使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

如何與另一個帳戶共用加密的 Amazon RDS 資料庫快照?

2 分的閱讀內容
0

我有一個 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的加密快照。它使用預設的 AWS Key Management Service (AWS KMS) 金鑰。我想要與另一個 AWS 帳戶共用資料庫執行個體的加密快照。

簡短說明

您無法使用預設的 AWS KMS 加密金鑰來共用已加密的快照。如需共用資料庫快照限制的詳細資訊,請參閱共用加密快照

若要共用加密的 Amazon RDS 資料庫快照,請完成以下步驟:

  1. 將目標帳戶新增至自訂 (非預設) KMS 金鑰。
  2. 使用客戶自管金鑰複製快照,然後與目標帳戶共用快照。
  3. 從目標帳戶複製共用資料庫快照。

**注意:**您也可以按照 AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation 檔案中的步驟來共用您的快照。提供快照以複製並與目標帳戶共用。您也可以提供資料庫執行個體或資料庫叢集 ID,以便與快照共用。提供現有的 KMS 金鑰,或將其保留空白以建立新金鑰。如需詳細資訊,請參閱在本機帳戶中新增金鑰政策陳述式執行自動化作業

解決方法

允許來源帳戶的 AWS KMS 金鑰對目標帳戶進行存取

  1. 登入來源帳戶,然後在與資料庫快照相同的 AWS 區域中開啟 AWS KMS 主控台
  2. 從導覽窗格中選擇 Customer managed keys (客戶自管金鑰)。
  3. 選擇客戶自管金鑰的名稱。如果您沒有金鑰,請選擇 Create key (建立金鑰)。如需詳細資訊,請參閱建立金鑰
  4. Key administrators (金鑰管理員) 區段中,新增可管理 AWS KMS key 的 AWS Identity and Access Management (IAM) 使用者和角色。
  5. Key users (金鑰使用者) 區段中,新增可使用 AWS KMS key (KMS 金鑰) 加密和解密資料的 IAM 使用者和角色。
  6. Other AWS accounts (其他 AWS 帳戶) 區段中,選擇Add another AWS account (新增其他 AWS 帳戶),然後輸入目標帳戶的 AWS 帳戶號碼。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰

複製並共用快照

  1. 開啟 Amazon RDS 主控台,然後從導覽窗格中選擇 Snapshots (快照)。
  2. 依序選擇您建立的快照名稱、Actions (動作) 與 Copy Snapshot (複製快照)。
  3. 選擇 KMS 金鑰所在的相同 AWS 區域,然後輸入新的資料庫快照識別碼
  4. Encryption (加密) 區段中,選擇您建立的 KMS 金鑰。
  5. 選擇 Copy Snapshot (複製快照)。
  6. 與目標帳戶共用複製的快照

複製共用的資料庫快照

  1. 登入目標帳戶,然後開啟 Amazon RDS 主控台
  2. 從導覽窗格中選擇 Snapshots (快照)。
  3. Snapshots (快照) 窗格中,選擇 Shared with Me (與我共用) 索引標籤。
  4. 選取您共用的資料庫快照。
  5. 選擇 Actions (動作)。然後,選擇 Copy Snapshot (複製快照) 將快照複製到相同的 AWS 區域,並使用目標帳戶中的 KMS 金鑰。

複製資料庫快照後,您可以使用副本來啟動執行個體。

相關資訊

如何變更 Amazon RDS 資料庫執行個體和資料庫快照所使用的加密金鑰?

加密 Amazon RDS 資源

複製資料庫快照