Wie kann ich einen verschlüsselten Amazon-Aurora-Snapshot für ein anderes Konto freigeben?
Lesedauer: 4 Minute
0
Ich habe einen verschlüsselten Snapshot eines Amazon-Aurora-DB-Clusters, der den standardmäßigen AWS Key Management Service (AWS KMS)-Schlüssel verwendet. Wie kann ich den verschlüsselten Snapshot mit einem anderen AWS-Konto teilen?
Kurzbeschreibung
Sie können keine Snapshots freigeben, die mit dem standardmäßigen AWS-KMS-Schlüssel verschlüsselt sind. Sie müssen stattdessen einen benutzerdefinierten AWS-KMS-Schlüssel erstellen. So teilen Sie einen verschlüsselten Aurora-DB-Cluster-Snapshot:
- Erstellen eines benutzerdefinierten AWS-KMS-Schlüssels.
- Fügen Sie das Zielkonto dem benutzerdefinierten AWS-KMS-Schlüssel hinzu.
- Erstellen Sie eine Kopie des DB-Cluster-Snapshots mithilfe des benutzerdefinierten AWS-KMS-Schlüssels. Teilen Sie dann den neu kopierten Snapshot mit dem Zielkonto.
- Kopieren Sie den gemeinsamen DB-Cluster-Snapshot vom Zielkonto.
Lösung
Erstellen eines benutzerdefinierten AWS-KMS-Schlüssels
- Melden Sie sich beim Quellkonto an und wechseln Sie dann zur AWS-KMS-Konsole in derselben Region wie der DB-Cluster-Snapshot.
- Wählen Sie im Navigationsbereich an der Seite die Option Von Kunden verwaltete Schlüssel aus.
- Wählen Sie Schlüssel erstellen aus.
- Erstellen Sie einen AWS-KMS-Schlüssel mit symmetrischer Verschlüsselung.
- Wählen Sie unter Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus. Weitere Informationen zum Erstellen von AWS-KMS-Schlüsseln, die MAC-Codes generieren und anschließend überprüfen, finden Sie unter Erstellen von HMAC-AWS-KMS-Schlüsseln.
- Wählen Sie unter Erweiterte Optionen AWS KMS als Ursprung des Schlüssels aus.
- Wählen Sie Single-Region-Schlüssel und dann Weiter aus.
- Geben Sie Ihrem Schlüssel einen Alias. Es ist eine bewährte Methode, Ihrem Schlüssel auch eine Beschreibung und ein Tag zu geben. Wählen Sie dann Weiter aus.
- Wählen Sie die IAM-Benutzer und -Rollen aus, die den AWS-KMS-Schlüssel verwalten können und wählen Sie dann Weiter aus.
Hinweis: Um zu verhindern, dass die IAM-Benutzer und -Rollen den AWS-KMS-Schlüssel löschen, deaktivieren Sie im Abschnitt Schlüssellöschung das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben. - Wählen Sie die IAM-Benutzer und -Rollen aus, die den AWS-KMS-Schlüssel bei kryptografischen Vorgängen verwenden können und wählen Sie dann Weiter aus.
Hinweis: Sie können auch anderen AWS-Konten erlauben, den Schlüssel für kryptografische Vorgänge zu verwenden. Weitere Informationen finden Sie unter Kryptografische Vorgänge. - Wählen Sie Fertigstellen, um den AWS-KMS-Schlüssel zu erstellen.
Gewähren Sie dem Zielkonto Zugriff auf den benutzerdefinierten AWS-KMS-Schlüssel innerhalb des Quellkontos
- Melden Sie sich beim Quellkonto an und wechseln Sie zur AWS-KMS-Konsole in derselben Region wie der DB-Cluster-Snapshot.
- Wählen Sie im Navigationsbereich Von Kunden verwaltete Schlüssel aus.
- Wählen Sie Ihren benutzerdefinierten AWS-KMS-Schlüssel aus.
- Wählen Sie im Abschnitt Andere AWS-Konten die Option Weiteres AWS-Konto hinzufügen aus und geben Sie dann die AWS-Kontonummer Ihres Zielkontos ein. Weitere Informationen finden Sie unter Erlauben von Benutzern in anderen Konten, einen AWS-KMS-Schlüssel zu verwenden.
Kopieren und teilen Sie den DB-Cluster-Snapshot
- Öffnen Sie die Amazon-RDS-Konsole im Quellkonto und wählen Sie im Navigationsbereich Snapshots aus.
- Wählen Sie den DB-Cluster-Snapshot, den Sie teilen möchten. Wählen Sie Aktionen und dann Snapshot kopieren aus.
- Wählen Sie dieselbe AWS-Region aus, in der sich Ihr benutzerdefinierter AWS-KMS-Schlüssel befindet und geben Sie dann einen Namen für den Neuen DB-Snapshot-Identifier ein.
- Wählen Sie im Abschnitt Verschlüsselung den benutzerdefinierten AWS-KMS-Schlüssel aus, den Sie erstellt haben.
- Wählen Sie Snapshot kopieren.
- Wählen Sie den neu kopierten DB-Cluster-Snapshot aus, wählen Sie Aktionen und dann Snapshot freigeben.
- Geben Sie unter AWS-Konto-ID die AWS-Kontonummer Ihres Zielkontos ein und wählen Sie dann Hinzufügen aus.
- Klicken Sie auf Speichern.
Kopieren Sie den geteilten DB-Cluster-Snapshot
- Melden Sie sich beim Zielkonto an und öffnen Sie dann die Amazon-RDS-Konsole.
- Wählen Sie Snapshots im Navigationsbereich aus.
- Wählen Sie im Bereich Snapshots die Registerkarte Für mich freigegeben aus.
- Wählen Sie den freigegebenen DB-Cluster-Snapshot aus.
- Wählen Sie Aktionen aus. Wählen Sie dannSnapshot kopieren, um den DB-Cluster-Snapshot in dieselbe AWS-Region zu kopieren.
Der DB-Snapshot verfügt jetzt über einen AWS-KMS-Schlüssel des Zielkontos und kann zum Starten der Instance verwendet werden.
Ähnliche Informationen
Teilen eines DB-Cluster-Snapshots
Erstellen asymmetrischer AWS-KMS-Schlüssel
Schlüssel für mehrere Regionen in AWS-KMS
AWS OFFICIALAktualisiert vor 2 Jahren
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Monat
- AWS OFFICIALAktualisiert vor 4 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 6 Monaten