Compartilhar snapshots criptografados para o Amazon RDS - Amazon Relational Database Service
Criar uma chave gerenciada pelo cliente e conceder acesso a elaCopiar e compartilhar o snapshot da conta de origemCopiar o snapshot compartilhado na conta de destino

Compartilhar snapshots criptografados para o Amazon RDS

É possível compartilhar snapshots de banco de dados que foram criptografados "em repouso" usando o algoritmo de criptografia AES-256, conforme descrito em Criptografar recursos do Amazon RDS.

As seguintes restrições se aplicam ao compartilhamento de snapshots criptografados:

  • Não é possível compartilhar snapshots criptografados como públicos.

  • Não é possível compartilhar snapshots do Oracle ou do Microsoft SQL Server criptografados usando Transparent Data Encryption (TDE).

  • Não é possível compartilhar um snapshot criptografado usando a chave do KMS padrão da Conta da AWS que compartilhou o snapshot.

    Para ter mais informações sobre o gerenciamento de chaves AWS KMS para o Amazon RDS, consulte Gerenciamento de AWS KMS key.

Para contornar o problema da chave do KMS padrão, realize as seguintes tarefas:

  1. Criar uma chave gerenciada pelo cliente e conceder acesso a ela.

  2. Copiar e compartilhar o snapshot da conta de origem.

  3. Copiar o snapshot compartilhado na conta de destino.

Criar uma chave gerenciada pelo cliente e conceder acesso a ela

Primeiro, você deve criar uma chave do KMS personalizada na mesma Região da AWS do snapshot de banco de dados criptografado. Ao criar a chave gerenciada pelo cliente, conceda acesso a ela a outra Conta da AWS.

nota

Você também pode usar uma chave KMS de outra conta da AWS quando a política de chave concede acesso às contas de origem e de destino.

Como criar uma chave gerenciada pelo cliente e conceder acesso a ela

  1. Faça login no AWS Management Console pela Conta da AWS de origem.

  2. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  3. Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.

  4. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  5. Escolha Criar chave.

  6. Na página Configurar chave:

    1. Em Tipo de chave, selecione Simétrico.

    2. Em Uso da chave, selecione Criptografar e descriptografar.

    3. Expanda Advanced options (Opções avançadas).

    4. Em Origem do material de chaves, selecione KMS.

    5. Em Regionalidade, selecione Chave de região única.

    6. Escolha Próximo.

  7. Na página Adicionar rótulos:

    1. Para Alias, insira um nome de exibição para a chave do KMS, por exemplo, share-snapshot.

    2. (Opcional) Insira uma descrição para a chave do KMS.

    3. (Opcional) Adicione tags à chave do KMS.

    4. Escolha Próximo.

  8. Na página Definir permissões administrativas da chave, escolha Próximo.

  9. Na página Definir permissões de uso da chave:

    1. Em Outras Contas da AWS, selecione Adicionar outra Conta da AWS.

    2. Insira o ID da Conta da AWS à qual você deseja conceder acesso.

      É possível conceder acesso a várias Contas da AWS.

    3. Escolha Próximo.

  10. Revise a chave do KMS e escolha Concluir.

Copiar e compartilhar o snapshot da conta de origem

Depois, você deve copiar o snapshot de banco de dados de origem para um novo snapshot usando a chave gerenciada pelo cliente. Depois, você vai compartilhá-lo com a Conta da AWS de destino.

Como copiar e compartilhar o snapshot

  1. Faça login no AWS Management Console pela Conta da AWS de origem.

  2. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  3. No painel de navegação, escolha Snapshots.

  4. Selecione o snapshot de banco de dados que você deseja copiar.

  5. Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).

  6. Na página Copiar snapshot:

    1. Em Região de destino, selecione a Região da AWS onde você criou a chave gerenciada pelo cliente no procedimento anterior.

    2. Digite o nome da cópia do snapshot de banco de dados em Novo identificador de snapshot de banco de dados.

    3. Para AWS KMS key, selecione a chave gerenciada pelo cliente que você criou.

      Selecione a chave gerenciada pelo cliente.

    4. Escolha Copy snapshot (Copiar snapshot).

  7. Quando a cópia do snapshot estiver disponível, selecione-a.

  8. Em Actions (Ações), selecione Share Snapshot (Compartilhar snapshot).

  9. Na página Permissões de snapshot:

    1. Insira o ID da Conta da AWS com a qual você está compartilhando a cópia do snapshot e selecione Adicionar.

    2. Escolha Salvar.

    O snapshot é compartilhado.

Copiar o snapshot compartilhado na conta de destino

Agora você pode copiar o snapshot compartilhado na Conta da AWS de destino.

Como copiar o snapshot compartilhado

  1. Faça login no AWS Management Console pela Conta da AWS de destino.

  2. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  3. No painel de navegação, escolha Snapshots.

  4. Selecione a guia Compartilhado comigo.

  5. Selecione o snapshot compartilhado.

  6. Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).

  7. Escolha as configurações para copiar o snapshot como no procedimento anterior, mas use uma AWS KMS key que pertença à conta de destino.

    Escolha Copy snapshot (Copiar snapshot).