前言
●RDS 使用托管的默认密钥加密过的 RDS数据库快照可以分享到另外账号,但不能被 Copy,所以最后不能用它创建 Database。
●可以在分享前,在源账号上对RDS数据库快照做 Copy 操作,Copy 时候可以选择客户自定义的 KMS(自定义的 KMS 在创建时候需要加入 12 位的目标账户 ID),这样的 Snapshot 就可以分享过去,分享过去之后再Copy一份用源账号共享出来的KMS密钥的RDS数据库快照,Copy之后的RDS数据库快照就能创建 Database了。
问题的简单阐述
我有一个 Amazon Relational Database Service (Amazon RDS) 数据库实例的加密快照。它使用默认 AWS Key Management Service (AWS KMS) 密钥。我想与另一个 AWS 账户共享数据库实例的加密快照。
简短描述
我们不能使用默认 AWS KMS 加密密钥来共享已加密的快照。有关共享数据库快照的限制的详细信息,请参阅共享加密快照。
要共享加密的 Amazon RDS 数据库快照,需要完成以下步骤:
- 将目标账户添加到自定义(非默认)KMS 密钥。
- 使用客户管理的密钥复制快照,然后与目标账户共享快照。
- 从目标账户复制共享的数据库快照。
解决方法
允许使用源账户的 AWS KMS 密钥访问目标账户
- 登录到源账户,然后在与数据库快照相同的 AWS 区域中打开 AWS KMS 控制台。
- 从导航窗格中选择客户管理的密钥。
- 选择您的客户管理密钥的名称。如果您没有密钥,请选择创建密钥。有关详细信息,请参阅创建密钥。
- 在密钥管理员部分中,添加可以管理 AWS KMS 密钥的 AWS Identity and Access Management (IAM) 用户和角色。
- 在密钥用户部分中,添加可以使用 AWS KMS 密钥(KMS 密钥)加密和解密数据的 IAM 用户和角色。
- 在其他 AWS 账户部分中,选择添加其他 AWS 账户,然后输入目标账户的 AWS 账号。有关详细信息,请参阅允许其他账户中的用户使用 KMS 密钥。
复制并共享快照
- 打开 Amazon RDS 控制台,然后从导航窗格中选择快照。
- 选择您创建的快照的名称,选择操作,然后选择复制快照。
- 选择您的 KMS 密钥所在的相同 AWS 区域,然后输入新的数据库快照标识符。
- 在加密部分中,选择您创建的 KMS 密钥。
- 选择复制快照。
- 与目标账户共享复制的快照。
复制共享的数据库快照
- 登录目标账户,然后打开 Amazon RDS 控制台。
- 从导航窗格中选择快照。
- 从快照窗格中,选择与我共享选项卡。
- 选择您共享的数据库快照。
- 选择操作。然后,选择复制快照以将快照复制到同一 AWS 区域,并使用目标账户的 KMS 密钥。
复制数据库快照后就可以使用副本启动实例。
评论区