还原 Amazon DynamoDB 表 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

还原 Amazon DynamoDB 表

使用 Amazon Backup 控制台还原 DynamoDB 恢复点

还原 DynamoDB 表
  1. 打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup

  2. 在导航窗格中,选择受保护的资源和要还原的 DynamoDB 资源 ID。

  3. Resource details (资源详细信息) 页面上,将显示所选资源 ID 的恢复点列表。要还原资源,请在备份窗格中,选择资源的恢复点 ID 旁边的单选按钮。在窗格的右上角,选择还原

  4. 对于设置,在新表名称文本字段中输入新表的名称。

  5. 对于还原角色,选择 Amazon Backup 将为此还原担任的 IAM 角色。

  6. 对于加密设置

    1. 如果您的备份由 DynamoDB 管理(其 ARN 以 arn:aws:dyanmodb 开头),则 Amazon Backup 使用 Amazon 拥有的密钥对还原后的表进行加密。

      要选择其他密钥来加密已恢复的表,您可以使用该Amazon BackupStartRestoreJob操作或从 DynamoDB 控制台执行恢复。

    2. 如果您的备份支持完整 Amazon Backup 管理(其 ARN 以 arn:aws:backup 开头),则可以选择以下任何加密选项来保护还原后的表:

      • (默认)DynamoDB 拥有的 KMS 密钥(加密不收取额外费用)

      • DynamoDB 托管的 KMS 密钥(收取 KMS 费用)

      • 客户托管的 KMS 密钥(收取 KMS 费用)

      “DynamoDB 拥有”和“DynamoDB 托管”的密钥分别与“Amazon 拥有”和“Amazon 托管”的密钥相同。如需澄清,请参阅《Amazon DynamoDB 开发人员指南》 中的静态加密:工作原理

      有关完整 Amazon Backup 管理的更多信息,请参阅高级 DynamoDB 备份

    注意

    仅当您还原复制的备份并希望使用与加密原始表相同的密钥对还原后的表进行加密时,以下准则才适用。

    在还原跨区域备份时,要使用与加密原始表相同的密钥来加密还原后的表,您的密钥必须是一个多区域密钥。Amazon 拥有和 Amazon 托管的密钥不是多区域密钥。要了解更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的多区域密钥

    在还原跨账户备份时,要使用与加密原始表相同的密钥来加密还原后的表,您必须与目的地账户共享源账户中的密钥。账户之间不能共享 Amazon 拥有和 Amazon 托管的密钥。要了解更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的允许其他账户中的用户使用 KMS 密钥

  7. 选择还原备份

    这将显示还原作业窗格。页面顶部的消息提供了有关还原作业的信息。

使用 Amazon Backup API、CLI 或 SDK 还原 DynamoDB 恢复点

使用 StartRestoreJob。在任何 DynamoDB 还原期间,您都可以指定以下元数据。此元数据不区分大小写。

targetTableName encryptionType kmsMasterKeyArn aws:backup:request-id

以下是 CLI 中某项 StartRestoreJob 操作的 restoreMetadata 参数示例:

aws backup start-restore-job \ --recovery-point-arn "arn:aws:backup:us-east-1:123456789012:recovery-point:abcdef12-g3hi-4567-8cjk-012345678901" \ --iam-role-arn "arn:aws:iam::123456789012:role/YourIamRole" \ --metadata 'TargetTableName=TestRestoreTestTable,EncryptionType=KMS,KMSMasterKeyId=arn:aws:kms:us-east-1:123456789012:key/abcdefg' \ --region us-east-1 \ --endpoint-url https://cell-1.gamma.us-east-1.controller.cryo.aws.a2z.com

前面的示例使用 Amazon 拥有的密钥对还原后的表进行加密。使用 Amazon 拥有的密钥指定加密的还原元数据部分是:\"encryptionType\":\"Default\","kmsMasterKeyArn\":\"Not Applicable\"

要使用 Amazon 托管的密钥加密还原后的表,请指定以下还原元数据:"encryptionType\":\"KMS\",\"keyArn\":\"Not Applicable\"

要使用客户托管的密钥加密还原后的表,请指定以下还原元数据:"encryptionType\":\"KMS\",\"keyArn\":\"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab\"