共享 Amazon RDS 的加密快照 - Amazon Relational Database Service

共享 Amazon RDS 的加密快照

您可共享使用 AES-256 加密算法“静态”加密的数据库快照,如加密 Amazon RDS 资源中所述。

以下限制适用于共享加密快照:

  • 您无法公开共享加密的快照。

  • 您无法共享使用透明数据加密 (TDE) 加密的 Oracle 或 Microsoft SQL Server 快照。

  • 如果某个快照已使用共享该快照的 AWS 账户的默认 KMS 密钥进行加密,则您无法共享该快照。

    有关 Amazon RDS 的 AWS KMS 密钥管理的更多信息,请参阅 AWS KMS key 管理

要解决默认 KMS 密钥问题,请执行以下任务:

创建客户自主管理型密钥并授予对它的访问权限

首先,在与加密的数据库快照相同的 AWS 区域中创建一个自定义 KMS 密钥。在创建客户自主管理型密钥时,您可以为另一个 AWS 账户提供对它的访问权限。

创建客户自主管理型密钥并授予对它的访问权限
  1. 从源 AWS 账户登录 AWS Management Console。

  2. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  3. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  4. 在导航窗格中,选择客户托管密钥

  5. 选择 Create key

  6. 配置密钥页面上:

    1. 对于密钥类型,选择对称

    2. 对于密钥用途,选择加密和解密

    3. 展开 Advanced options (高级选项)

    4. 对于密钥材料来源,选择 KMS

    5. 对于区域性,请选择单区域密钥

    6. 选择下一步

  7. 添加标签页面上:

    1. 对于别名,输入您的 KMS 密钥的显示名称,例如 share-snapshot

    2. (可选)为 KMS 密钥输入描述。

    3. (可选)向 KMS 密钥添加标签。

    4. 选择下一步

  8. 定义密钥管理权限页面上,选择下一步

  9. 定义密钥使用权限页面上:

    1. 对于其他 AWS 账户,选择添加另一个 AWS 账户

    2. 输入您要向其授予访问权限的 AWS 账户的 ID。

      您可以向多个 AWS 账户授予访问权限。

    3. 选择下一步

  10. 查看您的 KMS 密钥,然后选择完成

从源账户复制和共享快照

接下来,使用客户自主管理型密钥将源数据库快照复制到新快照。然后,您将与目标 AWS 账户共享它。

复制和共享快照
  1. 从源 AWS 账户登录 AWS Management Console。

  2. 通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/

  3. 在导航窗格中,选择快照

  4. 选择要复制的数据库快照。

  5. 对于 Actions (操作),请选择 Copy snapshot (复制快照)

  6. 复制快照页面上:

    1. 对于目标区域,选择您在上一个过程中创建客户自主管理型密钥的 AWS 区域。

    2. 新数据库快照标识符中输入数据库快照副本的名称。

    3. 对于 AWS KMS key,选择您创建的客户自主管理型密钥。

      选择客户自主管理型密钥。
    4. 选择复制快照

  7. 当快照副本可用时,将其选中。

  8. 对于 Actions(操作),请选择 Share snapshot(共享快照)。

  9. 快照权限页面上:

    1. 输入您要与之共享快照副本的 AWS 账户 ID,然后选择添加

    2. 选择保存

    共享此快照。

复制目标账户中的共享快照

现在,您可以复制目标 AWS 账户中的共享快照。

复制共享快照
  1. 从目标 AWS 账户登录 AWS Management Console。

  2. 通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/

  3. 在导航窗格中,选择快照

  4. 选择与我共享选项卡。

  5. 选择共享快照。

  6. 对于 Actions (操作),请选择 Copy snapshot (复制快照)

  7. 按照前面的过程选择用于复制快照的设置,但要使用属于目标账户的 AWS KMS key。

    选择复制快照