# 共享 Amazon RDS 的加密快照
<a name="share-encrypted-snapshot"></a>

您可共享使用 AES-256 加密算法“静态”加密的数据库快照，如[加密 Amazon RDS 资源](Overview.Encryption.md)中所述。

以下限制适用于共享加密快照：
+ 您无法公开共享加密的快照。
+ 您无法共享使用透明数据加密 (TDE) 加密的 Oracle 或 Microsoft SQL Server 快照。
+ 如果某个快照已使用共享该快照的 AWS 账户的默认 KMS 密钥进行加密，则您无法共享该快照。

  有关 Amazon RDS 的 AWS KMS 密钥管理的更多信息，请参阅 [AWS KMS key 管理](Overview.Encryption.Keys.md)。

要解决默认 KMS 密钥问题，请执行以下任务：

1. [创建客户自主管理型密钥并授予对它的访问权限](#share-encrypted-snapshot.cmk).

1. [从源账户复制和共享快照](#share-encrypted-snapshot.share).

1. [复制目标账户中的共享快照](#share-encrypted-snapshot.target).

## 创建客户自主管理型密钥并授予对它的访问权限
<a name="share-encrypted-snapshot.cmk"></a>

首先，在与加密的数据库快照相同的 AWS 区域中创建一个自定义 KMS 密钥。在创建客户自主管理型密钥时，您可以为另一个 AWS 账户提供对它的访问权限。

**注意**  
当密钥策略授予对源账户和目标账户的访问权限时，您也可以使用其它 AWS 账户中的 KMS 密钥。

**创建客户自主管理型密钥并授予对它的访问权限**

1. 从源 AWS 账户登录 AWS 管理控制台。

1. 从 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 打开 AWS KMS 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。

1. 选择**创建密钥**。

1. 在**配置密钥**页面上：

   1. 对于**密钥类型**，选择**对称**。

   1. 对于**密钥用途**，选择**加密和解密**。

   1. 展开 **Advanced options (高级选项)**。

   1. 对于**密钥材料来源**，选择 **KMS**。

   1. 对于**区域性**，请选择**单区域密钥**。

   1. 选择**下一步**。

1. 在**添加标签**页面上：

   1. 对于**别名**，输入您的 KMS 密钥的显示名称，例如 **share-snapshot**。

   1. （可选）为 KMS 密钥输入描述。

   1. （可选）向 KMS 密钥添加标签。

   1. 选择**下一步**。

1. 在**定义密钥管理权限**页面上，选择**下一步**。

1. 在**定义密钥使用权限**页面上：

   1. 对于**其他 AWS 账户**，选择**添加另一个 AWS 账户**。

   1. 输入您要向其授予访问权限的 AWS 账户的 ID。

      您可以向多个 AWS 账户授予访问权限。

   1. 选择**下一步**。

1. 查看您的 KMS 密钥，然后选择**完成**。

## 从源账户复制和共享快照
<a name="share-encrypted-snapshot.share"></a>

接下来，使用客户自主管理型密钥将源数据库快照复制到新快照。然后，您将与目标 AWS 账户共享它。

**复制和共享快照**

1. 从源 AWS 账户登录 AWS 管理控制台。

1. 通过以下网址打开 Amazon RDS 控制台：[https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)

1. 在导航窗格中，选择**快照**。

1. 选择要复制的数据库快照。

1. 对于 **Actions (操作)**，请选择 **Copy snapshot (复制快照)**。

1. 在**复制快照**页面上：

   1. 对于**目标区域**，选择您在上一个过程中创建客户自主管理型密钥的 AWS 区域。

   1. 在**新数据库快照标识符**中输入数据库快照副本的名称。

   1. 对于 **AWS KMS key**，选择您创建的客户自主管理型密钥。  
![\[选择客户自主管理型密钥。\]](http://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/images/copy-encrypted-snapshot.png)

   1. 选择**复制快照**。

1. 当快照副本可用时，将其选中。

1. 对于 **Actions**（操作），请选择 **Share snapshot**（共享快照）。

1. 在**快照权限**页面上：

   1. 输入您要与之共享快照副本的 **AWS 账户 ID**，然后选择**添加**。

   1. 选择**保存**。

   共享此快照。

## 复制目标账户中的共享快照
<a name="share-encrypted-snapshot.target"></a>

现在，您可以复制目标 AWS 账户中的共享快照。

**复制共享快照**

1. 从目标 AWS 账户登录 AWS 管理控制台。

1. 通过以下网址打开 Amazon RDS 控制台：[https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)

1. 在导航窗格中，选择**快照**。

1. 选择**与我共享**选项卡。

1. 选择共享快照。

1. 对于 **Actions (操作)**，请选择 **Copy snapshot (复制快照)**。

1. 按照前面的过程选择用于复制快照的设置，但要使用属于目标账户的 AWS KMS key。

   选择**复制快照**。