共享数据库集群快照 - Amazon Neptune
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享数据库集群快照

使用 Neptune,您可以按以下方式共享手动数据库集群快照:

  • 共享手动数据库集群快照(无论是否加密)可允许已授权。Amazon用于复制快照的账户。

  • 共享手动数据库集群快照(无论是否加密)可允许经授权的 Amazon 账户直接从快照还原数据库集群,无需复制数据库集群再从中进行还原。

注意

要共享自动数据库集群快照,请通过复制自动快照来创建手动数据库集群快照,然后共享该副本。

有关从数据库集群快照还原数据库集群的更多信息,请参阅如何从快照还原

您可以与最多 20 个其他 Amazon 账户共享手动快照。您也可以将未加密的手动快照作为公有快照进行共享,这样所有 Amazon 账户均可使用此快照。以公有快照形式共享快照时应谨慎,不要将您的私有信息包含在任何公有快照之中。

注意

当您使用从共享的快照还原数据库集群时,使用Amazon Command Line Interface(Amazon CLI) 或 Neptune API,您必须指定共享快照的 Amazon 资源名称 (ARN) 作为快照标识符。

共享加密的数据库集群快照

您可共享使用 AES-256 加密算法“静态”加密的数据库集群快照。有关更多信息,请参阅静态加密 Neptune 资源。为此,您必须执行以下步骤:

  1. 与您希望允许其访问快照的任何账户共享用于加密快照的 Amazon Key Management Service (Amazon KMS) 加密密钥。

    你可以共享Amazon KMS用另一个加密密钥Amazon通过将另一账户添加到 KMS 密钥策略来实现账户。有关更新密钥策略的详细信息,请参阅关键策略中的Amazon KMS开发人员指南. 有关创建密钥策略的示例,请参阅本主题下文中的 创建 IAM 策略来启用加密快照的复制功能

  2. 使用Amazon Web Services Management Console、Amazon CLI或者 Neptune API 与其他账户共享加密的快照。

这些限制适用于共享加密快照:

  • 您无法公开共享加密的快照。

  • 您无法共享已使用默认值加密的快照。Amazon KMS的加密密钥Amazon共享快照的账户。

允许访问 Amazon KMS 加密密钥

对于另一个Amazon为了复制从您的账户共享的加密数据库集群快照,您与之共享快照的账户必须有权访问用来加密快照的 KMS 密钥。允许另一个Amazon账户访问Amazon KMS密钥,使用的 ARN 更新 KMS 密钥的密钥策略。Amazon您作为共享的账户Principal在 KMS 密钥策略中。然后允许 kms:CreateGrant 操作。

在你给了Amazon账户访问您的 KMS 加密密钥,复制加密快照,那Amazon账户必须创建Amazon Identity and Access Management(IAM) 用户(如果还没有)。此外,那个Amazon此外,账户还必须将 IAM 策略附加到该 IAM 用户,以允许 IAM 用户使用您的 KMS 密钥复制加密的数据库集群快照。账户必须是 IAM 用户,不能是根用户。Amazon由于 KMS 安全限制造成的账户身份。

在下面的密钥策略示例中,用户 111122223333 是 KMS 加密密钥的所有者,而用户 444455556666 是要与之共享密钥的账户。通过包含用户 444455556666 的根 Amazon 账户身份的 ARN 作为策略的 Principal,以及通过允许 kms:CreateGrant 操作,此更新的密钥策略为 Amazon 账户提供了访问 KMS 密钥的权限。

{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

创建 IAM 策略来启用加密快照的复制功能

在外部之后Amazon账户有权访问您的 KMS 密钥,账户的所有者可创建一个策略来允许为该账户创建的 IAM 用户能够复制使用 KMS 密钥加密的快照。

以下示例显示了一个可以附加到 IAM 用户的策略。Amazon帐户444455556666. 它使 IAM 用户能够从中复制共享的快照。Amazon帐户111122223333已使用 KMS 密钥加密c989c1dd-a3f2-4a5d-8d96-e793d082ab26中的us-west-2区域。

{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

有关更新密钥策略的详细信息,请参阅关键策略中的Amazon KMS开发人员指南.

共享数据库集群快照

您可以使用共享数据库集群快照。Amazon Web Services Management Console,Amazon CLI,或者 Neptune API。

使用控制台来共享数据库集群快照

使用 Neptune 控制台可以与最多 20 个共享手动数据库集群快照。Amazon账户。您也可以停止与一个或多个账户共享手动快照。

共享手动数据库集群快照

  1. 登录到Amazon管理控制台,然后在处打开 Amazon Neptune 控制台https://console.aws.amazon.com/neptune/home.

  2. 在导航窗格中,选择快照

  3. 选择要共享的手动快照。

  4. 依次选择 Actions (操作)Share Snapshot (共享快照)

  5. DB snapshot visibility (数据库快照可见性) 选择以下一个选项。

    • 如果源未加密,请选择Public允许所有Amazon从您的手动数据库集群快照还原数据库集群的账户。或者选择私密只允许Amazon指定用来从您的手动数据库集群快照还原数据库集群的账户。

      警告

      如果你设置DB 快照可见性Public,所有Amazon账户可以从您的手动数据库集群快照还原数据库集群,并且可访问您的数据。请勿将包含私密信息的任何手动数据库集群快照以公开形式共享。

    • 如果源已加密,由于已加密的快照无法公开共享,DB snapshot visibility (数据库快照可见性) 将设为 Private (私密)

  6. 适用于Amazon账户 ID,输入Amazon您想要允许从您的手动数据库快照还原数据库集群的账户标识符。然后,选择 Add (添加)。重复操作以加入其他 Amazon 账户标识符,最多可包含 20 个 Amazon 账户。

    如果您在许可账户列表中错加了某个 Amazon 账户标识符,可以选择错误 Amazon 账户标识符右侧的 Delete (删除) 将其从列表中删除。

  7. 在添加所有标识符之后Amazon允许还原手动快照的账户,选择Save(保存).

停止与之共享手动数据库集群快照Amazon帐户

  1. 在处打开 Amazon Neptune 控制台https://console.aws.amazon.com/neptune/home.

  2. 在导航窗格中,选择快照

  3. 选择要停止共享的手动快照。

  4. 选择 Actions (操作),然后 Share Snapshot (共享快照)

  5. 要取消某 Amazon 账户的权限,请从授权账户列表中选择该账户的 Amazon 账户标识符所对应的 Delete (删除)

  6. 选择 Save (保存)