本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
共用 Amazon RDS 的加密快照
您可共用已使用 AES-256 加密演算法來「靜態」加密的資料庫快照,如 加密 Amazon RDS 資源 所述。
共用加密快照有下列限制:
-
您無法將加密快照以公有形式共用。
-
您無法共用使用透明資料加密 (TDE) 所加密的 Oracle 或 Microsoft SQL Server 快照。
-
如果快照的加密方式是使用共用快照的 AWS 帳戶 之預設 KMS 金鑰,則您無法共用此快照。
如需有關 Amazon RDS AWS KMS 金鑰管理的詳細資訊,請參閱 AWS KMS key管理。
若要解決預設 KMS 金鑰問題,請執行下列任務:
建立客戶自管金鑰並授予存取權
首先,在與加密資料庫快照相同的 AWS 區域 中建立自訂 KMS 金鑰。建立客戶自管金鑰時,您可以為另一個 AWS 帳戶 提供存取權。
注意
當金鑰政策授予來源和目標帳戶的存取權時,您也可以使用另一個 AWS 帳戶的 KMS 金鑰。
建立客戶自管金鑰並授予存取權
-
從來源 AWS 帳戶 登入 AWS 管理主控台。
-
開啟位於 https://console.aws.amazon.com/kms
的 AWS KMS 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選擇建立金鑰。
-
在設定金鑰頁面上:
-
對於金鑰類型,選取對稱。
-
對於金鑰用途,選取加密和解密。
-
展開 Advanced options (進階選項)。
-
對於金鑰材料來源,選取 KMS。
-
對於區域性,選取單一區域金鑰。
-
選擇下一步。
-
-
在新增標籤頁面上:
-
對於別名,輸入 KMS 金鑰的顯示名稱,例如
share-snapshot。 -
(選用) 輸入 KMS 金鑰的描述。
-
(選用) 將標籤新增至您的 KMS 金鑰。
-
選擇下一步。
-
-
在定義金鑰管理許可頁面上,選擇下一步。
-
在定義金鑰使用許可頁面上:
-
對於其他 AWS 帳戶,選擇新增另一個 AWS 帳戶。
-
輸入您要授予存取權之 AWS 帳戶 的 ID。
您可以對多個 AWS 帳戶 授予存取權。
-
選擇下一步。
-
-
檢閱您的 KMS 金鑰,然後選擇完成。
從來源帳戶複製和共用快照
接下來,您可以使用客戶自管金鑰將來源資料庫快照複製到新的快照。然後與目標 AWS 帳戶 共用。
複製和共用快照
-
從來源 AWS 帳戶 登入 AWS 管理主控台。
-
前往 https://console.aws.amazon.com/rds/
,開啟 Amazon RDS 主控台。 -
在導覽窗格中,選擇 Snapshots (快照)。
-
選取您要複製的資料庫快照。
-
針對 Actions (動作) 選擇 Copy snapshot (複製快照)。
-
在複製快照頁面上:
-
對於目的地區域,選擇您在先前程序中建立客戶自管金鑰所在的 AWS 區域。
-
在新的資料庫快照識別符中,輸入資料庫快照複本的名稱。
-
對於 AWS KMS key,選擇您建立的客戶自管金鑰。
-
選擇 Copy Snapshot (複製快照)。
-
-
當快照複本可用時,請選取它。
-
針對 Actions (動作),選擇 Share snapshot (共用快照)。
-
在快照許可頁面上:
-
輸入您要共用快照複本的 AWS 帳戶 ID,然後選擇新增。
-
選擇儲存。
快照即會共用。
-
複製目標帳戶中的共用快照
現在,您可以在目標 AWS 帳戶 中複製共用快照。
複製共用快照
-
從目標 AWS 帳戶 登入 AWS 管理主控台。
-
前往 https://console.aws.amazon.com/rds/
,開啟 Amazon RDS 主控台。 -
在導覽窗格中,選擇 Snapshots (快照)。
-
選擇與我共用索引標籤。
-
選取共用快照。
-
針對 Actions (動作) 選擇 Copy snapshot (複製快照)。
-
選擇您複製快照的設定,如先前程序所示,但使用屬於目標帳戶的 AWS KMS key。
選擇 Copy Snapshot (複製快照)。
