共享数据库集群快照 - Amazon Neptune
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享数据库集群快照

使用 Neptune 可以按以下方式共享手动数据库集群快照:

  • 共享手动数据库集群快照(无论是否加密)可允许经授权的Amazon帐户复制快照。

  • 共享手动数据库集群快照(无论是否加密)可允许经授权的Amazon帐户直接从快照还原数据库集群,而不是复制数据库集群再从中进行还原。

注意

要共享自动数据库集群快照,请通过复制自动快照来创建手动数据库集群快照,然后共享该副本。

有关从数据库集群快照还原数据库集群的更多信息,请参阅如何从快照还原

您可以与最多 20 个其他Amazonaccount. 您也可以将未加密的手动快照作为公有快照进行共享,这样所有Amazonaccount. 以公有快照形式共享快照时应谨慎,不要将您的私有信息包含在任何公有快照之中。

注意

当使用共享快照还原数据库集群时Amazon Command Line Interface(Amazon CLI) 或 Neptune API API,您必须指定共享快照的 Amazon 资源名称 (ARN) 作为快照标识符。

共享加密的数据库集群快照

您可共享使用 AES-256 加密算法“静态”加密的数据库集群快照。有关更多信息,请参阅静态加密 Neptune 资源。为此,您必须执行以下步骤:

  1. 与您希望允许其访问快照的任何账户共享用于加密快照的 Amazon Key Management Service (Amazon KMS) 加密密钥。

    您可以共享Amazon KMS加密密密密密密密密钥Amazon通过将另一账户添加到 KMS 密钥策略来进行操作。有关更新密钥策略的详细信息,请参阅关键策略中的Amazon KMS开发人员指南。有关创建密钥策略的示例,请参阅本主题下文中的创建 IAM 策略来启用加密快照的复制功能

  2. 使用Amazon Web Services Management Console、Amazon CLI或者 Neptune API 与其他账户共享加密的快照。

这些限制适用于共享加密快照:

  • 您无法公开共享加密的快照。

  • 您无法共享已使用默认Amazon KMS加密密密密密密密密钥Amazon帐户共享快照。

允许访问 Amazon KMS 加密密钥

对于另一个Amazon帐户复制通过您的账户共享的加密数据库集群快照,则您与之共享快照的账户必须有权访问加密快照的 KMS 密钥。若要允许另一个Amazonaccount 对Amazon KMS项,请 ARN 用Amazon帐户,您正在共享为Principal在 KMS 密钥策略中。然后允许 kms:CreateGrant 操作。

在你给出一个Amazon帐户访问 KMS 加密密钥,复制加密快照,Amazon帐户必须创建Amazon Identity and Access Management(IAM) 用户(如果尚未具有)。此外,Amazon账户还必须将 IAM 策略附加到 IAM 用户,以允许此用户使用您的 KMS 密钥复制加密的数据库集群快照。此账户必须是 IAM 用户,且不能是 root 用户。Amazon帐户身份,由于 KMS 安全限制。

在下面的密钥策略示例中,用户 111122223333 是 KMS 加密密钥的所有者,而用户 444455556666 是要与之共享密钥的账户。此更新的密钥策略给出了Amazon帐户访问 KMS 密钥,方法是包含根目录的 ARNAmazon用户的帐户身份444455556666作为Principal,并通过允许kms:CreateGrantaction.

{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

创建 IAM 策略来启用加密快照的复制功能

经过外部Amazon账户有权访问您的 KMS 密钥,则该账户的所有者可创建一个策略来允许为该账户创建的 IAM 用户能够复制使用 KMS 密钥加密的快照。

以下示例显示了一个可以附加到 IAM 用户的策略,用于Amazon账户444455556666。它使 IAM 用户能够从中复制共享的快照Amazon账户111122223333已使用 KMS 密钥加密c989c1dd-a3f2-4a5d-8d96-e793d082ab26中的us-west-2区域。

{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

有关更新密钥策略的详细信息,请参阅关键策略中的Amazon KMS开发人员指南

共享数据库集群快照

您可以使用Amazon Web Services Management Console,Amazon CLI,或 Neptune API。

使用控制台来共享数据库集群快照

使用 Neptune 控制台可以与最多 20 个手动数据库集群快照共享手动数据库集群快照Amazonaccount. 您也可以停止与一个或多个账户共享手动快照。

共享手动数据库集群快照

  1. 登录到Amazon管理控制台,然后通过以下网址打开 Amazon Neptune 控制台:https://console.aws.amazon.com/neptune/home

  2. 在导航窗格中,选择快照

  3. 选择要共享的手动快照。

  4. 依次选择 Actions (操作)Share Snapshot (共享快照)

  5. DB snapshot visibility (数据库快照可见性) 选择以下一个选项。

    • 如果源未加密,请选择Public允许所有Amazon帐户从您的手动数据库集群快照还原数据库集群。或者选择私密仅允许Amazonaccount, 您指定用来从您的手动数据库集群快照还原数据库集群。

      警告

      如果您设置数据库快照可见性Public, 所有Amazon账户可以从您的手动数据库集群快照还原数据库集群,并且可访问您的数据。请勿将包含私密信息的任何手动数据库集群快照以公开形式共享。

    • 如果源已加密,由于已加密的快照无法公开共享,DB snapshot visibility (数据库快照可见性) 将设为 Private (私密)

  6. 适用于Amazon账户 ID,输入Amazon您想要允许从您的手动快照还原数据库集群的账户的账户标识符。然后,选择添加。重复以包括其他Amazonaccount. 标识符,最多 20 个Amazonaccount.

    如果您在添加Amazon账户标识符添加到允许的账户列表,您可以通过选择Delete在不正确的Amazonaccount.

  7. 添加标识符后,所有Amazon您想要允许还原手动快照的帐户,选择Save

若要停止与Amazon账户

  1. 从打开 Amazon Neptune 控制台https://console.aws.amazon.com/neptune/home

  2. 在导航窗格中,选择快照

  3. 选择要停止共享的手动快照。

  4. 选择 Actions (操作),然后 Share Snapshot (共享快照)

  5. 要删除对Amazon帐户,请选择Delete(对于 )Amazon从授权账户列表中选择该账户的账户标识符。

  6. 选择 Save