暗号化されたスナップショットの共有 - Amazon Aurora

暗号化されたスナップショットの共有

Amazon Aurora リソースの暗号化」で説明しているように、AES-256 暗号化アルゴリズムを使用して暗号化された「保存中」の DB クラスタースナップショットを共有できます。

以下の制限は、暗号化されたスナップショットの共有に適用されます。

  • 暗号化されたスナップショットをパブリックとして共有することはできません。

  • スナップショットを共有する AWS アカウント のデフォルト KMS キーを使って暗号化されたスナップショットを共有することはできません。

    Amazon RDS の AWS KMS キー管理の詳細については、「AWS KMS key 管理」を参照してください。

デフォルトの KMS キーの問題を回避するには、以下のタスクを実行します。

カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与する

まず、暗号化された DB クラスタースナップショットと同じ AWS リージョン にカスタム KMS キーを作成します。カスタマーマネージドキーの作成中に、別の AWS アカウント にそのキーへのアクセス権を付与します。

カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与するには
  1. ソース AWS アカウント から AWS Management Console にサインインします。

  2. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  3. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  4. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  5. [Create key] (キーの作成) を選択します。

  6. [キーの設定] ページで、次の操作を行います。

    1. [キータイプ] として、[対称] を選択します。

    2. [キーの使用] で、[暗号化および復号化] を選択します。

    3. [詳細オプション] を展開します。

    4. [キーマテリアルオリジン] として、[KMS] を選択します。

    5. [リージョン] で、[単一リージョンキー] を選択します。

    6. [次へ] を選択します。

  7. [ラベルを追加] ページで以下のように操作します。

    1. [エイリアス] には、share-snapshot のように KMS キーの表示名を入力します。

    2. (オプション) KMS キーの説明を入力します。

    3. (オプション) KMS キーにタグを追加します。

    4. [次へ] を選択します。

  8. [キー管理アクセス許可の定義] ページで、[次へ] をクリックします。

  9. [キーの使用アクセス許可の定義] ページで、次の操作を行います。

    1. [その他の AWS アカウント] では、[別の AWS アカウント の追加] を選択します。

    2. アクセスを許可する AWS アカウント の ID を入力します。

      複数の AWS アカウント にアクセス権を付与できます。

    3. [次へ] を選択します。

  10. KMS キーを確認し、[終了] を選択します。

ソースアカウントからスナップショットをコピーして共有する

次に、カスタマーマネージドキーを使用して、ソース DB クラスタースナップショットを新しいスナップショットにコピーします。次に、ターゲット AWS アカウント と共有します。

スナップショットをコピーして共有するには
  1. ソース AWS アカウント から AWS Management Console にサインインします。

  2. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  3. ナビゲーションペインで、[Snapshots] を選択します。

  4. コピーする DB クラスタースナップショットを選択します。

  5. [アクション] で、[スナップショットをコピー] を選択します。

  6. [スナップショットのコピー] ページで、次の操作を行います。

    1. [送信先リージョン] で、前の手順でカスタマーマネージドキーを作成した AWS リージョン を選択します。

    2. [New DB Snapshot Identifier (新しい DB スナップショットの識別子)] に、DB クラスタースナップショットのコピーの名前を入力します。

    3. AWS KMS key には、作成したカスタマーマネージドキーを選択します。

      カスタマーマネージドキーを選択します。
    4. [スナップショットのコピー] を選択します。

  7. スナップショットのコピーが使用可能になったら、それを選択します。

  8. [Actions] (アクション) で、[Share snapshot] (スナップショットの共有) を選択します。

  9. [スナップショットのアクセス許可] ページで、次の操作を行います。

    1. スナップショットのコピーを共有する [AWS アカウント ID] を入力し、[追加] を選択します。

    2. [Save] を選択します。

    スナップショットが共有されます。

ターゲットアカウントに共有したスナップショットをコピーします。

これで、ターゲット AWS アカウント で共有スナップショットをコピーできます。

共有したスナップショットをコピーするには
  1. ターゲット AWS アカウント から AWS Management Console にサインインします。

  2. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  3. ナビゲーションペインで、[Snapshots] を選択します。

  4. [自分と共有] タブを選択します。

  5. 共有スナップショットを選択します。

  6. [アクション] で、[スナップショットをコピー] を選択します。

  7. 前の手順のようにスナップショットをコピーするための設定を選択しますが、ターゲットアカウントに属する AWS KMS key を使用します。

    [スナップショットのコピー] を選択します。