Como posso compartilhar um snapshot de banco de dados criptografado do Amazon RDS com outra conta?

Breve descrição

Você não pode usar a chave de criptografia padrão do AWS KMS para compartilhar um snapshot criptografado. Para obter mais informações sobre as limitações do compartilhamento de snapshots de banco de dados, consulte Compartilhamento de snapshots criptografados.

Para compartilhar um snapshot de banco de dados criptografado do Amazon RDS, conclua as seguintes etapas:

1. Adicione a conta de destino a uma chave KMS personalizada (não padrão).
2. Use a chave gerenciada pelo cliente para copiar o snapshot e, em seguida, compartilhe o snapshot com a conta de destino.
3. Copie o snapshot de banco de dados compartilhado da conta de destino.

Observação: você também pode seguir as etapas no documento AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation para compartilhar seu snapshot. Forneça um snapshot para copiar e compartilhar com a conta de destino. Você também pode fornecer a instância de banco de dados ou a ID do cluster de banco de dados para compartilhar com snapshots. Forneça uma chave KMS existente ou mantenha-a em branco para criar uma nova chave. Para obter mais informações, consulte Adicionar uma declaração de política chave na conta local e Executar uma automação.

Resolução

Permitir acesso à conta de destino na chave do AWS KMS da conta de origem

1. Faça login na conta de origem e abra o console do AWS KMS na mesma região da AWS que o snapshot do banco de dados.
2. Escolha Customer managed keys (Chaves gerenciadas pelo cliente) no painel de navegação.
3. Escolha o nome da sua chave gerenciada pelo cliente. Se você não tiver uma chave, escolha Criar chave. Para obter mais informações, consulte Criação de chaves.
4. Na seção Key administrators (Administradores de chaves), adicione os usuários e perfis do AWS Identity and Access Management (IAM) que podem administrar a chave do AWS KMS.
5. Na seção Key users (Usuários da chave), adicione os usuários e perfis do IAM que podem usar a chave do AWS KMS (chave KMS) para criptografar e descriptografar dados.
6. Na seção Other AWS accounts (Outras contas da AWS), escolha Add another AWS account (Adicionar outra conta da AWS) e, em seguida, insira o número da conta da AWS da conta de destino. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave KMS.

Copiar e compartilhar o snapshot

1. Abra o console do Amazon RDS e escolha Snapshots no painel de navegação.
2. Escolha o nome do snapshot que você criou, escolha Actions (Ações) e, em seguida, escolha Copy Snapshot (Copiar snapshot).
3. Escolha a mesma região da AWS em que sua chave KMS está e, em seguida, insira um valor para New DB Snapshot Identifier (Novo identificador de snapshot de banco de dados).
4. Na seção Encryption (Criptografia), escolha a chave KMS que você criou.
5. Escolha Copy Snapshot (Copiar snapshot).
6. Compartilhe o snapshot copiado com a conta de destino.

Copiar o snapshot de banco de dados compartilhado

1. Faça login na conta de destino e, em seguida, abra o console do Amazon RDS.
2. Escolha Snapshots no painel de navegação.
3. No painel Snapshots, escolha a guia Shared with Me (Compartilhado comigo).
4. Selecione o snapshot de banco de dados que você compartilhou.
5. Escolha Actions (Ações). Em seguida, escolha Copy Snapshot (Copiar snapshot) para copiar o snapshot para a mesma região da AWS e com uma chave KMS da conta de destino.

Depois de copiar o snapshot de banco de dados, você pode usar a cópia para iniciar a instância.

Informações relacionadas

Como posso alterar a chave de criptografia usada por minhas instâncias e snapshots de banco de dados do Amazon RDS?

Criptografar recursos do Amazon RDS

Copiar um snapshot de banco de dados