共享 Amazon RDS 的加密快照
您可共享使用 AES-256 加密算法“静态”加密的数据库快照,如加密 Amazon RDS 资源中所述。
以下限制适用于共享加密快照:
-
您无法公开共享加密的快照。
-
您无法共享使用透明数据加密 (TDE) 加密的 Oracle 或 Microsoft SQL Server 快照。
-
如果某个快照已使用共享该快照的 Amazon Web Services 账户的默认 KMS 密钥进行加密,则您无法共享该快照。
有关 Amazon RDS 的 Amazon KMS 密钥管理的更多信息,请参阅 Amazon KMS key 管理。
要解决默认 KMS 密钥问题,请执行以下任务:
创建客户自主管理型密钥并授予对它的访问权限
首先,在与加密的数据库快照相同的 Amazon Web Services 区域中创建一个自定义 KMS 密钥。在创建客户自主管理型密钥时,您可以为另一个 Amazon Web Services 账户提供对它的访问权限。
创建客户自主管理型密钥并授予对它的访问权限
-
从源 Amazon Web Services 账户登录 Amazon Web Services Management Console。
-
从 https://console.aws.amazon.com/kms
打开 Amazon KMS 控制台。 -
要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选择 Create key。
-
在配置密钥页面上:
-
对于密钥类型,选择对称。
-
对于密钥用途,选择加密和解密。
-
展开 Advanced options (高级选项)。
-
对于密钥材料来源,选择 KMS。
-
对于区域性,请选择单区域密钥。
-
选择下一步。
-
-
在添加标签页面上:
-
对于别名,输入您的 KMS 密钥的显示名称,例如
share-snapshot
。 -
(可选)为 KMS 密钥输入描述。
-
(可选)向 KMS 密钥添加标签。
-
选择下一步。
-
-
在定义密钥管理权限页面上,选择下一步。
-
在定义密钥使用权限页面上:
-
对于其他 Amazon Web Services 账户,选择添加另一个 Amazon Web Services 账户。
-
输入您要向其授予访问权限的 Amazon Web Services 账户的 ID。
您可以向多个 Amazon Web Services 账户授予访问权限。
-
选择下一步。
-
-
查看您的 KMS 密钥,然后选择完成。
从源账户复制和共享快照
接下来,使用客户自主管理型密钥将源数据库快照复制到新快照。然后,您将与目标 Amazon Web Services 账户共享它。
复制和共享快照
-
从源 Amazon Web Services 账户登录 Amazon Web Services Management Console。
-
通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/
-
在导航窗格中,选择快照。
-
选择要复制的数据库快照。
-
对于 Actions (操作),请选择 Copy snapshot (复制快照)。
-
在复制快照页面上:
-
对于目标区域,选择您在上一个过程中创建客户自主管理型密钥的 Amazon Web Services 区域。
-
在新数据库快照标识符中输入数据库快照副本的名称。
-
对于 Amazon KMS key,选择您创建的客户自主管理型密钥。
-
选择复制快照。
-
-
当快照副本可用时,将其选中。
-
对于 Actions(操作),请选择 Share snapshot(共享快照)。
-
在快照权限页面上:
-
输入您要与之共享快照副本的 Amazon Web Services 账户 ID,然后选择添加。
-
选择保存。
共享此快照。
-
复制目标账户中的共享快照
现在,您可以复制目标 Amazon Web Services 账户中的共享快照。
复制共享快照
-
从目标 Amazon Web Services 账户登录 Amazon Web Services Management Console。
-
通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/
-
在导航窗格中,选择快照。
-
选择与我共享选项卡。
-
选择共享快照。
-
对于 Actions (操作),请选择 Copy snapshot (复制快照)。
-
按照前面的过程选择用于复制快照的设置,但要使用属于目标账户的 Amazon KMS key。
选择复制快照。