我有一个 Amazon Relational Database Service (Amazon RDS) 数据库实例的加密快照。它使用默认 AWS Key Management Service (AWS KMS) 密钥。我想与另一个 AWS 账户共享数据库实例的加密快照。
简短描述
您不能使用默认 AWS KMS 加密密钥来共享已加密的快照。有关共享数据库快照的限制的详细信息,请参阅共享加密快照。
要共享加密的 Amazon RDS 数据库快照,请完成以下步骤:
- 将目标账户添加到自定义(非默认)KMS 密钥。
- 使用客户管理的密钥复制快照,然后与目标账户共享快照。
- 从目标账户复制共享的数据库快照。
**注意:**您也可以按照 AWSSupport-ShareRDSSnapshot AWS Systems Manager Automation 文档中的步骤共享快照。提供快照以复制并与目标账户共享。您也可以提供要与快照共享的数据库实例或数据库集群 ID。提供现有 KMS 密钥,或将其留空以创建新密钥。有关详细信息,请参阅在本地帐户中添加密钥策略声明和运行自动化。
解决方法
允许使用源账户的 AWS KMS 密钥访问目标账户
- 登录到源账户,然后在与数据库快照相同的 AWS 区域中打开 AWS KMS 控制台。
- 从导航窗格中选择客户管理的密钥。
- 选择您的客户管理密钥的名称。如果您没有密钥,请选择创建密钥。有关详细信息,请参阅创建密钥。
- 在密钥管理员部分中,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
- 在密钥用户部分中,添加可以使用 AWS KMS 密钥(KMS 密钥)加密和解密数据的 IAM 用户和角色。
- 在其他 AWS 账户部分中,选择添加其他 AWS 账户,然后输入目标账户的 AWS 账号。有关详细信息,请参阅允许其他账户中的用户使用 KMS 密钥。
复制并共享快照
- 打开 Amazon RDS 控制台,然后从导航窗格中选择快照。
- 选择您创建的快照的名称,选择操作,然后选择复制快照。
- 选择您的 KMS 密钥所在的相同 AWS 区域,然后输入新的数据库快照标识符。
- 在加密部分中,选择您创建的 KMS 密钥。
- 选择复制快照。
- 与目标账户共享复制的快照。
复制共享的数据库快照
- 登录目标账户,然后打开 Amazon RDS 控制台。
- 从导航窗格中选择快照。
- 从快照窗格中,选择与我共享选项卡。
- 选择您共享的数据库快照。
- 选择操作。然后,选择复制快照以将快照复制到同一 AWS 区域,并使用目标账户的 KMS 密钥。
复制数据库快照后,您可以使用副本启动实例。
相关信息
如何更改我的 Amazon RDS 数据库实例和数据库快照使用的加密密钥?
加密 Amazon RDS 资源
复制数据库快照