Limites Chiffrement Copie entre régions Instantanés d'instances de base de données créées avec des versions de moteur personnalisées (CEV)Autorisations requises Copier un instantané de la base

Copier un instantané de base de données Amazon RDS personnalisé pour SQL Server

Avec RDS Custom pour SQL Server, vous pouvez copier des sauvegardes automatisées et des instantanés de base de données manuels. Après avoir copié un instantané, la copie que vous créez est un instantané manuel. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.

Vous ne pouvez copier un instantané d'un même AWS compte que sur différents sites Régions AWS où RDS Custom for SQL Server est disponible. Les opérations suivantes ne sont actuellement pas prises en charge :

Copier des instantanés de base de données dans un même fichier Région AWS.
Copier des instantanés de base de données entre AWS comptes.

RDS Custom pour SQL Server prend en charge la copie incrémentielle de snapshots. Pour de plus amples informations, veuillez consulter Considérations relatives à la copie incrémentielle d'instantanés.

Rubriques

Limites
Gestion du chiffrement
Copie entre régions
Instantanés d'instances de base de données créées avec des versions de moteur personnalisées (CEV)
Accorder les autorisations requises à votre principal IAM
Copie d'un instantané de base de données

Limites

Les limites suivantes s'appliquent à la copie d'un instantané de base de données pour RDS Custom for SQL Server :

Si vous supprimez un instantané source avant que l'instantané cible ne soit disponible, la copie d'instantané peut échouer. Vérifiez que le cliché cible a un statut égal à AVAILABLE avant de supprimer le cliché source.
Vous ne pouvez pas spécifier un nom de groupe d'options ou copier un groupe d'options dans votre demande de copie instantanée de base de données.
Si vous supprimez des AWS ressources dépendantes de l'instantané de base de données source avant ou pendant le processus de copie, votre demande de capture instantanée de copie peut échouer de manière asynchrone.
- Si vous supprimez le fichier de sauvegarde SMK (Service Master Key) de votre instance de base de données source stocké dans le compartiment S3 géré par RDS Custom de votre compte, la copie instantanée de base de données réussit de manière asynchrone. Cependant, les fonctionnalités de SQL Server qui dépendent de SMK, telles que les bases de données compatibles TDE, rencontrent des problèmes. Pour de plus amples informations, veuillez consulter Résolution des problèmes liés à l'état PENDING_RECOVERY pour les bases de données compatibles TDE dans RDS Custom for SQL Server.
La copie d'instantanés de base de données au sein d'une même base de données n' Région AWS est actuellement pas prise en charge.
La copie d'instantanés de base de données entre AWS comptes n'est actuellement pas prise en charge.

Les limites liées à la copie d'un instantané de base de données pour Amazon RDS s'appliquent également à RDS Custom for SQL Server. Pour de plus amples informations, veuillez consulter Limites.

Gestion du chiffrement

Toutes les instances de base de données RDS Custom pour SQL Server et les instantanés de base de données sont chiffrés à l'aide de clés KMS. Vous ne pouvez copier un instantané chiffré que sur un instantané chiffré. Vous devez donc spécifier une clé KMS valide dans la destination Région AWS pour votre demande de copie d'instantané de base de données.

L'instantané source reste chiffré pendant tout le processus de copie. Amazon RDS utilise le chiffrement d'enveloppe pour protéger les données lors de l'opération de copie avec la clé Région AWS KMS de destination spécifiée. Pour plus d'informations, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

Copie entre régions

Vous pouvez copier les instantanés de base de données entre Régions AWS. Toutefois, il existe certaines contraintes et considérations en ce qui concerne la copie d'instantanés entre régions.

Autoriser RDS à communiquer entre eux pour la copie d' Régions AWS instantanés

Une fois qu'une demande de copie d'instantané de base de données entre régions est traitée avec succès, RDS démarre la copie. Une demande d'autorisation permettant à RDS d'accéder à l'instantané source est créée. Cette demande d'autorisation lie l'instantané de base de données source à l'instantané de base de données cible. Cela permet à RDS de copier uniquement vers le cliché cible spécifié.

RDS vérifie l'autorisation en utilisant l'rds:CrossRegionCommunicationautorisation dans le rôle IAM lié au service. Si la copie est autorisée, RDS peut communiquer avec la région source et terminer l'opération de copie.

RDS n'a pas accès aux instantanés de base de données qui n'étaient pas autorisés auparavant par une demande de copieDBSnapshot . L'autorisation est révoquée une fois la copie terminée.

RDS utilise le rôle lié au service afin de vérifier l'autorisation dans la région source. La copie échoue si vous supprimez le rôle lié au service pendant le processus de copie.

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS Identity and Access Management utilisateur.

Utilisation des informations d'identification AWS Security Token Service

Les jetons de session provenant du point de terminaison global AWS Security Token Service (AWS STS) ne sont valides Régions AWS que s'ils sont activés par défaut (régions commerciales). Si vous utilisez les informations d'identification issues de l'opération d'assumeRoleAPI dans AWS STS, utilisez le point de terminaison régional si la région source est une région optionnelle. Sinon, la demande échoue. Vos informations d'identification doivent être valides dans les deux régions, ce qui n'est vrai pour les régions optionnelles que lorsque vous utilisez le point de AWS STS terminaison régional.

Pour utiliser le point de terminaison global, assurez-vous qu'il est activé dans les opérations pour les deux régions. Définissez le point de terminaison global sur « Valid in all » Régions AWS dans les paramètres du AWS STS compte.

Pour plus d'informations, consultez la section Gestion AWS STS dans et Région AWS dans le guide de AWS Identity and Access Management l'utilisateur.

Instantanés d'instances de base de données créées avec des versions de moteur personnalisées (CEV)

Pour un instantané de base de données d'une instance de base de données utilisant une version de moteur personnalisée (CEV), RDS associe le CEV à l'instantané de base de données. Pour copier un instantané de base de données source associé à un CEV Régions AWS, RDS copie le CEV ainsi que le cliché de base de données source dans la région de destination.

Si vous copiez plusieurs instantanés de base de données associés au même CEV vers la même région de destination, la première demande de copie copie le CEV associé. Le processus de copie des demandes suivantes trouve le CEV initialement copié et l'associe aux copies instantanées de base de données suivantes. La copie CEV existante doit être en AVAILABLE état pour être associée aux copies instantanées de base de données.

Pour copier un instantané de base de données associé à un CEV, la politique IAM du demandeur doit disposer des autorisations nécessaires pour autoriser à la fois la copie de l'instantané de base de données et la copie CEV associée. Les autorisations suivantes sont nécessaires dans la politique IAM de votre demandeur pour autoriser la copie CEV associée :

rds:CopyCustomDBEngineVersion‐ Le principal IAM de votre demandeur doit avoir l'autorisation de copier le CEV source dans la région cible avec le snapshot de base de données source. La demande de copie instantanée échoue en raison d'erreurs d'autorisation si le principal IAM de votre demandeur n'est pas autorisé à copier le CEV source.
ec2:CreateTags‐ L' EC2 AMI sous-jacente du CEV source est copiée dans la région cible dans le cadre de la copie du CEV. RDS Custom tente de baliser l'AMI avec la AWSRDSCustom balise avant de copier l'AMI. Assurez-vous que le principal IAM du demandeur est autorisé à créer la balise par rapport à l'AMI sous-jacente au CEV source dans la région source.

Pour plus d'informations sur les autorisations de copie CEV, consultezAccorder les autorisations requises à votre principal IAM.

Accorder les autorisations requises à votre principal IAM

Assurez-vous que vous disposez d'un accès suffisant pour copier un instantané de base de données RDS Custom for SQL Server. Le rôle ou l'utilisateur IAM (appelé principal IAM) chargé de copier un instantané de base de données à l'aide de la console ou de l'interface de ligne de commande doit disposer de l'une des politiques suivantes pour une création d'instance de base de données réussie :

La AdministratorAccess politique ou,

La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :


s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom utilise ces autorisations lors de la copie d'instantanés. Régions AWS Ces autorisations configurent les ressources de votre compte qui sont requises pour les opérations RDS Custom. Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez AWS KMS key gestion.

L'exemple de politique JSON suivant accorde les autorisations requises en plus de la AmazonRDSFullAccess politique.

Note

Assurez-vous que les autorisations répertoriées ne sont pas limitées par les politiques de contrôle des services (SCPs), les limites d'autorisation ou les politiques de session associées au principal IAM.

Si vous utilisez des conditions avec des clés contextuelles dans la politique IAM du demandeur, certaines conditions peuvent entraîner l'échec de la demande. Pour plus d'informations sur les pièges courants liés aux conditions de la politique IAM, consultez. Demander une copie d'instantané de bases de données entre régions

Copie d'un instantané de base de données

Utilisez les procédures suivantes pour copier un instantané de base de données. Pour chaque AWS compte, vous pouvez copier jusqu'à 20 instantanés de base de données à la fois de l'un Région AWS à l'autre. Si vous copiez un instantané de base de données vers un autre Région AWS, vous créez un instantané de base de données manuel qui y est conservé Région AWS. La copie d'un instantané de base de données depuis la source Région AWS entraîne des frais de transfert de données Amazon RDS. Pour de plus amples informations sur la tarification du transfert des données, veuillez consulter la Tarification Amazon RDS.

Une fois que la copie instantanée de base de données a été créée dans le nouveau Région AWS, elle se comporte de la même manière que tous les autres instantanés de base de données qu'elle contient. Région AWS

Vous pouvez copier un instantané de base de données à l'aide de AWS Management Console AWS CLI, ou de l'API Amazon RDS.

Console

La procédure suivante copie un instantané de base de données RDS Custom pour SQL Server à l'aide du AWS Management Console.

Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.
Dans le panneau de navigation, choisissez Snapshots (Instantanés).
Sélectionnez le snapshot de base de données RDS Custom pour SQL Server que vous souhaitez copier.
Dans le menu déroulant Actions, choisissez Copier un instantané.
Pour copier le snapshot de base de données vers un autre Région AWS, définissez Destination Region sur la valeur requise.

Note
La destination Région AWS doit disposer de la même version de moteur de base de données disponible que la source Région AWS.
Pour Nouvel identifiant de capture de base de données, entrez un nom unique pour l'instantané de base de données. Vous pouvez effectuer plusieurs copies d'une sauvegarde automatique ou d'un instantané manuel, mais chaque copie doit avoir un identifiant unique.
(Facultatif) Pour copier les balises et les valeurs de l'instantané vers la copie de cet instantané, choisissez Copier les balises.
Pour le chiffrement, spécifiez l'identifiant de clé KMS à utiliser pour chiffrer la copie instantanée de la base de données.

Note
RDS Custom for SQL Server chiffre tous les instantanés de base de données. Vous ne pouvez pas créer un instantané de base de données non chiffré.
Choisissez Copy snapshot (Copier un instantané).

RDS Custom for SQL Server crée une copie instantanée de base de données de votre instance de base de données dans celle Région AWS de votre sélection.

AWS CLI

Vous pouvez copier un instantané de base de données RDS Custom pour SQL Server à l'aide de la AWS CLI commande copy-db-snapshot. Si vous copiez le cliché dans un nouveau Région AWS, exécutez la commande dans le nouveau Région AWS. Les options suivantes sont utilisées pour copier un instantané de base de données. Toutes les options ne sont pas requises pour tous les scénarios.

--source-db-snapshot-identifier‐ Identifiant de l'instantané de base de données source.
- Si l'instantané source se trouve dans un emplacement différent Région AWS de celui de la copie, spécifiez un ARN d'instantané de base de données valide. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
--target-db-snapshot-identifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.
--kms-key-id‐Identifiant de clé KMS pour un instantané de base de données chiffré. L'identificateur de clé KMS est l'ARN (Amazon Resource Name), l'identificateur de clé ou l'alias de clé pour la clé KMS.
- Si vous copiez un instantané chiffré vers une autre Région AWS, vous devez spécifier une clé KMS pour la Région AWS de destination. Les clés KMS sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les clés KMS multi-Régions, veuillez consulter la section Utilisation de clés multi-Régions dans AWS KMS.
--copy-tags‐ Incluez les balises et les valeurs de l'instantané source dans la copie de l'instantané.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS Custom pour SQL Server :

--copy-option-group
--option-group-name
--pre-signed-url
--target-custom-availability-zone

L'exemple de code suivant copie un instantané de base de données chiffré de la région USA Ouest (Oregon) vers la région USA Est (Virginie du Nord). Exécutez la commande dans la région de destination (us-east-1).

Pour Linux, macOS ou Unix :


aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Pour Windows :


aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

RDS API

Vous pouvez copier un instantané de base de données personnalisé RDS pour SQL Server à l'aide de l'opération Copy de l'API Amazon RDS. DBSnapshot Si vous copiez l'instantané dans une nouvelle Région AWS, exécutez l'action dans cette nouvelle Région AWS. Les paramètres suivants sont utilisés pour copier un instantané de base de données. Tous les paramètres ne sont pas obligatoires :

SourceDBSnapshotIdentifier‐ Identifiant de l'instantané de base de données source.
- Si l'instantané source se trouve dans un emplacement différent Région AWS de celui de la copie, spécifiez un ARN d'instantané de base de données valide. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
TargetDBSnapshotIdentifier‐ Identifiant de la nouvelle copie de l'instantané de base de données.
KmsKeyId‐ Identifiant de clé KMS pour un instantané de base de données chiffré. L'identificateur de clé KMS est l'ARN (Amazon Resource Name), l'identificateur de clé ou l'alias de clé pour la clé KMS.
- Si vous copiez un instantané chiffré vers une autre Région AWS, vous devez spécifier une clé KMS pour la Région AWS de destination. Les clés KMS sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d'informations sur les clés KMS multi-Régions, veuillez consulter la section Utilisation de clés multi-Régions dans AWS KMS.
CopyTags‐ Définissez ce paramètre sur true pour copier les balises et les valeurs de l'instantané source vers la copie de l'instantané. L’argument par défaut est false.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS Custom pour SQL Server :

CopyOptionGroup
OptionGroupName
PreSignedUrl
TargetCustomAvailabilityZone

Le code suivant crée une copie d'instantané, avec le nouveau nom mydbsnapshotcopy, dans la région US East (N. Virginia).


https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression RDS des sauvegardes automatisées personnalisées pour le SQL serveur

Migration d'une base de données sur site vers RDS Custom for SQL Server