암호화된 Amazon RDS DB 스냅샷을 다른 계정과 공유하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 10월 6일

Amazon Relational Database Service(Amazon RDS) DB 인스턴스의 암호화된 스냅샷을 실행하고 있습니다. 기본 AWS Key Management Service(AWS KMS) 키를 사용합니다. DB 인스턴스의 암호화된 스냅샷을 다른 AWS 계정과 공유하려면 어떻게 해야 합니까?

간략한 설명

기본 AWS KMS 암호화 키를 사용하여 암호화된 스냅샷은 공유할 수 없습니다. DB 스냅샷 공유의 제한 사항에 대한 자세한 내용은 암호화된 스냅샷 공유를 참조하세요.

암호화된 Amazon RDS DB 스냅샷을 공유하려면 다음을 수행하세요.

  1. 대상 계정을 기본값이 아닌 사용자 지정 KMS 키에 추가합니다.
  2. 이 고객 관리형 키를 사용하여 스냅샷을 복사하고 해당 스냅샷을 대상 계정과 공유합니다.
  3. 대상 계정에서 공유된 DB 스냅샷을 복사합니다.

참고: AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation 문서의 단계에 따라 스냅샷을 공유할 수도 있습니다. 대상 계정과 복사하고 공유할 스냅샷을 제공할 수 있습니다. 또한 최신 스냅샷을 공유할 DB 인스턴스/DB 클러스터 ID를 제공할 수 있습니다. 기존 KMS 키를 제공하거나 비워 두어 새 키를 만들 수 있습니다. 자세한 내용은 로컬 계정에 주요 정책 설명 추가단순 자동화 실행을 참조하십시오.

해결 방법

소스 계정의 고객 마스터 키에서 대상 계정에 대한 액세스 허용

  1. 소스 계정에 로그인한 후 DB 스냅샷과 동일한 AWS 리전에서 AWS KMS 콘솔을 엽니다.
  2. 탐색 창에서 [고객 관리형 키(Customer managed keys)]를 선택합니다.
  3. 고객 관리형 키의 이름을 선택하거나 아직 해당 키가 없는 경우 [키 생성(Create key)]을 선택합니다. 자세한 내용은 키 생성을 참조하세요.
  4. [키 관리자(Key administrators)] 섹션에서 AWS KMS 키를 관리할 수 있는 AWS Identity and Access Management(IAM) 사용자 및 역할을 추가합니다.
  5. [키 사용자] 섹션에서 데이터를 암호화 및 복호화하기 CMK(고객 마스터 키)를 사용할 수 있는 IAM 사용자 및 역할을 추가합니다.
  6. [다른 AWS 계정(Other AWS accounts)] 섹션에서 [다른 AWS 계정 추가(Add another AWS account)]를 선택하고 대상 계정의 AWS 계정 번호를 입력합니다. 자세한 내용은 다른 계정의 사용자가 CMK를 사용하도록 허용을 참조하세요.

스냅샷 복사 및 공유

  1. Amazon RDS 콘솔을 열고 탐색 창에서 [스냅샷(Snapshots)]을 선택합니다.
  2. 생성한 스냅샷의 이름을 선택하고 [작업(Actions)]을 선택하고 [스냅샷 복사(Copy Snapshot)]를 선택합니다.
  3. KMS 키가 있는 동일한 AWS 리전을 선택하고 새 DB 스냅샷 식별자를 입력합니다.
  4. [암호화] 섹션에서 사용자가 생성한 KMS 키를 선택합니다.
  5. [스냅샷 복사(Copy Snapshot)]를 선택합니다.
  6. 대상 계정과 복사된 스냅샷을 공유합니다.

공유 DB 스냅샷 복사

  1. 대상 계정에 로그인한 후 Amazon RDS 콘솔을 엽니다.
  2. 탐색 창에서 [스냅샷(Snapshots)]을 선택합니다.
  3. [스냅샷] 창에서 [나와 공유됨] 탭을 선택합니다.
  4. 공유되는 DB 스냅샷을 선택합니다.
  5. [작업]을 선택하고 [스냅샷 복사]를 선택하여 대상 계정의 KMS 키를 사용하여 동일한 AWS 리전으로 스냅샷을 복사합니다.

DB 스냅샷이 복사된 후 이 복사본을 사용하여 인스턴스를 시작할 수 있습니다.