Come faccio a condividere uno snapshot crittografato di Amazon Aurora con un altro account?

Ultimo aggiornamento: 09/11/2022

Ho uno snapshot crittografato del cluster Amazon Aurora DB che utilizza la chiave AWS Key Management Service (AWS KMS) predefinita. Come faccio a condividere lo snapshot crittografato con un altro account AWS?

Breve descrizione

Non puoi condividere uno snapshot crittografato con la chiave AWS KMS predefinita. Invece devi creare una chiave AWS KMS personalizzata. Per condividere uno snapshot crittografato del cluster Aurora DB:

  1. Crea una chiave AWS KMS personalizzata.
  2. Aggiungi l'account di destinazione alla chiave AWS KMS personalizzata.
  3. Crea una copia dello snapshot del cluster DB utilizzando la chiave AWS KMS personalizzata. Quindi, condividi lo snapshot appena copiato con l'account di destinazione.
  4. Copia lo snapshot del cluster DB condiviso dall'account di destinazione.

Risoluzione

Crea una chiave AWS KMS personalizzata

  1. Accedi all'account di origine, quindi vai alla console AWS KMS nella stessa area geografica dello snapshot del cluster DB.
  2. Seleziona Tasti gestiti dal cliente dal pannello di navigazione a lato.
  3. Scegli Crea chiave.
  4. Crea una chiave AWS KMS con crittografia simmetrica.
  5. In Utilizzo della chiave, seleziona Crittografa e decifra. Per informazioni sulla creazione di chiavi AWS KMS che generano e quindi verificano i codici MAC, consulta Creazione di chiavi AWS KMS HMAC.
  6. In Opzioni avanzate, seleziona AWS KMS come origine del materiale della chiave.
  7. Seleziona Chiave per una sola area geografica, quindi seleziona Avanti.
  8. Dai un alias alla chiave. Si consiglia inoltre di assegnare alla chiave una descrizione e un tag. Quindi, seleziona Avanti.
  9. Scegli gli utenti e i ruoli IAM che saranno autorizzati ad amministrare la chiave AWS KMS, quindi seleziona Avanti.
    Nota: per impedire agli utenti e ai ruoli IAM di eliminare la chiave AWS KMS, nella sezione Eliminazione della chiave, deseleziona la casella di controllo Consenti agli amministratori della chiave di eliminare questa chiave.
  10. Seleziona gli utenti e i ruoli IAM che possono utilizzare la chiave AWS KMS nelle operazioni di crittografia e seleziona Avanti.
    Nota: puoi anche consentire ad altri account AWS di utilizzare la chiave per operazioni crittografiche. Per ulteriori informazioni, consulta Operazioni crittografiche.
  11. Seleziona Termina per creare la chiave AWS KMS.

Consenti all'account di destinazione l'accesso alla chiave AWS KMS personalizzata all'interno dell'account di origine

  1. Accedi all'account di origine e vai alla console AWS KMS nella stessa area geografica dello snapshot del cluster DB.
  2. Seleziona Chiavi gestite dal cliente dal pannello di navigazione.
  3. Seleziona la tua chiave AWS KMS personalizzata.
  4. Dalla sezione Altri account AWS, seleziona Aggiungi un altro account AWS, quindi inserisci il numero di account AWS del tuo account di destinazione. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una chiave AWS KMS.

Copia e condividi lo snapshot del cluster DB

  1. Apri la console Amazon RDS nell'account di origine, quindi selezionaSnapshot dal pannello di navigazione.
  2. Seleziona lo snapshot del cluster DB che desideri condividere. Seleziona Azioni, quindi seleziona Copia snapshot.
  3. Seleziona la stessa area geografica AWS in cui si trova la tua chiave AWS KMS personalizzata, quindi inserisci un nome per il nuovo DB Snapshot Identifier.
  4. Nella sezione Crittografia, seleziona la chiave AWS KMS personalizzata che hai creato.
  5. Seleziona Copia snapshot.
  6. Seleziona lo snapshot del cluster DB appena copiato, seleziona Azioni, quindi seleziona Condividi snapshot.
  7. Nell'ID dell'account AWS, inserisci il numero di account AWS del tuo account di destinazione, quindi seleziona Aggiungi.
  8. Seleziona Salva.

Copia lo snapshot del cluster DB condiviso

  1. Accedi all'account di destinazione, quindi apri la console Amazon RDS.
  2. Nel pannello di navigazione, scegli Snapshot.
  3. Dal riquadro Snapshot, seleziona la scheda Condiviso con me.
  4. Seleziona lo snapshot del cluster DB che è stato condiviso.
  5. Seleziona Azioni. Quindi, seleziona Copia snapshot per copiare lo snapshot del cluster DB nella stessa area geografica AWS.

Lo snapshot DB ora dispone di una chiave AWS KMS dall'account di destinazione e può essere utilizzata per avviare l'istanza.