Batasan Enkripsi:Penyalinan lintas Wilayah Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom () CEV Izin yang diperlukan Salin snapshot DB

Menyalin snapshot Amazon RDS Custom untuk SQL Server DB

Dengan RDS Custom for SQL Server, Anda dapat menyalin backup otomatis dan snapshot DB manual. Setelah menyalin snapshot, salinan yang Anda buat adalah snapshot manual. Anda dapat membuat beberapa salinan cadangan otomatis atau snapshot manual tetapi setiap salinan harus memiliki pengenal unik.

Anda hanya dapat menyalin snapshot dalam AWS akun yang sama di berbagai Wilayah AWS tempat RDS Custom for SQL Server tersedia. Operasi berikut saat ini tidak didukung:

Menyalin snapshot DB dalam hal yang sama. Wilayah AWS
Menyalin snapshot DB di seluruh AWS akun.

RDSKustom untuk SQL Server mendukung penyalinan snapshot tambahan. Untuk informasi selengkapnya, lihat Pertimbangan untuk penyalinan snapshot tambahan.

Topik

Batasan
Menangani enkripsi
Penyalinan lintas Wilayah
Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom () CEV
Berikan izin yang diperlukan kepada kepala sekolah Anda IAM
Menyalin snapshot DB

Batasan

Batasan berikut berlaku untuk menyalin snapshot DB untuk RDS Custom for SQL Server:

Jika Anda menghapus snapshot sumber sebelum snapshot target tersedia, penyalinan snapshot mungkin gagal. Verifikasi bahwa snapshot target memiliki status AVAILABLE sebelum Anda menghapus snapshot sumber.
Anda tidak dapat menentukan nama grup opsi atau menyalin grup opsi dalam permintaan salinan snapshot DB Anda.
Jika Anda menghapus AWS sumber daya dependen dari snapshot DB sumber sebelum atau selama proses penyalinan, permintaan snapshot salinan Anda bisa gagal secara asinkron.
- Jika Anda menghapus file cadangan Service Master Key (SMK) untuk instans DB sumber yang disimpan di bucket S3 RDS terkelola kustom di akun Anda, salinan snapshot DB berhasil secara asinkron. Namun, fitur SQL Server SMK yang bergantung pada database yang TDE diaktifkan mengalami masalah. Untuk informasi selengkapnya, lihat Pemecahan masalah PENDING _ RECOVERY status untuk database yang TDE diaktifkan di RDS Kustom untuk Server SQL.
Menyalin snapshot DB dalam hal yang sama saat Wilayah AWS ini tidak didukung.
Menyalin snapshot DB di seluruh AWS akun saat ini tidak didukung.

Keterbatasan menyalin snapshot DB untuk Amazon RDS juga berlaku untuk RDS Kustom untuk SQL Server. Untuk informasi selengkapnya, lihat Batasan.

Menangani enkripsi

Semua instans RDS Custom for SQL Server DB dan snapshot DB dienkripsi dengan kunci. KMS Anda hanya dapat menyalin snapshot terenkripsi ke snapshot terenkripsi, oleh karena itu Anda harus menentukan KMS kunci yang valid di tujuan Wilayah AWS untuk permintaan salinan snapshot DB Anda.

Snapshot sumber tetap terenkripsi selama proses penyalinan. Amazon RDS menggunakan enkripsi amplop untuk melindungi data selama operasi penyalinan dengan Wilayah AWS KMS kunci tujuan yang ditentukan. Untuk informasi lebih lanjut, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

Penyalinan lintas Wilayah

Anda dapat menyalin snapshot DB di seluruh Wilayah AWS. Namun, ada batasan dan pertimbangan tertentu dalam penyalinan snapshot lintas Wilayah.

Otorisasi RDS untuk berkomunikasi di seluruh Wilayah AWS untuk penyalinan snapshot

Setelah permintaan salinan snapshot DB lintas wilayah diproses dengan sukses, RDS mulai salinannya. Permintaan otorisasi RDS untuk mengakses snapshot sumber dibuat. Permintaan otorisasi ini menautkan snapshot DB sumber ke snapshot DB target. Ini memungkinkan RDS untuk menyalin hanya ke snapshot target yang ditentukan.

RDSmemverifikasi otorisasi dengan menggunakan rds:CrossRegionCommunication izin dalam peran terkait layananIAM. Jika salinan diotorisasi, RDS dapat berkomunikasi dengan Wilayah sumber dan menyelesaikan operasi penyalinan.

RDStidak memiliki akses ke snapshot DB yang sebelumnya tidak diizinkan oleh permintaan CopyDBSnapshot . Otorisasi dicabut setelah salinan selesai.

RDSmenggunakan peran terkait layanan untuk memverifikasi otorisasi di Wilayah sumber. Salinan gagal jika Anda menghapus peran terkait layanan selama proses penyalinan.

Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan di AWS Identity and Access Management Panduan Pengguna.

Menggunakan kredensial AWS Security Token Service

Token sesi dari titik akhir global AWS Security Token Service (AWS STS) hanya valid di Wilayah AWS yang diaktifkan secara default (Wilayah komersial). Jika Anda menggunakan kredensyal dari assumeRole API operasi di AWS STS, gunakan titik akhir regional jika Wilayah sumber adalah Wilayah keikutsertaan. Jika tidak, permintaan akan gagal. Kredensyal Anda harus valid di kedua Wilayah, yang berlaku untuk Wilayah keikutsertaan hanya jika Anda menggunakan titik akhir regional. AWS STS

Untuk menggunakan titik akhir global, pastikan bahwa titik akhir tersebut diaktifkan untuk kedua Wilayah dalam operasi. Setel titik akhir global ke semua Valid Wilayah AWS dalam pengaturan AWS STS akun.

Untuk informasi selengkapnya, lihat Mengelola AWS STSWilayah AWS dalam Panduan AWS Identity and Access Management Pengguna.

Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom () CEV

Untuk snapshot DB dari instans DB menggunakan Custom Engine Version (CEV), RDS kaitkan CEV dengan snapshot DB. Untuk menyalin snapshot DB sumber yang terkait dengan CEV seberang Wilayah AWS, RDS salin snapshot CEV bersama dengan sumber DB ke wilayah tujuan.

Jika Anda menyalin beberapa snapshot DB yang terkait dengan yang sama CEV ke wilayah tujuan yang sama, permintaan salinan pertama menyalin yang terkait. CEV Proses penyalinan permintaan berikut menemukan yang awalnya disalin CEV dan mengaitkannya dengan salinan snapshot DB berikut. CEVSalinan yang ada harus dalam AVAILABLE keadaan terkait dengan salinan snapshot DB.

Untuk menyalin snapshot DB yang terkait dengan aCEV, IAM kebijakan pemohon harus memiliki izin untuk mengotorisasi penyalinan snapshot DB dan penyalinan terkait. CEV Izin berikut diperlukan dalam IAM kebijakan pemohon Anda untuk mengizinkan penyalinan terkaitCEV:

rds:CopyCustomDBEngineVersion- IAM Prinsipal pemohon Anda harus memiliki izin untuk menyalin sumber CEV ke wilayah target bersama dengan snapshot DB sumber. Permintaan salinan snapshot gagal karena kesalahan otorisasi jika IAM prinsipal pemohon Anda tidak berwenang untuk menyalin sumbernya. CEV
ec2:CreateTags- Yang mendasari EC2 AMI sumber CEV disalin ke wilayah target sebagai bagian dari CEV salinan. RDS Upaya khusus untuk menandai tag AMI dengan AWSRDSCustom tag sebelum menyalin file. AMI Pastikan IAM prinsipal pemohon Anda memiliki izin untuk membuat tag terhadap sumber yang AMI mendasari CEV di wilayah sumber.

Untuk informasi selengkapnya tentang CEV menyalin izin, lihat. Berikan izin yang diperlukan kepada kepala sekolah Anda IAM

Berikan izin yang diperlukan kepada kepala sekolah Anda IAM

Pastikan Anda memiliki akses yang cukup untuk menyalin snapshot RDS Custom for SQL Server DB. IAMPeran atau pengguna (disebut sebagai IAM prinsipal) untuk menyalin snapshot DB menggunakan konsol atau CLI harus memiliki salah satu kebijakan berikut untuk pembuatan instans DB yang berhasil:

AdministratorAccessKebijakan atau,

Kebijakan AmazonRDSFullAccess dengan izin tambahan berikut:


s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDSKustom menggunakan izin ini selama penyalinan snapshot. Wilayah AWS Izin ini mengonfigurasi sumber daya di akun Anda yang diperlukan untuk operasi RDS Kustom. Untuk informasi selengkapnya tentang izin kms:CreateGrant, lihat AWS KMS key manajemen.

Contoh JSON kebijakan berikut memberikan izin yang diperlukan selain AmazonRDSFullAccess kebijakan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

catatan

Pastikan izin yang tercantum tidak dibatasi oleh kebijakan kontrol layanan (SCPs), batas izin, atau kebijakan sesi yang terkait dengan IAM prinsipal.

Jika Anda menggunakan kondisi dengan kunci konteks dalam IAM kebijakan pemohon, kondisi tertentu dapat menyebabkan permintaan gagal. Untuk informasi selengkapnya tentang jebakan umum karena kondisi IAM kebijakan, lihatMeminta salinan snapshot DB lintas Wilayah.

Menyalin snapshot DB

Gunakan prosedur berikut untuk menyalin snapshot DB. Untuk setiap AWS akun, Anda dapat menyalin hingga 20 snapshot DB sekaligus dari satu Wilayah AWS ke yang lain. Jika Anda menyalin snapshot DB ke yang lain Wilayah AWS, Anda membuat snapshot DB manual yang dipertahankan di dalamnya. Wilayah AWS Menyalin snapshot DB dari sumber menimbulkan Wilayah AWS biaya transfer data RDS Amazon. Untuk informasi selengkapnya tentang harga transfer data, lihat RDSharga Amazon.

Setelah salinan snapshot DB dibuat di yang baru Wilayah AWS, salinan snapshot DB berperilaku sama seperti semua snapshot DB lainnya di dalamnya. Wilayah AWS

Anda dapat menyalin snapshot DB menggunakan AWS Management Console, AWS CLI, atau Amazon RDSAPI.

Console

Prosedur berikut menyalin snapshot RDS Custom for SQL Server DB dengan menggunakan file. AWS Management Console

Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.
Di panel navigasi, pilih Snapshot.
Pilih snapshot RDS Custom for SQL Server DB yang ingin Anda salin.
Di dropwdown Tindakan, pilih Salin snapshot.
Untuk menyalin snapshot DB ke yang berbeda Wilayah AWS, atur Wilayah Tujuan ke nilai yang diperlukan.

catatan
Tujuan Wilayah AWS harus memiliki versi mesin database yang sama yang tersedia sebagai sumbernya Wilayah AWS.
Untuk pengidentifikasi snapshot DB baru, masukkan nama unik untuk snapshot DB. Anda dapat membuat beberapa salinan cadangan otomatis atau snapshot manual tetapi setiap salinan harus memiliki pengenal unik.
(Opsional) Pilih Salin Tag untuk menyalin tag dan nilai dari snapshot ke salinan snapshot.
Untuk Enkripsi, tentukan pengidentifikasi KMS kunci yang akan digunakan untuk mengenkripsi salinan snapshot DB.

catatan
RDSKustom untuk SQL Server mengenkripsi semua snapshot DB. Anda tidak dapat membuat snapshot DB yang tidak terenkripsi.
Pilih Salin snapshot.

RDSCustom for SQL Server membuat salinan snapshot DB dari instans DB Anda di Wilayah AWS pilihan Anda.

AWS CLI

Anda dapat menyalin snapshot RDS Custom for SQL Server DB dengan menggunakan perintah AWS CLI copy-db-snapshot. Jika Anda menyalin snapshot ke yang baru Wilayah AWS, jalankan perintah di yang baru. Wilayah AWS Opsi berikut digunakan untuk menghapus snapshot DB. Tidak semua opsi diperlukan untuk semua skenario.

--source-db-snapshot-identifier- Pengidentifikasi untuk snapshot DB sumber.
- Jika snapshot sumber berbeda Wilayah AWS dari salinan, tentukan snapshot ARN DB yang valid. Misalnya, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
--target-db-snapshot-identifier- Pengidentifikasi untuk salinan baru snapshot DB.
--kms-key-id‐Pengidentifikasi KMS kunci untuk snapshot DB terenkripsi. Pengidentifikasi KMS kunci adalah Amazon Resource Name (ARN), pengenal kunci, atau alias kunci untuk kunci tersebut. KMS
- Jika Anda menyalin snapshot terenkripsi ke yang berbeda Wilayah AWS, maka Anda harus menentukan KMS kunci untuk tujuan. Wilayah AWS KMSkunci khusus untuk tempat Wilayah AWS mereka dibuat dan Anda tidak dapat menggunakan kunci enkripsi dari satu Wilayah AWS sama lain Wilayah AWS kecuali kunci Multi-wilayah digunakan. Untuk informasi selengkapnya tentang KMS kunci Multi-region, lihat Menggunakan kunci Multi-region di. AWS KMS
--copy-tags- Sertakan tag dan nilai dari snapshot sumber ke salinan snapshot.

Opsi berikut tidak didukung untuk menyalin snapshot RDS Custom for SQL Server DB:

--copy-option-group
--option-group-name
--pre-signed-url
--target-custom-availability-zone

Contoh kode berikut menyalin snapshot DB terenkripsi dari Wilayah Barat AS (Oregon) ke Wilayah AS Timur (Virginia N.). Jalankan perintah di Wilayah tujuan (us-east-1).

Untuk Linux, macOS, atau Unix:


aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Untuk Windows:


aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

RDS API

Anda dapat menyalin snapshot RDS Custom for SQL Server DB dengan menggunakan RDS API operasi Amazon C opyDBSnapshot. Jika Anda menyalin snapshot ke yang baru Wilayah AWS, lakukan tindakan di yang baru. Wilayah AWS Parameter berikut digunakan untuk menghapus snapshot DB. Tidak semua parameter diperlukan:

SourceDBSnapshotIdentifier- Pengidentifikasi untuk snapshot DB sumber.
- Jika snapshot sumber berbeda Wilayah AWS dari salinan, tentukan snapshot ARN DB yang valid. Misalnya, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
TargetDBSnapshotIdentifier- Pengidentifikasi untuk salinan baru snapshot DB.
KmsKeyId- Pengidentifikasi KMS kunci untuk snapshot DB terenkripsi. Pengidentifikasi KMS kunci adalah Amazon Resource Name (ARN), pengenal kunci, atau alias kunci untuk kunci tersebut. KMS
- Jika Anda menyalin snapshot terenkripsi ke yang berbeda Wilayah AWS, maka Anda harus menentukan KMS kunci untuk tujuan. Wilayah AWS KMSkunci khusus untuk tempat Wilayah AWS mereka dibuat dan Anda tidak dapat menggunakan kunci enkripsi dari satu Wilayah AWS sama lain Wilayah AWS kecuali kunci Multi-wilayah digunakan. Untuk informasi selengkapnya tentang KMS kunci Multi-region, lihat Menggunakan kunci Multi-region di. AWS KMS
CopyTags- Tetapkan parameter ini true untuk menyalin tag dan nilai dari snapshot sumber ke salinan snapshot. Default-nya adalah false.

Opsi berikut tidak didukung saat menyalin snapshot RDS Custom for SQL Server DB:

CopyOptionGroup
OptionGroupName
PreSignedUrl
TargetCustomAvailabilityZone

Kode berikut membuat salinan snapshot, dengan nama baru mydbsnapshotcopy, di AS Timur (Virginia Utara).


https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menghapus RDS Custom for SQL Server backup otomatis

Memigrasikan basis data on-premise ke RDS Custom for SQL Server