Batasan Enkripsi:Penyalinan lintas Wilayah Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom (CEV)Izin yang diperlukan Salin snapshot DB

Menyalin Amazon RDS Custom untuk snapshot SQL Server DB

Dengan RDS Custom for SQL Server, Anda dapat menyalin backup otomatis dan snapshot DB manual. Setelah menyalin snapshot, salinan yang Anda buat adalah snapshot manual. Anda dapat membuat beberapa salinan cadangan otomatis atau snapshot manual tetapi setiap salinan harus memiliki pengenal unik.

Anda hanya dapat menyalin snapshot dalam AWS akun yang sama di berbagai Wilayah AWS tempat RDS Custom untuk SQL Server tersedia. Operasi berikut saat ini tidak didukung:

Menyalin snapshot DB dalam hal yang sama. AWS Region
Menyalin snapshot DB di seluruh AWS akun.

RDS Kustom untuk SQL Server mendukung penyalinan snapshot tambahan. Untuk informasi selengkapnya, lihat Pertimbangan untuk penyalinan snapshot tambahan.

Topik

Batasan
Menangani enkripsi
Penyalinan lintas Wilayah
Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom (CEV)
Berikan izin yang diperlukan ke prinsipal IAM Anda
Menyalin snapshot DB

Batasan

Batasan berikut berlaku untuk menyalin snapshot DB untuk RDS Custom for SQL Server:

Jika Anda menghapus snapshot sumber sebelum snapshot target tersedia, penyalinan snapshot mungkin gagal. Verifikasi bahwa snapshot target memiliki status AVAILABLE sebelum Anda menghapus snapshot sumber.
Anda tidak dapat menentukan nama grup opsi atau menyalin grup opsi dalam permintaan salinan snapshot DB Anda.
Jika Anda menghapus AWS sumber daya dependen dari snapshot DB sumber sebelum atau selama proses penyalinan, permintaan snapshot salinan Anda bisa gagal secara asinkron.
- Jika Anda menghapus file cadangan Service Master Key (SMK) untuk instans DB sumber yang disimpan di bucket S3 terkelola Kustom RDS di akun Anda, salinan snapshot DB berhasil secara asinkron. Namun, fitur SQL Server yang bergantung pada SMK seperti database yang diaktifkan TDE mengalami masalah. Untuk informasi selengkapnya, lihat Memecahkan masalah status PENDING_RECOVERY untuk database yang diaktifkan TDE di RDS Kustom untuk SQL Server.
Menyalin snapshot DB dalam hal yang sama saat AWS Region ini tidak didukung.
Menyalin snapshot DB di seluruh AWS akun saat ini tidak didukung.

Keterbatasan menyalin snapshot DB untuk Amazon RDS juga berlaku untuk RDS Custom for SQL Server. Untuk informasi selengkapnya, lihat Batasan.

Menangani enkripsi

Semua instans RDS Custom untuk SQL Server DB dan snapshot DB dienkripsi dengan kunci KMS. Anda hanya dapat menyalin snapshot terenkripsi ke snapshot terenkripsi, oleh karena itu Anda harus menentukan kunci KMS yang valid di tujuan AWS Region untuk permintaan salinan snapshot DB Anda.

Snapshot sumber tetap terenkripsi selama proses penyalinan. Amazon RDS menggunakan enkripsi amplop untuk melindungi data selama operasi penyalinan dengan kunci AWS Region KMS tujuan yang ditentukan. Untuk informasi lebih lanjut, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

Penyalinan lintas Wilayah

Anda dapat menyalin snapshot DB di seluruh Wilayah AWS. Namun, ada batasan dan pertimbangan tertentu dalam penyalinan snapshot lintas Wilayah.

Mengotorisasi RDS untuk berkomunikasi di seluruh Wilayah AWS untuk penyalinan snapshot

Setelah permintaan salinan snapshot DB lintas wilayah diproses dengan sukses, RDS memulai salinan. Permintaan otorisasi untuk RDS untuk mengakses snapshot sumber dibuat. Permintaan otorisasi ini menautkan snapshot DB sumber ke snapshot DB target. Ini memungkinkan RDS untuk menyalin hanya ke snapshot target yang ditentukan.

RDS memverifikasi otorisasi dengan menggunakan rds:CrossRegionCommunication izin dalam peran IAM terkait layanan. Jika salinan diotorisasi, RDS dapat berkomunikasi dengan Wilayah sumber dan menyelesaikan operasi penyalinan.

RDS tidak memiliki akses ke snapshot DB yang sebelumnya tidak diizinkan oleh permintaan Salin. DBSnapshot Otorisasi dicabut setelah salinan selesai.

RDS menggunakan peran terkait layanan untuk memverifikasi otorisasi di Wilayah sumber. Salinan gagal jika Anda menghapus peran terkait layanan selama proses penyalinan.

Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan di AWS Identity and Access Management Panduan Pengguna.

Menggunakan AWS Security Token Service kredensil

Token sesi dari titik akhir global AWS Security Token Service (AWS STS) hanya valid di Wilayah AWS yang diaktifkan secara default (Wilayah komersial). Jika Anda menggunakan kredensyal dari operasi assumeRole API di AWS STS, gunakan titik akhir regional jika Wilayah sumber adalah Region keikutsertaan. Jika tidak, permintaan akan gagal. Kredensyal Anda harus valid di kedua Wilayah, yang berlaku untuk Wilayah keikutsertaan hanya jika Anda menggunakan titik akhir regional. AWS STS

Untuk menggunakan titik akhir global, pastikan bahwa titik akhir tersebut diaktifkan untuk kedua Wilayah dalam operasi. Setel titik akhir global ke semua Valid Wilayah AWS dalam pengaturan AWS STS akun.

Untuk informasi selengkapnya, lihat Mengelola AWS STSAWS Region dalam Panduan AWS Identity and Access Management Pengguna.

Cuplikan instans DB yang dibuat dengan Versi Mesin Kustom (CEV)

Untuk snapshot DB dari instans DB menggunakan Custom Engine Version (CEV), RDS mengaitkan CEV dengan snapshot DB. Untuk menyalin snapshot DB sumber yang terkait dengan CEV Wilayah AWS, RDS menyalin CEV bersama dengan snapshot DB sumber ke wilayah tujuan.

Jika Anda menyalin beberapa snapshot DB yang terkait dengan CEV yang sama ke wilayah tujuan yang sama, permintaan salinan pertama menyalin CEV terkait. Proses penyalinan permintaan berikut menemukan CEV yang awalnya disalin dan mengaitkannya dengan salinan snapshot DB berikut. Salinan CEV yang ada harus dalam AVAILABLE keadaan terkait dengan salinan snapshot DB.

Untuk menyalin snapshot DB yang terkait dengan CEV, kebijakan IAM pemohon harus memiliki izin untuk mengotorisasi penyalinan snapshot DB dan penyalinan CEV terkait. Izin berikut diperlukan dalam kebijakan IAM pemohon Anda untuk mengizinkan penyalinan CEV terkait:

rds:CopyCustomDBEngineVersion- Prinsipal IAM pemohon Anda harus memiliki izin untuk menyalin CEV sumber ke wilayah target bersama dengan snapshot DB sumber. Permintaan salinan snapshot gagal karena kesalahan otorisasi jika prinsipal IAM pemohon Anda tidak berwenang untuk menyalin CEV sumber.
ec2:CreateTags- AMI EC2 yang mendasari dari sumber CEV disalin ke wilayah target sebagai bagian dari salinan CEV. RDS Custom mencoba menandai AMI dengan AWSRDSCustom tag sebelum menyalin AMI. Pastikan prinsipal IAM pemohon Anda memiliki izin untuk membuat tag terhadap AMI yang mendasari CEV sumber di wilayah sumber.

Untuk informasi selengkapnya tentang izin penyalinan CEV, lihat. Berikan izin yang diperlukan ke prinsipal IAM Anda

Berikan izin yang diperlukan ke prinsipal IAM Anda

Pastikan Anda memiliki akses yang cukup untuk menyalin snapshot RDS Custom for SQL Server DB. Peran IAM atau pengguna (disebut sebagai prinsipal IAM) untuk menyalin snapshot DB menggunakan konsol atau CLI harus memiliki salah satu dari kebijakan berikut untuk pembuatan instans DB yang berhasil:

AdministratorAccessKebijakan atau,

Kebijakan AmazonRDSFullAccess dengan izin tambahan berikut:


s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom menggunakan izin ini selama penyalinan snapshot. Wilayah AWS Izin ini mengonfigurasi sumber daya di akun Anda yang diperlukan untuk operasi Kustom RDS. Untuk informasi selengkapnya tentang izin kms:CreateGrant, lihat AWS KMS key manajemen.

Contoh kebijakan JSON berikut memberikan izin yang diperlukan selain kebijakan. AmazonRDSFullAccess

catatan

Pastikan izin yang tercantum tidak dibatasi oleh kebijakan kontrol layanan (SCPs), batas izin, atau kebijakan sesi yang terkait dengan prinsipal IAM.

Jika Anda menggunakan kondisi dengan kunci konteks dalam kebijakan IAM pemohon, kondisi tertentu dapat menyebabkan permintaan gagal. Untuk informasi selengkapnya tentang jebakan umum karena kondisi kebijakan IAM, lihat. Meminta salinan snapshot DB lintas Wilayah

Menyalin snapshot DB

Gunakan prosedur berikut untuk menyalin snapshot DB. Untuk setiap AWS akun, Anda dapat menyalin hingga 20 snapshot DB sekaligus dari satu AWS Region ke yang lain. Jika Anda menyalin snapshot DB ke yang lain AWS Region, Anda membuat snapshot DB manual yang dipertahankan di dalamnya. AWS Region Menyalin snapshot DB dari sumber menimbulkan biaya transfer AWS Region data Amazon RDS. Untuk informasi selengkapnya tentang biaya transfer data, lihat Harga Amazon RDS.

Setelah salinan snapshot DB dibuat di yang baru AWS Region, salinan snapshot DB berperilaku sama seperti semua snapshot DB lainnya di dalamnya. AWS Region

Anda dapat menyalin snapshot DB menggunakan Konsol Manajemen AWS, AWS CLI, atau Amazon RDS API.

Console

Prosedur berikut menyalin snapshot RDS Custom untuk SQL Server DB dengan menggunakan file. Konsol Manajemen AWS

Masuk ke Konsol Manajemen AWS dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
Di panel navigasi, pilih Snapshot.
Pilih snapshot RDS Custom for SQL Server DB yang ingin Anda salin.
Di dropwdown Tindakan, pilih Salin snapshot.
Untuk menyalin snapshot DB ke yang berbeda AWS Region, atur Wilayah Tujuan ke nilai yang diperlukan.

catatan
Tujuan AWS Region harus memiliki versi mesin database yang sama yang tersedia sebagai sumbernya AWS Region.
Untuk pengidentifikasi snapshot DB baru, masukkan nama unik untuk snapshot DB. Anda dapat membuat beberapa salinan cadangan otomatis atau snapshot manual tetapi setiap salinan harus memiliki pengenal unik.
(Opsional) Pilih Salin Tag untuk menyalin tag dan nilai dari snapshot ke salinan snapshot.
Untuk Enkripsi, tentukan pengidentifikasi kunci KMS yang akan digunakan untuk mengenkripsi salinan snapshot DB.

catatan
RDS Kustom untuk SQL Server mengenkripsi semua snapshot DB. Anda tidak dapat membuat snapshot DB yang tidak terenkripsi.
Pilih Salin snapshot.

RDS Custom for SQL Server membuat salinan snapshot DB dari instans DB Anda dalam pilihan Anda AWS Region .

AWS CLI

Anda dapat menyalin snapshot RDS Custom untuk SQL Server DB dengan menggunakan perintah. AWS CLI copy-db-snapshot Jika Anda menyalin snapshot ke yang baru AWS Region, jalankan perintah di yang baru. AWS Region Opsi berikut digunakan untuk menghapus snapshot DB. Tidak semua opsi diperlukan untuk semua skenario.

--source-db-snapshot-identifier- Pengidentifikasi untuk snapshot DB sumber.
- Jika snapshot sumber berbeda AWS Region dari salinan, tentukan ARN snapshot DB yang valid. Misalnya, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
--target-db-snapshot-identifier- Pengidentifikasi untuk salinan baru snapshot DB.
--kms-key-id‐Pengidentifikasi kunci KMS untuk snapshot DB terenkripsi. Pengidentifikasi kunci KMS adalah Amazon Resource Name (ARN), pengidentifikasi kunci, atau alias kunci untuk kunci KMS.
- Jika Anda menyalin snapshot terenkripsi ke AWS Region yang berbeda, Anda harus menentukan kunci KMS untuk tujuan AWS Region. Kunci KMS khusus untuk kunci AWS Region yang dibuat dan Anda tidak dapat menggunakan kunci enkripsi dari satu AWS Region sama lain AWS Region kecuali kunci Multi-wilayah digunakan. Untuk informasi selengkapnya tentang kunci KMS multi-Wilayah, lihat Menggunakan kunci multi-Wilayah di AWS KMS.
--copy-tags- Sertakan tag dan nilai dari snapshot sumber ke salinan snapshot.

Opsi berikut tidak didukung untuk menyalin snapshot RDS Custom for SQL Server DB:

--copy-option-group
--option-group-name
--pre-signed-url
--target-custom-availability-zone

Contoh kode berikut menyalin snapshot DB terenkripsi dari Wilayah Barat AS (Oregon) ke Wilayah AS Timur (Virginia N.). Jalankan perintah di Wilayah tujuan (us-east-1).

Untuk Linux, macOS, atau Unix:


aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Untuk Windows:


aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

RDS API

Anda dapat menyalin snapshot RDS Custom for SQL Server DB dengan menggunakan Salin operasi Amazon RDS API. DBSnapshot Jika Anda menyalin snapshot ke AWS Region yang baru, jalankan tindakan di AWS Region yang baru. Parameter berikut digunakan untuk menghapus snapshot DB. Tidak semua parameter diperlukan:

SourceDBSnapshotIdentifier- Pengidentifikasi untuk snapshot DB sumber.
- Jika snapshot sumber berbeda AWS Region dari salinan, tentukan ARN snapshot DB yang valid. Misalnya, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.
TargetDBSnapshotIdentifier- Pengidentifikasi untuk salinan baru snapshot DB.
KmsKeyId- Pengidentifikasi kunci KMS untuk snapshot DB terenkripsi. Pengidentifikasi kunci KMS adalah Amazon Resource Name (ARN), pengidentifikasi kunci, atau alias kunci untuk kunci KMS.
- Jika Anda menyalin snapshot terenkripsi ke AWS Region yang berbeda, Anda harus menentukan kunci KMS untuk tujuan AWS Region. Kunci KMS khusus untuk kunci AWS Region yang dibuat dan Anda tidak dapat menggunakan kunci enkripsi dari satu AWS Region sama lain AWS Region kecuali kunci Multi-wilayah digunakan. Untuk informasi selengkapnya tentang kunci KMS multi-Wilayah, lihat Menggunakan kunci multi-Wilayah di AWS KMS.
CopyTags- Tetapkan parameter ini true untuk menyalin tag dan nilai dari snapshot sumber ke salinan snapshot. Nilai default-nya false.

Opsi berikut tidak didukung menyalin snapshot RDS Custom untuk SQL Server DB:

CopyOptionGroup
OptionGroupName
PreSignedUrl
TargetCustomAvailabilityZone

Kode berikut membuat salinan snapshot, dengan nama baru mydbsnapshotcopy, di AS Timur (Virginia Utara).


https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menghapus RDS Custom for SQL Server backup otomatis

Memigrasikan basis data on-premise ke RDS Custom for SQL Server