation de confiance et une politique d'autorisation. La relation de confiance permet RDS d'assumer ce rôle. La politique d'autorisation définit les actions que ce rôle peut exécuter. Pour plus d'informations sur la création d'un rôle, consultez Création d'un rôle pour déléguer des autorisations à un service AWS.

Pour la fonction de sauvegarde et restauration native, utilisez des relations d'approbation et des stratégies d'autorisation similaires aux exemples de cette section. Dans l'exemple suivant, nous utilisons le nom principal de service rds.amazonaws.com comme alias de tous les comptes de service. Dans les autres exemples, nous indiquons un nom de ressource Amazon (ARN) pour identifier un autre compte, utilisateur ou rôle auquel nous accordons l'accès dans le cadre de la politique de confiance.

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des relations d'approbation basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.

  • Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.

  • Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

Dans la relation de confiance, veillez à utiliser la clé de contexte de condition aws:SourceArn globale avec l'ensemble ARN des ressources accédant au rôle. Pour la sauvegarde et la restauration natives, veillez à inclure à la fois le groupe d'options de base de données et les instances de base de données, comme indiqué dans l'exemple suivant.

Exemple relation d'approbation avec clé de contexte de condition globale pour la sauvegarde et la restauration natives
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

L'exemple suivant utilise an ARN pour spécifier une ressource. Pour plus d'informations sur l'utilisationARNs, consultez Amazon resource names (ARNs).

Exemple politique d'autorisation pour la sauvegarde et la restauration natives sans prise en charge du chiffrement
{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
Exemple politique d'autorisation pour la sauvegarde et la restauration natives avec prise en charge du chiffrement

Si vous souhaitez chiffrer vos fichiers de sauvegarde, incluez une clé de chiffrement dans votre stratégie d'autorisation. Pour en savoir plus sur les clés de chiffrement, consultez Mise en route dans le Manuel du développeur AWS Key Management Service .

Note

Vous devez utiliser une KMS clé de chiffrement symétrique pour chiffrer vos sauvegardes. Amazon RDS ne prend pas en charge les KMS clés asymétriques. Pour plus d'informations, consultez la section Création de KMS clés de chiffrement symétriques dans le Guide du AWS Key Management Service développeur.

Le IAM rôle doit également être un utilisateur clé et un administrateur clé pour la KMS clé, c'est-à-dire qu'il doit être spécifié dans la politique clé. Pour plus d'informations, consultez la section Création de KMS clés de chiffrement symétriques dans le Guide du AWS Key Management Service développeur.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt"
            ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}