Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo puedo compartir una instantánea cifrada de Amazon Aurora con otra cuenta?

5 minutos de lectura
0

Tengo una instantánea cifrada de un clúster de base de datos de Amazon Aurora que utiliza la clave predeterminada de AWS Key Management Service (AWS KMS). ¿Cómo puedo compartir la instantánea cifrada con otra cuenta de AWS?

Descripción breve

No puede compartir una instantánea que esté cifrada con la clave de AWS KMS predeterminada. En su lugar, debe crear una clave de AWS KMS personalizada. Para compartir una instantánea cifrada de un clúster de base de datos de Aurora:

  1. Cree una clave de AWS KMS personalizada.
  2. Agregue la cuenta de destino a la clave de AWS KMS personalizada.
  3. Cree una copia de la instantánea del clúster de base de datos con la clave de AWS KMS personalizada. A continuación, comparta la instantánea recién copiada con la cuenta de destino.
  4. Copie la instantánea del clúster de base de datos compartida de la cuenta de destino.

Resolución

Crear una clave de AWS KMS personalizada

  1. Inicie sesión en la cuenta de origen y, a continuación, vaya a la consola de AWS KMS en la misma región que la instantánea del clúster de base de datos.
  2. Seleccione Customer-managed keys (Claves administradas por el cliente) en el panel de navegación lateral.
  3. Elija Create key (Crear clave).
  4. Cree una clave de AWS KMS de cifrado simétrico.
  5. En Key usage (Uso de claves), seleccione Encrypt and decrypt (Cifrar y descifrar). Para obtener información sobre la creación de claves de AWS KMS que generan y luego verifican códigos MAC, consulte Creación de claves de AWS KMS para HMAC.
  6. En Advanced options (Opciones avanzadas), seleccione AWS KMS como origen del material de la clave.
  7. Seleccione Single-region key (Clave de región única) y, a continuación, seleccione Next (Siguiente).
  8. Asigne un alias a la clave. También se recomienda dar a la clave una descripción y una etiqueta. A continuación, seleccione Next(Siguiente).
  9. Elija los usuarios y los roles de IAM a los que se les permitirá administrar la clave de AWS KMS y, a continuación, seleccione Next (Siguiente).
    Nota: Para evitar que los usuarios y los roles de IAM eliminen la clave de AWS KMS, en la sección Key deletion (Eliminación de claves), desactive la casilla Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).
  10. Seleccione los usuarios y el rol de IAM que pueden usar la clave de AWS KMS en las operaciones criptográficas y seleccione Next (Siguiente).
    Nota: También puede permitir que otras cuentas de AWS usen la clave para las operaciones criptográficas. Para obtener más información, consulte Operaciones criptográficas.
  11. Seleccione Finish (Finalizar) para crear la clave de AWS KMS.

Conceder a la cuenta de destino acceso a la clave de AWS KMS personalizada dentro de la cuenta de origen

  1. Inicie sesión en la cuenta de origen y vaya a la consola de AWS KMS en la misma región que la instantánea del clúster de base de datos.
  2. Seleccione Customer-managed keys (Claves administradas por el cliente) en el panel de navegación.
  3. Seleccione su clave de AWS KMS personalizada.
  4. En la sección Other AWS accounts (Otras cuentas de AWS), seleccione Add another AWS account (Agregar otra cuenta de AWS) y, a continuación, introduzca el número de cuenta de AWS de su cuenta de destino. Para obtener más información, consulte Permitir que los usuarios de otras cuentas usen una clave de AWS KMS.

Copiar y compartir la instantánea del clúster de base de datos

  1. Abra la consola de Amazon RDS en la cuenta de origen y, a continuación, seleccione Snapshots (Instantáneas) en el panel de navegación.
  2. Seleccione la instantánea del clúster de base de datos que desea compartir. Seleccione Actions (Acciones) y, a continuación, seleccione Copy snapshot (Copiar instantánea).
  3. Seleccione la misma región de AWS en la que se encuentra su clave de AWS KMS personalizada y, a continuación, introduzca un nombre para el nuevo identificador de instantánea de base de datos.
  4. En la sección Encryption (Cifrado), seleccione la clave de AWS KMS personalizada que creó.
  5. Seleccione Copy Snapshot (Copiar instantánea).
  6. Seleccione la instantánea del clúster de base de datos recién copiada, seleccione Actions (Acciones) y, a continuación, seleccione Share snapshot (Compartir instantánea).
  7. En AWS account ID (ID de cuenta de AWS), introduzca el número de cuenta de AWS de su cuenta de destino y, a continuación, seleccione Add (Agregar).
  8. Seleccione Save (Guardar).

Copiar la instantánea del clúster de base de datos

  1. Inicie sesión en la cuenta de destino y, a continuación, abra la consola de Amazon RDS.
  2. En el panel de navegación, elija Snapshots (Instantáneas).
  3. En el panel Snapshots (Instantáneas), seleccione la pestaña Shared with Me (Compartidas conmigo).
  4. Seleccione la instantánea del clúster de base de datos que se compartió.
  5. Seleccione Actions (Acciones). A continuación, seleccione Copy Snapshot (Copiar instantánea) para copiar la instantánea del clúster de base de datos a la misma región de AWS.

La instantánea de base de datos ahora tiene una clave de AWS KMS de la cuenta de destino y se puede usar para lanzar la instancia.

Información relacionada

Compartir una instantánea de un clúster de base de datos

Creación de claves de AWS KMS asimétricas

Claves de varias regiones en AWS KMS

Copiar una instantánea de un clúster de base de datos

Compartir una instantánea

Temas
Base de datos
Etiquetas
Aurora MySQL
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año

Contenido relevante