共享数据库集群快照 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

共享数据库集群快照

使用 Amazon RDS,您可以按以下方式共享手动数据库集群快照:

  • 共享手动数据库集群快照(无论是否加密)可允许经授权的 Amazon 账户复制快照。

  • 共享手动数据库集群快照(无论是否加密)可允许经授权的 Amazon 账户直接从快照还原数据库集群,无需复制数据库集群再从中进行还原。

注意

要共享自动数据库集群快照,请通过复制自动快照来创建手动数据库集群快照,然后共享该副本。此过程也适用于 Amazon Backup 生成的资源。

有关复制快照的更多信息,请参阅复制数据库集群快照。。有关从数据库集群快照还原数据库实例的更多信息,请参阅从数据库集群快照还原

有关从数据库群集快照还原数据库群集的更多信息,请参阅 备份和还原 Aurora 数据库集群的概述

您可以与最多 20 个其他 Amazon 账户共享手动快照。您也可以将未加密的手动快照作为公有快照进行共享,这样所有 Amazon 账户均可使用此快照。以公有快照形式共享快照时应谨慎,不要将您的私有信息包含在任何公有快照之中。

您可以使用以下 Amazon CLI 命令(仅限 Unix)查找特定 Amazon 区域中 Amazon 账户的公共快照:

aws rds describe-db-cluster-snapshots --snapshot-type public --include-public | grep account_number

如果您有公共快照,则返回的输出与以下示例类似:

"DBClusterSnapshotArn": "arn:aws-cn:rds:us-west-2:123456789012:cluster-snapshot:myclustersnapshot1", "DBClusterSnapshotArn": "arn:aws-cn:rds:us-west-2:123456789012:cluster-snapshot:myclustersnapshot2",

与其他 Amazon 账户共享手动快照时存在或多项限制:

  • 当使用 Amazon Command Line Interface (Amazon CLI) 或 Amazon RDS API 从共享的快照还原数据库集群时,您必须指定共享快照的 Amazon 资源名称 (ARN) 作为快照标识符。

共享加密的快照

您可共享使用 AES-256 加密算法“静态”加密的数据库集群快照,如加密 Amazon Aurora 资源中所述。为此,您必须执行以下步骤:

  1. 与您希望允许其访问快照的任何账户共享用于加密快照的 Amazon Key Management Service (Amazon KMS) 客户主密钥 (CMK)。

    可以通过将另一 Amazon 账户添加到 Amazon KMS 密钥策略来与其共享 Amazon KMS CMK。有关更新密钥策略的详细信息,请参阅 Amazon KMS 开发人员指南 中的密钥策略。有关创建密钥策略的示例,请参阅本主题下文中的允许访问 Amazon KMS 客户主密钥 (CMK)

  2. 使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon RDS API 与其他账户共享加密的快照。

这些限制适用于共享加密快照:

  • 您无法公开共享加密的快照。

  • 如果快照已使用共享该快照的 Amazon 账户的默认 Amazon KMS CMK 进行加密,则您无法共享该快照。

允许访问 Amazon KMS 客户主密钥 (CMK)

为了另一 Amazon 账户复制通过您的账户共享的加密数据库集群快照,您与之共享快照的账户必须有权访问加密快照的 Amazon KMS 客户主密钥 (CMK)。要允许另一 Amazon 账户访问 Amazon KMS CMK,请更新 Amazon KMS CMK 的密钥策略,将您要与之共享的 Amazon 账户的 ARN 作为 Amazon KMS 密钥策略中的 Principal,然后允许 kms:CreateGrant 操作。

在向 Amazon 账户提供对 Amazon KMS CMK 的访问权限后,要复制加密的快照,该 Amazon 账户必须创建 Amazon Identity and Access Management (IAM) 角色或用户(如果该账户没有此角色或用户)。此外,该 Amazon 账户还必须将 IAM 策略附加到该 IAM 角色或用户,以允许此 IAM 角色或用户使用您的 Amazon KMS CMK 复制加密的数据库集群快照。由于 Amazon KMS 安全限制,此账户必须是 IAM 用户,不能是 Amazon 根账户身份。

在下面的密钥策略示例中,用户 111122223333 是 Amazon KMS CMK 加密密钥的拥有者,而用户 444455556666 是要与之共享密钥的账户。通过包含用户 444455556666 的 Amazon 根账户身份的 ARN 作为策略的 Principal,以及通过允许 kms:CreateGrant 操作,此更新的密钥策略为 Amazon 账户提供了访问 Amazon KMS CMK 的权限。

{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"Amazon": [ "arn:aws-cn:iam::111122223333:user/KeyUser", "arn:aws-cn:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"Amazon": [ "arn:aws-cn:iam::111122223333:user/KeyUser", "arn:aws-cn:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

创建 IAM 策略以启用加密快照的复制

一旦外部 Amazon 账户有权访问您的 Amazon KMS 客户主密钥,Amazon 账户的拥有者可创建一个策略来允许为该账户创建的 IAM 用户能够复制使用该 Amazon KMS CMK 加密的快照。

下面的示例显示了一个可附加到 Amazon 账户 444455556666 的 IAM 用户的策略,该策略使 IAM 用户能够复制 Amazon 账户 111122223333 中已使用 us-west-2 区域中的 Amazon KMS CMK c989c1dd-a3f2-4a5d-8d96-e793d082ab26 加密的共享快照。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws-cn:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws-cn:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

有关更新密钥策略的详细信息,请参阅 Amazon KMS 开发人员指南 中的密钥策略

共享快照

您可以使用 Amazon Web Services Management Console、Amazon CLI 或 RDS API 共享数据库集群快照。

使用 Amazon RDS 控制台可以与最多 20 个 Amazon 账户共享手动数据库集群快照。您还可以使用该控制台停止与一个或多个账户共享手动快照。

使用 Amazon RDS 控制台共享手动数据库集群快照

  1. 登录 Amazon Web Services Management Console 并通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择 Snapshots

  3. 选择要共享的手动快照。

  4. 对于 Actions (操作),请选择共享快照

  5. DB snapshot visibility (数据库快照可见性) 选择以下一个选项。

    • 如果源未加密,选择 Public (公开) 允许所有 Amazon 账户从您的手动数据库集群快照还原数据库集群,或选择 Private (私密) 仅允许您指定的 Amazon 账户从手动数据库集群快照还原数据库集群

      警告

      如果将 DB snapshot visibility (数据库快照可见性) 设置为 Public (公开),则所有 Amazon 账户均可从您的手动数据库集群快照还原数据库集群,并且可访问您的数据。请勿将包含私有信息的任何手动数据库集群快照作为 Public (公开) 共享。

    • 如果源已加密,由于已加密的快照无法公开共享,DB snapshot visibility (数据库快照可见性) 将设为 Private (私密)

  6. 对于 Amazon Account ID (Amazon 账户 ID),键入您想要允许从您的手动数据库快照还原数据库集群的账户的 Amazon 账户标识符,然后选择 Add (添加)。重复操作以加入其他 Amazon 账户标识符,最多可包含 20 个 Amazon 账户。

    如果您在许可账户列表中错加了某个 Amazon 账户标识符,可以选择错误 Amazon 账户标识符右侧的 Delete (删除) 将其从列表中删除。

    
							允许 Amazon 账户还原手动数据库集群快照
  7. 为您想要允许还原手动快照的所有 Amazon 账户添加标识符以后,选择 Save (保存) 保存您的更改。

停止与某个 Amazon 账户共享手动数据库集群快照

  1. 登录 Amazon Web Services Management Console 并通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择 Snapshots

  3. 选择要停止共享的手动快照。

  4. 选择 Actions (操作),然后 Share Snapshot (共享快照)

  5. 要取消某 Amazon 账户的权限,请从授权账户列表中选择该账户的 Amazon 账户标识符所对应的 Delete (删除)

    
						允许 Amazon 账户还原手动数据库集群快照
  6. 选择 Save 以保存您的更改。

要共享数据库集群快照,请使用 aws rds modify-db-cluster-snapshot-attribute 命令。使用 --values-to-add 参数添加有权还原手动快照的 Amazon 账户的 ID 列表。

例 与单个账户共享快照

以下示例使 Amazon 账户标识符 123456789012 能够还原名为 cluster-3-snapshot 的数据库集群快照。

对于 Linux、macOS 或 Unix:

aws rds modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier cluster-3-snapshot \ --attribute-name restore \ --values-to-add 123456789012

对于 Windows:

aws rds modify-db-cluster-snapshot-attribute ^ --db-cluster-snapshot-identifier cluster-3-snapshot ^ --attribute-name restore ^ --values-to-add 123456789012

例 与多个账户共享快照

以下示例使两个 Amazon 账户标识符(111122223333444455556666)能够还原名为 manual-cluster-snapshot1 的数据库集群快照。

对于 Linux、macOS 或 Unix:

aws rds modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier manual-cluster-snapshot1 \ --attribute-name restore \ --values-to-add {"111122223333","444455556666"}

对于 Windows:

aws rds modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier manual-cluster-snapshot1 \ --attribute-name restore \ --values-to-add {"111122223333","444455556666"}
注意

使用 Windows 命令提示符时,必须在 JSON 代码中转义双引号 ("),方法是使用反斜杠 (\) 作为其前缀。

要从列表中删除 Amazon 账户标识符,请使用 --values-to-remove 参数。

例 停止共享快照

以下示例防止 Amazon 账户 ID 444455556666 还原快照。

对于 Linux、macOS 或 Unix:

aws rds modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier manual-cluster-snapshot1 \ --attribute-name restore \ --values-to-remove 444455556666

对于 Windows:

aws rds modify-db-cluster-snapshot-attribute ^ --db-cluster-snapshot-identifier manual-cluster-snapshot1 ^ --attribute-name restore ^ --values-to-remove 444455556666

要列出能够用于还原快照的 Amazon 账户,请使用 describe-db-cluster-snapshot-attributes Amazon CLI 命令。

您还可以使用 Amazon RDS API 与其他 Amazon 账户共享手动数据库集群快照。为此,请调用 ModifyDBClusterSnapshotAttribute 操作。为 AttributeName 指定 restore,并使用 ValuesToAdd 参数添加有权还原手动快照的 Amazon 账户的 ID 列表。

要将手动快照设为公有并允许所有 Amazon 账户还原,请使用值 all。但请注意,若任何手动快照包含您不想向所有 Amazon 账户公开的私有信息,则不要添加 all 值。此外,由于此类快照不支持公开共享,请不要为已加密的快照指定 all

要取消某个 Amazon 账户的共享权限,请使用 ModifyDBClusterSnapshotAttribute 操作,同时将 AttributeName 设置为 restore 并添加 ValuesToRemove 参数。要将手动快照标记为私有,请将值 allrestore 属性的值列表中删除。

要列出被允许还原某快照的所有 Amazon 账户,请使用 DescribeDBClusterSnapshotAttributes API 操作。