Partage d’instantanés chiffrés - Amazon Aurora
Création d’une clé gérée par le client et octroi d’un accès à celle-ci.Copie et partage d’instantané depuis le compte sourceCopiez l’instantané partagé dans le compte cible

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage d’instantanés chiffrés

Vous pouvez partager des instantanés de cluster DB qui ont été chiffrés « au repos » en utilisant l’algorithme de chiffrement AES-256, comme décrit dans Chiffrement des ressources Amazon Aurora.

Les restrictions suivantes s’appliquent au partage d’instantanés chiffrés :

  • Vous ne pouvez pas partager des instantanés chiffrés marqués comme publics.

  • Vous ne pouvez pas partager un instantané chiffré à l’aide de la clé de chiffrement KMS par défaut du Compte AWS qui a partagé l’instantané.

    Pour plus d’informations sur la gestion des clés AWS KMS pour Amazon RDS, consultez Gestion AWS KMS key.

Pour contourner le problème de clé KMS par défaut, effectuez les tâches suivantes :

  1. Création d’une clé gérée par le client et octroi d’un accès à celle-ci..

  2. Copie et partage d’instantané depuis le compte source.

  3. Copiez l’instantané partagé dans le compte cible.

Création d’une clé gérée par le client et octroi d’un accès à celle-ci.

Vous devez d’abord créer une clé KMS personnalisée dans la même Région AWS que le cluster de bases de données chiffré. Lors de la création de la clé gérée par le client, vous lui permettez d’accéder à un autre Compte AWS.

Création d’une clé gérée par le client et octroi d’un accès à celle-ci.

  1. Connectez-vous à la AWS Management Console depuis le Compte AWS source.

  2. Ouvrez la console AWS KMS à l’adresse https://console.aws.amazon.com/kms.

  3. Pour changer de Région AWS, utilisez le sélecteur de région dans l’angle supérieur droit de la page.

  4. Dans le panneau de navigation, choisissez Clés gérées par le client.

  5. Choisissez Create key.

  6. Sur la page Configurer la clé :

    1. Pour Type de clé, choisissez Symétrique.

    2. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

    3. (Facultatif) Développez Options avancées.

    4. Pour Origine des clés, choisissez KMS.

    5. Pour Régionalité, choisissez Clé de région unique.

    6. Choisissez Suivant.

  7. Sur la page Ajouter des étiquettes :

    1. Pour Alias, entrez un nom d’affichage pour votre clé KMS, par exemple share-snapshot.

    2. (Facultatif) Saisissez une description pour votre clé KMS.

    3. (Facultatif) Ajoutez des identifications à votre règle KMS.

    4. Choisissez Suivant.

  8. Sur la page Définir des autorisations d’administration de clé, choisissez Suivant.

  9. Sur la page Définir des autorisations d’utilisation de clé :

    1. Pour Autre Comptes AWS, choisissez Ajouter une autre Compte AWS.

    2. Entrez l’ID du Compte AWS auquel vous souhaitez donner accès.

      Vous pouvez donner accès à plusieurs Comptes AWS.

    3. Choisissez Suivant.

  10. Vérifiez votre clé KMS, puis choisissez Terminer.

Copie et partage d’instantané depuis le compte source

Ensuite, vous copiez l’instantané du cluster de bases de données source vers un nouvel instantané à l’aide de la clé gérée par le client. Ensuite, vous le partagez avec le Compte AWS cible.

Pour copier et partager l’instantané

  1. Connectez-vous à la AWS Management Console depuis le Compte AWS source.

  2. Ouvrez la console Amazon RDS à l’adresse https://console.aws.amazon.com/rds/.

  3. Dans le panneau de navigation, choisissez Snapshots.

  4. Sélectionnez l’instantané de cluster de bases de données que vous voulez copier.

  5. Sous Actions, choisissez Copier un instantané.

  6. Sur la page Copier un instantané :

    1. Pour Région de destination, choisissez la Région AWS où vous avez créé la clé gérée par le client lors de la procédure précédente.

    2. Saisissez le nom de la copie de l’instantané de cluster de bases de données dans Nouvel identifiant d’instantané de base de données.

    3. Pour AWS KMS key, choisissez la clé gérée par le client que vous avez créée.

      Choisissez la clé gérée par le client.

    4. Choisissez Copy snapshot (Copier un instantané).

  7. Lorsque la copie d’instantanée est disponible, sélectionnez-la.

  8. Pour Actions, choisissez Share snapshot (Partager l’instantané).

  9. Sur la page des Autorisations relatives aux instantanés :

    1. Entrez l’ID du Compte AWS avec lequel vous partagez la copie instantanée, puis choisissez Ajouter.

    2. Choisissez Enregistrer.

    L’instantané est partagé.

Copiez l’instantané partagé dans le compte cible

Vous pouvez maintenant copier l’instantané partagé dans le Compte AWS cible.

Pour copier l’instantané partagé

  1. Connectez-vous à la AWS Management Console depuis le Compte AWS cible.

  2. Ouvrez la console Amazon RDS à l’adresse https://console.aws.amazon.com/rds/.

  3. Dans le panneau de navigation, choisissez Snapshots.

  4. Choisissez l’onglet Partagé avec moi.

  5. Sélectionnez l’instantané partagé.

  6. Sous Actions, choisissez Copier un instantané.

  7. Choisissez vos paramètres pour copier l’instantané comme dans la procédure précédente, mais utilisez une AWS KMS key appartenant au compte cible.

    Choisissez Copy snapshot (Copier un instantané).