Kopieren eines DB-Snapshots von Amazon RDS Custom für SQL Server - Amazon Relational Database Service
EinschränkungenVerschlüsselungRegionsübergreifendes KopierenSnapshots von DB-Instances, die mit Custom Engine Versions (CEV) erstellt wurdenErforderliche BerechtigungenKopieren eines DB-Snapshots

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kopieren eines DB-Snapshots von Amazon RDS Custom für SQL Server

Mit RDS Custom für SQL Server können Sie automatisierte Backups und manuelle DB-Snapshots kopieren. Nach dem Kopieren eines Snapshots ist die Kopie ein manueller Snapshot. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss über eine eindeutige Kennung verfügen.

Sie können einen Snapshot nur innerhalb desselben AWS Kontos zwischen verschiedenen Standorten kopieren, in AWS-Regionen denen RDS Custom for SQL Server verfügbar ist. Die folgenden Vorgänge werden derzeit nicht unterstützt:

  • DB-Snapshots innerhalb derselben AWS-Region kopieren.

  • DB-Snapshots zwischen AWS Konten kopieren.

RDS Custom für SQL Server unterstützt das inkrementelle Kopieren von Snapshots. Weitere Informationen finden Sie unter Überlegungen zum inkrementellen Kopieren von Snapshots.

Einschränkungen

Die folgenden Einschränkungen gelten für das Kopieren eines DB-Snapshots für RDS für SQL Server:

  • Wenn Sie einen Quell-Snapshot löschen, bevor der Ziel-Snapshot verfügbar ist, kann das Kopieren des Snapshots fehlschlagen. Verifizieren Sie, dass der Ziel-Snapshot den Status AVAILABLE hat, bevor Sie den Quell-Snapshot löschen.

  • Sie können in Ihrer Anfrage zum Kopieren von DB-Snapshots keinen Namen für eine Optionsgruppe angeben oder eine Optionsgruppe kopieren.

  • Wenn Sie vor oder während des Kopiervorgangs abhängige AWS Ressourcen des Quell-DB-Snapshots löschen, kann Ihre Anfrage zum Kopieren des Snapshots asynchron fehlschlagen.

  • Das Kopieren von DB-Snapshots innerhalb desselben AWS-Region wird derzeit nicht unterstützt.

  • Das Kopieren von DB-Snapshots zwischen AWS Konten wird derzeit nicht unterstützt.

Die Einschränkungen beim Kopieren eines DB-Snapshots von Amazon RDS gelten auch für RDS Custom für SQL Server. Weitere Informationen finden Sie unter Einschränkungen.

Umgang mit Verschlüsselungen

Alle DB-Instances und DB-Snapshots von RDS Custom für SQL Server werden mit KMS-Schlüsseln verschlüsselt. Sie können nur einen verschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren. Daher müssen Sie einen KMS-Schlüssel angeben, der im Ziel AWS-Region für Ihre Anfrage zum Kopieren von DB-Snapshots gültig ist.

Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon RDS verwendet Umschlagverschlüsselung, um Daten während des Kopiervorgangs mit dem angegebenen KMS-Schlüssel der Ziel- AWS-Region zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie im AWS Key Management Service -Entwicklerhandbuch.

Regionsübergreifendes Kopieren

Sie können DB-Snapshots über AWS-Regionen hinweg kopieren. Es gibt jedoch bestimmte Einschränkungen und Überlegungen für das Kopieren von regionsübergreifenden Snapshots.

Autorisieren von RDS zur Kommunikation beim Kopieren AWS-Regionen von Snapshots

Nachdem eine regionsübergreifenden DB-Snapshot-Kopieranforderung erfolgreich verarbeitet wurde, startet RDS die Kopie. Es wird eine Autorisierungsanforderung für RDS für den Zugriff auf den Quell-Snapshot erstellt. Diese Autorisierungsanforderung verknüpft den Quell-DB-Snapshot mit dem Ziel-DB-Snapshot. Dadurch kann RDS nur in den angegebenen Ziel-Snapshot kopieren.

RDS verifiziert die Autorisierung unter Verwendung der rds:CrossRegionCommunication-Berechtigung in der serviceverknüpften IAM-Rolle. Wenn die Kopie autorisiert ist, kann RDS mit der Quellregion kommunizieren und den Kopiervorgang abschließen.

RDS hat keinen Zugriff auf DB-Snapshots, die nicht zuvor durch eine DBSnapshot Kopieranforderung autorisiert wurden. Die Autorisierung wird widerrufen, wenn der Kopiervorgang abgeschlossen ist.

RDS verwendet die serviceverknüpfte Rolle, um die Autorisierung in der Quellregion zu überprüfen. Das Kopieren schlägt fehl, wenn Sie die serviceverknüpfte Rolle während des Kopiervorgangs löschen.

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Identity and Access Management -Benutzerhandbuch.

Verwenden von AWS Security Token Service -Anmeldeinformationen

Sitzungstoken vom Endpunkt global AWS Security Token Service (AWS STS) sind nur gültig AWS-Regionen , wenn sie standardmäßig aktiviert sind (kommerzielle Regionen). Wenn Sie Anmeldeinformationen aus dem assumeRole API-Vorgang in verwenden AWS STS, verwenden Sie den regionalen Endpunkt, wenn es sich bei der Quellregion um eine Opt-in-Region handelt. Andernfalls schlägt die Anforderung fehl. Ihre Anmeldeinformationen müssen in beiden Regionen gültig sein. Dies gilt nur für Opt-in-Regionen, wenn Sie den regionalen AWS STS Endpunkt verwenden.

Um den globalen Endpunkt zu verwenden, stellen Sie sicher, dass er für beide Regionen in den Vorgängen aktiviert ist. Stellen Sie den globalen Endpunkt Valid in den AWS STS Kontoeinstellungen AWS-Regionen auf „Alle“ ein.

Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im AWS Identity and Access Management Benutzerhandbuch.

Snapshots von DB-Instances, die mit Custom Engine Versions (CEV) erstellt wurden

Bei einem DB-Snapshot einer DB-Instance, die eine Custom Engine Version (CEV) verwendet, ordnet RDS die CEV dem DB-Snapshot zu. Um einen Quell-DB-Snapshot, der einem CEV zugeordnet ist, hinüber zu kopieren AWS-Regionen, kopiert RDS den CEV zusammen mit dem Quell-DB-Snapshot in die Zielregion.

Wenn Sie mehrere DB-Snapshots, die derselben CEV zugeordnet sind, in dieselbe Zielregion kopieren, kopiert die erste Kopieranforderung die zugehörige CEV. Beim Kopiervorgang der folgenden Anforderungen wird die ursprünglich kopierte CEV gefunden und mit den folgenden DB-Snapshot-Kopien verknüpft. Die vorhandene CEV-Kopie muss den Status AVAILABLE haben, damit sie den DB-Snapshot-Kopien zugeordnet werden kann.

Um einen mit einer CEV verknüpften DB-Snapshot zu kopieren, muss die IAM-Richtlinie des Anforderers über die erforderlichen Berechtigungen verfügen, um sowohl das Kopieren von DB-Snapshots als auch das zugehörige CEV-Kopieren zu autorisieren. Die folgenden Berechtigungen sind in der IAM-Richtlinie Ihres Anforderers erforderlich, um das zugehörige CEV-Kopieren zu ermöglichen:

  • rds:CopyCustomDBEngineVersion – Ihr IAM-Principal, der die Anfrage gestellt hat, muss die Berechtigung haben, die Quell-CEV zusammen mit dem Quell-DB-Snapshot in die Zielregion zu kopieren. Die Anforderung zum Kopieren des Snapshots schlägt aufgrund von Autorisierungsfehlern fehl, wenn Ihr anfordernder IAM-Prinzipal nicht autorisiert ist, die Quell-CEV zu kopieren.

  • ec2:CreateTags‐ Das zugrunde liegende EC2 AMI der Quell-CEV wird als Teil der CEV-Kopie in die Zielregion kopiert. RDS Custom versucht, das AMI mit dem Tag AWSRDSCustom zu kennzeichnen, bevor das AMI kopiert wird. Stellen Sie sicher, dass Ihr IAM-Prinzipal, der die Anfrage gestellt hat, berechtigt ist, das Tag für das AMI zu erstellen, das der Quell-CEV in der Quellregion zugrunde liegt.

Weitere Informationen zu den Berechtigungen für das Kopieren von CEVs finden Sie unter Erteilen Sie die erforderlichen Berechtigungen für Ihren IAM-Prinzipal.

Erteilen Sie die erforderlichen Berechtigungen für Ihren IAM-Prinzipal

Stellen Sie sicher, dass Sie über ausreichende Zugriffsrechte verfügen, um einen DB-Snapshot von RDS Custom für SQL Server zu kopieren. Die IAM-Rolle oder der Benutzer (als IAM-Prinzipal bezeichnet) zum Kopieren eines DB-Snapshots mit der Konsole oder der CLI, muss eine der folgenden Richtlinien haben, um eine DB-Instance erfolgreich zu erstellen:

  • Die Richtlinie AdministratorAccess oder

  • Die folgende AmazonRDSFullAccess-Richtlinie zeigt die zusätzlichen Berechtigungen.

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom verwendet diese Berechtigungen beim Kopieren von Snapshots über mehrere AWS-Regionen hinweg. Mit diesen Berechtigungen werden Ressourcen in Ihrem Konto konfiguriert, die für benutzerdefinierte RDS-Operationen erforderlich sind. Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key-Verwaltung.

Die folgende Beispiel-JSON-Richtlinie gewährt die erforderlichen Berechtigungen zusätzlich zur AmazonRDSFullAccess-Berechtigung.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
Anmerkung

Stellen Sie sicher, dass die aufgelisteten Berechtigungen nicht durch Dienststeuerungsrichtlinien (SCPs), Berechtigungsgrenzen oder Sitzungsrichtlinien eingeschränkt sind, die dem IAM-Prinzipal zugeordnet sind.

Wenn Sie Bedingungen mit Kontextschlüsseln in der IAM-Richtlinie des Anforderers verwenden, können bestimmte Bedingungen dazu führen, dass die Anfrage fehlschlägt. Weitere Informationen zu häufigen Fallstricken aufgrund von IAM-Richtlinienbedingungen finden Sie unter Anfordern einer Regionsübergreifende Kopie für DB-Snapshots.

Kopieren eines DB-Snapshots

Gehen Sie wie folgt vor, um einen DB-Snapshot zu kopieren. Für jedes AWS Konto können Sie bis zu 20 DB-Snapshots gleichzeitig von einem AWS-Region zum anderen kopieren. Wenn Sie einen DB-Snapshot in einen anderen kopieren AWS-Region, erstellen Sie einen manuellen DB-Snapshot, der in diesem AWS-Region gespeichert wird. Beim Kopieren eines DB-Snapshots aus der Quelle AWS-Region fallen Amazon RDS-Datenübertragungsgebühren an. Weitere Informationen zu den Kosten von Datenübertragungen finden Sie unter Amazon RDS – Preise.

Nachdem die DB-Snapshot-Kopie in der neuen Version erstellt wurde AWS-Region, verhält sich die DB-Snapshot-Kopie genauso wie alle anderen DB-Snapshots in dieser Version. AWS-Region

Sie können einen DB-Snapshot mit der AWS-Managementkonsole AWS CLI, oder der Amazon RDS-API kopieren.

Console

Das folgende Verfahren kopiert einen DB-Snapshot von RDS Custom für SQL Server mithilfe der AWS-Managementkonsole.

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den DB-Snapshot von RDS Custom für SQL Server aus, den Sie kopieren möchten.

  4. Wählen Sie in der Dropdown-Liste Aktionen die Option Snapshot kopieren aus.

    Die Seite Snapshot kopieren in der Amazon-RDS-Konsole. Die Einstellungen werden auf der Seite geladen.

  5. Um den DB-Snapshot in einen anderen zu kopieren AWS-Region, setzen Sie Destination Region auf den erforderlichen Wert.

    Anmerkung

    Für das Ziel AWS-Region muss dieselbe Version der Datenbank-Engine wie für die Quelle verfügbar sein AWS-Region.

  6. Geben Sie unter Neue DB-Snapshot-Kennung einen eindeutigen Namen für den DB-Snapshot ein. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss über eine eindeutige Kennung verfügen.

  7. (Optional) Wählen Sie Copy Tags (Tags kopieren), um Tags und Werte aus dem Snapshot in die Kopie des Snapshots zu übernehmen.

  8. Geben Sie für die Verschlüsselung den KMS-Schlüsselbezeichner an, der zur Verschlüsselung der DB-Snapshot-Kopie verwendet werden soll.

    Anmerkung

    RDS Custom für SQL Server verschlüsselt alle DB-Snapshots. Sie können keinen unverschlüsselten DB-Snapshot erstellen.

  9. Wählen Sie Snapshot kopieren aus.

RDS Custom für SQL Server erstellt eine DB-Snapshot-Kopie Ihrer DB-Instance in der von Ihnen ausgewählten AWS-Region .

AWS CLI

Sie können einen DB-Snapshot von RDS Custom for SQL Server kopieren, indem Sie den AWS CLI Befehl verwenden copy-db-snapshot. Wenn Sie den Snapshot in einen neuen kopieren AWS-Region, führen Sie den Befehl im neuen aus AWS-Region. Zum Kopieren eines DB-Snapshots werden die folgenden Optionen verwendet. Nicht alle Optionen werden in allen Szenarien benötigt.

  • --source-db-snapshot-identifier – Der Bezeichner des Quell-DB-Snapshots.

    • Wenn sich der Quell-Snapshot in einer anderen Version AWS-Region als der Kopie befindet, geben Sie einen gültigen DB-Snapshot-ARN an. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • --target-db-snapshot-identifier – Der Bezeichner für die neue Kopie des DB-Snapshots.

  • --kms-key-id – Der KMS-Schlüsselbezeichner für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel- AWS-Region angeben. KMS-Schlüssel sind spezifisch für AWS-Region das, in dem sie erstellt wurden, und Sie können nur AWS-Region dann Verschlüsselungsschlüssel verwenden, AWS-Region wenn ein Schlüssel für mehrere Regionen verwendet wird. Weitere Informationen über multiregionale Schlüssel finden Sie unter Verwenden von multiregionalen Schlüsseln in AWS KMS.

  • --copy-tags – Geben Sie die Tags und Werte aus dem Quell-Snapshot in der Kopie des Snapshots an.

Die folgenden Optionen werden für das Kopieren eines DB-Snapshots von RDS Custom für SQL Server nicht unterstützt:

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

Im folgenden Codebeispiel wird ein verschlüsselter DB-Snapshot aus der Region USA West (Oregon) in die Region US East (N. Virginia) kopiert. Führen Sie den Befehl in der Zielregion (us-east-1) aus.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Für Windows:

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

Sie können einen DB-Snapshot von RDS Custom for SQL Server mithilfe der Amazon RDS-API-Operation Copy kopieren DBSnapshot. Wenn Sie den Snapshot in eine neue AWS-Region kopieren, führen Sie die Aktion in der neuen AWS-Region aus. Zum Kopieren eines DB-Snapshots werden die folgenden Parameter verwendet. Nicht alle Parameter sind erforderlich:

  • SourceDBSnapshotIdentifier – Der Bezeichner des Quell-DB-Snapshots.

    • Wenn sich der Quell-Snapshot in einer anderen Version AWS-Region als der Kopie befindet, geben Sie einen gültigen DB-Snapshot-ARN an. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • TargetDBSnapshotIdentifier – Der Bezeichner für die neue Kopie des DB-Snapshots.

  • KmsKeyId – Der KMS-Schlüsselbezeichner für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel- AWS-Region angeben. KMS-Schlüssel sind spezifisch für AWS-Region das, in dem sie erstellt wurden, und Sie können nur AWS-Region dann Verschlüsselungsschlüssel verwenden, AWS-Region wenn ein Schlüssel für mehrere Regionen verwendet wird. Weitere Informationen über multiregionale Schlüssel finden Sie unter Verwenden von multiregionalen Schlüsseln in AWS KMS.

  • CopyTags – Setzen Sie diesen Parameter auf true, damit Tags und Werte aus dem Quell-Snapshot in die Kopie des Snapshots übernommen werden. Der Standardwert ist false.

Die folgenden Optionen werden für das Kopieren eines DB-Snapshots von RDS Custom für SQL Server nicht unterstützt:

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der US East (N. Virginia)-Region.

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf