翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# DB クラスターのスナップショットの共有
<a name="backup-restore-share-snapshot"></a>

Neptune を使用すると、次の方法で手動 DB クラスタースナップショットを共有できます。
+ 手動 DB クラスタースナップショットを共有すると、暗号化されているかどうかにかかわらず、承認された AWS アカウントはスナップショットをコピーできます。
+ 暗号化されていない手動 DB クラスタースナップショットを共有すると、承認された AWS アカウントは DB クラスターのコピーを取得して復元するのではなく、スナップショットから DB クラスターを直接復元できます。暗号化されたスナップショットを直接復元することはできません。最初にコピーしてから、コピーから復元する必要があります。

**注記**  
自動 DB クラスタースナップショットを共有するには、自動化されたスナップショットをコピーしてそのコピーを共有することで、手動 DB クラスタースナップショットを作成します。

DB クラスタースナップショットから DB クラスターを復元する方法の詳細については、「[スナップショットからの復元方法](backup-restore-restore-snapshot.md#backup-restore-restore-snapshot-restoring)」を参照してください。

手動スナップショットは、最大 20 の他の AWS アカウントと共有できます。暗号化されていない手動スナップショットをパブリックとして共有することもできます。これにより、スナップショットはすべての AWS アカウントで利用できるようになります。スナップショットをパブリックとして共有する場合には、パブリック スナップショットにプライベート情報が含まれないように注意してください。

**注記**  
 AWS Command Line Interface (AWS CLI) または Neptune API を使用して共有スナップショットから DB クラスターを復元する場合は、スナップショット識別子として共有スナップショットの Amazon リソースネーム (ARN) を指定する必要があります。

**Topics**
+ [暗号化された DB クラスタースナップショットの共有](#backup-restore-share-snapshot-encrypted)
+ [DB クラスターのスナップショットの共有](#backup-restore-share-snapshot-sharing)

## 暗号化された DB クラスタースナップショットの共有
<a name="backup-restore-share-snapshot-encrypted"></a>

AES-256 暗号化アルゴリズムを使用して暗号化された「保存中」である DB クラスタースナップショットを共有できます。詳細については、「[保管中の Neptune リソースの暗号化](encrypt.md)」を参照してください。これを行うには、次のステップを実行する必要があります。

1. スナップショットの暗号化に使用された AWS Key Management Service (AWS KMS) 暗号化キーを、スナップショットにアクセスできる任意のアカウントと共有します。

   別の AWS アカウントを KMS キーポリシーに追加することで、 AWS KMS 暗号化キーを別のアカウントと共有できます。キーポリシーの更新の詳細については、[AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)の*キーポリシー*を参照してください。キーポリシーの作成例については、このトピックで後述する[暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成](#backup-restore-share-snapshot-encrypted-key-iam)を参照してください。

1.  AWS マネジメントコンソール、 AWS CLI、または Neptune API を使用して、暗号化されたスナップショットを他のアカウントと共有します。

以下の制限は、暗号化されたスナップショットの共有に適用されます。
+ 暗号化されたスナップショットをパブリックとして共有することはできません。
+ スナップショットを共有した AWS アカウントのデフォルトの AWS KMS 暗号化キーを使用して暗号化されたスナップショットを共有することはできません。

### AWS KMS 暗号化キーへのアクセスを許可する
<a name="backup-restore-share-snapshot-encrypted-key"></a>

別の AWS アカウントがアカウントから共有された暗号化された DB クラスタースナップショットをコピーするには、スナップショットを共有するアカウントが、スナップショットを暗号化した KMS キーにアクセスできる必要があります。別の AWS アカウントに AWS KMS キーへのアクセスを許可するには、KMS キーポリシーのキーポリシーを、KMS キーポリシーの として共有している AWS アカウントの ARN で更新`Principal`します。次に、`kms:CreateGrant` アクションを許可します。全般的な説明については、*AWS Key Management Service デベロッパーガイド*の[「他のアカウントのユーザーに KMS キーの使用を許可する」](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)を参照してください。

KMS 暗号化キーへのアクセス権を AWS アカウントに付与した後、暗号化されたスナップショットをコピーするには、その AWS アカウントに IAM ユーザーがない場合は作成する必要があります。KMS セキュリティ制限では、このためにルート AWS アカウント ID を使用することは許可されません。 AWS アカウントは、IAM ユーザーが KMS キーを使用して暗号化された DB クラスタースナップショットをコピーできるようにする IAM ポリシーをその IAM ユーザーにアタッチする必要があります。

次のキーポリシーの例では、ユーザー `111122223333` が KMS 暗号化キーの所有者であり、ユーザー `444455556666` がキーの共有先のアカウントです。この更新されたキーポリシーは、ユーザーのルート AWS アカウント ID の ARN をポリシー`Principal`の `444455556666`として含め、 `kms:CreateGrant`アクションを許可することで、 AWS アカウントに KMS キーへのアクセスを許可します。

------
#### [ JSON ]

****  

```
{
    "Id": "key-policy-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

#### 暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成
<a name="backup-restore-share-snapshot-encrypted-key-iam"></a>

外部 AWS アカウントが KMS キーにアクセスできるようになると、そのアカウントの所有者は、アカウント用に作成された IAM ユーザーがその KMS キーで暗号化された暗号化されたスナップショットをコピーできるようにするポリシーを作成できます。

次の例では、 AWS アカウント `444455556666` の IAM ユーザーにアタッチできるポリシーを示します。これにより、IAM ユーザーは、`us-west-2` リージョンの KMS キー `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` で暗号化されている AWS アカウント `111122223333` から共有スナップショットをコピーできます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

キーポリシーの更新の詳細については、[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)の*キーポリシー*を参照してください。

## DB クラスターのスナップショットの共有
<a name="backup-restore-share-snapshot-sharing"></a>

DB クラスタースナップショットは、 AWS マネジメントコンソール、、 AWS CLIまたは Neptune API を使用して共有できます。

### コンソールを使用した DB クラスタースナップショットの共有
<a name="backup-restore-share-snapshot-sharing-console"></a>

Neptune コンソールを使用して、手動 DB クラスタースナップショットを最大 20 の AWS アカウントと共有することができます。また、1 つ以上のアカウントでの手動スナップショットの共有を停止できます。

**手動の DB クラスタースナップショットを共有するには**

1.  AWS マネジメントコンソールにサインインし、[https://console.aws.amazon.com/neptune/home](https://console.aws.amazon.com/neptune/home) で Amazon Neptune コンソールを開きます。

1. ナビゲーションペインで、[**Snapshots**] を選択してください。

1. 共有する手動スナップショットを選択します。

1. [**アクション**]、[**スナップショットの共有**] の順に選択します。

1. [**DB snapshot visibility**] で次のいずれかのオプションを選択します。
   + ソースが暗号化されていない場合は、手動の DB クラスタースナップショットからすべての AWS アカウントに DB クラスターの復元を許可するには、**[Public]** (公開) を選択します。または**、プライベート を選択して**、指定した AWS アカウントのみが手動 DB クラスタースナップショットから DB クラスターを復元できるようにします。
**警告**  
**DB スナップショットの可視性**を **Public** に設定すると、すべての AWS アカウントが手動 DB クラスタースナップショットから DB クラスターを復元し、データにアクセスできます。プライベート情報を含む手動 DB クラスタースナップショットは、[**Public**] として共有しないでください。
   + 出典 DB クラスターが暗号化されている場合、暗号化されているスナップショットはパブリックとして共有できないため、[**DB snapshot visibility**] が [**Private**] に設定されます。

1. **AWS アカウント ID** には、手動スナップショットから DB クラスターを復元することを許可するアカウントのアカウント AWS 識別子を入力します。その後、**[Add]** (追加) を選択します。繰り返して、最大 20 AWS 個の AWS アカウント識別子を追加します。

   許可された AWS アカウントのリストにアカウント識別子を追加するときにエラーが発生した場合は、間違った AWS アカウント識別子の右側にある**削除**を選択して、リストから削除できます。

1. 手動スナップショットの復元を許可するすべての AWS アカウントの識別子を追加したら、**保存**を選択します。

**AWS アカウントとの手動 DB クラスタースナップショットの共有を停止するには**

1. Amazon Neptune コンソール ([https://console.aws.amazon.com/neptune/home](https://console.aws.amazon.com/neptune/home)) を開きます。

1. ナビゲーションペインで、[**Snapshots**] を選択してください。

1. 共有を停止する手動スナップショットを選択します。

1. [**Actions**] を選択してから、[**Share Snapshot**] を選択します。

1.  AWS アカウントのアクセス許可を削除するには、承認された AWS アカウントのリストから、そのアカウントのアカウント識別子**の削除**を選択します。

1. **[保存]** を選択します。