DB クラスターのスナップショットの共有 - Amazon Neptune
暗号化されたスナップショット共有

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DB クラスターのスナップショットの共有

Neptune を使用すると、次の方法で手動 DB クラスタースナップショットを共有できます。

  • 手動 DB クラスタースナップショットを共有すると、暗号化されているかどうかにかかわらず、承認されたAWSアカウントはスナップショットをコピーできます。

  • 手動 DB クラスタースナップショットを共有すると、暗号化されているかどうかにかかわらず、承認されたAWSアカウントは DB クラスターのコピーを取得して復元する代わりに、スナップショットから DB クラスターを直接復元できます。

注記

自動 DB クラスタースナップショットを共有するには、自動化されたスナップショットをコピーしてそのコピーを共有することで、手動 DB クラスタースナップショットを作成します。

DB クラスタースナップショットから DB クラスターを復元する方法の詳細については、「スナップショットからの復元方法」を参照してください。

手動スナップショットは、最大 20 の他のAWSアカウントと共有できます。暗号化されていない手動スナップショットをパブリックとして共有することもできます。これにより、スナップショットはすべてのAWSアカウントで利用できるようになります。スナップショットをパブリックとして共有する場合には、パブリック スナップショットにプライベート情報が含まれないように注意してください。

注記

AWS Command Line Interface(AWS CLI) または Neptune API を使用して共有スナップショットから DB クラスターを復元する場合は、共有スナップショットの Amazon リソースネーム (ARN) をスナップショット識別子として指定する必要があります。

暗号化された DB クラスタースナップショットの共有

AES-256 暗号化アルゴリズムを使用して暗号化された「保存中」である DB クラスタースナップショットを共有できます。詳細については、「Amazon Neptune データベースに保管中のデータの暗号化」を参照してください。これを行うには、次のステップを実行する必要があります。

  1. スナップショットの暗号化に使用された AWS Key Management Service(AWS KMS) 暗号化キーを、スナップショットにアクセスできる任意のアカウントと共有します。

    KMS キーポリシーに他のAWSアカウントを追加することで、AWS KMS暗号化キーを別のアカウントと共有できます。キーポリシーの更新の詳細については、AWS KMS デベロッパーガイドキーポリシーを参照してください。キーポリシーの作成例については、このトピックで後述する暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成を参照してください。

  2. AWS マネジメントコンソール、AWS CLI、または Neptune API を使用して、暗号化されたスナップショットを他のアカウントと共有します。

以下の制限は、暗号化されたスナップショットの共有に適用されます。

  • 暗号化されたスナップショットをパブリックとして共有することはできません。

  • スナップショットを共有したAWSアカウントのデフォルトのAWS KMS暗号化キーを使用して暗号化されたスナップショットを共有することはできません。

AWS KMS暗号化キーへのアクセスを許可する

別のAWSアカウントがアカウントから共有された暗号化された DB クラスタースナップショットをコピーするには、スナップショットを共有するアカウントが、スナップショットを暗号化した KMS キーにアクセスできる必要があります。別のAWSアカウントに AWS KMSキーへのアクセスを許可するには、KMS キーポリシーのキーポリシーを、KMS キーポリシーの として共有しているAWSアカウントの ARN で更新Principalします。次に、kms:CreateGrant アクションを許可します。全般的な説明については、AWS Key Management Service デベロッパーガイド「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

KMS 暗号化キーへのアクセス権をAWSアカウントに付与した後、暗号化されたスナップショットをコピーするには、そのAWSアカウントに IAM ユーザーがない場合は作成する必要があります。KMS セキュリティ制限では、このためにルートAWSアカウント ID を使用することは許可されません。AWSアカウントは、IAM ユーザーが KMS キーを使用して暗号化された DB クラスタースナップショットをコピーできるようにする IAM ポリシーをその IAM ユーザーにアタッチする必要があります。

次のキーポリシーの例では、ユーザー 111122223333 が KMS 暗号化キーの所有者であり、ユーザー 444455556666 がキーの共有先のアカウントです。この更新されたキーポリシーは、ユーザーのルートAWSアカウント ID の ARN をPrincipalポリシーの 444455556666として含め、 kms:CreateGrantアクションを許可することで、AWSアカウントに KMS キーへのアクセスを許可します。

JSON
{
    "Id": "key-policy-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成

外部AWSアカウントが KMS キーにアクセスできるようになると、そのアカウントの所有者は、アカウント用に作成された IAM ユーザーがその KMS キーで暗号化された暗号化されたスナップショットをコピーできるようにするポリシーを作成できます。

次の例では、AWS アカウント 444455556666 の IAM ユーザーにアタッチできるポリシーを示します。これにより、IAM ユーザーは、us-west-2 リージョンの KMS キー c989c1dd-a3f2-4a5d-8d96-e793d082ab26 で暗号化されている AWS アカウント 111122223333 から共有スナップショットをコピーできます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

キーポリシーの更新の詳細については、AWS Key Management Service デベロッパーガイドキーポリシーを参照してください。

DB クラスターのスナップショットの共有

DB クラスタースナップショットは、AWS マネジメントコンソール、、AWS CLIまたは Neptune API を使用して共有できます。

コンソールを使用した DB クラスタースナップショットの共有

Neptune コンソールを使用して、手動 DB クラスタースナップショットを最大 20 の AWS アカウントと共有することができます。また、1 つ以上のアカウントでの手動スナップショットの共有を停止できます。

手動の DB クラスタースナップショットを共有するには

  1. AWSマネジメントコンソールにサインインし、https://console.aws.amazon.com/neptune/home で Amazon Neptune コンソールを開きます。

  2. ナビゲーションペインで、[Snapshots] を選択してください。

  3. 共有する手動スナップショットを選択します。

  4. [アクション]、[スナップショットの共有] の順に選択します。

  5. [DB snapshot visibility] で次のいずれかのオプションを選択します。

    • ソースが暗号化されていない場合は、手動の DB クラスタースナップショットからすべての AWS アカウントに DB クラスターの復元を許可するには、[Public] (公開) を選択します。または、プライベート を選択して、手動 DB クラスタースナップショットから DB クラスターを復元するように指定したAWSアカウントのみを許可します。

      警告

      DB スナップショットの可視性Public に設定すると、すべてのAWSアカウントが手動 DB クラスタースナップショットから DB クラスターを復元し、データにアクセスできます。プライベート情報を含む手動 DB クラスタースナップショットは、[Public] として共有しないでください。

    • 出典 DB クラスターが暗号化されている場合、暗号化されているスナップショットはパブリックとして共有できないため、[DB snapshot visibility] が [Private] に設定されます。

  6. AWSアカウント ID には、手動スナップショットから DB クラスターを復元することを許可するアカウントのアカウントAWS識別子を入力します。その後、[Add] (追加) を選択します。繰り返して、最大 20 AWS個のAWSアカウント識別子を追加します。

    許可されたAWSアカウントのリストにアカウント識別子を追加するときにエラーが発生した場合は、間違ったAWSアカウント識別子の右側にある削除を選択して、リストから削除できます。

  7. 手動スナップショットの復元を許可するすべてのAWSアカウントの識別子を追加したら、保存を選択します。

AWSアカウントとの手動 DB クラスタースナップショットの共有を停止するには

  1. Amazon Neptune コンソール (https://console.aws.amazon.com/neptune/home) を開きます。

  2. ナビゲーションペインで、[Snapshots] を選択してください。

  3. 共有を停止する手動スナップショットを選択します。

  4. [Actions] を選択してから、[Share Snapshot] を選択します。

  5. AWSアカウントのアクセス許可を削除するには、承認されたAWSアカウントのリストから、そのアカウントのアカウント識別子の削除を選択します。

  6. [保存] を選択します。