Comment partager un instantané de bases de données Amazon RDS chiffré avec un autre compte ?

Dernière mise à jour : 06/10/2020

Je dispose d'un instantané chiffré d'une instance de bases de données Amazon Relational Database Service (Amazon RDS). Il utilise la clé AWS Key Management Service (AWS KMS) par défaut. Comment partager avec un autre compte AWS un instantané chiffré d'une instance de base de données ?

Brève description

Vous ne pouvez pas partager un instantané chiffré en utilisant la clé de chiffrement AWS KMS par défaut. Pour plus d'informations sur les limitations de partage des instantanés de bases de données, consultez la section Partage d'un instantané chiffré.

Pour partager un instantané de bases de données Amazon RDS chiffré :

  1. Ajoutez le compte cible à une clé KMS personnalisée (ne correspondant pas une clé par défaut).
  2. Copiez l'instantané en utilisant la clé CMK, puis partagez l'instantané avec le compte cible.
  3. Copiez l'instantané de bases de données partagé depuis le compte cible.

Remarque : vous pouvez également suivre les étapes du documenAWSSupport-ShareRDSSnapshot d'AWS Systems Manager Automation pour partager votre instantané. Vous pouvez fournir un instantané à copier et à partager avec le compte cible. Vous pouvez également fournir l'ID du cluster de bases de données/de l'instance de bases de données avec lequel les derniers instantanés seront partagés. Vous pouvez fournir une clé KMS existante ou laisser le champ vide pour créer une nouvelle clé. Pour plus d'informations, consultez Ajouter une déclaration de stratégie clé dans le compte local et Exécuter une automatisation simple.

Résolution

Autoriser l'accès au compte cible sur la clé principale client du compte source

  1. Connectez-vous au compte source, puis ouvrez la console AWS KMS dans la même région AWS que l'instantané de bases de données.
  2. Sélectionnez Clés gérées par le client dans le volet de navigation.
  3. Choisissez le nom de votre clé gérée par le client ou sélectionnez Créer une clé si vous n'en avez pas. Pour plus d'informations, consultez Création de clés.
  4. Dans la section Administrateurs de clé, ajoutez les utilisateurs et les rôles IAM (AWS Identity and Access Management) qui peuvent administrer la clé AWS KMS.
  5. Dans la section Utilisateurs de la clé, ajoutez les utilisateurs et les rôles IAM qui peuvent utiliser la clé principale client (CMK) pour chiffrer et déchiffrer les données.
  6. Dans la section Autres comptes AWS, sélectionnez Ajouter un autre compte AWS, puis saisissez le numéro de compte AWS du compte cible. Pour plus d'informations, consultez Autorisation des utilisateurs d'autres comptes à utiliser une clé CMK.

Copier et partager l'instantané

  1. Ouvrez la console Amazon RDS, puis choisissez Instantanés dans le panneau de navigation.
  2. Sélectionnez le nom de l'instantané que vous avez créé, puis choisissez Actions et Copier un instantané.
  3. Choisissez la même région AWS que celle qui contient votre clé KMS, puis saisissez un nouvel identifiant d'instantané de bases de données.
  4. Dans la section Chiffrement, choisissez la clé KMS que vous avez créée.
  5. Sélectionnez Copier un instantané.
  6. Partagez l'instantané copié avec le compte cible.

Copier l'instantané de base de données partagé

  1. Connectez-vous au compte cible, puis ouvrez la console Amazon RDS.
  2. Sélectionnez Instantanés dans le volet de navigation.
  3. Dans le volet Instantanés, sélectionnez l'onglet Partagé avec moi.
  4. Sélectionnez l'instantané de bases de données qui a été partagé.
  5. Choisissez Actions, puis Copy Snapshot (Copier un instantané) pour copier l'instantané vers la même région AWS et avec une clé KMS du compte cible.

Une fois l'instantané de bases de données copié, vous pouvez utiliser la copie pour lancer l'instance.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?