Comment partager un instantané de bases de données Amazon Aurora chiffré avec un autre compte ?

Dernière mise à jour : 09-11-2022

J'ai un instantané crypté du cluster de bases de données Amazon Aurora qui utilise la clé AWS Key Management Service (AWS KMS) par défaut. Comment puis-je partager l'instantané crypté avec un autre compte AWS ?

Brève description

Vous ne pouvez pas partager un instantané chiffré avec la clé AWS KMS par défaut. Vous devez plutôt créer une clé AWS KMS personnalisée. Pour partager un instantané de cluster de base de données Aurora crypté :

  1. Créez une clé AWS KMS personnalisée.
  2. Ajoutez le compte cible à la clé AWS KMS personnalisée.
  3. Créez une copie de l'instantané du cluster de bases de données à l'aide de la clé AWS KMS personnalisée. Puis, partagez l'instantané copié avec le compte cible.
  4. Copiez l'instantané cluster de bases de données partagé depuis le compte cible.

Solution

Création d'une clé AWS KMS personnalisée

  1. Connectez-vous au compte source, puis ouvrez la console AWS KMS dans la même région AWS que l'instantané de cluster de bases de données.
  2. Sélectionnez Clés gérées par le client dans le volet de navigation.
  3. Choisissez Create key (Créer une clé).
  4. Créez une clé AWS KMS de chiffrement symétrique.
  5. Dans Utilisation des clés, sélectionnez Chiffrer et déchiffrer. Pour plus d'informations sur la création de clés AWS KMS qui génèrent puis vérifient des codes MAC, consultez Création de clés HMAC AWS KMS.
  6. Dans les options avancées, sélectionnez AWS KMS comme origine du matériau clé.
  7. Sélectionnez Clé à région unique, puis sélectionnez Suivant.
  8. Donnez un pseudonyme à votre clé. Il est également recommandé de donner à votre clé une description et une étiquette. Ensuite, sélectionnez Next (Suivant).
  9. Choisissez les utilisateurs et les rôles IAM qui seront autorisés à administrer la clé AWS KMS, puis sélectionnez Suivant.
    Remarque : Pour empêcher les utilisateurs et les rôles IAM de supprimer la clé AWS KMS, dans la section Suppression de la clé, décochez la case Autoriser les administrateurs de clés à supprimer cette clé.
  10. Sélectionnez les utilisateurs et le rôle IAM qui peuvent utiliser la clé AWS KMS dans le cadre d'opérations cryptographiques, puis sélectionnez Suivant.
    Remarque : Vous pouvez également autoriser d'autres comptes AWS à utiliser la clé pour des opérations cryptographiques. Pour plus d'informations, consultez la section Opérations cryptographiques.
  11. Sélectionnez Terminer pour créer la clé AWS KMS.

Donnez au compte cible l'accès à la clé AWS KMS personnalisée au sein du compte source

  1. Connectez-vous au compte source, puis ouvrez la console AWS KMS dans la même région que l'instantané de bases de données de cluster.
  2. Sélectionnez Clés gérées par le client dans le volet de navigation.
  3. Sélectionnez votre clé AWS KMS personnalisée.
  4. Dans la section Autres comptes AWS, choisissez Ajouter un autre compte AWS, puis saisissez le numéro de compte AWS du compte cible. Pour plus d'informations, consultez Autorisation des utilisateurs d'autres comptes à utiliser une clé AWS KMS.

Copiez et partagez l'instantané du cluster de bases de données

  1. Ouvrez la console Amazon RDS dans le compte source, puis sélectionnez Snapshots dans le volet de navigation.
  2. Sélectionnez l'instantané du cluster de bases de données que vous souhaitez partager. Sélectionnez Actions, puis Copier l'instantané.
  3. Sélectionnez la même région AWS dans laquelle se trouve votre clé AWS KMS personnalisée, puis entrez un nom pour le nouvel identifiant de capture de base de données.
  4. Dans la section Chiffrement, sélectionnez la clé AWS KMS personnalisée que vous avez créée.
  5. Sélectionnez Copier l'instantané.
  6. Sélectionnez l'instantané du cluster de base de données que vous venez de copier, sélectionnez Actions, puis sélectionnez Partager l'instantané.
  7. Dans ID de compte AWS, entrez le numéro de compte AWS de votre compte cible, puis sélectionnez Ajouter.
  8. Sélectionnez Enregistrer.

Copiez l'instantané du cluster de bases de données

  1. Connectez-vous au compte cible, puis ouvrez la console Amazon RDS.
  2. ChoisissezInstantanés dans le panneau de navigation.
  3. Dans le volet Instantanés, sélectionnez l'onglet Partagé avec moi.
  4. Sélectionnez l'instantané de bases de données qui a été partagé.
  5. Sélectionnez Actions. Sélectionnez ensuite Copy Snapshot pour copier l'instantané du cluster de base de données dans la même région AWS.

L'instantané de base de données possède désormais une clé AWS KMS provenant du compte cible et peut être utilisé pour lancer l'instance.