本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用共用備份
CloudHSM 與 AWS Resource Access Manager (AWS RAM) 整合以啟用資源共用功能。 AWS RAM 是一項服務,可讓您與其他人 AWS 帳戶 或透過共用某些 CloudHSM 資源。 AWS Organizations使用 AWS RAM,您可以透過建立資源共用來共用您擁有的資源。資源共享指定要共用的資源,以及共用它們的消費者。消費者可以包括:
-
特定於其組織 AWS 帳戶 內部或外部 AWS Organizations
-
其組織內部的組織單位 AWS Organizations
-
中的整個組織 AWS Organizations
若要取得有關的更多資訊 AWS RAM,請參閱AWS RAM 使用者指南。
本主題說明如何共用您擁有的資源,以及如何使用與您共用的資源。
共用備份的先決條件
-
要共享備份,您必須在 AWS 帳戶. 這表示必須在您的帳戶中配置或佈建資源。您無法共享已與您共享的備份。
-
若要共用備份,備份必須處於「就緒」狀態。
-
若要與中的組織或組織單位共用備份 AWS Organizations,您必須啟用與共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用。
共用備份
當您與其他人共用備份時 AWS 帳戶,您可以讓他們從包含儲存在備份中的金鑰和使用者的備份還原叢集。
若要共用備份,您必須將其新增至資源共用。資源共用是一 AWS RAM 種可讓您共用資源的資源 AWS 帳戶。資源共享指定要共用的資源,以及共用它們的消費者。使用 CloudHSM 主控台共用備份時,您可以將其新增至現有的資源共用。若要將備份新增至新的資源共用,您必須先使用AWS RAM
主控台
如果您是組織中的一員, AWS Organizations 且已啟用組織內的共用功能,則組織中的取用者會自動獲得共用備份的存取權。否則,取用者會收到加入資源共用的邀請,並在接受邀請後授予共用備份的存取權。
您可以使用 AWS RAM 控制台或共享您擁有的備份 AWS CLI。
共用您使用 AWS RAM 主控台擁有的備份
請參閱《AWS RAM 使用者指南》中的建立資源共享。
共用您擁有的備份 (AWS RAM 指令)
使用 create-resource-share 命令。
若要共用您擁有的備份 (CloudHSM 命令)
重要
雖然您可以使用 CloudHSM PutResourcePolicy 作業共用備份,但建議您改用 AWS Resource Access Manager (AWS RAM)。使用可為您建立原則、允許一次共用多個資源,以及增加共用資源的可探索性,因此可 AWS RAM 提供多項好處。如果您使用 PutResourcePolicy 並希望取用者能夠描述您與他們共用的備份,則必須使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 作業將備份升級為標準 AWS RAM 資源共用。
使用 put-resource-policy 命令。
-
建立名為的檔案,
policy.json並將下列原則複製到其中。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"<consumer-aws-account-id-or-user>" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>" }] } -
policy.json使用備份 ARN 和標識符進行更新以與之共享。下列範例會針對 123456789012 所識別之 AWS 帳戶,授與根使用者的唯讀存取權。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "account-id" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }重要
您只能 DescribeBackups 在帳戶層級授予權限。當您與其他客戶共用備份時,在該帳戶中具有 DescribeBackups 權限的任何主體都可以描述備份。
-
執行 put-resource-policy 命令。
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.json注意
此時,取用者可以使用備份,但不會顯示在具有共用參數的 DescribeBackups 回應中。接下來的步驟說明如何升級 AWS RAM 資源共用,以便將備份包含在回應中。
-
獲取資 AWS RAM 源共享 ARN。
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>這會傳回類似下列的回應:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }從回應中,複製
< resource-share-arn >值以在後續步驟中使用。 -
執行來 AWS RAM promote-resource-share-created源政策命令。
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
若要驗證資源共用是否已升級,您可以執行 AWS RAM get-resource-shares命令。
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>提升原則後,回應中
featureSet列出的為STANDARD。這也意味著備份可以由策略中的新帳戶描述。
取消共用共用備份
當您取消共用資源時,取用者可能不再使用該資源來還原叢集。消費者仍然可以存取從共用備份還原的任何叢集。
若要取消共用您擁有的共用備份,您必須將其從資源共用中移除。您可以使用 AWS RAM 控制台或 AWS CLI.
取消共用您使用主控台擁有的 AWS RAM 共用備份
請參閱《AWS RAM 使用者指南》中的更新資源共享。
取消共用您擁有的共用備份 (AWS RAM 指令)
使用 disassociate-resource-share 命令。
若要取消共用您擁有的共用備份 (CloudHSM 命令)
使用 delete-resource-policy 命令。
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
識別共用備份
消費者可以使用 CloudHSM 主控台和識別與他們共用的備份。 AWS CLI
使用 CloudHSM 主控台識別與您共用的備份
請在以下位置開啟 AWS CloudHSM 主控台。
https://console.aws.amazon.com/cloudhsm/home -
若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。
-
在導覽窗格中,選擇備份。
-
在表格中,選擇 [共用備份] 索引標籤。
若要識別與您共用的備份 AWS CLI
使用描述備份命令搭配--shared參數,可傳回與您共用的備份。
共用備份的權限
擁有者的許可
Backup 擁有者可以描述和管理共用備份,也可以使用它來還原叢集。
消費者的許可
Backup 用戶無法修改共用備份,但可以描述並使用它來還原叢集。
計費和計量
共用備份不會收取額外費用。
