複製SQL伺服器資料庫快照的 Amazon RDS 自訂 - Amazon Relational Database Service
限制加密跨區域複製使用自訂引擎版本建立的資料庫執行個體快照 (CEV)所需的許可複製資料庫快照

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

複製SQL伺服器資料庫快照的 Amazon RDS 自訂

使用SQL伺服器自RDS訂功能,您可以複製自動備份和手動資料庫快照。複製快照後,您建立的副本就是手動快照。您可以建立自動備份或手動快照的多個副本,但每個副本都必須有唯一的識別碼。

您只能複製相同的快照 AWS 跨越不同的帳戶 AWS 區域 其中「SQL伺服器RDS自訂」可用。目前不支援下列作業:

  • 在同一個內複製數據庫快照 AWS 區域.

  • 複製資料庫快照 AWS 帳戶。

RDSSQL伺服器自訂支援增量快照複製。如需詳細資訊,請參閱增量快照複製的考量事項

限制

下列限制適用於複製SQL伺服器的RDS自訂資料庫快照集:

  • 如果您在目標快照變成可用之前刪除來源快照,則快照副本可能會失敗。在刪除來源快照之AVAILABLE前,請確認目標快照的狀態為。

  • 您無法在資料庫快照複製請求中指定選項群組名稱或複製選項群組。

  • 如果您刪除任何從屬 AWS 複製程序之前或期間來源資料庫快照集的資源,您的複製快照請求可能會非同步失敗。

  • 在同一個內複製數據庫快照 AWS 區域 目前不支援。

  • 複製資料庫快照 AWS 目前不支援帳號。

複製 Amazon 資料庫快照的限制RDS也適用於SQL伺服器的RDS自訂。如需詳細資訊,請參閱限制

處理加密

所有SQL伺服RDS器資料庫執行個體和資料庫快照的自訂都使用KMS金鑰加密。您只能將加密快照複製到加密的快照,因此您必須指定在目的地中有效的KMS金鑰 AWS 區域 用於您的數據庫快照複製請求。

在整個複製過程中來源快照仍會保持加密狀態。Amazon RDS 使用信封加密在指定目的地進行複製操作期間保護資料 AWS 區域 KMS索引鍵。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南

跨區域複製

您可以複製資料庫快照 AWS 區域。 不過,跨區域快照複製有某些限制和考量。

授權跨RDS越溝通 AWS 區域 用於快照複製

成功處理跨區域資料庫快照複製要求後,RDS啟動複製。會建立存取RDS來源快照集的授權要求。此授權要求會將來源資料庫快照集連結至目標資料庫快照集。這只允RDS許複製到指定的目標快照。

RDS使用服務連結IAM角色中的rds:CrossRegionCommunication權限來驗證授權。如果複製已獲得授權,則RDS可以與來源「區域」通訊並完成複製作業。

RDS無法訪問以前未經 C opyDBSnapshot 請求授權的數據庫快照。複製完成後,授權會被撤銷。

RDS使用服務連結角色來驗證來源區域中的授權。如果您在複製程序期間刪除服務連結角色,則複製會失敗。

如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南

使用 AWS Security Token Service 登入資料

來自全局的會話令牌 AWS Security Token Service (AWS STS) 端點僅在 AWS 區域 默認情況下啟用(商業區域)。如果您使用中的assumeRoleAPI作業中的認證 AWS STS,如果來源區域是選擇加入的區域,請使用地區端點。否則,請求將失敗。您的憑證在兩個區域都必須有效,只有在您使用區域時才適用於選擇加入區域 AWS STS 端點。

若要使用全域端點,請確保操作時在這兩個區域均已將其啟用。將全域端點設Valid定為 AWS 區域 在 AWS STS 帳戶設置。

如需詳細資訊,請參閱管理 AWS STS 在一個 AWS 區域 中的 AWS Identity and Access Management 使用者指南

使用自訂引擎版本建立的資料庫執行個體快照 (CEV)

對於使用自訂引擎版本 (CEV) 的資料庫執行個體的資料庫快照集,請RDS將該快照CEV與資料庫快照建立關聯。若要複製與CEV之間相關聯的來源資料庫快照 AWS 區域,RDS將與來源資料庫快照一CEV起複製到目的地區域。

如果您要將與相同的資料庫相關聯的多個資料庫快照複製CEV到相同的目的地區域,則第一個複製請求會複製相關聯的CEV。下列要求的複製程序會尋找最初複製的,CEV並將其與下列資料庫快照副本建立關聯。現有CEV副本必須AVAILABLE處於狀態,才能與資料庫快照副本產生關聯。

若要複製與相關聯的資料庫快照集CEV,請求者的IAM原則必須具有授權資料庫快照複製和關聯CEV複製的權限。請求者的IAM策略中需要以下權限才能允許相關聯的CEV複製:

  • rds:CopyCustomDBEngineVersion‐您的請求者IAM主體必須具備將來源與來源資料庫快照一起複製CEV到目標區域的權限。如果您的請求者IAM主體未獲授權複製來源CEV,則快照複製請求會因授權錯誤而失敗。

  • ec2:CreateTags‐將來源EC2AMICEV的底層作為CEV副本的一部分複製到目標區域。RDS自訂嘗試在複製之前AMI使用AWSRDSCustom標籤進行標記AMI。請確定您的請求者IAM主體具有針對來源區域CEV中來源AMI基礎建立標籤的權限。

如需有關CEV複製權限的詳細資訊,請參閱授與必要的權限給您的IAM主體

授與必要的權限給您的IAM主體

請確定您有足夠的存取權來複製SQL伺服器資料庫RDS自訂快照集。使用主控台複製資料庫快照的IAM角色或使用者 (稱為IAM主體),或者CLI必須具有下列其中一項原則才能成功建立資料庫執行個體:

  • AdministratorAccess政策或

  • 具有下列額外許可的 AmazonRDSFullAccess 政策:

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS「自訂」在快照複製期間使用這些權限 AWS 區域。 這些權限會在您的帳戶中設定RDS自訂作業所需的資源。如需 kms:CreateGrant 許可的詳細資訊,請參閱 AWS KMS key 管理

下列範例JSON策略除了授與策略以外的必要權限。AmazonRDSFullAccess

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
注意

請確定列出的權限不受服務控制原則 (SCPs)、權限界限或與IAM主體相關聯的工作階段原則所限制。

如果您在要求者原IAM則中使用具有內容索引鍵的條件,某些條件可能會導致要求失敗。如需有關原則條件造成的常見缺陷的詳細IAM資訊,請參閱請求跨區域資料庫快照複本

複製資料庫快照

使用下列程序複製資料庫快照集。對於每個 AWS 帳戶,您可以從一個時間複製多達 20 個數據庫快照 AWS 區域 到另一個。如果您將資料庫快照複製到另一個快照 AWS 區域,您可以創建一個保留在其中的手動數據庫快照 AWS 區域。 從來源複製資料庫快照 AWS 區域 產生 Amazon RDS 數據傳輸費用。如需有關資料傳輸定價的詳細資訊,請參閱 Amazon RDS 定價

在新資料庫快照副本中建立之後 AWS 區域,資料庫快照副本的行為與其中的所有其他資料庫快照相同 AWS 區域.

您可以使用複製資料庫快照 AWS Management Console, AWS CLI,或 Amazon RDS API。

Console

下列程序使用複RDS製SQL伺服器資料庫的自訂快照 AWS Management Console.

  1. 登入 AWS Management Console 並在打開 Amazon RDS 控制台https://console.aws.amazon.com/rds/

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選取您要複製的 [SQL伺服器資料庫RDS自訂] 快照集。

  4. 在「動作」 下拉式清單中,選擇「複製快照」。

    Amazon RDS 主控台中的 [複製快照] 頁面。這些設定會載入到頁面中。

  5. 若要將資料庫快照複製到其他快照 AWS 區域,將「目的地區域」設定為所需值。

    注意

    目的地 AWS 區域 必須具有與來源相同的可用資料庫引擎版本 AWS 區域.

  6. 在 [新資料庫快照集識別碼] 中,輸入資料庫快照的唯一名稱。您可以建立自動備份或手動快照的多個副本,但每個副本都必須有唯一的識別碼。

  7. (選用) 選取 Copy Tags (複製標籤),將快照中的標籤和值複製到快照的副本。

  8. 對於加密,請指定用於加密資料庫快照副本的KMS金鑰識別碼。

    注意

    RDS「SQL伺服器自訂」會加密所有資料庫快照。您無法建立未加密的資料庫快照。

  9. 選擇 Copy Snapshot (複製快照)

RDS「SQL伺服器自訂」會建立資料庫執行個體的資料庫快照副本 AWS 區域 您的選擇。

AWS CLI

您可以使用複製SQL伺服器資料庫的RDS自訂快照 AWS CLI 指令copy-db-snapshot。如果您要將快照複製到新快照 AWS 區域,在新的中執行命令 AWS 區域。 下列選項可用來複製資料庫快照。並非所有情況需要使用所有選項。

  • --source-db-snapshot-identifier‐來源資料庫快照的識別碼。

    • 如果來源快照位於不同 AWS 區域 比副本,指定一個有效的數據庫快照ARN。例如:arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678

  • --target-db-snapshot-identifier‐資料庫快照新副本的識別碼。

  • --kms-key-id-加密數據庫快照的密KMS鑰標識符。KMS金鑰識別碼是 Amazon 資源名稱 (ARN)、金鑰識別碼或金鑰的金KMS鑰別名。

    • 如果您將加密快照複製到其他快照 AWS 區域,則您必須指定目標的KMS金鑰 AWS 區域。 KMS鍵是特定於 AWS 區域 它們是在中創建的,您不能使用其中一個加密密鑰 AWS 區域 在另一個 AWS 區域 除非使用了多區域鍵。如需有關多區域KMS金鑰的詳細資訊,請參閱在中使用多區域金鑰 AWS KMS.

  • --copy-tags‐將來源快照中的標籤和值包含到快照副本中。

複製SQL伺服器資料庫快照集的RDS自訂不支援下列選項:

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

下列程式碼範例會將加密的資料庫快照從美國西部 (奧勒岡) 區域複製到美國東部 (維吉尼亞北部) 區域。在目的地 (us-east-1) 區域中執行命令。

針對 Linux、macOS 或 Unix:

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

針對 Windows:

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

您可以使用 Amazon RDS API 操作 C 複製SQL伺服器資料庫RDS自訂快照opyDBSnapshot。如果您要將快照複製到新快照 AWS 區域,在新的中執行動作 AWS 區域。 下面的參數是用來複製一個數據庫快照。並非所有參數都是必需的:

  • SourceDBSnapshotIdentifier‐來源資料庫快照的識別碼。

    • 如果來源快照位於不同 AWS 區域 比副本,指定一個有效的數據庫快照ARN。例如:arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678

  • TargetDBSnapshotIdentifier‐資料庫快照新副本的識別碼。

  • KmsKeyId‐加密資料庫快照的KMS金鑰識別碼。KMS金鑰識別碼是 Amazon 資源名稱 (ARN)、金鑰識別碼或金鑰的金KMS鑰別名。

    • 如果您將加密快照複製到其他快照 AWS 區域,則您必須指定目標的KMS金鑰 AWS 區域。 KMS鍵是特定於 AWS 區域 它們是在中創建的,您不能使用其中一個加密密鑰 AWS 區域 在另一個 AWS 區域 除非使用了多區域鍵。如需有關多區域KMS金鑰的詳細資訊,請參閱在中使用多區域金鑰 AWS KMS.

  • CopyTags‐將此參數設定true為可將來源快照中的標籤和值複製到快照副本。預設值為 false

下列選項不支援複製SQL伺服器資料庫的RDS自訂快照集:

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

下列程式碼會在 US East (N. Virginia) 區域中使用新名稱 mydbsnapshotcopy 來建立快照的複本。

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf