如何与其他账户共享加密的 Amazon RDS 数据库快照?

上次更新时间:2020 年 3 月 3 日

我有使用默认 AWS Key Management Service (AWS KMS) 密钥的 Amazon Relational Database Service (Amazon RDS) 实例的加密快照。如何与另一个 AWS 账户共享 RDS DB 实例的加密快照?

简短描述

您不能共享使用默认的 AWS KMS 加密密钥加密的快照。有关共享数据库快照限制的更多信息,请参见共享加密快照

要共享加密的 Amazon RDS 数据库快照:

  1. 将目标账户添加到自定义(非默认)KMS 密钥中。
  2. 复制使用客户管理的密钥的快照,然后与目标账户共享快照。
  3. 从目标账户中复制共享的数据库快照。

解决方法

将目标账户添加到客户管理的密钥

  1. 登录源账户,然后在与数据库快照相同的 AWS 区域打开 AWS KMS 控制台
  2. 从导航窗格中选择客户管理的密钥
  3. 选择客户管理的密钥的名称,或者,如果您没有密钥,请选择创建密钥。有关更多信息,请参见创建密钥
  4. 密钥管理员部分,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
  5. 密钥用户部分,添加可以使用客户主密钥 (CMK) 加密和解密数据的 IAM 用户和角色。
  6. 其他 AWS 账户部分,选择添加另一个 AWS 账户,然后输入目标账户的 AWS 账号。有关更多信息,请参阅允许其他账户中的用户使用 CMK

复制和共享快照

  1. 打开 Amazon RDS 控制台,然后从导航窗格中选择快照
  2. 选择您创建的快照的名称,选择操作,然后选择复制快照
  3. 选择您的 KMS 密钥所在的 AWS 区域,然后输入新的数据库快照标识符
  4. 加密部分中,选择您创建的 KMS 密钥。
  5. 选择复制快照
  6. 目标账户共享复制的快照。

复制共享的数据库快照

  1. 登录到目标账户,然后打开 Amazon RDS 控制台
  2. 从导航窗格中选择快照
  3. 快照窗格中,选择与我共享选项卡。
  4. 选择已共享的数据库快照。
  5. 选择操作,然后选择复制快照将快照复制到相同的 AWS 区域并使用目标账户中的 KMS 密钥。

复制数据库快照后,您可以使用该副本启动实例。

如何更改我的 Amazon RDS 实例使用的加密密钥?

加密 Amazon RDS 资源

这篇文章对您有帮助吗?

没有

我们可以改进什么?

请告诉我们

需要更多帮助?

联系 AWS Support