# Uso compartido de instantáneas cifradas para Amazon RDS
Puede compartir instantáneas de base de datos que se han cifrado "en reposo" utilizando el algoritmo de cifrado AES-256, como se describe en [Cifrado de recursos de Amazon RDS](Overview.Encryption.md).
Cuando se comparten instantáneas cifradas, se aplican las siguientes restricciones:
+ No se pueden compartir instantáneas cifradas como públicas.
+ No se pueden compartir instantáneas de Oracle o Microsoft SQL Server cifradas mediante el cifrado de datos transparente (TDE).
+ No se puede compartir una instantánea que se ha cifrado utilizando la clave de KMS predeterminada de la Cuenta de AWS que compartió la instantánea.
Para obtener más información sobre la administración de claves de AWS KMS para Amazon RDS, consulte [AWS KMS keyAdministración de](Overview.Encryption.Keys.md).
Para solucionar el problema de la clave de KMS predeterminada, realice las siguientes tareas:
1. [Creación de una clave administrada por el cliente y concesión de acceso a ella](#share-encrypted-snapshot.cmk).
1. [Copia y compartición de la instantánea desde la cuenta de origen](#share-encrypted-snapshot.share).
1. [Copia de la instantánea compartida en la cuenta de destino](#share-encrypted-snapshot.target).
## Creación de una clave administrada por el cliente y concesión de acceso a ella
En primer lugar, debe crear una clave KMS personalizada en la misma Región de AWS que la instantánea de base de datos cifrada. Al crear la clave administrada por el cliente, le da acceso a ella a otra Cuenta de AWS.
**nota**
También puede usar una clave de KMS de otra cuenta de AWS cuando la política de claves conceda acceso a las cuentas de origen y destino.
**Para crear una clave administrada por el cliente y dar acceso a ella**
1. Inicie sesión en la Consola de administración de AWS desde la Cuenta de AWS de origen.
1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**.
1. Elija **Crear clave**.
1. En la página **Configurar clave**:
1. En **Tipo de clave**, seleccione **Simétrica**.
1. En **Uso de claves**, seleccione **Cifrar y descifrar**.
1. Expanda **Advanced options (Opciones avanzadas)**.
1. En **Origen del material de claves**, seleccione **Externo**.
1. En **Regionalidad**, seleccione **Clave de una sola región**.
1. Elija **Siguiente**.
1. En la página **Agregar etiquetas**:
1. Para **Alias**, introduzca un nombre que mostrar para su clave KMS, por ejemplo **share-snapshot**.
1. (Opcional) Introduzca una descripción de su clave KMS.
1. (Opcional) Agregue etiquetas a su clave KMS.
1. Elija **Siguiente**.
1. En la página **Definir permisos de administración de claves**, elija **Siguiente**.
1. En la página **Definir permisos de uso de claves**:
1. En **Otras Cuentas de AWS**, seleccione **Agregar otra Cuenta de AWS**.
1. Introduzca el ID de la Cuenta de AWS a la que desee conceder acceso.
Puede conceder acceso a varias Cuentas de AWS.
1. Elija **Siguiente**.
1. Revise su clave KMS y, a continuación, seleccione **Finalizar**.
## Copia y compartición de la instantánea desde la cuenta de origen
A continuación, debe copiar la instantánea de base de datos de origen en una nueva instantánea mediante la clave administrada por el cliente. A continuación, la debe compartir con la Cuenta de AWS de destino.
**Para copiar y compartir la instantánea**
1. Inicie sesión en la Consola de administración de AWS desde la Cuenta de AWS de origen.
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, elija **Instantáneas**.
1. Seleccione la instantánea de base de datos que desea copiar.
1. En **Actions (Acciones)**, elija **Copy snapshot (Copiar instantánea)**.
1. En la página **Copiar instantánea**:
1. Para **Región de destino**, elija la Región de AWS en la que creó la clave administrada por el cliente en el procedimiento anterior.
1. Introduzca el nombre de la copia de la instantánea de base de datos en **Nuevo identificador de instantánea de base de datos**.
1. Para **AWS KMS key**, elija la clave administrada por el cliente que ha creado.
![\[Seleccione la clave administrada por el cliente.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/copy-encrypted-snapshot.png)
1. Elija **Copy Snapshot (Copiar instantánea)**.
1. Cuando la copia de la instantánea esté disponible, selecciónela.
1. En **Actions)** (Acciones), elija **Share Snapshot** (Compartir instantánea).
1. En la página **Permisos de la instantánea**:
1. Introduzca el **ID de la Cuenta de AWS** con la que vaya a compartir la copia de la instantánea y, a continuación, seleccione **Agregar**.
1. Seleccione **Save**.
La instantánea ya se ha compartido.
## Copia de la instantánea compartida en la cuenta de destino
Ahora puede copiar la instantánea compartida en la Cuenta de AWS de destino.
**Para copiar la instantánea compartida**
1. Inicie sesión en la Consola de administración de AWS desde la Cuenta de AWS de destino.
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, elija **Instantáneas**.
1. Seleccione la pestaña **Compartido conmigo**.
1. Seleccione la instantánea compartida.
1. En **Actions (Acciones)**, elija **Copy snapshot (Copiar instantánea)**.
1. Elija la configuración para copiar la instantánea como en el procedimiento anterior, pero utilice una AWS KMS key que pertenezca a la cuenta de destino.
Elija **Copy Snapshot (Copiar instantánea)**.