Menyalin Snapshot Klaster DB - Amazon Neptune
Snapshot TerenkripsiBerbagi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyalin Snapshot Klaster DB

Dengan Neptune, Anda dapat berbagi snapshot klaster DB manual dengan cara berikut:

  • Berbagi DB klaster snapshot klaster DB klaster snapshot klaster DBAWS klaster klaster snapshot.

  • Berbagi snapshot klaster DB manual, baik yang dienkripsi atau tidak, mengaktifkan akun AWS terotorisasi untuk memulihkan klaster DB secara langsung dari snapshot alih-alih membuat salinannya dan memulihkan dari salinan tersebut.

catatan

Untuk berbagi snapshot klaster DB otomatis, buat klaster DB manual dengan menyalin snapshot otomatis, lalu membagikannya.

Untuk informasi selengkapnya mengenai pemulihan klaster DB dari snapshot klaster DB, lihat Cara Memulihkan dari snapshot.

Anda dapat berbagi snapshot manual dengan hingga 20 akun AWS lainnya. Anda juga dapat membagikan snapshot manual yang tidak terenkripsi sebagai publik sehingga snapshot tersedia untuk semua akun AWS. Berhati-hatilah saat membagikan snapshot sebagai publik sehingga tidak ada informasi pribadi yang dimasukkan ke dalam snapshot publik Anda.

catatan

Saat Anda memulihkan klaster DB dari snapshot bersama menggunakan AWS Command Line Interface (AWS CLI) atau API Neptune, Anda harus mencantumkan Amazon Resource Name (ARN) dari snapshot bersama sebagai pengidentifikasi snapshot.

Berbagi Snapshot Klaster DB Terenkripsi

Anda dapat berbagi snapshot klaster DB yang telah dienkripsi "saat istirahat" menggunakan algoritme enkripsi AES-256. Untuk informasi selengkapnya, lihat Mengenkripsi data saat istirahat di database Amazon Neptunus Anda. Untuk melakukannya, Anda harus melakukan langkah-langkah berikut:

  1. Bagikan kunci enkripsi AWS Key Management Service (AWS KMS) yang digunakan untuk mengenkripsi snapshot dengan akun apa pun yang Anda inginkan untuk dapat mengakses snapshot.

    Anda dapat berbagi kunci enkripsi AWS KMS dengan akun AWS lain dengan menambahkan akun lain ke kebijakan kunci KMS. Untuk detail tentang pembaruan kebijakan kunci, lihat Kebijakan Kunci dalam Panduan Developer AWS KMS. Untuk contoh pembuatan kebijakan kunci, lihat Membuat Kebijakan IAM untuk Memungkinkan Penyalinan Snapshot Terenkripsi nanti dalam topik ini.

  2. Gunakan AWS Management Console, AWS CLI, atau API Neptune untuk berbagi snapshot terenkripsi dengan akun lainnya.

Pembatasan ini berlaku untuk berbagi snapshot terenkripsi:

  • Anda tidak dapat membagikan foto terenkripsi sebagai publik.

  • Anda tidak dapat berbagi snapshot yang telah dienkripsi menggunakan kunci enkripsi AWS KMS default dari akun AWS yang berbagi snapshot tersebut.

Mengizinkan Akses ke Kunci Enkripsi AWS KMS

Untuk akun AWS lain menyalin snapshot klaster DB terenkripsi yang dibagikan dari akun Anda, akun yang Anda bagikan snapshot harus memiliki akses ke kunci KMS yang mengenkripsi snapshot tersebut. Untuk mengizinkan akses akun AWS lain ke kunci AWS KMS, perbarui kebijakan kunci untuk kunci KMS dengan ARN dari akun AWS yang berbagi dengan Anda sebagai Principal dalam kebijakan kunci KMS. Kemudian izinkan tindakan kms:CreateGrant. Lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS di PanduanAWS Key Management Service Developer.

Setelah Anda memberiAWS akun akses ke kunci enkripsi KMS Anda, untuk menyalin snapshot terenkripsi Anda,AWS akun harus membuat sebuah pengguna IAM jika akun tersebut belum memilikinya. Pembatasan keamanan KMS tidak mengizinkan penggunaan identitasAWS akun root untuk ini. AWSakun juga harus melampirkan kebijakan IAM kepada pengguna IAM yang mengizinkan pengguna IAM menyalin DB terenkripsi klaster menggunakan kunci KMS Anda.

Dalam contoh kebijakan utama berikut, pengguna 111122223333 adalah pemilik kunci enkripsi KMS, dan pengguna 444455556666 adalah akun yang kuncinya digunakan bersama. Kebijakan kunci yang diperbarui ini memberi akun AWS akses ke kunci KMS dengan menyertakan ARN untuk identitas akun AWS akar bagi pengguna 444455556666 sebagai Principal untuk kebijakan tersebut, dan dengan mengizinkan tindakan kms:CreateGrant. 

{
  "Id=": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid=": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/KeyUser",
        "arn:aws:iam::444455556666:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid=": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/KeyUser",
        "arn:aws:iam::444455556666:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}

Membuat Kebijakan IAM untuk Memungkinkan Penyalinan Snapshot Terenkripsi

Setelah akun AWS eksternal memiliki akses ke kunci KMS Anda, pemilik akun tersebut dapat membuat kebijakan yang memungkinkan pengguna IAM yang dibuat untuk akun tersebut menyalin snapshot terenkripsi yang dienkripsi dengan kunci KMS tersebut.

Contoh berikut menunjukkan kebijakan yang dapat dilampirkan ke pengguna IAM untuk 444455556666 akun AWS. Hal ini memungkinkan pengguna IAM menyalin snapshot bersama dari 111122223333 akun AWS yang telah dienkripsi dengan c989c1dd-a3f2-4a5d-8d96-e793d082ab26 kunci KMS di Wilayah us-west-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid=": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid=": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Untuk detail tentang pembaruan kebijakan kunci, lihat Kebijakan Kunci dalam Panduan Developer AWS Key Management Service.

Menyalin Snapshot Klaster DB

Anda dapat berbagi snapshot klaster DB menggunakan AWS Management Console, AWS CLI, atau API Neptune.

Menggunakan Konsol untuk Berbagi Snapshot Klaster DB

Dengan konsol Neptune, Anda dapat berbagi snapshot klaster DB manual dengan hingga 20 akun AWS. Anda juga dapat berhenti berbagi snapshot manual dengan satu atau beberapa akun.

Untuk berbagi snapshot klaster DB manual

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Neptune di https://console.aws.amazon.com/neptune/home.

  2. Di panel navigasi, pilih Snapshot.

  3. Pilih snapshot manual yang ingin Anda bagikan.

  4. Pilih Tindakan, Bagikan Snapshot.

  5. Pilih salah satu opsi berikut untuk Visibilitas snapshot DB.

    • Jika sumber tidak terenkripsi, pilih Publik untuk mengizinkan semua akun AWS untuk memulihkan klaster DB dari snapshot klaster DB manual Anda. Atau pilih Privat untuk mengizinkan hanya akun AWS yang Anda tentukan untuk memulihkan klaster DB dari snapshot klaster DB manual Anda.

      Awas

      Jika Anda menetapkan Visibilitas snapshot DB ke Publik, semua akun AWS dapat memulihkan klaster DB dari snapshot klaster DB manual Anda dan memiliki akses ke data Anda. Jangan berbagi snapshot klaster DB manual apa pun yang berisi informasi pribadi sebagai Publik.

    • Jika sumbernya dienkripsi, Visibilitas snapshot DB ditetapkan sebagai Privat karena snapshot terenkripsi tidak dapat dibagikan sebagai publik.

  6. Untuk ID Akun AWS, masukkan pengidentifikasi akun AWS untuk akun yang ingin Anda izinkan untuk memulihkan klaster DB dari snapshot manual Anda. Kemudian pilih Tambahkan. Ulangi memasukkan pengidentifikasi akun AWS tambahan, hingga 20 akun AWS.

    Jika Anda melakukan kesalahan saat menambahkan pengidentifikasi akun AWS ke daftar akun yang diizinkan, Anda dapat menghapusnya dari daftar dengan memilih Hapus di sebelah kanan pengidentifikasi akun AWS yang salah.

  7. Setelah Anda menambahkan pengidentifikasi untuk semua akun AWS yang ingin Anda izinkan untuk memulihkan snapshot manual, pilih Simpan.

Untuk berhenti berbagi snapshot klaster DB manual dengan akun AWS

  1. Buka konsol Amazon Neptune di https://console.aws.amazon.com/neptune/home.

  2. Di panel navigasi, pilih Snapshot.

  3. Pilih snapshot manual yang ingin Anda hentikan berbagi.

  4. Pilih Tindakan, lalu pilih Berbagi Snapshot.

  5. Untuk menghapus izin akun AWS, pilih Hapus untuk pengidentifikasi akun AWS untuk akun tersebut dari daftar akun yang diotorisasi.

  6. Pilih Simpan.