如何與另一個 AWS 帳戶共用加密的 Amazon Aurora 快照？

簡短描述

您無法共用使用預設 AWS KMS key 加密的快照。您必須建立自訂 AWS KMS key 作為替代。若要共用加密的 Aurora 資料庫叢集快照：

1. 建立自訂的 AWS KMS key。
2. 將目標帳戶新增至自訂 AWS KMS key。
3. 使用自訂 AWS KMS key 建立資料庫叢集快照的副本。然後，與目標帳戶共用新複製的快照。
4. 從目標帳戶複製共用資料庫叢集快照。

解決方案

建立自訂 AWS KMS key

1. 登入來源帳戶，然後前往資料庫叢集快照相同區域中的 AWS KMS 主控台。
2. 從側邊的導覽窗格中選取 Customer-managed keys (客戶管理的金鑰)。
3. 選擇 Create key (建立金鑰)。
4. 建立對稱加密 AWS KMS key。
5. 在 Key usage (金鑰使用) 中，選取 Encrypt and decrypt (加密與解密)。如需建立 AWS KMS key 以產生並驗證 MAC 程式碼的相關資訊，請參閱建立 HMAC AWS KMS key。
6. 在 Advanced options (進階選項) 中，選取 AWS KMS 做為金鑰材料來源。
7. 選取 Single-region key (單一區域金鑰)，然後選取 Next (下一步)。
8. 為您的金鑰指定別名。最佳實務是一併提供金鑰的描述和標籤。然後，選取 Next (下一步)。
9. 選擇允許管理 AWS KMS key 的 IAM 使用者和角色，然後選取 Next (下一步)。
   注意：若要防止 IAM 使用者和角色刪除 AWS KMS key，請在 Key deletion (金鑰刪除) 區段中取消勾選 Allow key administrators to delete this key (允許金鑰管理員刪除此金鑰) 核取方塊。
10. 選取可在加密操作中使用 AWS KMS key 的 IAM 使用者和角色，然後選取 Next (下一步)。
    注意：您也可以允許其他 AWS 帳戶使用金鑰進行加密操作。如需詳細資訊，請參閱加密操作。
11. 選取 Finish (完成) 以建立 AWS KMS key。

授予目標帳戶存取來源帳戶內自訂 AWS KMS key 的權限

1. 登入來源帳戶，然後前往資料庫叢集快照相同區域中的 AWS KMS 主控台。
2. 從導覽窗格中選取 Customer-managed keys (客戶管理的金鑰)。
3. 選取您的自訂 AWS KMS key。
4. 在 Other AWS accounts (其他 AWS 帳戶) 區段中，選取 Add another AWS account (新增其他 AWS 帳戶)，然後輸入目標帳戶的 AWS 帳號。如需詳細資訊，請參閱允許其他帳戶中的使用者使用 AWS KMS key。

複製並共用資料庫叢集快照

1. 開啟來源帳戶中的 Amazon RDS 主控台 ，然後從導覽窗格中選取 Snapshots (快照)。
2. 選取您要共用的資料庫叢集快照。選取 Actions (動作)，然後選取 Copy snapshot (複製快照)。
3. 選取自訂 AWS KMS key 所在的相同 AWS 區域，然後輸入 New DB Snapshot Identifier (新資料庫快照識別碼) 的名稱。
4. 在 Encryption (加密) 區段中，選取您建立的自訂 AWS KMS key。
5. 選取 Copy Snapshot (複製快照)。
6. 選取新複製的資料庫叢集快照、選取 Actions (動作)，然後選取 Copy snapshot (複製快照)。
7. 在 AWS account ID (AWS 帳戶 ID) 中，輸入目標帳戶的 AWS 帳戶號碼，然後選取 Add (新增)。
8. 選取 Save (儲存)。

複製共用資料庫叢集快照

1. 登入目標帳戶，然後開啟 Amazon RDS 主控台。
2. 在導覽窗格中，選擇 Snapshots (快照)。
3. 從 Snapshots (快照) 窗格中，選取 Shared with Me (與我共用) 索引標籤。
4. 選取已共用的資料庫叢集快照。
5. 選取 Actions (動作)。 接著，選取 Copy Snapshot (複製快照)，將資料庫叢集快照複製到相同的 AWS 區域。

資料庫快照現在具有目標帳戶的 AWS KMS key，可用來啟動執行個體。

---

相關資訊

共用資料庫叢集快照

建立非對稱的 AWS KMS key

AWS KMS 中的多區域金鑰

複製資料庫叢集快照

共用快照