Configurazione di backup e ripristino nativi - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di backup e ripristino nativi

Per configurare backup e ripristino nativi, sono necessari tre componenti:

  1. Un bucket Amazon S3 per archiviare i file di backup.

    È necessario disporre di un bucket S3 da utilizzare per i file di backup e quindi caricare i backup verso i quali si desidera migrare. RDS Se disponi già di un bucket Amazon S3, puoi utilizzarlo. Se non hai già un bucket, puoi crearne uno nuovo. In alternativa, puoi scegliere che venga creato automaticamente un nuovo bucket quando aggiungi l'opzione SQLSERVER_BACKUP_RESTORE usando la AWS Management Console.

    Per ulteriori informazioni, consulta la Guida per l'utente di Amazon Simple Storage Service.

  2. Un ruolo AWS Identity and Access Management (IAM) per accedere al bucket.

    Se hai già un IAM ruolo, puoi usarlo. Puoi scegliere di creare un nuovo IAM ruolo per te quando aggiungi l'SQLSERVER_BACKUP_RESTOREopzione utilizzando il AWS Management Console. In alternativa, è possibile crearne uno nuovo manualmente.

    Se desideri creare un nuovo IAM ruolo manualmente, segui l'approccio illustrato nella sezione successiva. Fate lo stesso se desiderate associare relazioni di fiducia e politiche di autorizzazione a un IAM ruolo esistente.

  3. L'opzione SQLSERVER_BACKUP_RESTORE aggiunta a un gruppo di opzioni nella tua istanza database.

    Per abilitare backup e ripristino nativi sulla tua istanza database, devi aggiungere l'opzione SQLSERVER_BACKUP_RESTORE a un gruppo di opzioni sulla tua istanza database. Per ulteriori informazioni e istruzioni, consulta Supporto per backup nativo e ripristino in SQL Server.

Creazione manuale di un IAM ruolo per il backup e il ripristino nativi

Se desideri creare manualmente un nuovo IAM ruolo da utilizzare con il backup e il ripristino nativi, puoi farlo. In questo caso, crei un ruolo per delegare le autorizzazioni dal RDS servizio Amazon al tuo bucket Amazon S3. Quando crei un IAM ruolo, stabilisci una relazione di fiducia e una politica di autorizzazioni. La relazione di fiducia consente di RDS assumere questo ruolo. La policy di autorizzazione definisce le operazioni che questo ruolo può eseguire. Per ulteriori informazioni sulla creazione del ruolo, consulta la pagina Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS.

Per la funzione di backup e ripristino nativi, utilizza le policy di attendibilità e autorizzazione simili agli esempi presenti in questa sezione. Nell'esempio che segue utilizziamo il nome del servizio rds.amazonaws.com come alias per tutti gli account di servizio. Negli altri esempi, specifichiamo un Amazon Resource Name (ARN) per identificare un altro account, utente o ruolo a cui concediamo l'accesso nella policy di fiducia.

Si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle relazioni di trust basate sulle risorse per limitare le autorizzazioni del servizio relative a una risorsa specifica. Questo è il modo più efficace per proteggersi dal problema di deputy confused.

Puoi usare le chiavi di contesto delle condizioni globali e avere il valore aws:SourceArn che contiene l'ID dell'account. In questo caso, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account quando viene utilizzato nella stessa istruzione.

  • Utilizzare aws:SourceArn se si desidera un accesso cross-service per una singola risorsa.

  • Utilizzare aws:SourceAccount se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso cross-service.

Nella relazione di fiducia, assicurati di utilizzare la chiave aws:SourceArn global condition context con tutte ARN le risorse che accedono al ruolo. Per il backup e il ripristino nativi, assicurati di includere sia il gruppo di opzioni database che le istanze database, come illustrato nell'esempio seguente.

Esempio relazione di attendibilità con chiave di contesto delle condizioni globali per backup e ripristino nativi
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

L'esempio seguente utilizza an ARN per specificare una risorsa. Per ulteriori informazioni sull'utilizzoARNs, consulta Amazon resource names (ARNs).

Esempio Policy di autorizzazione per backup e ripristino nativi senza supporto della crittografia
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Action": [ "s3:GetObjectAttributes", "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }
Esempio Policy di autorizzazione per backup e ripristino nativi con supporto della crittografia

Se desideri crittografare i tuoi file di backup, includi una chiave di crittografia nella policy di autorizzazione. Per ulteriori informazioni sulle chiavi di crittografia, consulta Nozioni di base nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

È necessario utilizzare una KMS chiave di crittografia simmetrica per crittografare i backup. Amazon RDS non supporta le chiavi asimmetricheKMS. Per ulteriori informazioni, consulta Creazione di KMS chiavi di crittografia simmetriche nella Guida per gli sviluppatori.AWS Key Management Service

Il IAM ruolo deve inoltre essere un utente chiave e un amministratore chiave per la KMS chiave, ovvero deve essere specificato nella politica delle chiavi. Per ulteriori informazioni, consulta Creazione di KMS chiavi di crittografia simmetriche nella Guida per gli AWS Key Management Service sviluppatori.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Encrypt", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Action": [ "s3:GetObjectAttributes", "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }