我有一個 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的加密快照。它使用預設的 AWS Key Management Service (AWS KMS) 金鑰。我想要與另一個 AWS 帳戶共用資料庫執行個體的加密快照。
簡短說明
您無法使用預設的 AWS KMS 加密金鑰來共用已加密的快照。如需共用資料庫快照限制的詳細資訊,請參閱共用加密快照。
若要共用加密的 Amazon RDS 資料庫快照,請完成以下步驟:
- 將目標帳戶新增至自訂 (非預設) KMS 金鑰。
- 使用客戶自管金鑰複製快照,然後與目標帳戶共用快照。
- 從目標帳戶複製共用資料庫快照。
**注意:**您也可以按照 AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation 檔案中的步驟來共用您的快照。提供快照以複製並與目標帳戶共用。您也可以提供資料庫執行個體或資料庫叢集 ID,以便與快照共用。提供現有的 KMS 金鑰,或將其保留空白以建立新金鑰。如需詳細資訊,請參閱在本機帳戶中新增金鑰政策陳述式與執行自動化作業。
解決方法
允許來源帳戶的 AWS KMS 金鑰對目標帳戶進行存取
- 登入來源帳戶,然後在與資料庫快照相同的 AWS 區域中開啟 AWS KMS 主控台。
- 從導覽窗格中選擇 Customer managed keys (客戶自管金鑰)。
- 選擇客戶自管金鑰的名稱。如果您沒有金鑰,請選擇 Create key (建立金鑰)。如需詳細資訊,請參閱建立金鑰。
- 在 Key administrators (金鑰管理員) 區段中,新增可管理 AWS KMS key 的 AWS Identity and Access Management (IAM) 使用者和角色。
- 在 Key users (金鑰使用者) 區段中,新增可使用 AWS KMS key (KMS 金鑰) 加密和解密資料的 IAM 使用者和角色。
- 在 Other AWS accounts (其他 AWS 帳戶) 區段中,選擇Add another AWS account (新增其他 AWS 帳戶),然後輸入目標帳戶的 AWS 帳戶號碼。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰。
複製並共用快照
- 開啟 Amazon RDS 主控台,然後從導覽窗格中選擇 Snapshots (快照)。
- 依序選擇您建立的快照名稱、Actions (動作) 與 Copy Snapshot (複製快照)。
- 選擇 KMS 金鑰所在的相同 AWS 區域,然後輸入新的資料庫快照識別碼。
- 在 Encryption (加密) 區段中,選擇您建立的 KMS 金鑰。
- 選擇 Copy Snapshot (複製快照)。
- 與目標帳戶共用複製的快照。
複製共用的資料庫快照
- 登入目標帳戶,然後開啟 Amazon RDS 主控台。
- 從導覽窗格中選擇 Snapshots (快照)。
- 在 Snapshots (快照) 窗格中,選擇 Shared with Me (與我共用) 索引標籤。
- 選取您共用的資料庫快照。
- 選擇 Actions (動作)。然後,選擇 Copy Snapshot (複製快照) 將快照複製到相同的 AWS 區域,並使用目標帳戶中的 KMS 金鑰。
複製資料庫快照後,您可以使用副本來啟動執行個體。
相關資訊
如何變更 Amazon RDS 資料庫執行個體和資料庫快照所使用的加密金鑰?
加密 Amazon RDS 資源
複製資料庫快照