本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中使用共用備份 AWS CloudHSM
CloudHSM 與 AWS Resource Access Manager (AWS RAM) 整合以啟用資源共用。 AWS RAM 是一種服務,可讓您與其他 AWS 帳戶 或透過 共用一些 CloudHSM 資源 AWS Organizations。您可以透過建立資源共享 AWS RAM,與 共用您擁有*的資源*。資源共享指定要共用的資源,以及共用它們的消費者。消費者可包括:
+ 中的特定組織 AWS 帳戶 內部或外部 AWS Organizations
+ 中的組織單位 AWS Organizations
+ 中的整個組織 AWS Organizations
如需 的詳細資訊 AWS RAM,請參閱*[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。
本主題說明如何共用您擁有的參數,以及如何使用與您共用的參數。
**Topics**
+ [共用備份的先決條件](#sharing-prereqs)
+ [共用備份](#sharing-share)
+ [取消共用共用備份](#sharing-unshare)
+ [識別共用備份](#sharing-identify)
+ [共用備份的許可](#sharing-perms)
+ [計費和計量](#sharing-billing)
## 共用備份的先決條件
+ 若要共用備份,您必須在 中擁有備份 AWS 帳戶。這表示必須在您的帳戶中配置或佈建資源。您無法共用已與您共用的備份。
+ 若要共用備份,它必須處於*就緒*狀態。
+ 若要與組織或 中的組織單位共用備份 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》**中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
## 共用備份
當您與其他 共用備份時 AWS 帳戶,您可以讓它們從備份還原叢集,其中包含存放在備份中的金鑰和使用者。
若要共用備份,您必須將其新增至資源共用。資源共用是可讓您在 AWS 帳戶之間共用資源的一種 AWS RAM 資源。資源共享指定要共用的資源,以及共用它們的消費者。當您使用 CloudHSM 主控台共用備份時,您可以將其新增至現有的資源共用。若要將備份新增至新的資源共享,您必須先使用 [AWS RAM 主控台](https://console.aws.amazon.com/ram)建立資源共享。
如果您是 中的組織的一部分, AWS Organizations 且已啟用組織內的共用,則組織中的取用者會自動獲得共用備份的存取權。否則,消費者會收到加入資源共享的邀請,並在接受邀請後獲得共用備份的存取權。
您可以使用 AWS RAM 主控台或 共用您擁有的備份 AWS CLI。
**使用 AWS RAM 主控台共用您擁有的備份**
請參閱《AWS RAM 使用者指南》**中的[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
**共用您擁有的備份 (AWS RAM 命令)**
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。
**共用您擁有的備份 (CloudHSM 命令)**
**重要**
雖然您可以使用 CloudHSM PutResourcePolicy 操作共用備份,但我們建議您改用 AWS Resource Access Manager (AWS RAM)。使用 可在為您建立政策時 AWS RAM 提供多項優點、允許一次共用多個資源,並提高共用資源的可探索性。如果您使用 PutResourcePolicy,並希望消費者能夠描述您與他們共用的備份,您必須使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 操作將備份提升為標準 AWS RAM 資源共享。
使用 [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/put-resource-policy.html) 命令。
1. 建立名為 的檔案,`policy.json`並將下列政策複製到其中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal": {
"AWS":"111122223333"
},
"Action":[
"cloudhsm:CreateCluster",
"cloudhsm:DescribeBackups"
],
"Resource":"arn:aws:cloudhsm:us-west-2:111122223333:backup/backup-to-share"
}
]
}
```
------
1. `policy.json` 使用備份 ARN 和識別符進行更新,以便與之共用。下列範例會將唯讀存取權授予 123456789012 所識別 AWS 帳戶的根使用者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"cloudhsm:CreateCluster",
"cloudhsm:DescribeBackups"
],
"Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
}
]
}
```
------
**重要**
您只能將許可授予帳戶層級的 DescribeBackups。當您與其他客戶共用備份時,在該帳戶中具有 DescribeBackups 許可的任何委託人都可以描述備份。
1. 執行 [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/put-resource-policy.html) 命令。
```
$ aws cloudhsmv2 put-resource-policy --resource-arn --policy file://policy.json
```
**注意**
此時,消費者可以使用備份,但不會在 DescribeBackups 回應中以共用參數顯示。後續步驟說明如何提升 AWS RAM 資源共享,以便將備份包含在回應中。
1. 取得 AWS RAM 資源共享 ARN。
```
$ aws ram list-resources --resource-owner SELF --resource-arns
```
這會傳回類似以下的回應:
```
{
"resources": [
{
"arn": "",
"type": "",
"resourceShareArn": "",
"creationTime": "",
"lastUpdatedTime": ""
}
]
}
```
從回應中,複製要在後續步驟中使用的 ** 值。
1. 執行 AWS RAM [promote-resource-share-created-from-policy](https://docs.aws.amazon.com/cli/latest/reference/ram/promote-resource-share-created-from-policy.html) 命令。
```
$ aws ram promote-resource-share-created-from-policy --resource-share-arn
```
1. 若要驗證資源共享是否已提升,您可以執行 AWS RAM [get-resource-shares ](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html)命令。
```
$ aws ram get-resource-shares --resource-owner SELF --resource-share-arns
```
政策提升後,回應中`featureSet`列出的 為 `STANDARD`。這也表示可由政策中的新帳戶描述備份。
## 取消共用共用備份
當您取消共用資源時,消費者可能無法再使用它來還原叢集。消費者仍然可以存取從共用備份還原的任何叢集。
若要取消共用您擁有的共用備份,您必須將其從資源共用中移除。您可以使用 AWS RAM 主控台或 執行此操作 AWS CLI。
**使用 AWS RAM 主控台取消共用您擁有的共用備份**
請參閱《AWS RAM 使用者指南》**中的[更新資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**取消共用您擁有的共用備份 (AWS RAM 命令)**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
**取消共用您擁有的共用備份 (CloudHSM 命令)**
使用 [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/delete-resource-policy.html) 命令。
```
$ aws cloudhsmv2 delete-resource-policy --resource-arn
```
## 識別共用備份
消費者可以使用 CloudHSM 主控台和 來識別與其共用的備份 AWS CLI。
**使用 CloudHSM 主控台識別與您共用的備份**
1. 在 https://[https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) 開啟 AWS CloudHSM 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在導覽窗格中,選擇**備份**。
1. 在表格中,選擇**共用備份**索引標籤。
**使用 識別與您共用的備份 AWS CLI**
使用 [describe-backups](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-backups.html) 命令搭配 `--shared` 參數,以傳回與您共用的備份。
## 共用備份的許可
### 擁有者的許可
備份擁有者可以描述和管理共用備份,並使用它來還原叢集。
### 消費者的許可
備份取用者無法修改共用備份,但他們可以描述它並使用它來還原叢集。
## 計費和計量
共用備份無需額外費用。