Kopieren eines Amazon RDS Custom for SQL Server-DB-Snapshots - Amazon Relational Database Service
EinschränkungenVerschlüsselungRegionsübergreifendes KopierenSnapshots von DB-Instances, die mit Custom Engine Versions (CEV) erstellt wurdenErforderliche BerechtigungenDB-Snapshot kopieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kopieren eines Amazon RDS Custom for SQL Server-DB-Snapshots

Mit RDS Custom for SQL Server können Sie automatische Backups und manuelle DB-Snapshots kopieren. Nach dem Kopieren eines Snapshots handelt es sich bei der von Ihnen erstellten Kopie um einen manuellen Snapshot. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss eine eindeutige Kennung haben.

Sie können einen Snapshot nur innerhalb desselben AWS Kontos auf verschiedene Standorte kopieren, AWS-Regionen an denen RDS Custom for SQL Server verfügbar ist. Die folgenden Operationen werden derzeit nicht unterstützt:

  • Kopieren von DB-Snapshots innerhalb desselben AWS-Region.

  • Kopieren von DB-Snapshots zwischen Konten. AWS

RDS Custom for SQL Server unterstützt das inkrementelle Kopieren von Snapshots. Weitere Informationen finden Sie unter Überlegungen zum inkrementellen Kopieren von Snapshots.

Einschränkungen

Die folgenden Einschränkungen gelten für das Kopieren eines DB-Snapshots für RDS Custom for SQL Server:

  • Wenn Sie einen Quell-Snapshot löschen, bevor der Ziel-Snapshot verfügbar ist, kann das Kopieren des Snapshots fehlschlagen. Stellen Sie sicher, dass der Ziel-Snapshot den Status hat, AVAILABLE bevor Sie den Quell-Snapshot löschen.

  • Sie können in Ihrer Anfrage zum Kopieren von DB-Snapshots keinen Namen für eine Optionsgruppe angeben oder eine Optionsgruppe kopieren.

  • Wenn Sie vor oder während des Kopiervorgangs abhängige AWS Ressourcen des Quell-DB-Snapshots löschen, kann Ihre Anfrage zum Kopieren des Snapshots asynchron fehlschlagen.

  • Das Kopieren von DB-Snapshots innerhalb derselben AWS-Region wird derzeit nicht unterstützt.

  • Das Kopieren von DB-Snapshots zwischen AWS Konten wird derzeit nicht unterstützt.

Die Einschränkungen beim Kopieren eines DB-Snapshots für Amazon RDS gelten auch für RDS Custom for SQL Server. Weitere Informationen finden Sie unter Einschränkungen.

Umgang mit Verschlüsselungen

Alle DB-Instances und DB-Snapshots von RDS Custom for SQL Server sind mit KMS-Schlüsseln verschlüsselt. Sie können nur einen verschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren. Daher müssen Sie einen KMS-Schlüssel angeben, der im Ziel AWS-Region für Ihre Anfrage zum Kopieren von DB-Snapshots gültig ist.

Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon RDS verwendet Umschlagverschlüsselung, um Daten während des Kopiervorgangs mit dem angegebenen AWS-Region Ziel-KMS-Schlüssel zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie im AWS Key Management Service -Entwicklerhandbuch.

Regionsübergreifendes Kopieren

Sie können DB-Snapshots über AWS-Regionen hinweg kopieren. Es gibt jedoch bestimmte Einschränkungen und Überlegungen für das Kopieren von regionsübergreifenden Snapshots.

Autorisierung von RDS zur Kommunikation beim Kopieren AWS-Regionen von Snapshots

Nachdem eine regionsübergreifende Anfrage zum Kopieren von DB-Snapshots erfolgreich verarbeitet wurde, startet RDS den Kopiervorgang. Eine Autorisierungsanfrage für RDS für den Zugriff auf den Quell-Snapshot wird erstellt. Diese Autorisierungsanfrage verknüpft den Quell-DB-Snapshot mit dem Ziel-DB-Snapshot. Dadurch kann RDS nur auf den angegebenen Ziel-Snapshot kopieren.

RDS verifiziert die Autorisierung mithilfe der rds:CrossRegionCommunication Berechtigung in der serviceverknüpften IAM-Rolle. Wenn die Kopie autorisiert ist, kann RDS mit der Quellregion kommunizieren und den Kopiervorgang abschließen.

RDS hat keinen Zugriff auf DB-Snapshots, die nicht zuvor durch eine DBSnapshot Kopieranforderung autorisiert wurden. Die Autorisierung wird nach Abschluss des Kopiervorgangs widerrufen.

RDS verwendet die serviceverknüpfte Rolle, um die Autorisierung in der Quellregion zu überprüfen. Der Kopiervorgang schlägt fehl, wenn Sie die mit dem Dienst verknüpfte Rolle während des Kopiervorgangs löschen.

Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Verwenden von serviceverknüpften Rollen.

Verwenden von AWS Security Token Service -Anmeldeinformationen

Sitzungstoken vom Endpunkt global AWS Security Token Service (AWS STS) sind nur in Bereichen gültig AWS-Regionen , die standardmäßig aktiviert sind (kommerzielle Regionen). Wenn Sie Anmeldeinformationen aus dem assumeRole API-Vorgang in verwenden AWS STS, verwenden Sie den regionalen Endpunkt, wenn es sich bei der Quellregion um eine Opt-in-Region handelt. Andernfalls schlägt die Anforderung fehl. Ihre Anmeldeinformationen müssen in beiden Regionen gültig sein. Dies gilt nur für Opt-in-Regionen, wenn Sie den regionalen AWS STS Endpunkt verwenden.

Um den globalen Endpunkt zu verwenden, stellen Sie sicher, dass er für beide Regionen in den Vorgängen aktiviert ist. Stellen Sie den globalen Endpunkt Valid in den AWS STS Kontoeinstellungen AWS-Regionen auf „Alle“ ein.

Weitere Informationen finden Sie unter Verwaltung AWS STSAWS-Region in einem im AWS Identity and Access Management Benutzerhandbuch.

Snapshots von DB-Instances, die mit Custom Engine Versions (CEV) erstellt wurden

Bei einem DB-Snapshot einer DB-Instance, die eine Custom Engine Version (CEV) verwendet, ordnet RDS den CEV dem DB-Snapshot zu. Um einen Quell-DB-Snapshot, der einer CEV zugeordnet ist, hinüber zu kopieren AWS-Regionen, kopiert RDS den CEV zusammen mit dem Quell-DB-Snapshot in die Zielregion.

Wenn Sie mehrere DB-Snapshots, die demselben CEV zugeordnet sind, in dieselbe Zielregion kopieren, kopiert die erste Kopieranforderung das zugehörige CEV. Der Kopiervorgang der folgenden Anfragen findet die ursprünglich kopierte CEV und ordnet sie den folgenden DB-Snapshot-Kopien zu. Die vorhandene CEV-Kopie muss den AVAILABLE Status haben, in dem sie den DB-Snapshot-Kopien zugeordnet werden kann.

Um einen mit einem CEV verknüpften DB-Snapshot zu kopieren, muss die IAM-Richtlinie des Anforderers über die erforderlichen Berechtigungen verfügen, um sowohl das Kopieren von DB-Snapshots als auch das zugehörige CEV-Kopieren zu autorisieren. Die folgenden Berechtigungen sind in der IAM-Richtlinie Ihres Anforderers erforderlich, um das zugehörige CEV-Kopieren zu ermöglichen:

  • rds:CopyCustomDBEngineVersion‐ Ihr IAM-Principal, der die Anfrage gestellt hat, muss die Berechtigung haben, das Quell-CEV zusammen mit dem Quell-DB-Snapshot in die Zielregion zu kopieren. Die Anforderung zum Kopieren des Snapshots schlägt aufgrund von Autorisierungsfehlern fehl, wenn Ihr IAM-Principal, der den Antrag gestellt hat, nicht autorisiert ist, den Quell-CEV zu kopieren.

  • ec2:CreateTags‐ Das zugrunde liegende EC2 AMI der Quell-CEV wird als Teil der CEV-Kopie in die Zielregion kopiert. RDS Custom versucht, das AMI mit dem AWSRDSCustom Tag zu kennzeichnen, bevor das AMI kopiert wird. Stellen Sie sicher, dass Ihr IAM-Principal, der die Anfrage gestellt hat, berechtigt ist, das Tag für das AMI zu erstellen, das dem Quell-CEV in der Quellregion zugrunde liegt.

Weitere Informationen zu CEV-Kopierberechtigungen finden Sie unter. Erteilen Sie die erforderlichen Berechtigungen für Ihren IAM-Prinzipal

Erteilen Sie die erforderlichen Berechtigungen für Ihren IAM-Prinzipal

Stellen Sie sicher, dass Sie über ausreichende Zugriffsrechte verfügen, um einen DB-Snapshot von RDS Custom for SQL Server zu kopieren. Die IAM-Rolle oder der IAM-Benutzer (als IAM-Prinzipal bezeichnet) zum Kopieren eines DB-Snapshots mithilfe der Konsole oder CLI muss über eine der folgenden Richtlinien verfügen, damit eine DB-Instance erfolgreich erstellt werden kann:

  • Die AdministratorAccess Richtlinie oder

  • Die folgende AmazonRDSFullAccess-Richtlinie zeigt die zusätzlichen Berechtigungen.

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom verwendet diese Berechtigungen beim Kopieren von Snapshots AWS-Regionen. Mit diesen Berechtigungen werden Ressourcen in Ihrem Konto konfiguriert, die für benutzerdefinierte RDS-Operationen erforderlich sind. Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key Verwaltung.

Die folgende JSON-Beispielrichtlinie gewährt zusätzlich zur AmazonRDSFullAccess Richtlinie die erforderlichen Berechtigungen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
Anmerkung

Stellen Sie sicher, dass die aufgelisteten Berechtigungen nicht durch Dienststeuerungsrichtlinien (SCPs), Berechtigungsgrenzen oder Sitzungsrichtlinien eingeschränkt werden, die dem IAM-Prinzipal zugeordnet sind.

Wenn Sie Bedingungen mit Kontextschlüsseln in der IAM-Richtlinie des Anforderers verwenden, können bestimmte Bedingungen dazu führen, dass die Anfrage fehlschlägt. Weitere Informationen zu häufigen Fallstricken aufgrund von IAM-Richtlinienbedingungen finden Sie unter. Anfordern einer Regionsübergreifende Kopie für DB-Snapshots

Kopieren eines DB-Snapshots

Verwenden Sie die folgenden Verfahren, um einen DB-Snapshot zu kopieren. Für jedes AWS Konto können Sie bis zu 20 DB-Snapshots gleichzeitig von einem AWS-Region zum anderen kopieren. Wenn Sie einen DB-Snapshot in einen anderen kopieren AWS-Region, erstellen Sie einen manuellen DB-Snapshot, der in diesem AWS-Region gespeichert wird. Beim Kopieren eines DB-Snapshots aus der Quelle AWS-Region fallen Amazon RDS-Datenübertragungsgebühren an. Weitere Informationen zu den Kosten von Datenübertragungen finden Sie unter Amazon RDS – Preise.

Nachdem die DB-Snapshot-Kopie in der neuen Version erstellt wurde AWS-Region, verhält sich die DB-Snapshot-Kopie genauso wie alle anderen DB-Snapshots in dieser Version. AWS-Region

Sie können einen DB-Snapshot mit der AWS Management Console AWS CLI, oder der Amazon RDS-API kopieren.

Console

Mit dem folgenden Verfahren wird ein DB-Snapshot von RDS Custom for SQL Server mithilfe von kopiert AWS Management Console.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den DB-Snapshot RDS Custom for SQL Server aus, den Sie kopieren möchten.

  4. Wählen Sie in der Dropdownliste Aktionen die Option Snapshot kopieren aus.

    Die Seite „Snapshot kopieren“ in der Amazon RDS-Konsole. Die Einstellungen werden auf die Seite geladen.

  5. Um den DB-Snapshot in einen anderen zu kopieren AWS-Region, setzen Sie Destination Region auf den erforderlichen Wert.

    Anmerkung

    Für das Ziel AWS-Region muss dieselbe Version der Datenbank-Engine wie für die Quelle verfügbar sein AWS-Region.

  6. Geben Sie unter Neuer DB-Snapshot-ID einen eindeutigen Namen für den DB-Snapshot ein. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss eine eindeutige Kennung haben.

  7. (Optional) Wählen Sie Copy Tags (Tags kopieren), um Tags und Werte aus dem Snapshot in die Kopie des Snapshots zu übernehmen.

  8. Geben Sie für Verschlüsselung die KMS-Schlüssel-ID an, die zum Verschlüsseln der DB-Snapshot-Kopie verwendet werden soll.

    Anmerkung

    RDS Custom for SQL Server verschlüsselt alle DB-Snapshots. Sie können keinen unverschlüsselten DB-Snapshot erstellen.

  9. Wählen Sie Copy Snapshot (Snapshot kopieren) aus.

RDS Custom for SQL Server erstellt eine DB-Snapshot-Kopie Ihrer DB-Instance in der AWS-Region von Ihnen ausgewählten.

AWS CLI

Sie können einen DB-Snapshot von RDS Custom for SQL Server kopieren, indem Sie den AWS CLI Befehl verwenden copy-db-snapshot. Wenn Sie den Snapshot in einen neuen kopieren AWS-Region, führen Sie den Befehl im neuen aus AWS-Region. Zum Kopieren eines DB-Snapshots werden die folgenden Optionen verwendet. Nicht alle Optionen werden in allen Szenarien benötigt.

  • --source-db-snapshot-identifier‐ Der Bezeichner für den Quell-DB-Snapshot.

    • Wenn sich der Quell-Snapshot in einer anderen Version AWS-Region als der Kopie befindet, geben Sie einen gültigen DB-Snapshot-ARN an. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • --target-db-snapshot-identifier‐ Die Kennung für die neue Kopie des DB-Snapshots.

  • --kms-key-id‐Die KMS-Schlüssel-ID für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel- AWS-Region angeben. KMS-Schlüssel sind spezifisch für AWS-Region das, in dem sie erstellt wurden, und Sie können keine Verschlüsselungsschlüssel von einem AWS-Region zum anderen verwenden, AWS-Region es sei denn, es wird ein Schlüssel für mehrere Regionen verwendet. Weitere Informationen über multiregionale Schlüssel finden Sie unter Verwenden von multiregionalen Schlüsseln in AWS KMS.

  • --copy-tags‐ Fügen Sie die Tags und Werte aus dem Quell-Snapshot in die Kopie des Snapshots ein.

Die folgenden Optionen werden für das Kopieren eines DB-Snapshots vom Typ RDS Custom for SQL Server nicht unterstützt:

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

Im folgenden Codebeispiel wird ein verschlüsselter DB-Snapshot aus der Region USA West (Oregon) in die Region USA Ost (Nord-Virginia) kopiert. Führen Sie den Befehl in der Zielregion (us-east-1) aus.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Für Windows:

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

Sie können einen DB-Snapshot von RDS Custom for SQL Server mithilfe der Amazon RDS-API-Operation Copy kopieren DBSnapshot. Wenn Sie den Snapshot in eine neue AWS-Region kopieren, führen Sie die Aktion in der neuen AWS-Region aus. Zum Kopieren eines DB-Snapshots werden die folgenden Parameter verwendet. Nicht alle Parameter sind erforderlich:

  • SourceDBSnapshotIdentifier‐ Der Bezeichner für den Quell-DB-Snapshot.

    • Wenn sich der Quell-Snapshot in einer anderen Version AWS-Region als der Kopie befindet, geben Sie einen gültigen DB-Snapshot-ARN an. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • TargetDBSnapshotIdentifier‐ Die Kennung für die neue Kopie des DB-Snapshots.

  • KmsKeyId‐ Die KMS-Schlüssel-ID für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel- AWS-Region angeben. KMS-Schlüssel sind spezifisch für AWS-Region das, in dem sie erstellt wurden, und Sie können nur AWS-Region dann Verschlüsselungsschlüssel verwenden, AWS-Region wenn ein Schlüssel für mehrere Regionen verwendet wird. Weitere Informationen über multiregionale Schlüssel finden Sie unter Verwenden von multiregionalen Schlüsseln in AWS KMS.

  • CopyTags‐ Stellen Sie diesen Parameter auf eintrue, um Tags und Werte aus dem Quell-Snapshot in die Kopie des Snapshots zu kopieren. Der Standardwert ist false.

Die folgenden Optionen werden beim Kopieren eines DB-Snapshots vom Typ RDS Custom for SQL Server nicht unterstützt:

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der US East (N. Virginia)-Region.

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf