Copier un instantané de base de données Amazon RDS Custom for SQL Server - Amazon Relational Database Service
LimitesChiffrementCopie entre régionsInstantanés d'instances de base de données créées avec des versions de moteur personnalisées () CEVAutorisations nécessairesCopier un instantané de la base

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copier un instantané de base de données Amazon RDS Custom for SQL Server

Avec RDS Custom for SQL Server, vous pouvez copier des sauvegardes automatisées et des instantanés de base de données manuels. Après avoir copié un instantané, la copie que vous créez est un instantané manuel. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.

Vous ne pouvez copier un instantané d'un même AWS compte que sur différents sites Régions AWS où RDS Custom for SQL Server est disponible. Les opérations suivantes ne sont actuellement pas prises en charge :

  • Copier des instantanés de base de données dans un même fichier Région AWS.

  • Copier des instantanés de base de données entre AWS comptes.

RDSCustom for SQL Server prend en charge la copie incrémentielle de snapshots. Pour de plus amples informations, veuillez consulter Considérations relatives à la copie incrémentielle d'instantanés.

Limites

Les limites suivantes s'appliquent à la copie d'un instantané de base de données pour RDS Custom for SQL Server :

  • Si vous supprimez un instantané source avant que l'instantané cible ne soit disponible, la copie d'instantané peut échouer. Vérifiez que le cliché cible a un statut égal à AVAILABLE avant de supprimer le cliché source.

  • Vous ne pouvez pas spécifier un nom de groupe d'options ou copier un groupe d'options dans votre demande de copie instantanée de base de données.

  • Si vous supprimez des AWS ressources dépendantes de l'instantané de base de données source avant ou pendant le processus de copie, votre demande de capture instantanée de copie peut échouer de manière asynchrone.

  • La copie d'instantanés de base de données au sein d'une même base de données n' Région AWS est actuellement pas prise en charge.

  • La copie d'instantanés de base de données entre AWS comptes n'est actuellement pas prise en charge.

Les limites liées à la copie d'un instantané de base de données pour Amazon s'appliquent RDS également à RDS Custom for SQL Server. Pour de plus amples informations, veuillez consulter Limites.

Gestion du chiffrement

Toutes les instances de base de données RDS personnalisées pour le SQL serveur et les instantanés de base de données sont chiffrés à l'aide de KMS clés. Vous ne pouvez copier un instantané chiffré que sur un instantané chiffré. Vous devez donc spécifier une KMS clé valide dans la destination de votre Région AWS demande de copie d'instantané de base de données.

L'instantané source reste chiffré pendant tout le processus de copie. Amazon RDS utilise le chiffrement d'enveloppe pour protéger les données lors de l'opération de copie avec la Région AWS KMS clé de destination spécifiée. Pour plus d'informations, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

Copie entre régions

Vous pouvez copier les instantanés de base de données entre Régions AWS. Toutefois, il existe certaines contraintes et considérations en ce qui concerne la copie d'instantanés entre régions.

Autorisation de communication RDS pour la copie Régions AWS d'instantanés

Une fois qu'une demande de copie d'instantané de base de données entre régions est traitée avec succès, RDS démarre la copie. Une demande d'autorisation RDS pour accéder à l'instantané source est créée. Cette demande d'autorisation lie l'instantané de base de données source à l'instantané de base de données cible. Cela permet RDS de copier uniquement vers le cliché cible spécifié.

RDSvérifie l'autorisation en utilisant l'rds:CrossRegionCommunicationautorisation dans le rôle lié au serviceIAM. Si la copie est autorisée, RDS vous pouvez communiquer avec la région source et terminer l'opération de copie.

RDSn'a pas accès aux instantanés de base de données qui n'étaient pas autorisés auparavant par une opyDBSnapshot requête C. L'autorisation est révoquée une fois la copie terminée.

RDSutilise le rôle lié au service pour vérifier l'autorisation dans la région source. La copie échoue si vous supprimez le rôle lié au service pendant le processus de copie.

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS Identity and Access Management utilisateur.

Utilisation des informations d'identification AWS Security Token Service

Les jetons de session provenant du point de terminaison global AWS Security Token Service (AWS STS) ne sont valides Régions AWS que s'ils sont activés par défaut (régions commerciales). Si vous utilisez les informations d'identification de l'assumeRoleAPIopération AWS STS, utilisez le point de terminaison régional si la région source est une région optionnelle. Sinon, la demande échoue. Vos informations d'identification doivent être valides dans les deux régions, ce qui n'est vrai pour les régions optionnelles que lorsque vous utilisez le point de AWS STS terminaison régional.

Pour utiliser le point de terminaison global, assurez-vous qu'il est activé dans les opérations pour les deux régions. Définissez le point de terminaison global sur « Valid in all » Régions AWS dans les paramètres du AWS STS compte.

Pour plus d'informations, consultez la section Gestion AWS STS dans et Région AWS dans le guide de AWS Identity and Access Management l'utilisateur.

Instantanés d'instances de base de données créées avec des versions de moteur personnalisées () CEV

Pour un instantané de base de données d'une instance de base de données utilisant une version de moteur personnalisée (CEV), RDS associez-le à l'CEVinstantané de base de données. Pour copier un instantané de base de données source associé à un CEV croisement Régions AWS, RDS copiez-le CEV avec le cliché de base de données source dans la région de destination.

Si vous copiez plusieurs instantanés de base de données associés à la même CEV région de destination, la première demande de copie copie les instantanés associésCEV. Le processus de copie des demandes suivantes trouve la copie initiale CEV et l'associe aux copies instantanées de base de données suivantes. La CEV copie existante doit être en AVAILABLE état pour être associée aux copies instantanées de base de données.

Pour copier un instantané de base de données associé à unCEV, la IAM politique du demandeur doit disposer des autorisations nécessaires pour autoriser à la fois la copie de l'instantané de base de données et la CEV copie associée. Les autorisations suivantes sont requises dans la IAM politique de votre demandeur pour autoriser la CEV copie associée :

  • rds:CopyCustomDBEngineVersion‐ Le IAM principal de votre demandeur doit avoir l'autorisation de copier la source CEV dans la région cible avec l'instantané de base de données source. La demande de copie instantanée échoue en raison d'erreurs d'autorisation si le IAM principal de votre demandeur n'est pas autorisé à copier la sourceCEV.

  • ec2:CreateTags‐ Le sous-jacent EC2 AMI de la source CEV est copié dans la région cible dans le cadre de la CEV copie. RDS Custom tente de baliser le AMI avec le AWSRDSCustom tag avant de copier leAMI. Assurez-vous que le IAM principal de votre demandeur est autorisé à créer la balise par rapport à la source AMI sous-jacente CEV dans la région source.

Pour plus d'informations sur les autorisations de CEV copie, consultezAccordez les autorisations requises à votre IAM directeur.

Accordez les autorisations requises à votre IAM directeur

Assurez-vous que vous disposez d'un accès suffisant pour copier un instantané de base de données RDS personnalisé pour le SQL serveur. Le IAM rôle ou l'utilisateur (appelé IAM principal) chargé de copier un instantané de base de données à l'aide de la console ou CLI doit disposer de l'une des politiques suivantes pour réussir la création d'une instance de base de données :

  • La AdministratorAccess politique ou,

  • La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDSCustom utilise ces autorisations lors de la copie d'instantanés Régions AWS. Ces autorisations configurent les ressources de votre compte qui sont requises pour les opérations RDS personnalisées. Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez AWS KMS key gestion.

L'exemple de JSON politique suivant accorde les autorisations requises en plus de la AmazonRDSFullAccess politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
Note

Assurez-vous que les autorisations répertoriées ne sont pas limitées par les politiques de contrôle des services (SCPs), les limites d'autorisation ou les politiques de session associées au IAM principal.

Si vous utilisez des conditions avec des clés contextuelles dans la IAM politique du demandeur, certaines conditions peuvent entraîner l'échec de la demande. Pour plus d'informations sur les pièges courants liés aux conditions IAM politiques, voirDemander une copie d'instantané de bases de données entre régions.

Copie d'un instantané de base de données

Utilisez les procédures suivantes pour copier un instantané de base de données. Pour chaque AWS compte, vous pouvez copier jusqu'à 20 instantanés de base de données à la fois de l'un Région AWS à l'autre. Si vous copiez un instantané de base de données vers un autre Région AWS, vous créez un instantané de base de données manuel qui y est conservé Région AWS. La copie d'un instantané de base de données depuis la source Région AWS entraîne des frais de transfert de RDS données Amazon. Pour plus d'informations sur les tarifs de transfert de données, consultez RDSles tarifs Amazon.

Une fois que la copie instantanée de base de données a été créée dans le nouveau Région AWS, elle se comporte de la même manière que tous les autres instantanés de base de données qu'elle contient. Région AWS

Vous pouvez copier un instantané de base de données à l'aide du AWS Management Console AWS CLI, ou de l'Amazon RDSAPI.

Console

La procédure suivante copie un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide du AWS Management Console.

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez le snapshot de base de données RDS personnalisé pour le SQL serveur que vous souhaitez copier.

  4. Dans le menu déroulant Actions, choisissez Copier un instantané.

    La page Copier un instantané dans la RDS console Amazon. Les paramètres sont chargés dans la page.

  5. Pour copier le snapshot de base de données vers un autre Région AWS, définissez Destination Region sur la valeur requise.

    Note

    La destination Région AWS doit disposer de la même version de moteur de base de données disponible que la source Région AWS.

  6. Pour Nouvel identifiant de capture de base de données, entrez un nom unique pour l'instantané de base de données. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.

  7. (Facultatif) Pour copier les balises et les valeurs de l'instantané vers la copie de cet instantané, choisissez Copier les balises.

  8. Pour le chiffrement, spécifiez l'identifiant de KMS clé à utiliser pour chiffrer la copie instantanée de la base de données.

    Note

    RDSCustom for SQL Server chiffre tous les instantanés de base de données. Vous ne pouvez pas créer un instantané de base de données non chiffré.

  9. Choisissez Copy snapshot (Copier un instantané).

RDSCustom for SQL Server crée une copie instantanée de base de données de votre instance de base de données dans Région AWS celle de votre sélection.

AWS CLI

Vous pouvez copier un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide de la AWS CLI commande copy-db-snapshot. Si vous copiez le cliché dans un nouveau Région AWS, exécutez la commande dans le nouveau Région AWS. Les options suivantes sont utilisées pour copier un instantané de base de données. Toutes les options ne sont pas requises pour tous les scénarios.

  • --source-db-snapshot-identifier‐ Identifiant de l'instantané de base de données source.

    • Si le cliché source est différent de Région AWS celui de la copie, spécifiez un instantané de base de données valideARN. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • --target-db-snapshot-identifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.

  • --kms-key-id‐Identifiant de KMS clé pour un instantané de base de données chiffré. L'identifiant de KMS clé est le nom de ressource Amazon (ARN), l'identifiant de clé ou l'alias de clé pour la KMS clé.

    • Si vous copiez un instantané chiffré vers un autre Région AWS, vous devez spécifier une KMS clé pour la destination Région AWS. KMSles clés sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les KMS clés multirégionales, consultez la section Utilisation des clés multirégionales dans. AWS KMS

  • --copy-tags‐ Incluez les balises et les valeurs de l'instantané source dans la copie de l'instantané.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS personnalisé pour le SQL serveur :

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

L'exemple de code suivant copie un instantané de base de données chiffré de la région USA Ouest (Oregon) vers la région USA Est (Virginie du Nord). Exécutez la commande dans la région de destination (us-east-1).

Pour Linux, macOS ou Unix :

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Pour Windows :

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

Vous pouvez copier un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide de RDS API l'opération Amazon opyDBSnapshotC. Si vous copiez le cliché dans un nouveau Région AWS, effectuez l'action dans le nouveau Région AWS. Les paramètres suivants sont utilisés pour copier un instantané de base de données. Tous les paramètres ne sont pas obligatoires :

  • SourceDBSnapshotIdentifier‐ Identifiant de l'instantané de base de données source.

    • Si le cliché source est différent de Région AWS celui de la copie, spécifiez un instantané de base de données valideARN. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • TargetDBSnapshotIdentifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.

  • KmsKeyId‐ Identifiant de KMS clé pour un instantané de base de données chiffré. L'identifiant de KMS clé est le nom de ressource Amazon (ARN), l'identifiant de clé ou l'alias de clé pour la KMS clé.

    • Si vous copiez un instantané chiffré vers un autre Région AWS, vous devez spécifier une KMS clé pour la destination Région AWS. KMSles clés sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les KMS clés multirégionales, consultez la section Utilisation des clés multirégionales dans. AWS KMS

  • CopyTags‐ Définissez ce paramètre sur true pour copier les balises et les valeurs de l'instantané source vers la copie de l'instantané. L’argument par défaut est false.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS personnalisé pour le SQL serveur :

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

Le code suivant crée une copie d'instantané, avec le nouveau nom mydbsnapshotcopy, dans la région US East (N. Virginia).

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf