暗号化された Amazon Aurora スナップショットを別のアカウントと共有するにはどうすればよいですか?

所要時間2分
0

デフォルトの AWS Key Management Service (AWS KMS) キーを使用している Amazon Aurora DB クラスターの暗号化されたスナップショットがあります。暗号化されたスナップショットを別の AWS アカウントと共有する方法を教えてください。

簡単な説明

デフォルトの AWS KMS キーで暗号化されたスナップショットを共有できません。代わりにカスタム AWS KMS キーを作成する必要があります。暗号化された Aurora DB クラスタースナップショットを共有するには:

  1. カスタム AWS KMS キーを作成します。
  2. ターゲットアカウントをカスタム AWS KMS キーに追加します。
  3. カスタム AWS KMS キーを使用して DB クラスタースナップショットのコピーを作成します。新しくコピーしたスナップショットをターゲットアカウントと共有します。
  4. ターゲットアカウントから共有 DB クラスタースナップショットをコピーします。

解決方法

カスタム AWS KMS キーを作成する

  1. ソースアカウントにログインしてから、DB クラスタースナップショットと同じリージョンで AWS KMS コンソールに移動します。
  2. ナビゲーションペインで [カスタマーマネージドキー] を選択します。
  3. [キーの作成] を選択します。
  4. 対称暗号化 AWS KMS キーを作成します。
  5. [鍵の使い方] で、[暗号化と復号化] を選択します。MAC コードを生成して検証する AWS KMS キーの作成については、「HMAC AWS KMS キーの作成」を参照してください。
  6. [**詳細オプション] で、**キーマテリアルオリジンとして AWS KMS を選択します。
  7. [単一リージョンキー] を選択し、[次へ] を選択します。
  8. キーにエイリアスを付けてください。キーに説明とタグを付けることもベストプラクティスです。次に、[Next] (次へ) を選択します。
  9. AWS KMS キーの管理を許可する IAM ユーザーとロールを選択し、[次へ] を選択します。
    :IAM ユーザーとロールが AWS KMS キーを削除できないようにするには、[キー削除] セクションで [キー管理者にこのキーの削除を許可する] チェックボックスをオフにします。
  10. 暗号化操作で AWS KMS キーを使用できる IAM ユーザーとロールを選択し、[次へ] を選択します。
    :他の AWS アカウントにキーを暗号化操作に使用させることもできます。詳細については、「暗号化操作」を参照してください。
  11. [完了] を選択して AWS KMS キーを作成します。

ターゲットアカウントに、ソースアカウント内のカスタム AWS KMS キーへのアクセスを許可する

  1. ソースアカウントにログインしてから、DB スナップショットと同じ AWS リージョンで AWS KMS コンソールを開きます。
  2. ナビゲーションペインで [カスタマーマネージドキー] を選択します。
  3. カスタム AWS KMS キーを選択します。
  4. [Other AWS accounts] (別の AWS アカウント) セクションで [Add another AWS account] (別の AWS アカウントを追加する) をクリックして、ターゲットアカウントの AWS アカウント番号を入力します。詳細については、「Allowing users in other accounts to use a KMS key」を参照してください。

DB クラスタースナップショットをコピーして共有する

  1. ソースアカウントで Amazon RDS コンソールを開き、ナビゲーションペインから [スナップショット] を選択します。
  2. 共有する DB クラスタースナップショットを選択します。[アクション] を選択し、[スナップショットのコピー] を選択します。
  3. カスタム AWS KMS キーが入っているのと同じ AWS リージョンを選択し、新しい DB スナップショット識別子の名前を入力します
  4. 暗号化セクションで、作成したカスタム AWS KMS キーを選択します。
  5. [スナップショットをコピー] を選択します。
  6. 新しくコピーした DB クラスタースナップショットを選択し、[アクション] を選択し、[スナップショットの共有] を選択します。
  7. AWS アカウント ID に、ターゲットアカウントの AWS アカウント番号を入力し、[追加] を選択します。
  8. [保存] を選択します。

共有 DB クラスタースナップショットをコピーする

  1. ターゲットアカウントにログインし、 Amazon RDS コンソールを開きます。
  2. ナビゲーションペインで [Snapshots] (スナップショット) をクリックします。
  3. [スナップショット] ペインで、[自分と共有] タブをクリックします。
  4. 共有している DB クラスタースナップショットを選択します。
  5. [アクション] を選択します。 次に、[スナップショットをt] を選択して DB クラスターのスナップショットを同じ AWS リージョンにコピーします。

これで DB スナップショットにはターゲットアカウントの AWS KMS キーが含まれ、これを使用してインスタンスを起動できます。


関連情報

DB クラスタースナップショットの共有

非対称 AWS KMS キーの作成

AWS KMS のマルチリージョンキー

DB クラスタースナップショットのコピー

スナップショットを共有する

AWS公式
AWS公式更新しました 1年前
コメントはありません