如何与其他账户共享加密的 Amazon RDS 数据库快照?

1 分钟阅读
0

我有一个 Amazon Relational Database Service (Amazon RDS) 数据库实例的加密快照。它使用默认 AWS Key Management Service (AWS KMS) 密钥。我想与另一个 AWS 账户共享数据库实例的加密快照。

简短描述

您不能使用默认 AWS KMS 加密密钥来共享已加密的快照。有关共享数据库快照的限制的详细信息,请参阅共享加密快照

要共享加密的 Amazon RDS 数据库快照,请完成以下步骤:

  1. 将目标账户添加到自定义(非默认)KMS 密钥。
  2. 使用客户管理的密钥复制快照,然后与目标账户共享快照。
  3. 从目标账户复制共享的数据库快照。

**注意:**您也可以按照 AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation 文档中的步骤共享快照。提供快照以复制并与目标账户共享。您也可以提供要与快照共享的数据库实例或数据库集群 ID。提供现有 KMS 密钥,或将其留空以创建新密钥。有关详细信息,请参阅在本地帐户中添加密钥策略声明运行自动化

解决方法

允许使用源账户的 AWS KMS 密钥访问目标账户

  1. 登录到源账户,然后在与数据库快照相同的 AWS 区域中打开 AWS KMS 控制台
  2. 从导航窗格中选择客户管理的密钥
  3. 选择您的客户管理密钥的名称。如果您没有密钥,请选择创建密钥。有关详细信息,请参阅创建密钥
  4. 密钥管理员部分中,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
  5. 密钥用户部分中,添加可以使用 AWS KMS 密钥(KMS 密钥)加密和解密数据的 IAM 用户和角色。
  6. 其他 AWS 账户部分中,选择添加其他 AWS 账户,然后输入目标账户的 AWS 账号。有关详细信息,请参阅允许其他账户中的用户使用 KMS 密钥

复制并共享快照

  1. 打开 Amazon RDS 控制台,然后从导航窗格中选择快照
  2. 选择您创建的快照的名称,选择操作,然后选择复制快照
  3. 选择您的 KMS 密钥所在的相同 AWS 区域,然后输入新的数据库快照标识符
  4. 加密部分中,选择您创建的 KMS 密钥。
  5. 选择复制快照
  6. 与目标账户共享复制的快照

复制共享的数据库快照

  1. 登录目标账户,然后打开 Amazon RDS 控制台
  2. 从导航窗格中选择快照
  3. 快照窗格中,选择与我共享选项卡。
  4. 选择您共享的数据库快照。
  5. 选择操作。然后,选择复制快照以将快照复制到同一 AWS 区域,并使用目标账户的 KMS 密钥。

复制数据库快照后,您可以使用副本启动实例。

相关信息

如何更改我的 Amazon RDS 数据库实例和数据库快照使用的加密密钥?

加密 Amazon RDS 资源

复制数据库快照

AWS 官方
AWS 官方已更新 1 年前