Trabalhar com backups compartilhados no AWS CloudHSM
O CloudHSM tem integração com o AWS Resource Access Manager (AWS RAM) para habilitar o compartilhamento de recursos. O AWS RAM é um serviço que permite compartilhar alguns recursos do CloudHSM com outras Contas da AWS ou por meio do AWS Organizations. Com o AWS RAM, você compartilha recursos que possui criando um compartilhamento de recursos. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir:
-
Contas específicas da Contas da AWS dentro ou fora de sua organização no AWS Organizations
-
Uma unidade organizacional dentro da organização no AWS Organizations
-
Uma organização inteira no AWS Organizations
Para obter mais informações sobre o AWS RAM, consulte o Guia do usuário do AWS RAM.
Este tópico explica como compartilhar recursos que você possui e como usar os recursos que são compartilhados com você.
Conteúdo
Pré-requisitos para compartilhar backups
-
Para compartilhar um backup, é necessário ser o proprietário dele em sua Conta da AWS. Isso significa que o recurso deve ser alocado ou provisionado em sua conta. Não é possível compartilhar um backup que tenha sido compartilhado com você.
-
Para compartilhar um backup, ele deve estar no estado READY.
-
Para compartilhar uma malha com a sua organização ou com uma unidade organizacional no AWS Organizations, é necessário habilitar o compartilhamento com o AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento com o AWS Organizations no Guia do usuário do AWS RAM.
Compartilhar um backup
Ao compartilhar um backup com outras Contas da AWS, você permite que elas restaurem clusters do backup que contêm as chaves e os usuários armazenados no backup.
Para compartilhar um backup, é necessário adicioná-lo a um compartilhamento de recursos. Um compartilhamento de recursos é um recurso do AWS RAM que permite que você compartilhe seus recursos entre Contas da AWS. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os clientes com os quais compartilhá-los. Ao compartilhar um backup usando o console do CloudHSM, você a adiciona a um compartilhamento de recursos existente. Para adicionar o backup a um novo compartilhamento de recursos, primeiramente você deve criar o compartilhamento de recursos usando o console do AWS RAM
Se você fizer parte de uma organização no AWS Organizations e o compartilhamento estiver habilitado na organização, os consumidores da organização receberão acesso automaticamente ao backup compartilhado. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e acesso ao backup compartilhado depois de aceitar o convite.
É possível compartilhar um backup de sua propriedade usando o console AWS RAM ou AWS CLI.
Como compartilhar um backup de sua propriedade usando o console do AWS RAM
Consulte Criar um compartilhamento de recursos no Manual do usuário do AWS RAM.
Para compartilhar um backup que você possui (comando do AWS RAM)
Use o comando create-resource-share.
Para compartilhar um backup que você possui (comando do CloudHSM)
Importante
Embora você possa compartilhar um backup usando a operação PutResourcePolicy do CloudHSM, recomendamos usar AWS Resource Access Manager (AWS RAM) em vez disso. O uso do AWS RAM oferece vários benefícios, pois cria a política para você, permite que vários recursos sejam compartilhados ao mesmo tempo e aumenta a capacidade de descoberta de recursos compartilhados. Se você usa PutResourcePolicy e quer que os consumidores possam descrever os backups que você compartilhou com eles, é necessário promover o backup para um compartilhamento de recursos do AWS RAM padrão usando a operação da API PromoteResourceShareCreatedFromPolicy do AWS RAM.
Use o comando put-resource-policy.
-
Crie um arquivo chamado
policy.jsone copie a política a seguir nele. -
Atualize
policy.jsoncom o ARN e os identificadores do backup e para compartilhá-lo. O exemplo a seguir concede acesso somente leitura ao usuário raiz para a conta da AWS identificada por 123456789012.Importante
Só é possível conceder permissões a DescribeBackups em nível da conta. Ao compartilhar um backup com outro cliente, qualquer entidade principal que tenha a permissão DescribeBackups nessa conta poderá descrever o backup.
-
Execute o comando put-resource-policy.
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.jsonnota
Nesse ponto, o consumidor pode usar o backup, mas ele não aparecerá na resposta DescribeBackups com o parâmetro compartilhado. As próximas etapas descrevem como promover o compartilhamento de recursos do AWS RAM para que o backup seja incluído na resposta.
-
Obtenha o ARN do compartilhamento de recursos de AWS RAM.
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>Isso retorna uma resposta semelhante a esta:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }Na resposta, copie o valor
<resource-share-arn>a ser usado nas próximas etapas. -
Execute o comando promote-resource-share-created-from-policy de AWS RAM.
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
Para validar se o compartilhamento de recursos foi promovido, você pode executar o comando get-resource-shares do AWS RAM.
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>Quando a política é promovida, o
featureSetlistado na resposta éSTANDARD. Isso também significa que o backup pode ser descrito pelas novas contas na política.
Cancelar o compartilhamento de um backup
Quando você cancela o compartilhamento de um recurso, o consumidor não pode mais usá-lo para restaurar um cluster. Os consumidores ainda poderão acessar todos os clusters que eles restauraram a partir do backup compartilhado.
Para cancelar o compartilhamento de um backup compartilhado de sua propriedade, é necessário removê-lo do compartilhamento de recursos. Isso pode ser feito usando o console AWS RAM ou AWS CLI.
Como cancelar o compartilhamento de um backup compartilhado de sua propriedade usando o console do AWS RAM
Consulte Atualização de um compartilhamento de atributos no Guia do usuário do AWS RAM.
Para cancelar o compartilhamento de um backup compartilhado que você possui (comando do AWS RAM)
Use o comando disassociate-resource-share.
Para cancelar o compartilhamento de um backup compartilhado que você possui (comando do CloudHSM)
Use o comando delete-resource-policy.
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
Identificar um backup compartilhado
Os consumidores podem identificar um backup compartilhado com eles usando o console e a AWS CLI do CloudHSM.
Para identificar backups compartilhados com você usando o console do CloudHSM
Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home
. -
Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.
-
No painel de navegação, selecione Backups.
-
Na tabela, escolha a guia Backups compartilhados.
Para identificar backups compartilhados com você usando a AWS CLI
Use o comando describe-backups com o parâmetro --shared para retornar os backups compartilhados com você.
Permissões para backups compartilhados
Permissões para proprietários
Os proprietários do backup podem descrever e gerenciar um backup compartilhado, bem como usá-lo para restaurar um cluster.
Permissões para clientes
Os consumidores de backup não podem modificar um backup compartilhado, mas podem descrevê-lo e usá-lo para restaurar um cluster.
Faturamento e medição
Não há cobranças adicionais pelo compartilhamento de backups.
