在 AWS CloudHSM 中使用共享备份
CloudHSM 与 AWS Resource Access Manager(AWS RAM)集成,实现资源共享。AWS RAM 是一项服务,使您能够与其他 AWS 账户 或通过 AWS Organizations 共享一些 CloudHSM 资源。利用 AWS RAM,您可通过创建 资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
-
AWS Organizations 中其组织内部或外部的特定 AWS 账户。
-
AWS Organizations 中的所有者组织内部的组织单位
-
AWS Organizations 中的整个所织
有关 AWS RAM 的更多信息,请参阅《AWS RAM 用户指南》。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享备份的先决条件
-
要共享备份,您必须在您的 AWS 账户 账户中拥有它。这意味着资源必须分配或预调配到您的账户。无法共享已与您共享的备份。
-
要共享备份,备份必须处于就绪状态。
-
要与您的组织或 AWS Organizations 内的组织单位共享备份,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅AWS RAM《用户指南》中的允许与 AWS Organizations 共享。
共享备份
当您与其他 AWS 账户 共享备份时,可以使他们能够从包含存储在备份中的密钥和用户的备份中还原集群。
要共享备份,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户 共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 CloudHSM 控制台共享备份时,必须将它添加到现有资源共享。要将备份添加到新的资源共享,您必须首先使用 AWS RAM 控制台
如果您是 AWS Organizations 中某组织的一部分并且已在您的组织中启用共享,组织中的使用者将自动获得对共享备份的访问权限。否则,使用者会收到加入资源共享的邀请,并在接受邀请后获得对共享备份的访问权限。
您可以使用 AWS RAM 控制台或 AWS CLI 共享您拥有的备份。
使用 AWS RAM 控制台共享您拥有的备份
请参阅《AWS RAM 用户指南》中的创建资源共享。
共享您拥有的备份(AWS RAM 命令)
使用 create-resource-share 命令。
共享您拥有的备份(CloudHSM 命令)
重要
虽然可以使用 CloudHSM PutResourcePolicy 操作共享备份,但建议使用 AWS Resource Access Manager(AWS RAM)。使用 AWS RAM 提供了多种好处,因为它为您创建策略,允许同时共享多个资源,并提高共享资源的可发现性。如果您使用 PutResourcePolicy 并希望消费者能够描述您与他们共享的备份,则必须使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 操作将备份提升为标准 AWS RAM 资源共享。
使用 put-resource-policy 命令。
-
创建一个名为
policy.json的文件,并将以下策略复制到该文件中。 -
使用项目 ARN 和标识符更新
policy.json以进行共享。以下示例授予对由 123456789012 标识的 AWS 帐户的根用户的只读访问权限。重要
您只能在账户级别向 DescribeBackups 授予权限。当您与另一个客户共享备份时,该账户中具有 DescribeBackups 权限的任何主体都可以描述该备份。
-
运行 put-resource-policy 命令:
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.json注意
此时,消费者可以使用备份,但它不会出现在带有共享参数的 DescribeBackups 响应中。接下来的步骤介绍了如何提升 AWS RAM 资源共享以便将备份包含在响应中。
-
获取 AWS RAM 资源共享 ARN。
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>这会返回与以下内容类似的响应:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }从响应中复制
<resource-share-arn>值以在下一步中使用。 -
运行 AWS RAM promote-resource-share-created-from-policy 命令。
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
要验证资源共享是否已提升,可以运行 AWS RAM get-resource-shares 命令。
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>提升策略后,响应中列出的
featureSet为STANDARD。这也意味着可以通过策略中的新账户来描述备份。
取消共享已共享的备份
当您取消共享资源时,消费者可能不再使用它来还原集群。消费者仍然能够访问他们从共享备份中还原的任何集群。
要取消共享您拥有的共享备份,必须从资源共享中将其删除。可使用 AWS RAM 控制台或 AWS CLI 执行此操作。
使用 AWS RAM 控制台取消共享您拥有的共享备份
请参阅《AWS RAM 用户指南》中的更新资源共享。
取消共享您拥有的共享备份(AWS RAM 命令)
使用 disassociate-resource-share 命令。
取消共享您拥有的共享备份(CloudHSM 命令)
使用 delete-resource-policy 命令。
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
识别共享备份
消费者可以使用 CloudHSM 控制台和 AWS CLI 识别与他们共享的备份。
使用 CloudHSM 控制台识别与您共享的备份
打开位于 https://console.aws.amazon.com/cloudhsm/home
的 AWS CloudHSM 控制台。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择备份。
-
在表中,选择共享备份选项卡。
使用 AWS CLI 识别与您共享的备份
使用 describe-backups 和 --shared 参数返回与您共享的备份。
共享备份的权限
所有者的权限
备份所有者可以描述和管理共享备份,也可以使用它来还原集群。
使用者的权限
备份消费者无法修改共享备份,但他们可以描述它并使用它来还原集群。
计费和计量
共享备份不会产生额外费用。
