本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
共用 Amazon RDS 的加密快照
您可共用已使用 AES-256 加密演算法來「靜態」加密的資料庫快照,如 加密 Amazon RDS 資源 所述。
共用加密快照有下列限制:
-
您無法將加密快照以公有形式共用。
-
您無法共用使用透明資料加密 (TDE) 所加密的 Oracle 或 Microsoft SQL Server 快照。
-
您無法共用已使用共用快照之 的預設 KMS 金鑰 AWS 帳戶 加密的快照。
如需 Amazon RDS AWS KMS 金鑰管理的詳細資訊,請參閱 AWS KMS key 管理。
若要解決預設 KMS 金鑰問題,請執行下列任務:
建立客戶受管金鑰並授予存取權
首先,在 AWS 區域 與加密資料庫快照相同的 中建立自訂 KMS 金鑰。建立客戶受管金鑰時,您可以為另一個金鑰提供存取權 AWS 帳戶。
注意
當金鑰政策授予來源和目標 AWS 帳戶的存取權時,您也可以使用另一個帳戶的 KMS 金鑰。
建立客戶受管金鑰並授予存取權
-
AWS Management Console 從來源登入 AWS 帳戶。
-
開啟 AWS KMS 主控台,網址為 https://console.aws.amazon.com/kms
://。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選擇建立金鑰。
-
在設定金鑰頁面上:
-
針對金鑰類型,選取對稱。
-
針對金鑰使用量,選取加密和解密。
-
展開 Advanced options (進階選項)。
-
針對金鑰材料來源,選取 KMS。
-
針對區域性,選取單一區域金鑰。
-
選擇下一步。
-
-
在新增標籤頁面上:
-
針對別名。輸入 KMS 金鑰的顯示名稱,例如
share-snapshot。 -
(選用) 輸入 KMS 金鑰的描述。
-
(選用) 將標籤新增至 KMS 金鑰。
-
選擇下一步。
-
-
在定義金鑰管理許可頁面上,選擇下一步。
-
在定義金鑰使用許可頁面上:
-
針對其他 AWS 帳戶,選擇新增另一個 AWS 帳戶。
-
輸入您要授予存取權之 AWS 帳戶 的 ID。
您可以授予對多個 的存取權 AWS 帳戶。
-
選擇下一步。
-
-
檢閱您的 KMS 金鑰,然後選擇完成。
從來源帳戶複製和共用快照
接著,使用客戶受管金鑰將來源資料庫快照複製到新快照。然後與目標 共用 AWS 帳戶。
複製和共用快照
-
AWS Management Console 從來源登入 AWS 帳戶。
-
在 Amazon RDS 主控台開啟 https://https://console.aws.amazon.com/rds/
-
在導覽窗格中,選擇 Snapshots (快照)。
-
選取您要複製的資料庫快照。
-
針對 Actions (動作) 選擇 Copy snapshot (複製快照)。
-
在複製快照頁面上:
-
針對目的地區域,選擇您在先前程序中建立客戶受管金鑰 AWS 區域 的 。
-
在新的資料庫快照識別符中輸入資料庫快照複本的名稱。
-
針對 AWS KMS key,選擇您建立的客戶受管金鑰。
-
選擇 Copy Snapshot (複製快照)。
-
-
當快照複本可用時,請選取它。
-
針對 Actions (動作),選擇 Share snapshot (共用快照)。
-
在快照許可頁面上:
-
輸入您要共用快照複本的 AWS 帳戶 ID,然後選擇新增。
-
選擇儲存。
快照已共用。
-
複製目標帳戶中的共用快照
現在您可以在目標中複製共用快照 AWS 帳戶。
複製共用快照
-
AWS Management Console 從目標登入 AWS 帳戶。
-
在 https://console.aws.amazon.com/rds/
:// -
在導覽窗格中,選擇 Snapshots (快照)。
-
選擇與我共用索引標籤。
-
選取共用快照。
-
針對 Actions (動作) 選擇 Copy snapshot (複製快照)。
-
選擇您的設定以複製快照,如先前程序所示,但使用 AWS KMS key 屬於目標帳戶的 。
選擇 Copy Snapshot (複製快照)。
