Como posso compartilhar um snapshot criptografado do Amazon Aurora com outra conta?

Data da última atualização: 09/11/2022

Tenho um snapshot criptografado do cluster de banco de dados Amazon Aurora que está usando a chave padrão do AWS Key Management Service (AWS KMS). Como posso compartilhar o snapshot criptografado com outra conta da AWS?

Breve descrição

Você não pode compartilhar um snapshot criptografado com a chave padrão do AWS KMS. Em vez disso, você deve criar uma chave personalizada do AWS KMS. Para compartilhar um snapshot criptografado do cluster de banco de dados Aurora:

  1. Crie uma chave personalizada do AWS KMS.
  2. Adicione a conta de destino à chave personalizada do AWS KMS.
  3. Crie uma cópia do snapshot do cluster de banco de dados usando a chave personalizada do AWS KMS. Em seguida, compartilhe o instantâneo recém-copiado com a conta de destino.
  4. Copie o snapshot do cluster de banco de dados compartilhado da conta de destino.

Resolução

Crie uma chave personalizada do AWS KMS

  1. Faça login na conta de origem e acesse o console do AWS KMS na mesma região do snapshot do cluster de banco de dados.
  2. SelecioneCustomer-managed keys (Chaves gerenciadas pelo cliente) no painel de navegação ao lado.
  3. Escolha Create key (Criar chave).
  4. Crie uma chave de criptografia simétrica do AWS KMS.
  5. EmKey usage (Uso da chave), selecioneEncrypt and decrypt (Criptografar e descriptografar). Para obter informações sobre a criação de chaves do AWS KMS que geram e depois verificam códigos MAC, consulte Creating HMAC AWS KMS keys (Como criar chaves HMAC do AWS KMS).
  6. Nas Advanced options, (opções avançadas), selecione AWS KMS como a origem do material principal.
  7. Selecione Single-region key (Chave de região única) e, em seguida, selecione Next (Avançar).
  8. Dê um alias à sua chave. Também é uma boa prática dar à sua chave uma descrição e uma tag. Em seguida, selecione Next (Próximo).
  9. Escolha os usuários e funções do IAM que poderão administrar a chave do AWS KMS e selecione Next (Próximo).
    Observação: para evitar que os usuários e funções do IAM excluam a chave do AWS KMS, na seçãoKey deletion (Exclusão de chaves), desmarque a caixa de seleçãoAllow key administrators to delete this key (Permitir que os administradores de chaves excluam essa chave).
  10. Selecione os usuários e a função do IAM que podem usar a chave do AWS KMS em operações criptográficas e selecione Next (Próximo).
    Observação: você também pode permitir que outras contas da AWS usem a chave para operações criptográficas. Para obter mais informações, consulte Cryptographic operations (Operações criptográficas).
  11. Selecione Finish (Finalizar) para criar a chave do AWS KMS.

Conceda à conta de destino acesso à chave personalizada do AWS KMS na conta de origem

  1. Faça login na conta de origem e acesse o console do AWS KMS na mesma região do snapshot do cluster de banco de dados.
  2. Selecione Customer-managed keys (Chaves gerenciadas pelo cliente) no painel de navegação.
  3. Selecione sua chave personalizada do AWS KMS.
  4. Na seção Other AWS accounts (Outras contas da AWS), selecioneAdd another AWS account (Adicionar outra conta da AWS) e insira o número da conta da AWS da sua conta de destino. Para obter mais informações, consulte Allowing users in other accounts to use an AWS KMS key (Permitir que usuários em outras contas usem uma chave do AWS KMS).

Copiar e compartilhar o snapshot do cluster de banco de dados

  1. Abra o console do Amazon RDS na conta de origem e selecione Snapshots no painel de navegação.
  2. Selecione o snapshot do cluster de banco de dados que você deseja compartilhar. Selecione Actions (Ações) e selecione Copy snapshot (Copiar snapshot).
  3. Selecione a mesma região da AWS em que sua chave personalizada do AWS KMS está e, em seguida, insira um nome para o New DB Snapshot Identifier (Novo identificador de DB Snapshot).
  4. Na seção Encryption (Criptografia), selecione a chave personalizada do AWS KMS que você criou.
  5. Selecione Copy Snapshot (Copiar snapshot).
  6. Selecione o snapshot do cluster de banco de dados recém-copiado, selecione Actions (Ações) e selecione Share snapshot (Compartilhar snapshot).
  7. Em AWS account ID (ID da conta da AWS), insira o número da conta da AWS da sua conta de destino e selecione Add (Adicionar).
  8. Selecione Save (Salvar).

Copiar o snapshot do cluster de banco de dados

  1. Faça login na conta de destino e abra o console do Amazon RDS.
  2. Escolha Snapshots no painel de navegação.
  3. No painel Snapshots, selecione a guia Shared with me (Compartilhado comigo).
  4. Selecione o snapshot do cluster de banco de dados que foi compartilhado.
  5. Selecione Actions (Ações). Em seguida, selecione Copy Snapshot (Copiar Snapshot) para copiar o snapshot do cluster de banco de dados na mesma região da AWS.

O DB snapshot agora tem uma chave do AWS KMS da conta de destino e pode ser usado para iniciar a instância.