での共有バックアップの使用 AWS CloudHSM - AWS CloudHSM
バックアップを共有するための前提条件バックアップの共有共有バックアップの共有解除共有バックアップの特定共有バックアップのアクセス許可請求と使用量測定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での共有バックアップの使用 AWS CloudHSM

CloudHSM は AWS Resource Access Manager (AWS RAM) と統合してリソース共有を有効にします。 AWS RAM は、一部の CloudHSM リソースを他の AWS アカウント または と共有できるようにするサービスです AWS Organizations。では AWS RAM、リソース共有を作成して、所有しているリソースを共有します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには以下が含まれます。

  • の組織 AWS アカウント 内外に固有 AWS Organizations

  • の組織内の組織単位 AWS Organizations

  • の組織全体 AWS Organizations

詳細については AWS RAM、AWS RAM 「 ユーザーガイド」を参照してください。

このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。

バックアップを共有するための前提条件

  • バックアップを共有するには、 でバックアップを所有している必要があります AWS アカウント。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自分と共有されているバックアップを共有することはできません。

  • バックアップを共有するには、バックアップが READY 状態である必要があります。

  • バックアップを組織または AWS Organizationsの組織単位と共有するには、 AWS Organizationsとの共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsで共有を有効化する」を参照してください。

バックアップの共有

バックアップを他の と共有すると AWS アカウント、バックアップに保存されているキーとユーザーを含むクラスターをバックアップから復元できるようになります。

バックアップを共有するには、リソース共有に追加する必要があります。リソース共有とは、 AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。CloudHSM コンソールを使用してバックアップを共有すると、既存のリソース共有に追加されます。新しいリソース共有にバックアップを追加するには、まず AWS RAM コンソールを使用してリソース共有を作成する必要があります。

の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有バックアップへのアクセス権が自動的に付与されます。これに該当しない場合、コンシューマーはリソースへの参加の招待を受け取り、その招待を受け入れた後で、共有バックアップに対するアクセス許可が付与されます。

AWS RAM コンソールまたは を使用して、所有しているバックアップを共有できます AWS CLI。

AWS RAM コンソールを使用して所有しているバックアップを共有するには

「AWS RAM ユーザーガイド 」の「リソース共有の作成」を参照してください。

所有しているバックアップを共有するには (AWS RAM コマンド)

create-resource-share コマンドを使用します。

所有しているバックアップを共有するには (CloudHSM コマンド)

重要

CloudHSM PutResourcePolicy オペレーションを使用してバックアップを共有できますが、代わりに AWS Resource Access Manager (AWS RAM) を使用することをお勧めします。を使用すると AWS RAM 、ポリシーが作成され、一度に複数のリソースを共有でき、共有リソースの検出可能性が向上します。PutResourcePolicy を使用し、コンシューマーが共有したバックアップを記述できるようにする場合は、 AWS RAM PromoteResourceShareCreatedFromPolicy API オペレーションを使用してバックアップを標準の AWS RAM リソース共有に昇格させる必要があります。

put-resource-policy コマンドを使用します。

  1. policy.json という名前のファイルを作成し、次のポリシーをコピーします。

    JSON
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal": {
      "AWS":"111122223333"
      },
      "Action":[
        "cloudhsm:CreateCluster",
        "cloudhsm:DescribeBackups"
       ],
       "Resource":"arn:aws:cloudhsm:us-west-2:111122223333:backup/backup-to-share"
    }
  ]
}

  2. 共有したいバックアップ ARN と識別子で policy.json を更新します。次の例では、123456789012 で識別される AWS アカウントのルートユーザーに読み取り専用アクセスを許可します。

    JSON
    {
  "Version":"2012-10-17",
  "Statement":[
    {
     "Effect":"Allow",
     "Principal": {
        "AWS": [
          "123456789012"
      ]
    },
    "Action": [
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"
     ],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
   }
 ]
}
    重要

    DescribeBackups にアクセス許可を付与できるのは、アカウントレベルのみです。バックアップを別の顧客と共有すると、そのアカウントで DescribeBackups アクセス許可を持つプリンシパルはバックアップの詳細を確認できます。

  3. put-resource-policy コマンドを使用します。

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    注記

    この時点で、共有先の顧客はバックアップを利用できますが、DescribeBackups コマンドを実行しても、共有されているという情報は表示されません。次のステップでは、バックアップをレスポンスに含めるために AWS RAM リソース共有を昇格させる方法について説明します。

  4. AWS RAM リソース共有 ARN を取得します。

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    これにより、次のようなレスポンスが得られます。

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    レスポンスから、次の手順で使用する <resource-share-arn> 値をコピーします。

  5. AWS RAM promote-resource-share-created-from-policy コマンドを実行します。

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. リソース共有が昇格したことを検証するには、 AWS RAM get-resource-shares コマンドを実行します。

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    ポリシーが昇格されると、レスポンスに表示される featureSetSTANDARD になります。これは、新しいアカウントが、バックアップの詳細を記述できることを意味します。

共有バックアップの共有解除

リソースの共有を解除すると、コンシューマーはリソースを使用してクラスターを復元できなくなります。コンシューマーは、共有バックアップから復元したクラスターに引き続きアクセスできます。

自己所有の共有バックアップの共有を解除するには、そのバックアップをリソース共有から削除する必要があります。これを行うには、 AWS RAM コンソールまたは を使用します AWS CLI。

AWS RAM コンソールを使用して所有している共有バックアップの共有を解除するには

「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。

所有している共有バックアップの共有を解除するには (AWS RAM コマンド)

disassociate-resource-share コマンドを使用します。

所有している共有バックアップの共有を解除するには (CloudHSM コマンド)

delete-resource-policy コマンドを使用します。

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

共有バックアップの特定

コンシューマーは、CloudHSM コンソールと AWS CLIを使用して、共有されているバックアップを識別できます。

CloudHSM コンソールを使用して共有されているバックアップを特定するには

  1. https://console.aws.amazon.com/cloudhsm/home で AWS CloudHSM コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[バックアップ] を選択します。

  4. テーブルで、[共有バックアップ] タブを選択します。

を使用して共有されているバックアップを特定するには AWS CLI

describe-backups コマンドで --shared パラメータを使用して、共有されているバックアップを返します。

共有バックアップのアクセス許可

所有者のアクセス許可

バックアップ所有者は、共有バックアップを記述して管理し、それを使用してクラスターを復元できます。

コンシューマーのアクセス許可

バックアップコンシューマーは共有バックアップを変更することはできませんが、それを記述してクラスターを復元するために使用できます。

請求と使用量測定

バックアップの共有に追加料金はかかりません。