本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 共享数据库集群快照
使用 Neptune,您可以按以下方式共享手动数据库集群快照:
+ 共享手动数据库集群快照(无论是加密还是未加密)都允许授权 Amazon 账户复制快照。
+ 通过共享未加密的手动数据库集群快照,授权 Amazon 账户可以直接从快照中还原数据库集群,而不必获取其副本并从中恢复。加密快照无法直接恢复;必须先对其进行复制,然后再从副本中恢复。
**注意**
要共享自动数据库集群快照,请通过复制自动快照来创建手动数据库集群快照,然后共享该副本。
有关从数据库集群快照还原数据库集群的更多信息,请参阅[如何从快照还原](backup-restore-restore-snapshot.md#backup-restore-restore-snapshot-restoring)。
您最多可以与其他20个 Amazon 账户共享手动快照。您还可以将未加密的手动快照共享为公共快照,这样所有 Amazon 账户都可以使用该快照。以公有快照形式共享快照时应谨慎,不要将您的私有信息包含在任何公有快照之中。
**注意**
使用 Amazon Command Line Interface (Amazon CLI) 或 Neptune API 从共享快照还原数据库集群时,必须将共享快照的 Amazon 资源名称 (ARN) 指定为快照标识符。
**Topics**
+ [共享加密的数据库集群快照](#backup-restore-share-snapshot-encrypted)
+ [共享数据库集群快照](#backup-restore-share-snapshot-sharing)
## 共享加密的数据库集群快照
您可共享使用 AES-256 加密算法“静态”加密的数据库集群快照。有关更多信息,请参阅 [加密 Amazon Neptune 数据库中的静态数据](encrypt.md)。为此,您必须执行以下步骤:
1. 与您希望能够访问快照的所有账户共享用于加密快照的 Amazon Key Management Service (Amazon KMS) 加密密钥。
您可以通过将另一个 Amazon 账户添加到 KMS 密钥策略来与其他账户共享 Amazon KMS 加密密钥。有关更新密钥策略的详细信息,请参阅《Amazon KMS 开发人员指南》**中的[密钥策略](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。有关创建密钥策略的示例,请参阅本主题下文中的 [创建 IAM 策略来启用加密快照的复制功能](#backup-restore-share-snapshot-encrypted-key-iam)。
1. 使用 Amazon Web Services 管理控制台 Amazon CLI、或 Neptune API 与其他账户共享加密快照。
这些限制适用于共享加密快照:
+ 您无法公开共享加密的快照。
+ 您无法共享使用共享快照的 Amazon 账户的默认 Amazon KMS 加密密钥加密的快照。
### 允许访问 Amazon KMS 加密密钥
要让其他 Amazon 账户复制从您的账户共享的加密数据库集群快照,您与之共享快照的账户必须有权访问加密快照的 KMS 密钥。要允许其他 Amazon 账户访问 Amazon KMS 密钥,请在 KMS 密钥策略中使用您要与之共享的 Amazon 账户的 ARN 来更新 KMS 密钥`Principal`的密钥策略。然后允许 `kms:CreateGrant` 操作。有关一般说明,请参阅《Amazon Key Management Service 开发人员指南》**中的[允许其它账户中的用户使用 KMS 密钥](https://docs.amazonaws.cn/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。
在您授予 Amazon 账户访问您的 KMS 加密密钥的权限后,要复制您的加密快照,该 Amazon 账户必须创建一个 IAM 用户(如果还没有)。KMS 安全限制不允许为此使用根 Amazon 账户身份。该 Amazon 账户还必须向该 IAM 用户附加一个 IAM 策略,允许 IAM 用户使用您的 KMS 密钥复制加密的数据库集群快照。
在下面的密钥策略示例中,用户 `111122223333` 是 KMS 加密密钥的所有者,而用户 `444455556666` 是要与之共享密钥的账户。此更新的密钥策略允许 Amazon 账户访问 KMS 密钥,方法是将用户`444455556666`根 Amazon 账户身份的 ARN 包含在策略中,并允许该`kms:CreateGrant`操作。`Principal`
------
#### [ JSON ]
****
```
{
"Id": "key-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
#### 创建 IAM 策略来启用加密快照的复制功能
在外部 Amazon 账户有权访问您的 KMS 密钥后,该账户的所有者可以创建一个策略,允许为该账户创建的 IAM 用户复制使用该 KMS 密钥加密的加密快照。
以下示例显示了一个可附加到 Amazon 账户 `444455556666` 的 IAM 用户的策略。它使 IAM 用户能够从 Amazon 账户 `111122223333` 复制已使用 `us-west-2` 区域中 KMS 密钥 `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` 加密的共享快照。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
有关更新密钥策略的详细信息,请参阅《Amazon Key Management Service 开发人员指南》**中的[密钥策略](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。
## 共享数据库集群快照
您可以使用 Amazon Web Services 管理控制台、或 Neptune API Amazon CLI共享数据库集群快照。
### 使用控制台来共享数据库集群快照
使用 Neptune 控制台,可以与最多 20 个 Amazon 账户共享手动数据库集群快照。您也可以停止与一个或多个账户共享手动快照。
**共享手动数据库集群快照**
1. [登录 Amazon 管理控制台,然后在家中打开 Amazon Neptune https://console.aws.amazon.com/neptune/ 主机。](https://console.amazonaws.cn/neptune/home)
1. 在导航窗格中,选择**快照**。
1. 选择要共享的手动快照。
1. 依次选择 **Actions (操作)** 和 **Share Snapshot (共享快照)**。
1. 为 **DB snapshot visibility (数据库快照可见性)** 选择以下一个选项。
+ 如果源未加密,选择**公有**可允许所有 Amazon 账户从您的手动数据库集群快照还原数据库集群。或者选择 P **ri** vate,仅允许您指定的 Amazon 账户从您的手动数据库集群快照还原数据库集群。
**警告**
如果您将**数据库快照可见性**设置为**公开**,则所有 Amazon 账户都可以从您的手动数据库集群快照还原数据库集群并可以访问您的数据。请勿将包含私密信息的任何手动数据库集群快照以**公开**形式共享。
+ 如果源已加密,由于已加密的快照无法公开共享,**DB snapshot visibility (数据库快照可见性)** 将设为 **Private (私密)**。
1. 在**Amazon 账户 ID** 中 Amazon ,输入您想要允许从手动快照还原数据库集群的账户标识符。然后,选择 **Add (添加)**。重复此操作以添加其他 Amazon 账户标识符,最多 20 个 Amazon 账户。
如果您在向允许的账户列表中添加 Amazon 账户标识符时出错,则可以通过选择错误的 Amazon 账户标识符右侧的 **“删除”** 将其从列表中删除。
1. 为要允许恢复手动快照的所有 Amazon 账户添加标识符后,选择**保存**。
**停止与 Amazon 账户共享手动数据库集群快照**
1. [在家中打开亚马逊 Neptune 主机。https://console.aws.amazon.com/neptune/](https://console.amazonaws.cn/neptune/home)
1. 在导航窗格中,选择**快照**。
1. 选择要停止共享的手动快照。
1. 选择 **Actions (操作)**,然后 **Share Snapshot (共享快照)**。
1. 要删除某个 Amazon 账户的权限,请从授权 Amazon 账户列表中为该账户的账户标识符选择**删除**。
1. 选择**保存**。