使用 AWS CLI 或 Amazon RDS API 複製已加密的資料庫叢集快照 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CLI 或 Amazon RDS API 複製已加密的資料庫叢集快照

請根據以下幾節中的程序,使用 AWS 管理主控台、AWS CLI 或 Amazon RDS API 來複製已加密的資料庫叢集快照。

若要取消已開始進行的複製操作,請在資料庫叢集快照處於 copying (複製中) 狀態時,刪除 --target-db-cluster-snapshot-identifierTargetDBClusterSnapshotIdentifier 所識別的目標資料庫叢集快照。

若要使用 AWS 管理主控台 複製資料庫叢集快照,請參閱 使用 AWS 管理主控台 複製資料庫叢集快照

如要複製資料庫叢集快照,請使用 AWS CLI copy-db-cluster-snapshot 命令。若您要將快照複製至另一個 AWS 區域,請在快照將複製到的 AWS 區域 中執行此命令。

下列選項用來複製已加密的資料庫叢集快照:

  • --source-db-cluster-snapshot-identifier – 要複製之加密資料庫叢集快照的識別符。若您要將快照複製到另一個 AWS 區域,此識別符必須是來源 AWS 區域 的 ARN 格式。

  • --target-db-cluster-snapshot-identifier – 加密資料庫叢集快照之新副本的識別符。

  • --kms-key-id – 金鑰的 KMS 金鑰識別碼,用來加密資料庫叢集快照的複本。

    如果資料庫叢集快照已加密、您在相同的 AWS 區域 中複製快照,且您想要指定新的 KMS 金鑰來加密複本,則可以選擇性使用此選項。否則會使用與來源資料庫叢集快照相同的 KMS 金鑰,以加密資料庫叢集快照的副本。

    如果資料庫叢集快照已加密,且您要將快照複製到另一個 AWS 區域,則必須使用此選項。在該情況下,您必須為目的地 AWS 區域 指定 KMS 金鑰。

下列程式碼範例從 美國西部 (奧勒岡) 區域將已加密的資料庫叢集快照複製到 US East (N. Virginia) 區域。該命令是在 US East (N. Virginia) 區域中呼叫。

範例

對於 Linux、macOS 或 Unix:

aws rds copy-db-cluster-snapshot \
  --source-db-cluster-snapshot-identifier arn:aws:rds:us-west-2:123456789012:cluster-snapshot:aurora-cluster1-snapshot-20161115 \
  --target-db-cluster-snapshot-identifier myclustersnapshotcopy \
  --kms-key-id my-us-east-1-key

在 Windows 中:

aws rds copy-db-cluster-snapshot ^
  --source-db-cluster-snapshot-identifier arn:aws:rds:us-west-2:123456789012:cluster-snapshot:aurora-cluster1-snapshot-20161115 ^
  --target-db-cluster-snapshot-identifier myclustersnapshotcopy ^
  --kms-key-id my-us-east-1-key

當您在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 區域之間複製加密的資料庫叢集快照時,需要 --source-region 參數。對於 --source-region,請指定來源資料庫執行個體的 AWS 區域。指定於 source-db-cluster-snapshot-identifier 中的 AWS 區域 必須與為 --source-region 指定的 AWS 區域 相符。

若未指定 --source-region,請指定 --pre-signed-url 值。presigned URL (預先簽章的 URL) 為包含對來源 AWS 區域 中呼叫 copy-db-cluster-snapshot 命令之 Signature 第 4 版簽章請求的 URL。如要進一步了解 pre-signed-url 選項,請參閱《AWS CLI 命令參考》中的 copy-db-cluster-snapshot

如要複製資料庫叢集快照,請使用 Amazon RDS API CopyDBClusterSnapshot 作業。若要將快照複製至另一個 AWS 區域,請在快照將複製到的 AWS 區域 中執行此動作。

下列參數用來複製已加密的資料庫叢集快照:

  • SourceDBClusterSnapshotIdentifier – 要複製之加密資料庫叢集快照的識別符。若您要將快照複製到另一個 AWS 區域,此識別符必須是來源 AWS 區域 的 ARN 格式。

  • TargetDBClusterSnapshotIdentifier – 加密資料庫叢集快照之新副本的識別符。

  • KmsKeyId – 金鑰的 KMS 金鑰識別碼,用來加密資料庫叢集快照的複本。

    如果資料庫叢集快照已加密、您在相同的 AWS 區域 中複製快照,且您指定新的 KMS 金鑰來加密複本,則可選擇使用此參數。否則會使用與來源資料庫叢集快照相同的 KMS 金鑰,以加密資料庫叢集快照的副本。

    如果資料庫叢集快照已加密,且您要將快照複製至另一個 AWS 區域,則必須使用此參數。在該情況下,您必須為目的地 AWS 區域 指定 KMS 金鑰。

  • PreSignedUrl – 若您要將快照複製至另一個 AWS 區域,則必須指定 PreSignedUrl 參數。PreSignedUrl 值必須是包含 Signature 第 4 版簽署請求的 URL,而該請求是以來源 AWS 區域 (從中複製資料庫叢集快照) 中要呼叫的 CopyDBClusterSnapshot 動作做為對象。若要進一步了解使用預先簽章的 URL,請參閱 CopyDBClusterSnapshot

下列程式碼範例從 美國西部 (奧勒岡) 區域將已加密的資料庫叢集快照複製到 US East (N. Virginia) 區域。該動作是在 US East (N. Virginia) 區域中呼叫。

範例 
https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBClusterSnapshot
    &KmsKeyId=my-us-east-1-key
    &PreSignedUrl=https%253A%252F%252Frds.us-west-2.amazonaws.com%252F
         %253FAction%253DCopyDBClusterSnapshot
         %2526DestinationRegion%253Dus-east-1
         %2526KmsKeyId%253Dmy-us-east-1-key
         %2526SourceDBClusterSnapshotIdentifier%253Darn%25253Aaws%25253Ards%25253Aus-west-2%25253A123456789012%25253Acluster-snapshot%25253Aaurora-cluster1-snapshot-20161115
         %2526SignatureMethod%253DHmacSHA256
         %2526SignatureVersion%253D4
         %2526Version%253D2014-10-31
         %2526X-Amz-Algorithm%253DAWS4-HMAC-SHA256
         %2526X-Amz-Credential%253DAKIADQKE4SARGYLE%252F20161117%252Fus-west-2%252Frds%252Faws4_request
         %2526X-Amz-Date%253D20161117T215409Z
         %2526X-Amz-Expires%253D3600
         %2526X-Amz-SignedHeaders%253Dcontent-type%253Bhost%253Buser-agent%253Bx-amz-content-sha256%253Bx-amz-date
         %2526X-Amz-Signature%253D255a0f17b4e717d3b67fad163c3ec26573b882c03a65523522cf890a67fca613
    &SignatureMethod=HmacSHA256
    &SignatureVersion=4
    &SourceDBClusterSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Acluster-snapshot%3Aaurora-cluster1-snapshot-20161115
    &TargetDBClusterSnapshotIdentifier=myclustersnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf

當您在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 區域之間複製加密的資料庫叢集快照時,需要 PreSignedUrl 參數。PreSignedUrl 值必須是包含 Signature 第 4 版簽署請求的 URL,而該請求是以來源 AWS 區域 (從中複製資料庫叢集快照) 中要呼叫的 CopyDBClusterSnapshot 作業做為對象。若要進一步了解使用預先簽章的 URL,請參閱《Amazon RDS API 參考》中的 CopyDBClusterSnapshot

如要自動而非手動產生預先簽章的 URL,請改為使用 AWS CLI copy-db-cluster-snapshot 命令搭配 --source-region 選項。