Amazon RDS の暗号化されたスナップショットの共有 - Amazon Relational Database Service

Amazon RDS の暗号化されたスナップショットの共有

Amazon RDS リソースの暗号化」で説明しているように、AES-256 暗号化アルゴリズムを使用して暗号化された「保存中」の DB スナップショットを共有できます。

以下の制限は、暗号化されたスナップショットの共有に適用されます。

  • 暗号化されたスナップショットをパブリックとして共有することはできません。

  • Transparent Data Encryption (TDE) を使用して暗号化されている Oracle または Microsoft SQL Server のスナップショットを共有することはできません。

  • スナップショットを共有した AWS アカウント のデフォルト KMS キーを使用して暗号化されたスナップショットを共有することはできません。

    Amazon RDS の AWS KMS キー管理の詳細については、「AWS KMS key 管理」を参照してください。

デフォルトの KMS キーの問題を回避するには、以下のタスクを実行します。

カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与する

まず、暗号化された DB スナップショットと同じ AWS リージョン にカスタム KMS キーを作成します。カスタマーマネージドキーの作成中に、別の AWS アカウント にそのキーへのアクセス権を付与します。

カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与するには
  1. ソース AWS アカウント から AWS Management Console にサインインします。

  2. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  3. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  4. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  5. [Create key] (キーの作成) を選択します。

  6. [キーの設定] ページで、次の操作を行います。

    1. [キータイプ] として、[対称] を選択します。

    2. [キーの使用] で、[暗号化および復号化] を選択します。

    3. [詳細オプション] を展開します。

    4. [キーマテリアルオリジン] として、[KMS] を選択します。

    5. [リージョン] で、[単一リージョンキー] を選択します。

    6. [次へ] を選択します。

  7. [ラベルを追加] ページで以下のように操作します。

    1. [エイリアス] には、share-snapshot のように KMS キーの表示名を入力します。

    2. (オプション) KMS キーの説明を入力します。

    3. (オプション) KMS キーにタグを追加します。

    4. [Next] を選択します。

  8. [キー管理アクセス許可の定義] ページで、[次へ] をクリックします。

  9. [キーの使用アクセス許可の定義] ページで、次の操作を行います。

    1. [その他の AWS アカウント] では、[別の AWS アカウント の追加] を選択します。

    2. アクセスを許可する AWS アカウント の ID を入力します。

      複数の AWS アカウント にアクセス権を付与できます。

    3. [Next] を選択します。

  10. KMS キーを確認し、[終了] を選択します。

ソースアカウントからスナップショットをコピーして共有する

次に、カスタマーマネージドキーを使用して、ソース DB スナップショットを新しいスナップショットにコピーします。次に、ターゲット AWS アカウント と共有します。

スナップショットをコピーして共有するには
  1. ソース AWS アカウント から AWS Management Console にサインインします。

  2. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  3. ナビゲーションペインで、[Snapshots] を選択します。

  4. コピーする DB スナップショットを選択します。

  5. [アクション] で、[スナップショットをコピー] を選択します。

  6. [スナップショットのコピー] ページで、次の操作を行います。

    1. [デスティネーションリージョン] で、前の手順でカスタマーマネージドキーを作成した場所を選択します。

    2. [新しい DB スナップショットの識別子] に、DB スナップショットのコピーの名前を入力します。

    3. [AWS KMS key] で、作成したカスタマーマネージドキーを選択します。

      カスタマーマネージドキーを選択します。
    4. [スナップショットをコピー] を選択します。

  7. スナップショットのコピーが使用可能になったら、それを選択します。

  8. [アクション] で、[スナップショットを共有] を選択します。

  9. [スナップショットのアクセス許可] ページで、次の操作を行います。

    1. スナップショットのコピーを共有する [AWS アカウント ID] を入力し、[追加] を選択します。

    2. [保存] を選択します。

    スナップショットが共有されます。

ターゲットアカウントに共有したスナップショットをコピーします。

これで、ターゲット AWS アカウント で共有スナップショットをコピーできます。

共有したスナップショットをコピーするには
  1. ターゲット AWS アカウント から AWS Management Console にサインインします。

  2. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  3. ナビゲーションペインで、[Snapshots] を選択します。

  4. [自分と共有] タブを選択します。

  5. 共有スナップショットを選択します。

  6. [アクション] で、[スナップショットをコピー] を選択します。

  7. 前の手順のようにスナップショットをコピーするための設定を選択しますが、ターゲットアカウントに属する AWS KMS key を使用します。

    [スナップショットをコピー] を選択します。