Amazon Relational Database Service (Amazon RDS) DB インスタンスの暗号化されたスナップショットがあります。デフォルトの AWS Key Management Service (AWS KMS) キーを使用します。DB インスタンスの暗号化されたスナップショットを別の AWS アカウントと共有したいです。
簡単な説明
デフォルトの AWS KMS 暗号化キーを使用して、暗号化されたスナップショットを共有することはできません。DB スナップショットの共有の制限の詳細については、暗号化されたスナップショットの共有を参照してください。
暗号化された Amazon RDS DB スナップショットを共有するには、以下の手順を実行します。
- ターゲットアカウントをカスタム (デフォルト以外) KMS キーに追加します。
- カスタマー管理キーを使用してスナップショットをコピーし、そのスナップショットをターゲットアカウントと共有します。
- ターゲットアカウントから共有 DB スナップショットをコピーします。
**注:**また、AWSSupport-SharerdsSnapshot の AWS Systems Manager Automation ドキュメントの手順に従ってスナップショットを共有することもできます。スナップショットを提供して、コピーしてターゲットアカウントと共有します。スナップショットと共有する DB インスタンスまたは DB クラスター ID を指定することもできます。既存の KMS キーを指定するか、空白のままにして新しいキーを作成します。詳細については、ローカルアカウントへのキーポリシーステートメントの追加 と自動化の実行を参照してください。
解決策
ソースアカウントの AWS KMS キーでターゲットアカウントへのアクセスを許可する
- ソースアカウントにログインし、DB スナップショットと同じ AWS リージョンで AWS KMS コンソールを開きます。
- ナビゲーションペインから [カスタマー管理キー] を選択します。
- カスタマー管理キーの名前を選択します。キーがない場合は、キーを作成を選択します。詳細については、キーの作成を参照してください。
- [キー管理者] セクションから、AWS KMS キーを管理できる AWS ID およびアクセス管理 (IAM) ユーザーとロールを [追加] します。
- [キーユーザー] セクションから、AWS KMS キー (KMS キー) を使用してデータを暗号化および復号化できる IAM ユーザーとロールを[追加] します。
- その他の AWS アカウント] セクションで、[別の AWS アカウントを追加] を選択し、ターゲットアカウントの AWS アカウント番号を入力します。詳細については、他のアカウントのユーザーに KMS キーの使用を許可するを参照してください。
スナップショットをコピーして共有する
- Amazon RDS コンソールを開き、ナビゲーションペインから [スナップショット] を選択します。
- 作成したスナップショットの名前を選択し、[アクション] を選択し、[スナップショットをコピー] を選択します。
- KMS キーが入っているのと同じ AWS リージョンを選択し、[新しい DB スナップショット識別子] を入力します。
- [暗号化] セクションで、作成した KMS キーを選択します。
- [スナップショットをコピー] を選択します。
- コピーしたスナップショットをターゲットアカウントと共有します。
共有 DB スナップショットをコピーする
- ターゲットアカウントにログインし、Amazon RDS コンソールを開きます。
- ナビゲーションペインから [スナップショット] を選択します。
- [スナップショット] ペインから、[自分と共有] タブを選択します。
- 共有した DB スナップショットを選択します。
- [アクション] を選択します。次に、[スナップショットをコピー] を選択し、ターゲットアカウントの KMS キーを使用してスナップショットを同じ AWS リージョンにコピーします。
DB スナップショットをコピーしたら、そのコピーを使用してインスタンスを起動できます。
関連情報
Amazon RDS DB インスタンスと DB スナップショットで使用される暗号化キーを変更するにはどうすればよいですか?
Amazon RDS リソースの暗号化
DB スナップショットのコピー