Copier un instantané de base de données Amazon RDS Custom for SQL Server - Amazon Relational Database Service
LimitesChiffrementCopie entre régionsInstantanés d'instances de base de données créées avec des versions de moteur personnalisées () CEVAutorisations nécessairesCopier un instantané de la base

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copier un instantané de base de données Amazon RDS Custom for SQL Server

Avec RDS Custom for SQL Server, vous pouvez copier des sauvegardes automatisées et des instantanés de base de données manuels. Après avoir copié un instantané, la copie que vous créez est un instantané manuel. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.

Vous ne pouvez copier un instantané que dans le même AWS compte sur différents Régions AWS où RDS Custom for SQL Server est disponible. Les opérations suivantes ne sont actuellement pas prises en charge :

  • Copier des instantanés de base de données dans un même Région AWS.

  • Copier des instantanés de base de données AWS comptes.

RDSCustom for SQL Server prend en charge la copie incrémentielle de snapshots. Pour de plus amples informations, veuillez consulter Copie d'instantané incrémentielle.

Limites

Les limites suivantes s'appliquent à la copie d'un instantané de base de données pour RDS Custom for SQL Server :

  • Si vous supprimez un instantané source avant que l'instantané cible ne soit disponible, la copie d'instantané peut échouer. Vérifiez que le cliché cible a un statut égal à AVAILABLE avant de supprimer le cliché source.

  • Vous ne pouvez pas spécifier un nom de groupe d'options ou copier un groupe d'options dans votre demande de copie instantanée de base de données.

  • Si vous supprimez une personne à charge AWS ressources de l'instantané de base de données source avant ou pendant le processus de copie, votre demande de capture instantanée de copie peut échouer de manière asynchrone.

  • Copier des instantanés de base de données dans un même Région AWS n'est actuellement pas pris en charge.

  • Copier des instantanés de base de données AWS les comptes ne sont actuellement pas pris en charge.

Les limites liées à la copie d'un instantané de base de données pour Amazon s'appliquent RDS également à RDS Custom for SQL Server. Pour de plus amples informations, veuillez consulter Limites.

Gestion du chiffrement

Toutes les instances de base de données RDS personnalisées pour le SQL serveur et les instantanés de base de données sont chiffrés à l'aide de KMS clés. Vous ne pouvez copier un instantané chiffré que vers un instantané chiffré. Vous devez donc spécifier une KMS clé valide dans la destination Région AWS pour votre demande de copie d'instantané de base de données.

L'instantané source reste chiffré pendant tout le processus de copie. Amazon RDS utilise le chiffrement d'enveloppe pour protéger les données lors de l'opération de copie avec la destination spécifiée Région AWS KMSclé. Pour plus d'informations, consultez la section Chiffrement des enveloppes dans le AWS Key Management Service Guide du développeur.

Copie entre régions

Vous pouvez copier des instantanés de base de données sur Régions AWS. Cependant, certaines contraintes et considérations s'appliquent à la copie d'instantanés entre régions.

Autorisation de RDS communiquer entre Régions AWS pour la copie d'instantanés

Une fois qu'une demande de copie d'instantané de base de données entre régions est traitée avec succès, RDS démarre la copie. Une demande d'autorisation RDS pour accéder à l'instantané source est créée. Cette demande d'autorisation lie l'instantané de base de données source à l'instantané de base de données cible. Cela permet RDS de copier uniquement vers le cliché cible spécifié.

RDSvérifie l'autorisation en utilisant l'rds:CrossRegionCommunicationautorisation dans le rôle lié au serviceIAM. Si la copie est autorisée, RDS vous pouvez communiquer avec la région source et terminer l'opération de copie.

RDSn'a pas accès aux instantanés de base de données qui n'étaient pas autorisés auparavant par une opyDBSnapshot requête C. L'autorisation est révoquée une fois la copie terminée.

RDSutilise le rôle lié au service pour vérifier l'autorisation dans la région source. La copie échoue si vous supprimez le rôle lié au service pendant le processus de copie.

Pour plus d'informations, consultez la section Utilisation de rôles liés à un service dans le AWS Identity and Access Management Guide de l'utilisateur.

Utilisation AWS Security Token Service informations d'identification

Jetons de session provenant du monde entier AWS Security Token Service (AWS STS) les points de terminaison ne sont valides que dans Régions AWS qui sont activées par défaut (régions commerciales). Si vous utilisez les informations d'identification issues de l'assumeRoleAPIopération dans AWS STS, utilisez le point de terminaison régional si la région source est une région optionnelle. Sinon, la demande échoue. Vos informations d'identification doivent être valides dans les deux régions, ce qui n'est vrai pour les régions optionnelles que lorsque vous utilisez la région AWS STS point final.

Pour utiliser le point de terminaison global, assurez-vous qu'il est activé dans les opérations pour les deux régions. Définissez le point de terminaison global sur « Valid in all » Régions AWS dans le AWS STS paramètres du compte.

Pour plus d'informations, voir Gestion AWS STS dans un Région AWS dans le .AWS Identity and Access Management Guide de l'utilisateur.

Instantanés d'instances de base de données créées avec des versions de moteur personnalisées () CEV

Pour un instantané de base de données d'une instance de base de données utilisant une version de moteur personnalisée (CEV), RDS associez-le à l'CEVinstantané de base de données. Pour copier un instantané de base de données source associé à un CEV cross Régions AWS, RDS copie le snapshot de base de données source CEV ainsi que le snapshot dans la région de destination.

Si vous copiez plusieurs instantanés de base de données associés à la même CEV région de destination, la première demande de copie copie les instantanés associésCEV. Le processus de copie des demandes suivantes trouve la copie initiale CEV et l'associe aux copies instantanées de base de données suivantes. La CEV copie existante doit être en AVAILABLE état pour être associée aux copies instantanées de base de données.

Pour copier un instantané de base de données associé à unCEV, la IAM politique du demandeur doit disposer des autorisations nécessaires pour autoriser à la fois la copie de l'instantané de base de données et la CEV copie associée. Les autorisations suivantes sont requises dans la IAM politique de votre demandeur pour autoriser la CEV copie associée :

  • rds:CopyCustomDBEngineVersion‐ Le IAM principal de votre demandeur doit avoir l'autorisation de copier la source CEV dans la région cible avec l'instantané de base de données source. La demande de copie instantanée échoue en raison d'erreurs d'autorisation si le IAM principal de votre demandeur n'est pas autorisé à copier la sourceCEV.

  • ec2:CreateTags‐ Le sous-jacent EC2 AMI de la source CEV est copié dans la région cible dans le cadre de la CEV copie. RDSCustom tente de baliser le AMI avec le AWSRDSCustom tag avant de copier leAMI. Assurez-vous que le IAM principal de votre demandeur est autorisé à créer la balise par rapport à la source AMI sous-jacente CEV dans la région source.

Pour plus d'informations sur les autorisations de CEV copie, consultezAccordez les autorisations requises à votre IAM directeur.

Accordez les autorisations requises à votre IAM directeur

Assurez-vous que vous disposez d'un accès suffisant pour copier un instantané de base de données RDS personnalisé pour le SQL serveur. Le IAM rôle ou l'utilisateur (appelé IAM principal) chargé de copier un instantané de base de données à l'aide de la console ou CLI doit disposer de l'une des politiques suivantes pour réussir la création d'une instance de base de données :

  • La AdministratorAccess politique ou,

  • La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDSCustom utilise ces autorisations lors de la copie d'instantanés Régions AWS. Ces autorisations configurent les ressources de votre compte qui sont requises pour les opérations RDS personnalisées. Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez AWS KMS key management.

L'exemple de JSON politique suivant accorde les autorisations requises en plus de la AmazonRDSFullAccess politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
Note

Assurez-vous que les autorisations répertoriées ne sont pas limitées par les politiques de contrôle des services (SCPs), les limites d'autorisation ou les politiques de session associées au IAM principal.

Si vous utilisez des conditions avec des clés contextuelles dans la IAM politique du demandeur, certaines conditions peuvent entraîner l'échec de la demande. Pour plus d'informations sur les pièges courants liés aux conditions IAM politiques, voirDemander une copie d'instantané de bases de données entre régions.

Copie d'un instantané de base de données

Utilisez les procédures suivantes pour copier un instantané de base de données. Pour chacun AWS compte, vous pouvez copier jusqu'à 20 instantanés de base de données à la fois à partir d'un Région AWS à un autre. Si vous copiez un instantané de base de données vers un autre Région AWS, vous créez un instantané de base de données manuel qui est conservé dans ce Région AWS. Copier un instantané de base de données depuis la source Région AWS entraîne des frais de transfert RDS de données Amazon. Pour plus d'informations sur les tarifs de transfert de données, consultez RDSles tarifs Amazon.

Une fois que la copie instantanée de la base de données a été créée dans le nouveau Région AWS, la copie instantanée de base de données se comporte de la même manière que tous les autres instantanés de base de données en ce sens que Région AWS.

Vous pouvez copier un instantané de base de données à l'aide du AWS Management Console, AWS CLI, ou l'Amazon RDSAPI.

Console

La procédure suivante copie un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide du AWS Management Console.

  1. Connectez-vous au AWS Management Console et ouvrez la RDS console Amazon à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez le snapshot de base de données RDS personnalisé pour le SQL serveur que vous souhaitez copier.

  4. Dans le menu déroulant Actions, choisissez Copier un instantané.

    La page Copier un instantané dans la RDS console Amazon. Les paramètres sont chargés dans la page.

  5. Pour copier le snapshot de base de données vers un autre Région AWS, définissez Destination Region sur la valeur requise.

    Note

    La destination Région AWS doit disposer de la même version de moteur de base de données disponible que la source Région AWS.

  6. Pour Nouvel identifiant de capture de base de données, entrez un nom unique pour l'instantané de base de données. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.

  7. (Facultatif) Pour copier les balises et les valeurs de l'instantané vers la copie de cet instantané, choisissez Copier les balises.

  8. Pour le chiffrement, spécifiez l'identifiant de KMS clé à utiliser pour chiffrer la copie instantanée de la base de données.

    Note

    RDSCustom for SQL Server chiffre tous les instantanés de base de données. Vous ne pouvez pas créer un instantané de base de données non chiffré.

  9. Choisissez Copy snapshot (Copier un instantané).

RDSCustom for SQL Server crée une copie instantanée de base de données de votre instance de base de données dans Région AWS de votre sélection.

AWS CLI

Vous pouvez copier un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide du AWS CLI commande copy-db-snapshot. Si vous copiez le cliché dans un nouveau Région AWS, exécutez la commande dans le nouveau Région AWS. Les options suivantes sont utilisées pour copier un instantané de base de données. Toutes les options ne sont pas requises pour tous les scénarios.

  • --source-db-snapshot-identifier‐ Identifiant de l'instantané de base de données source.

    • Si l'instantané source se trouve dans un autre Région AWS par rapport à la copie, spécifiez un instantané de base de données valideARN. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • --target-db-snapshot-identifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.

  • --kms-key-id‐Identifiant de KMS clé pour un instantané de base de données chiffré. L'identifiant de KMS clé est le nom de ressource Amazon (ARN), l'identifiant de clé ou l'alias de clé pour la KMS clé.

    • Si vous copiez un instantané chiffré vers un autre Région AWS, vous devez alors spécifier une KMS clé pour la destination Région AWS. KMSles clés sont spécifiques au Région AWS dans lesquels ils sont créés et vous ne pouvez pas utiliser les clés de chiffrement d'un Région AWS dans un autre Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les KMS clés multirégionales, voir Utilisation des clés multirégionales dans AWS KMS.

  • --copy-tags‐ Incluez les balises et les valeurs de l'instantané source dans la copie de l'instantané.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS personnalisé pour le SQL serveur :

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

L'exemple de code suivant copie un instantané de base de données chiffré de la région USA Ouest (Oregon) vers la région USA Est (Virginie du Nord). Exécutez la commande dans la région de destination (us-east-1).

Pour Linux, macOS ou Unix :

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Pour Windows :

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

Vous pouvez copier un instantané de base de données RDS personnalisé pour le SQL serveur à l'aide de RDS API l'opération Amazon opyDBSnapshotC. Si vous copiez le cliché dans un nouveau Région AWS, effectuez l'action dans le nouveau Région AWS. Les paramètres suivants sont utilisés pour copier un instantané de base de données. Tous les paramètres ne sont pas obligatoires :

  • SourceDBSnapshotIdentifier‐ Identifiant de l'instantané de base de données source.

    • Si l'instantané source se trouve dans un autre Région AWS par rapport à la copie, spécifiez un instantané de base de données valideARN. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • TargetDBSnapshotIdentifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.

  • KmsKeyId‐ Identifiant de KMS clé pour un instantané de base de données chiffré. L'identifiant de KMS clé est le nom de ressource Amazon (ARN), l'identifiant de clé ou l'alias de clé pour la KMS clé.

    • Si vous copiez un instantané chiffré vers un autre Région AWS, vous devez alors spécifier une KMS clé pour la destination Région AWS. KMSles clés sont spécifiques au Région AWS dans lesquels ils sont créés et vous ne pouvez pas utiliser les clés de chiffrement d'un Région AWS dans un autre Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les KMS clés multirégionales, voir Utilisation des clés multirégionales dans AWS KMS.

  • CopyTags‐ Définissez ce paramètre sur true pour copier les balises et les valeurs de l'instantané source vers la copie de l'instantané. L’argument par défaut est false.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS personnalisé pour le SQL serveur :

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

Le code suivant crée une copie d'instantané, avec le nouveau nom mydbsnapshotcopy, dans la région US East (N. Virginia).

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf