如何与其他账户共享加密的 Amazon RDS 数据库快照?
上次更新日期:2020 年 10 月 6 日
我有一个 Amazon Relational Database Service (Amazon RDS) 数据库实例的加密快照。它使用默认的 AWS Key Management Service (AWS KMS) 密钥。如何与另一个 AWS 账户共享数据库实例的加密快照?
简短描述
您不能共享使用默认的 AWS KMS 加密密钥加密的快照。有关共享数据库快照限制的更多信息,请参阅共享加密快照。
要共享加密的 Amazon RDS 数据库快照:
- 将目标账户添加到自定义(非默认)KMS 密钥中。
- 复制使用客户管理的密钥的快照,然后与目标账户共享快照。
- 从目标账户中复制共享的数据库快照。
注意:您还可以按照 AWSSupport SharerdSnapshot AWS Systems Manager Automation 文档中所述的步骤来共享快照。您可以提供要复制并与目标账户共享的快照。您还可以提供将与之共享最新快照的数据库实例/数据库集群 ID。您可以提供现有 KMS 密钥,也可以将其留空以创建新密钥。有关更多信息,请参阅在本地账户中添加密钥策略语句和运行简单自动化流程。
解决方法
允许使用源账户的客户主密钥访问目标账户
- 登录源账户,然后在与数据库快照相同的 AWS 区域打开 AWS KMS 控制台。
- 从导航窗格中选择 Customer managed keys(客户管理的密钥)。
- 选择客户管理的密钥的名称,或者,如果您没有密钥,请选择创建密钥。有关更多信息,请参阅创建密钥。
- 在 Key administrators(密钥管理员)部分,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
- 在密钥用户部分,添加可以使用客户主密钥 (CMK) 加密和解密数据的 IAM 用户和角色。
- 在 Other AWS accounts(其他 AWS 账户)部分,选择 Add another AWS account(添加另一个 AWS 账户),然后输入目标账户的 AWS 账号。有关更多信息,请参阅允许其他账户中的用户使用 CMK。
复制和共享快照
- 打开 Amazon RDS 控制台,然后从导航窗格中选择 Snapshots(快照)。
- 选择您创建的快照的名称,选择 Actions(操作),然后选择 Copy Snapshot(复制快照)。
- 选择您的 KMS 密钥所在的 AWS 区域,然后输入新的数据库快照标识符。
- 在加密部分中,选择您创建的 KMS 密钥。
- 选择 Copy Snapshot(复制快照)。
- 与目标账户共享复制的快照。
复制共享的数据库快照
- 登录到目标账户,然后打开 Amazon RDS 控制台。
- 从导航窗格中选择 Snapshots(快照)。
- 从快照窗格中,选择与我共享选项卡。
- 选择已共享的数据库快照。
- 选择操作,然后选择复制快照将快照复制到相同的 AWS 区域并使用目标账户中的 KMS 密钥。
复制数据库快照后,您可以使用该副本启动实例。