Trabalhando com backups compartilhados - AWS CloudHSM
Pré-requisitos para compartilhar backupsCompartilhando um backupCancelar o compartilhamento de um backup compartilhadoIdentificação de um backup compartilhadoPermissões para backups compartilhadosFaturamento e medição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhando com backups compartilhados

O CloudHSM se integra AWS Resource Access Manager com AWS RAM() para permitir o compartilhamento de recursos. AWS RAM é um serviço que permite que você compartilhe alguns recursos do CloudHSM com Contas da AWS outras pessoas ou por meio dela. AWS Organizations Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir:

  • Específico Contas da AWS dentro ou fora de sua organização em AWS Organizations

  • Uma unidade organizacional dentro de sua organização em AWS Organizations

  • Uma organização inteira em AWS Organizations

Para obter mais informações sobre AWS RAM, consulte o Guia AWS RAM do usuário.

Este tópico explica como compartilhar recursos que você possui e como usar os recursos que são compartilhados com você.

Pré-requisitos para compartilhar backups

  • Para compartilhar um backup, você deve possuí-lo em seu Conta da AWS. Isso significa que o recurso deve ser alocado ou provisionado em sua conta. Você não pode compartilhar um backup que tenha sido compartilhado com você.

  • Para compartilhar um backup, ele deve estar no estado PRONTO.

  • Para compartilhar um backup com sua organização ou unidade organizacional em AWS Organizations, você deve habilitar o compartilhamento com AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento com o AWS Organizations no Guia do usuário do AWS RAM .

Compartilhando um backup

Ao compartilhar um backup com outras pessoas Contas da AWS, você permite que elas restaurem clusters do backup que contêm as chaves e os usuários armazenados no backup.

Para compartilhar um backup, você deve adicioná-lo a um compartilhamento de recursos. Um compartilhamento de recursos é um recurso do AWS RAM que permite que você compartilhe seus recursos entre Contas da AWS. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os consumidores com os quais compartilhá-los. Ao compartilhar um backup usando o console do CloudHSM, você o adiciona a um compartilhamento de recursos existente. Para adicionar o backup a um novo compartilhamento de recursos, primeiro você deve criar o compartilhamento de recursos usando o AWS RAM console.

Se você faz parte de uma organização AWS Organizations e o compartilhamento dentro de sua organização está ativado, os consumidores em sua organização recebem automaticamente acesso ao backup compartilhado. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e terão acesso ao backup compartilhado após aceitarem o convite.

Você pode compartilhar um backup de sua propriedade usando o AWS RAM console ou AWS CLI.

Para compartilhar um backup que você possui usando o AWS RAM console

Consulte Criar um compartilhamento de atributos no Manual do usuário do AWS RAM .

Para compartilhar um backup que você possui (AWS RAM comando)

Use o comando create-resource-share.

Para compartilhar um backup que você possui (comando CloudHSM)

Importante

Embora você possa compartilhar um backup usando a operação do PutResourcePolicy CloudHSM, recomendamos AWS Resource Access Manager usar AWS RAM() em vez disso. AWS RAM O uso oferece vários benefícios, pois cria a política para você, permite que vários recursos sejam compartilhados ao mesmo tempo e aumenta a capacidade de descoberta de recursos compartilhados. Se você usa PutResourcePolicy e deseja que os consumidores possam descrever os backups que você compartilhou com eles, você deve promover o backup para um compartilhamento de AWS RAM recursos padrão usando a operação de AWS RAM PromoteResourceShareCreatedFromPolicy API.

Use o comando put-resource-policy.

  1. Crie um arquivo chamado policy.json e copie a política a seguir nele.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS":"<consumer-aws-account-id-or-user>"
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"<arn-of-backup-to-share>"
  }]
}

  2. Atualize policy.json com o ARN de backup e os identificadores com os quais compartilhar. O exemplo a seguir concede acesso somente de leitura ao usuário raiz da AWS conta identificada por 123456789012.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS": [
        "account-id"
      ]
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
  }]
}
    Importante

    Você só pode conceder permissões DescribeBackups no nível da conta. Quando você compartilha um backup com outro cliente, qualquer diretor que tenha DescribeBackups permissão nessa conta pode descrever o backup.

  3. Execute o comando put-resource-policy.

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    nota

    Nesse ponto, o consumidor pode usar o backup, mas ele não aparecerá na DescribeBackups resposta com o parâmetro compartilhado. As próximas etapas descrevem como promover o compartilhamento de AWS RAM recursos para que o backup seja incluído na resposta.

  4. Obtenha o ARN do compartilhamento de AWS RAM recursos.

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    Isso retorna uma resposta semelhante a esta:

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    Na resposta, copie o valor < resource-share-arn > para usar nas próximas etapas.

  5. Execute o comando AWS RAM promote-resource-share-created-from-policy.

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. Para validar se o compartilhamento de recursos foi promovido, você pode executar o AWS RAM get-resource-sharescomando.

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    Quando a política é promovida, a featureSet listada na resposta éSTANDARD. Isso também significa que o backup pode ser descrito pelas novas contas na política.

Cancelar o compartilhamento de um backup compartilhado

Quando você cancela o compartilhamento de um recurso, o consumidor não pode mais usá-lo para restaurar um cluster. Os consumidores ainda poderão acessar todos os clusters que eles restauraram a partir do backup compartilhado.

Para cancelar o compartilhamento de um backup compartilhado de sua propriedade, você deve removê-lo do compartilhamento de recursos. Você pode fazer isso usando o AWS RAM console ou AWS CLI.

Para cancelar o compartilhamento de um backup compartilhado que você possui usando o console AWS RAM

Consulte Atualização de um compartilhamento de atributos no Guia do usuário do AWS RAM .

Para cancelar o compartilhamento de um backup compartilhado que você possui (AWS RAM comando)

Use o comando disassociate-resource-share.

Para cancelar o compartilhamento de um backup compartilhado que você possui (comando CloudHSM)

Use o comando delete-resource-policy. 

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

Identificação de um backup compartilhado

Os consumidores podem identificar um backup compartilhado com eles usando o console do CloudHSM e. AWS CLI

Para identificar backups compartilhados com você usando o console do CloudHSM

  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, selecione Backups.

  4. Na tabela, escolha a guia Backups compartilhados.

Para identificar backups compartilhados com você usando o AWS CLI

Use o comando describe-backups com o --shared parâmetro para retornar os backups compartilhados com você.

Permissões para backups compartilhados

Permissões para proprietários

Os proprietários do backup podem descrever e gerenciar um backup compartilhado, bem como usá-lo para restaurar um cluster.

Permissões para consumidores

Os consumidores de backup não podem modificar um backup compartilhado, mas podem descrevê-lo e usá-lo para restaurar um cluster.

Faturamento e medição

Não há cobranças adicionais pelo compartilhamento de backups.