如何与其他账户共享加密的 Amazon RDS 数据库快照?

上次更新日期:2020 年 10 月 6 日

我有一个 Amazon Relational Database Service (Amazon RDS) 数据库实例的加密快照。它使用默认的 AWS Key Management Service (AWS KMS) 密钥。如何与另一个 AWS 账户共享数据库实例的加密快照?

简短描述

您不能共享使用默认的 AWS KMS 加密密钥加密的快照。有关共享数据库快照限制的更多信息,请参阅共享加密快照

要共享加密的 Amazon RDS 数据库快照:

  1. 将目标账户添加到自定义(非默认)KMS 密钥中。
  2. 复制使用客户管理的密钥的快照,然后与目标账户共享快照。
  3. 从目标账户中复制共享的数据库快照。

注意:您还可以按照 AWSSupport SharerdSnapshot AWS Systems Manager Automation 文档中所述的步骤来共享快照。您可以提供要复制并与目标账户共享的快照。您还可以提供将与之共享最新快照的数据库实例/数据库集群 ID。您可以提供现有 KMS 密钥,也可以将其留空以创建新密钥。有关更多信息,请参阅在本地账户中添加密钥策略语句运行简单自动化流程

解决方法

允许使用源账户的客户主密钥访问目标账户

  1. 登录源账户,然后在与数据库快照相同的 AWS 区域打开 AWS KMS 控制台
  2. 从导航窗格中选择 Customer managed keys(客户管理的密钥)
  3. 选择客户管理的密钥的名称,或者,如果您没有密钥,请选择创建密钥。有关更多信息,请参阅创建密钥
  4. Key administrators(密钥管理员)部分,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
  5. 密钥用户部分,添加可以使用客户主密钥 (CMK) 加密和解密数据的 IAM 用户和角色。
  6. Other AWS accounts(其他 AWS 账户)部分,选择 Add another AWS account(添加另一个 AWS 账户),然后输入目标账户的 AWS 账号。有关更多信息,请参阅允许其他账户中的用户使用 CMK

复制和共享快照

  1. 打开 Amazon RDS 控制台,然后从导航窗格中选择 Snapshots(快照)
  2. 选择您创建的快照的名称,选择 Actions(操作),然后选择 Copy Snapshot(复制快照)
  3. 选择您的 KMS 密钥所在的 AWS 区域,然后输入新的数据库快照标识符
  4. 加密部分中,选择您创建的 KMS 密钥。
  5. 选择 Copy Snapshot(复制快照)
  6. 与目标账户共享复制的快照

复制共享的数据库快照

  1. 登录到目标账户,然后打开 Amazon RDS 控制台
  2. 从导航窗格中选择 Snapshots(快照)
  3. 快照窗格中,选择与我共享选项卡。
  4. 选择已共享的数据库快照。
  5. 选择操作,然后选择复制快照将快照复制到相同的 AWS 区域并使用目标账户中的 KMS 密钥。

复制数据库快照后,您可以使用该副本启动实例。

如何更改我的 Amazon RDS 实例使用的加密密钥?

加密 Amazon RDS 资源

这篇文章对您有帮助吗?

提交反馈

您是否需要账单或技术支持?

联系 AWS Support