跨账户复制数据库集群快照 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

跨账户复制数据库集群快照

您可以允许其他 Amazon 账户通过使用 Amazon RDS API ModifyDBClusterSnapshotAttributeCopyDBClusterSnapshot 操作来复制您指定的数据库集群快照。您只能在同一 Amazon Web Services 区域中跨账户复制数据库集群快照。跨账户复制的流程如下,其中账户 A 提供可复制的快照,账户 B 复制该快照。

  1. 使用账户 A,调用 ModifyDBClusterSnapshotAttribute,为 restore 参数指定 AttributeName,并为 ValuesToAdd 参数指定账户 B 的 ID。

  2. (如果快照已加密) 使用账户 A,更新 KMS 密钥的密钥策略,首先将账户 B 的 ARN 添加为 Principal,然后允许 kms:CreateGrant 操作。

  3. (如果快照已加密)使用账户 B,选择或创建用户,然后将允许它使用 KMS 密钥复制加密数据库集群快照的 IAM policy 附加到该用户。

  4. 使用账户 B,调用 CopyDBClusterSnapshot 并使用 SourceDBClusterSnapshotIdentifier 参数指定要复制的数据库集群快照的 ARN,其中必须包括账户 A 的 ID。

要列出允许还原数据库集群快照的所有 Amazon 账户,请使用 DescribeDBSnapshotAttributes DescribeDBClusterSnapshotAttributes API 操作。

要取消 Amazon 账户的共享权限,请使用 ModifyDBSnapshotAttributeModifyDBClusterSnapshotAttribute 操作并将 AttributeName 设置为 restore,然后在 ValuesToRemove 参数中删除账户的 ID。

使用以下步骤将未加密的数据库集群快照复制到同一 Amazon Web Services 区域中的另一账户。

  1. 在数据库集群快照的源账户中,调用 ModifyDBClusterSnapshotAttribute,为 restore 参数指定 AttributeName,并为 ValuesToAdd 参数指定目标账户的 ID。

    使用账户 987654321 运行以下示例将允许两个 Amazon 账户标识符(123451234512123456789012)恢复名为 manual-snapshot1 的数据库集群快照。

    https://rds.us-west-2.amazonaws.com/
	?Action=ModifyDBClusterSnapshotAttribute
	&AttributeName=restore
	&DBClusterSnapshotIdentifier=manual-snapshot1
	&SignatureMethod=HmacSHA256&SignatureVersion=4
	&ValuesToAdd.member.1=123451234512
	&ValuesToAdd.member.2=123456789012
	&Version=2014-10-31
	&X-Amz-Algorithm=AWS4-HMAC-SHA256
	&X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request
	&X-Amz-Date=20150922T220515Z
	&X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
	&X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3

  2. 在目标账户中,调用 CopyDBClusterSnapshot 并使用 SourceDBClusterSnapshotIdentifier 参数指定要复制的数据库集群快照的 ARN,其中必须包括源账户的 ID。

    使用账户 123451234512 运行以下示例将从账户 aurora-cluster1-snapshot-20130805 复制数据库集群快照 987654321,然后创建名为 dbclustersnapshot1 的数据库集群快照。

    https://rds.us-west-2.amazonaws.com/
   ?Action=CopyDBClusterSnapshot
   &CopyTags=true
   &SignatureMethod=HmacSHA256
   &SignatureVersion=4
   &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805
   &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1
   &Version=2013-09-09
   &X-Amz-Algorithm=AWS4-HMAC-SHA256
   &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request
   &X-Amz-Date=20140429T175351Z
   &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
   &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

使用以下步骤将加密的数据库集群快照复制到同一 Amazon Web Services 区域中的另一账户。

  1. 在数据库集群快照的源账户中,调用 ModifyDBClusterSnapshotAttribute,为 restore 参数指定 AttributeName,并为 ValuesToAdd 参数指定目标账户的 ID。

    使用账户 987654321 运行以下示例将允许两个 Amazon 账户标识符(123451234512123456789012)恢复名为 manual-snapshot1 的数据库集群快照。

    https://rds.us-west-2.amazonaws.com/
	?Action=ModifyDBClusterSnapshotAttribute
	&AttributeName=restore
	&DBClusterSnapshotIdentifier=manual-snapshot1
	&SignatureMethod=HmacSHA256&SignatureVersion=4
	&ValuesToAdd.member.1=123451234512
	&ValuesToAdd.member.2=123456789012
	&Version=2014-10-31
	&X-Amz-Algorithm=AWS4-HMAC-SHA256
	&X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request
	&X-Amz-Date=20150922T220515Z
	&X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
	&X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3

  2. 在数据库集群快照的源账户中,在加密数据库集群快照所在的同一个 Amazon Web Services 区域中创建自定义 KMS 密钥。在创建客户自主管理型密钥时,您可以为目标 Amazon Web Services 账户提供对该密钥的访问权限。有关更多信息,请参阅 创建客户自主管理型密钥并授予对它的访问权限

  3. 将快照复制到目标 Amazon Web Services 账户并与其共享。有关更多信息,请参阅 从源账户复制和共享快照

  4. 在目标账户中,调用 CopyDBClusterSnapshot 并使用 SourceDBClusterSnapshotIdentifier 参数指定要复制的数据库集群快照的 ARN,其中必须包括源账户的 ID。

    使用账户 123451234512 运行以下示例将从账户 aurora-cluster1-snapshot-20130805 复制数据库集群快照 987654321,然后创建名为 dbclustersnapshot1 的数据库集群快照。

    https://rds.us-west-2.amazonaws.com/
   ?Action=CopyDBClusterSnapshot
   &CopyTags=true
   &SignatureMethod=HmacSHA256
   &SignatureVersion=4
   &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805
   &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1
   &Version=2013-09-09
   &X-Amz-Algorithm=AWS4-HMAC-SHA256
   &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request
   &X-Amz-Date=20140429T175351Z
   &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
   &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2