共享資料庫叢集快照 - Amazon Neptune
加密快照共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共享資料庫叢集快照

使用 Neptune 時,您可以透過下列方式共用手動資料庫叢集快照:

  • 共用手動資料庫叢集快照,無論是加密或未加密,都可讓授權AWS帳戶複製快照。

  • 共用手動資料庫叢集快照,無論是加密或未加密,都可讓授權AWS帳戶直接從快照還原資料庫叢集,而不是取得其複本並從中還原。

注意

若要共用自動資料庫叢集快照,請複製該自動快照來建立手動資料庫叢集快照,然後共用該複本。

如需從資料庫叢集快照還原資料庫叢集的詳細資訊,請參閱如何從快照進行還原

您可以與最多 20 個其他AWS帳戶共用手動快照。您也可以將未加密的手動快照共用為公有,讓所有AWS帳戶都能使用快照。將快照以公有形式共用時,請小心不要在任何公有快照中包含您的私人資訊。

注意

當您使用 AWS Command Line Interface(AWS CLI) 或 Neptune API 從共用快照還原資料庫叢集時,您必須指定共用快照的 Amazon Resource Name (ARN) 做為快照識別符。

共用加密的資料庫叢集快照。

您可以共用已使用 AES-256 加密演算法「靜態」加密的資料庫叢集快照。如需詳細資訊,請參閱加密 Amazon Neptune 資料庫中的靜態資料。若要這樣做,您必須採取下列步驟:

  1. 與您想要能夠存取快照的任何帳戶共用用來加密快照的 AWS Key Management Service(AWS KMS) 加密金鑰。

    您可以將其他AWS帳戶新增至 KMS 金鑰政策,以與其他 帳戶共用AWS KMS加密金鑰。如需有關更新金鑰政策的詳細資訊,請參閱 https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html 開發人員指南中的AWS KMS金鑰政策。有關建立金鑰政策的範例,請參閱本主題稍後的建立 IAM 政策以允許複製加密快照

  2. 使用 AWS CLIAWS 管理主控台或 Neptune API 與其他帳戶共用加密快照。

共用加密快照有下列限制:

  • 您無法將加密快照以公有形式共用。

  • 您無法共用已使用共用快照之AWS帳戶的預設AWS KMS加密金鑰進行加密的快照。

允許存取AWS KMS加密金鑰

若要讓另一個AWS帳戶複製從您的帳戶共用的加密資料庫叢集快照,您與之共用快照的帳戶必須能夠存取加密快照的 KMS 金鑰。若要允許另一個AWS帳戶存取 AWS KMS金鑰,請將 KMS 金鑰的金鑰政策更新為您在 KMS 金鑰政策Principal中以 身分共用之AWS帳戶的 ARN。然後允許 kms:CreateGrant 動作。如需一般指示,請參閱《AWS Key Management Service 開發人員指南》中的允許其他帳戶中的使用者使用 KMS 金鑰

將 KMS 加密金鑰的存取權授予AWS帳戶之後,若要複製加密快照,如果該AWS帳戶還沒有 IAM 使用者,則必須建立該帳戶。KMS 安全限制不允許為此使用根AWS帳戶身分。AWS帳戶也必須將 IAM 政策連接至該 IAM 使用者,以允許 IAM 使用者使用您的 KMS 金鑰複製加密的資料庫叢集快照。

在以下金鑰政策範例中,使用者 111122223333 是 KMS 加密金鑰的擁有者,使用者 444455556666 是共用金鑰的帳戶。此更新的金鑰政策透過將使用者的根AWS帳戶身分 ARN 作為政策Principal444455556666 ,以及允許 kms:CreateGrant動作,為AWS帳戶提供 KMS 金鑰的存取權。

JSON
{
    "Id": "key-policy-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

建立 IAM 政策以允許複製加密快照

在外部AWS帳戶可以存取您的 KMS 金鑰之後,該帳戶的擁有者可以建立政策,允許為帳戶建立的 IAM 使用者複製使用該 KMS 金鑰加密的加密快照。

下列範例顯示可以連接到 AWS 帳戶 444455556666 之 IAM 使用者的政策。它可讓 IAM 使用者從 AWS 帳戶 111122223333 複製共用快照,此帳戶已在 us-west-2 區域中以 KMS 金鑰 c989c1dd-a3f2-4a5d-8d96-e793d082ab26 加密。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

如需有關更新金鑰政策的詳細資訊,請參閱 https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html 開發人員指南中的AWS Key Management Service金鑰政策

共享資料庫叢集快照

您可以使用 AWS CLI、 或 Neptune API AWS 管理主控台共用資料庫叢集快照。

使用主控台共享資料庫叢集快照

使用 Neptune 主控台,您可以將手動資料庫叢集快照與最多 20 個 AWS 帳戶共用。您也可以停止與一或多個帳戶共享手動快照。

共享手動資料庫叢集快照

  1. 登入 AWS管理主控台,並在 https://console.aws.amazon.com/neptune/home:// 開啟 Amazon Neptune 主控台。

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選擇您要共享的手動快照。

  4. 選擇 Actions (動作)Share Snapshot (共享快照)

  5. DB snapshot visibility (資料庫快照可見度) 中,選擇下列其中一個選項。

    • 如果來源未加密,請選擇公有,來允許所有 AWS 帳戶從您的手動資料庫叢集快照還原資料庫叢集。或者,選擇私有,僅允許您指定的AWS帳戶從手動資料庫叢集快照還原資料庫叢集。

      警告

      如果您將資料庫快照可見性設定為有,則所有AWS帳戶都可以從手動資料庫叢集快照還原資料庫叢集,並有權存取您的資料。請勿將任何包含私人資訊的手動資料庫叢集快照以 Public (公有) 形式共用。

    • 如果來源資料庫叢集已加密,DB snapshot visibility (資料庫快照可見度) 會設為 Private (私有),因為加密快照無法以公有形式共用。

  6. 針對AWS帳戶 ID,輸入您要允許 從手動快照還原資料庫叢集之帳戶AWS的帳戶識別符。接著選擇 Add (新增)。重複 以包含額外的AWS帳戶識別符,最多 20 個AWS帳戶。

    如果您在將AWS帳戶識別符新增至允許的帳戶清單時發生錯誤,您可以選擇不正確AWS帳戶識別符右側的刪除,將其從清單中刪除。

  7. 為要允許還原手動快照的所有AWS帳戶新增識別符後,請選擇儲存

停止與 AWS帳戶共用手動資料庫叢集快照

  1. https://console.aws.amazon.com/neptune/home 開啟 Amazon Neptune 主控台。

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選擇您希望停止共享的手動快照。

  4. 選擇 Actions (動作),然後選擇 Share Snapshot (共享快照)。

  5. 若要移除AWS帳戶的許可,請從授權AWS帳戶清單中選擇刪除該帳戶的帳戶識別符。

  6. 選擇儲存