共享資料庫叢集快照 - Amazon Neptune
加密快照共享

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共享資料庫叢集快照

使用 Neptune 時,您可以透過下列方式共用手動資料庫叢集快照:

  • 共用手動資料庫叢集快照,無論是加密或未加密,都可讓授權 AWS 帳戶複製快照。

  • 共用手動資料庫叢集快照,無論是加密或未加密,都可讓授權 AWS 帳戶直接從快照還原資料庫叢集,而不是複製資料庫叢集並從中還原。

注意

若要共用自動資料庫叢集快照,請複製該自動快照來建立手動資料庫叢集快照,然後共用該複本。

如需從資料庫叢集快照還原資料庫叢集的詳細資訊,請參閱如何從快照進行還原

您可以與最多 20 個其他 AWS 帳戶共用手動快照。您也可以將未加密的手動快照共用為公有,讓所有 AWS 帳戶都能使用快照。將快照以公有形式共用時,請小心不要在任何公有快照中包含您的私人資訊。

注意

當您使用 AWS Command Line Interface (AWS CLI) 或 Neptune API 從共用快照還原資料庫叢集時,您必須指定共用快照的 Amazon Resource Name (ARN) 做為快照識別符。

共用加密的資料庫叢集快照。

您可以共用已使用 AES-256 加密演算法「靜態」加密的資料庫叢集快照。如需詳細資訊,請參閱在 Amazon Neptune 資料庫中加密靜態資料。若要這樣做,您必須採取下列步驟:

  1. 與您想要能夠存取快照的任何帳戶共用用來加密快照的 AWS Key Management Service (AWS KMS) 加密金鑰。

    您可以將其他 AWS 帳戶新增至 KMS 金鑰政策,以與其他帳戶共用 AWS KMS 加密金鑰。如需有關更新金鑰政策的詳細資訊,請參閱 https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html 開發人員指南中的AWS KMS 金鑰政策。有關建立金鑰政策的範例,請參閱本主題稍後的建立 IAM 政策以允許複製加密快照

  2. 使用 AWS Management Console AWS CLI或 Neptune API 與其他帳戶共用加密快照。

共用加密快照有下列限制:

  • 您無法將加密快照以公有形式共用。

  • 您無法共用已使用共用快照之 AWS 帳戶的預設 AWS KMS 加密金鑰進行加密的快照。

允許存取 AWS KMS 加密金鑰

若要讓另一個 AWS 帳戶複製從您的帳戶共用的加密資料庫叢集快照,您與之共用快照的帳戶必須能夠存取加密快照的 KMS 金鑰。若要允許另一個 AWS 帳戶存取 AWS KMS 金鑰,請將 KMS 金鑰的金鑰政策更新為您在 KMS 金鑰政策Principal中以 身分共用之 AWS 帳戶的 ARN。然後允許 kms:CreateGrant 動作。如需一般指示,請參閱《AWS Key Management Service 開發人員指南》中的允許其他帳戶中的使用者使用 KMS 金鑰

將 KMS 加密金鑰的存取權授予 AWS 帳戶之後,若要複製加密快照,如果該 AWS 帳戶還沒有 IAM 使用者,則必須建立該帳戶。KMS 安全限制不允許為此使用根 AWS 帳戶身分。 AWS 帳戶也必須將 IAM 政策連接至該 IAM 使用者,以允許 IAM 使用者使用您的 KMS 金鑰複製加密的資料庫叢集快照。

在以下金鑰政策範例中,使用者 111122223333 是 KMS 加密金鑰的擁有者,使用者 444455556666 是共用金鑰的帳戶。此更新的金鑰政策透過將使用者的根 AWS 帳戶身分的 ARN 作為政策Principal444455556666 ,以及允許 kms:CreateGrant動作,為 AWS 帳戶提供 KMS 金鑰的存取權。

JSON
{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

建立 IAM 政策以允許複製加密快照

在外部 AWS 帳戶可以存取您的 KMS 金鑰之後,該帳戶的擁有者可以建立政策,允許為帳戶建立的 IAM 使用者複製使用該 KMS 金鑰加密的加密快照。

下列範例顯示可以連接到 AWS 帳戶 444455556666 之 IAM 使用者的政策。它可讓 IAM 使用者從 AWS 帳戶 111122223333 複製共用快照,此帳戶已在 us-west-2 區域中以 KMS 金鑰 c989c1dd-a3f2-4a5d-8d96-e793d082ab26 加密。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

如需有關更新金鑰政策的詳細資訊,請參閱 https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html 開發人員指南中的AWS Key Management Service 金鑰政策

共享資料庫叢集快照

您可以使用 AWS CLI、 或 Neptune API AWS Management Console共用資料庫叢集快照。

使用主控台共享資料庫叢集快照

使用 Neptune 主控台,您可以將手動資料庫叢集快照與最多 20 個 AWS 帳戶共用。您也可以停止與一或多個帳戶共享手動快照。

共享手動資料庫叢集快照

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/neptune/home 開啟 Amazon Neptune 主控台。

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選擇您要共享的手動快照。

  4. 選擇 Actions (動作)Share Snapshot (共享快照)

  5. DB snapshot visibility (資料庫快照可見度) 中,選擇下列其中一個選項。

    • 如果來源未加密,請選擇公有,來允許所有 AWS 帳戶從您的手動資料庫叢集快照還原資料庫叢集。或者,選擇私有,僅允許您指定的 AWS 帳戶從手動資料庫叢集快照還原資料庫叢集。

      警告

      如果您將資料庫快照可見性設定為有,則所有 AWS 帳戶都可以從手動資料庫叢集快照還原資料庫叢集,並有權存取您的資料。請勿將任何包含私人資訊的手動資料庫叢集快照以 Public (公有) 形式共用。

    • 如果來源資料庫叢集已加密,DB snapshot visibility (資料庫快照可見度) 會設為 Private (私有),因為加密快照無法以公有形式共用。

  6. 針對AWS 帳戶 ID,輸入您要允許 從手動快照還原資料庫叢集之帳戶 AWS 的帳戶識別符。接著選擇 Add (新增)。重複 以包含額外的 AWS 帳戶識別符,最多 20 個 AWS 帳戶。

    如果您在將 AWS 帳戶識別符新增至允許的帳戶清單時發生錯誤,您可以選擇不正確 AWS 帳戶識別符右側的刪除,將其從清單中刪除。

  7. 為要允許還原手動快照的所有 AWS 帳戶新增識別符後,請選擇儲存

停止與 AWS 帳戶共用手動資料庫叢集快照

  1. https://console.aws.amazon.com/neptune/home 開啟 Amazon Neptune 主控台。

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選擇您希望停止共享的手動快照。

  4. 選擇 Actions (動作),然後選擇 Share Snapshot (共享快照)。

  5. 若要移除 AWS 帳戶的許可,請從授權 AWS 帳戶清單中選擇刪除該帳戶的帳戶識別符。

  6. 選擇儲存