Wie kann ich einen verschlüsselten Amazon-Aurora-Snapshot für ein anderes Konto freigeben?

Lesedauer: 4 Minute
0

Ich habe einen verschlüsselten Snapshot eines Amazon-Aurora-DB-Clusters, der den standardmäßigen AWS Key Management Service (AWS KMS)-Schlüssel verwendet. Wie kann ich den verschlüsselten Snapshot mit einem anderen AWS-Konto teilen?

Kurzbeschreibung

Sie können keine Snapshots freigeben, die mit dem standardmäßigen AWS-KMS-Schlüssel verschlüsselt sind. Sie müssen stattdessen einen benutzerdefinierten AWS-KMS-Schlüssel erstellen. So teilen Sie einen verschlüsselten Aurora-DB-Cluster-Snapshot:

  1. Erstellen eines benutzerdefinierten AWS-KMS-Schlüssels.
  2. Fügen Sie das Zielkonto dem benutzerdefinierten AWS-KMS-Schlüssel hinzu.
  3. Erstellen Sie eine Kopie des DB-Cluster-Snapshots mithilfe des benutzerdefinierten AWS-KMS-Schlüssels. Teilen Sie dann den neu kopierten Snapshot mit dem Zielkonto.
  4. Kopieren Sie den gemeinsamen DB-Cluster-Snapshot vom Zielkonto.

Lösung

Erstellen eines benutzerdefinierten AWS-KMS-Schlüssels

  1. Melden Sie sich beim Quellkonto an und wechseln Sie dann zur AWS-KMS-Konsole in derselben Region wie der DB-Cluster-Snapshot.
  2. Wählen Sie im Navigationsbereich an der Seite die Option Von Kunden verwaltete Schlüssel aus.
  3. Wählen Sie Schlüssel erstellen aus.
  4. Erstellen Sie einen AWS-KMS-Schlüssel mit symmetrischer Verschlüsselung.
  5. Wählen Sie unter Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus. Weitere Informationen zum Erstellen von AWS-KMS-Schlüsseln, die MAC-Codes generieren und anschließend überprüfen, finden Sie unter Erstellen von HMAC-AWS-KMS-Schlüsseln.
  6. Wählen Sie unter Erweiterte Optionen AWS KMS als Ursprung des Schlüssels aus.
  7. Wählen Sie Single-Region-Schlüssel und dann Weiter aus.
  8. Geben Sie Ihrem Schlüssel einen Alias. Es ist eine bewährte Methode, Ihrem Schlüssel auch eine Beschreibung und ein Tag zu geben. Wählen Sie dann Weiter aus.
  9. Wählen Sie die IAM-Benutzer und -Rollen aus, die den AWS-KMS-Schlüssel verwalten können und wählen Sie dann Weiter aus.
    Hinweis: Um zu verhindern, dass die IAM-Benutzer und -Rollen den AWS-KMS-Schlüssel löschen, deaktivieren Sie im Abschnitt Schlüssellöschung das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben.
  10. Wählen Sie die IAM-Benutzer und -Rollen aus, die den AWS-KMS-Schlüssel bei kryptografischen Vorgängen verwenden können und wählen Sie dann Weiter aus.
    Hinweis: Sie können auch anderen AWS-Konten erlauben, den Schlüssel für kryptografische Vorgänge zu verwenden. Weitere Informationen finden Sie unter Kryptografische Vorgänge.
  11. Wählen Sie Fertigstellen, um den AWS-KMS-Schlüssel zu erstellen.

Gewähren Sie dem Zielkonto Zugriff auf den benutzerdefinierten AWS-KMS-Schlüssel innerhalb des Quellkontos

  1. Melden Sie sich beim Quellkonto an und wechseln Sie zur AWS-KMS-Konsole in derselben Region wie der DB-Cluster-Snapshot.
  2. Wählen Sie im Navigationsbereich Von Kunden verwaltete Schlüssel aus.
  3. Wählen Sie Ihren benutzerdefinierten AWS-KMS-Schlüssel aus.
  4. Wählen Sie im Abschnitt Andere AWS-Konten die Option Weiteres AWS-Konto hinzufügen aus und geben Sie dann die AWS-Kontonummer Ihres Zielkontos ein. Weitere Informationen finden Sie unter Erlauben von Benutzern in anderen Konten, einen AWS-KMS-Schlüssel zu verwenden.

Kopieren und teilen Sie den DB-Cluster-Snapshot

  1. Öffnen Sie die Amazon-RDS-Konsole im Quellkonto und wählen Sie im Navigationsbereich Snapshots aus.
  2. Wählen Sie den DB-Cluster-Snapshot, den Sie teilen möchten. Wählen Sie Aktionen und dann Snapshot kopieren aus.
  3. Wählen Sie dieselbe AWS-Region aus, in der sich Ihr benutzerdefinierter AWS-KMS-Schlüssel befindet und geben Sie dann einen Namen für den Neuen DB-Snapshot-Identifier ein.
  4. Wählen Sie im Abschnitt Verschlüsselung den benutzerdefinierten AWS-KMS-Schlüssel aus, den Sie erstellt haben.
  5. Wählen Sie Snapshot kopieren.
  6. Wählen Sie den neu kopierten DB-Cluster-Snapshot aus, wählen Sie Aktionen und dann Snapshot freigeben.
  7. Geben Sie unter AWS-Konto-ID die AWS-Kontonummer Ihres Zielkontos ein und wählen Sie dann Hinzufügen aus.
  8. Klicken Sie auf Speichern.

Kopieren Sie den geteilten DB-Cluster-Snapshot

  1. Melden Sie sich beim Zielkonto an und öffnen Sie dann die Amazon-RDS-Konsole.
  2. Wählen Sie Snapshots im Navigationsbereich aus.
  3. Wählen Sie im Bereich Snapshots die Registerkarte Für mich freigegeben aus.
  4. Wählen Sie den freigegebenen DB-Cluster-Snapshot aus.
  5. Wählen Sie Aktionen aus. Wählen Sie dannSnapshot kopieren, um den DB-Cluster-Snapshot in dieselbe AWS-Region zu kopieren.

Der DB-Snapshot verfügt jetzt über einen AWS-KMS-Schlüssel des Zielkontos und kann zum Starten der Instance verwendet werden.


Ähnliche Informationen

Teilen eines DB-Cluster-Snapshots

Erstellen asymmetrischer AWS-KMS-Schlüssel

Schlüssel für mehrere Regionen in AWS-KMS

Kopieren eines DB-Cluster-Snapshots

Einen Snapshot teilen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr