共享数据库集群快照 - Amazon Neptune
加密快照共享
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享数据库集群快照

使用 Neptune,您可以按以下方式共享手动数据库集群快照:

  • 共享手动数据库集群快照(无论是加密还是未加密)都允许授权Amazon账户复制快照。

  • 共享手动数据库集群快照(无论是加密还是未加密)都使授权Amazon账户能够直接从快照中还原数据库集群,而不必获取快照的副本并从中恢复。

注意

要共享自动数据库集群快照,请通过复制自动快照来创建手动数据库集群快照,然后共享该副本。

有关从数据库集群快照还原数据库集群的更多信息,请参阅如何从快照还原

您最多可以与其他20个Amazon账户共享手动快照。您还可以将未加密的手动快照共享为公共快照,这样所有Amazon账户都可以使用该快照。以公有快照形式共享快照时应谨慎,不要将您的私有信息包含在任何公有快照之中。

注意

使用 Amazon Command Line Interface (Amazon CLI) 或 Neptune API 从共享快照还原数据库集群时,必须将共享快照的 Amazon 资源名称 (ARN) 指定为快照标识符。

共享加密的数据库集群快照

您可共享使用 AES-256 加密算法“静态”加密的数据库集群快照。有关更多信息,请参阅 加密 Amazon Neptune 数据库中的静态数据。为此,您必须执行以下步骤:

  1. 与您希望能够访问快照的所有账户共享用于加密快照的 Amazon Key Management Service (Amazon KMS) 加密密钥。

    您可以通过将另一个Amazon账户添加到 KMS 密钥策略来与其他账户共享Amazon KMS加密密钥。有关更新密钥策略的详细信息,请参阅《Amazon KMS 开发人员指南》中的密钥策略。有关创建密钥策略的示例,请参阅本主题下文中的 创建 IAM 策略来启用加密快照的复制功能

  2. 使用Amazon Web Services 管理控制台Amazon CLI、或 Neptune API 与其他账户共享加密快照。

这些限制适用于共享加密快照:

  • 您无法公开共享加密的快照。

  • 您无法共享使用共享快照的Amazon账户的默认Amazon KMS加密密钥加密的快照。

允许访问Amazon KMS加密密钥

要让其他Amazon账户复制从您的账户共享的加密数据库集群快照,您与之共享快照的账户必须有权访问加密快照的 KMS 密钥。要允许其他Amazon账户访问Amazon KMS密钥,请在 KMS 密钥策略中使用您要与之共享的Amazon账户的 ARN 来更新 KMS 密钥Principal的密钥策略。然后允许 kms:CreateGrant 操作。有关一般说明,请参阅《Amazon Key Management Service 开发人员指南》中的允许其它账户中的用户使用 KMS 密钥

在您授予Amazon账户访问您的 KMS 加密密钥的权限后,要复制您的加密快照,该Amazon账户必须创建一个 IAM 用户(如果还没有)。KMS 安全限制不允许为此使用根Amazon账户身份。该Amazon账户还必须向该 IAM 用户附加一个 IAM 策略,允许 IAM 用户使用您的 KMS 密钥复制加密的数据库集群快照。

在下面的密钥策略示例中,用户 111122223333 是 KMS 加密密钥的所有者,而用户 444455556666 是要与之共享密钥的账户。此更新的密钥策略允许Amazon账户访问 KMS 密钥,方法是将用户444455556666根Amazon账户身份的 ARN 包含在策略中,并允许该kms:CreateGrant操作。Principal

JSON
{
    "Id": "key-policy-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/KeyUser",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

创建 IAM 策略来启用加密快照的复制功能

在外部Amazon账户有权访问您的 KMS 密钥后,该账户的所有者可以创建一个策略,允许为该账户创建的 IAM 用户复制使用该 KMS 密钥加密的加密快照。

以下示例显示了一个可附加到 Amazon 账户 444455556666 的 IAM 用户的策略。它使 IAM 用户能够从 Amazon 账户 111122223333 复制已使用 us-west-2 区域中 KMS 密钥 c989c1dd-a3f2-4a5d-8d96-e793d082ab26 加密的共享快照。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

有关更新密钥策略的详细信息,请参阅《Amazon Key Management Service 开发人员指南》中的密钥策略

共享数据库集群快照

您可以使用Amazon Web Services 管理控制台、或 Neptune API Amazon CLI 共享数据库集群快照。

使用控制台来共享数据库集群快照

使用 Neptune 控制台,可以与最多 20 个 Amazon 账户共享手动数据库集群快照。您也可以停止与一个或多个账户共享手动快照。

共享手动数据库集群快照

  1. 登录Amazon管理控制台,然后在家中打开 Amazon Neptune https://console.aws.amazon.com/neptune/ 主机。

  2. 在导航窗格中,选择快照

  3. 选择要共享的手动快照。

  4. 依次选择 Actions (操作)Share Snapshot (共享快照)

  5. DB snapshot visibility (数据库快照可见性) 选择以下一个选项。

    • 如果源未加密,选择公有可允许所有 Amazon 账户从您的手动数据库集群快照还原数据库集群。或者选择 P ri vate,仅允许您指定的Amazon账户从您的手动数据库集群快照还原数据库集群。

      警告

      如果您将数据库快照可见性设置为公开,则所有Amazon账户都可以从您的手动数据库集群快照还原数据库集群并可以访问您的数据。请勿将包含私密信息的任何手动数据库集群快照以公开形式共享。

    • 如果源已加密,由于已加密的快照无法公开共享,DB snapshot visibility (数据库快照可见性) 将设为 Private (私密)

  6. Amazon账户 ID 中Amazon,输入您想要允许从手动快照还原数据库集群的账户标识符。然后,选择 Add (添加)。重复此操作以添加其他Amazon账户标识符,最多 20 个Amazon账户。

    如果您在向允许的账户列表中添加Amazon账户标识符时出错,则可以通过选择错误的Amazon账户标识符右侧的 “删除” 将其从列表中删除。

  7. 为所有要允许恢复手动快照的Amazon账户添加标识符后,选择保存

停止与Amazon账户共享手动数据库集群快照

  1. 在家中打开亚马逊 Neptune 主机。https://console.aws.amazon.com/neptune/

  2. 在导航窗格中,选择快照

  3. 选择要停止共享的手动快照。

  4. 选择 Actions (操作),然后 Share Snapshot (共享快照)

  5. 要删除某个Amazon账户的权限,请从授权Amazon账户列表中为该账户的账户标识符选择删除

  6. 选择保存