Kopieren eines DB-Snapshots - Amazon Relational Database Service

Kopieren eines DB-Snapshots

Mit Amazon RDS können Sie automatisierte Backups oder manuelle DB-Snapshots kopieren. Nach dem Kopieren eines Snapshots ist die Kopie ein manueller Snapshot. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss über eine eindeutige Kennung verfügen.

Sie können einen Snapshot innerhalb seiner AWS-Region-Region und über AWS-Regionen-Regionen hinweg kopieren. Außerdem können Sie freigegebene Snapshots kopieren.

Einschränkungen

Im folgenden werden einige Einschränkungen beim Kopieren von Snapshots aufgeführt:

  • Sie können einen Snapshot nicht in die oder aus China (Peking), China (Ningxia) oder Regionen kopieren.

  • Sie können einen Snapshot zwischen AWS GovCloud (USA-Ost) und AWS GovCloud (USA-West) kopieren. Sie können jedoch keinen Snapshot zwischen diesen AWS GovCloud (US)-Regionen und kommerziellen AWS-Regionen kopieren.

  • Wenn Sie einen Quell-Snapshot löschen, bevor der Ziel-Snapshot verfügbar ist, kann das Kopieren des Snapshots fehlschlagen. Verifizieren Sie, dass der Ziel-Snapshot den Status AVAILABLE hat, bevor Sie einen Quell-Snapshot löschen.

  • Pro Konto können bis zu fünf Snapshot-Kopieranforderungen an eine einzelne Zielregion aktiv sein.

  • Wenn Sie mehrere Snapshot-Kopien für dieselbe Quell-DB-Instance anfordern, werden diese intern in die Warteschlange gestellt. Mit den später angeforderten Kopien wird erst begonnen, wenn die vorherigen Snapshot-Kopien fertiggestellt sind. Weitere Informationen finden Sie unter Warum ist die Erstellung meines EC2-AMI- oder EBS-Snapshots langsam? im AWS-Wissenscenter.

  • Je nach den beteiligten AWS-Regionen und der Menge der zu kopierenden Daten kann es Stunden dauern, bis eine regionsübergreifende Snapshot-Kopie fertiggestellt wird. In einigen Fällen kann es eine große Anzahl von regionsübergreifenden Snapshot-Kopieranforderungen aus einer bestimmten -Region geben. In solchen Fällen stellt Amazon RDS neue regionsübergreifende Kopieranforderungen dieser -Quellregion gegebenenfalls in eine Warteschlange, bis aktive Kopiervorgänge abgeschlossen wurden. Zu Kopieranforderungen, die sich in der Warteschlange befinden, werden keine Fortschrittsinformationen angezeigt. Fortschrittsinformationen werden angezeigt, sobald der Kopiervorgang gestartet wird.

Snapshot-Aufbewahrung

Amazon RDS löscht automatisierte Backups in verschiedenen Situationen:

  • Am Ende des Aufbewahrungszeitraums.

  • Wenn Sie automatisierte Backups für eine DB-Instance deaktivieren.

  • Wenn Sie eine DB-Instance löschen.

Soll ein automatisches Backup länger aufbewahrt werden, erstellen Sie durch Kopieren einen manuellen Snapshot, der aufbewahrt wird, bis Sie ihn löschen. Amazon-RDS-Speicherkosten können für manuelle Snapshots anfallen, wenn sie Ihren Standardspeicherplatz überschreiten.

Weitere Information zu Sicherungsspeicherkosten finden Sie unter Amazon RDS – Preise.

Kopieren freigegebener Snapshots

Sie können Snapshots kopieren, die andere AWS-Konten für Sie freigegeben haben. In einigen Fällen können Sie einen verschlüsselten Snapshot kopieren, der von einem anderen AWS-Konto freigegeben wurde. In diesen Fällen müssen Sie Zugriff auf die AWS KMS key haben, die zur Verschlüsselung des Snapshots verwendet wurde.

Sie können einen freigegebenen DB-Snapshot über AWS-Regionen hinweg kopieren, wenn der Snapshot unverschlüsselt ist. Ist der freigegebene DB-Snapshot jedoch verschlüsselt, können Sie ihn nur in dieselbe Region kopieren.

Anmerkung

Das Kopieren gemeinsamer inkrementeller Snapshots in derselben AWS-Region wird unterstützt, wenn sie unverschlüsselt oder mit demselben KMS-Schlüssel wie der ursprüngliche vollständige Snapshot verschlüsselt sind. Wenn Sie einen anderen KMS-Schlüssel verwenden, um nachfolgende Snapshots zu verschlüsseln, wenn sie kopiert werden, sind diese freigegebenen Snapshots vollständige Snapshots. Weitere Informationen finden Sie unter Inkrementelles Kopieren von Snapshots.

Umgang mit Verschlüsselungen

Sie können einen Snapshot kopieren, der mit einem KMS-Schlüssel verschlüsselt wurde. Wenn Sie einen verschlüsselten Snapshot kopieren, muss auch die Kopie des Snapshots verschlüsselt werden. Wenn Sie einen verschlüsselten Snapshot innerhalb derselben AWS-Region kopieren, können Sie die Kopie mit demselben KMS-Schlüssel verschlüsseln wie den Original-Snapshot. Oder Sie können einen anderen KMS-Schlüssel angeben.

Wenn Sie einen verschlüsselten Snapshot in andere Regionen kopieren, müssen Sie einen gültigen KMS-Schlüssel für die Ziel-AWS-Region angeben. Es kann ein regionsspezifischer KMS-Schlüssel oder ein multiregionaler Schlüssel sein. Weitere Informationen über multiregionale Schlüssel finden Sie unter Verwenden von multiregionalen Schlüsseln in AWS KMS.

Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Weitere Informationen finden Sie unter Einschränkungen von Amazon RDS-verschlüsselten DB-Instances.

Die Kopie eines unverschlüsselten Snapshots kann verschlüsselt werden. Auf diese Weise können Sie zuvor unverschlüsselte DB-Instances schnell verschlüsseln. Dazu können Sie einen Snapshot Ihrer DB-Instance erstellen, wenn Sie bereit sind, sie zu verschlüsseln. Sie erstellen dann eine Kopie dieses Snapshots und geben einen KMS-Schlüssel an, um diese Snapshot-Kopie zu verschlüsseln. Anschließend können Sie eine verschlüsselte DB-Instance aus dem verschlüsselten Snapshot wiederherstellen.

Inkrementelles Kopieren von Snapshots

Ein inkrementeller Snapshot enthält nur die Daten, die sich nach dem letzten Snapshot derselben DB-Instance geändert haben. Das inkrementelle Kopieren von Snapshots ist schneller und verursacht geringere Speicherkosten als das vollständige Kopieren von Snapshots.

Anmerkung

Wenn Sie einen Quell-Snapshot kopieren, bei dem es sich um eine Snapshot-Kopie handelt, ist die neue Kopie nicht inkrementell. Dies liegt daran, dass die Quell-Snapshot-Kopie nicht die erforderlichen Metadaten für inkrementelle Kopien enthält.

Ob eine Snapshot-Kopie inkrementell ist, wird durch die zuletzt erstellte Snapshot-Kopie bestimmt. Wenn die letzte Snapshot-Kopie gelöscht wurde, ist die nächste Kopie eine vollständige Kopie und keine inkrementelle Kopie.

Wenn eine Kopie noch aussteht, wenn Sie eine andere Kopie starten, wird die zweite Kopie nicht starten, bis nach Abschluss der ersten Kopie.

Wenn Sie einen Snapshot über AWS-Konten hinweg kopieren, handelt es sich bei der Kopie um eine inkrementelle Kopie, wenn die folgenden Bedingungen erfüllt sind:

  • Ein anderer Snapshot derselben Quell-DB-Instance wurde zuvor in das Zielkonto kopiert.

  • Die aktuelle Snapshot-Kopie existiert noch im Zielkonto.

  • Alle Kopien des Snapshots im Zielkonto sind entweder unverschlüsselt oder wurden mit demselben KMS-Schlüssel verschlüsselt.

Die folgenden Beispiele veranschaulichen den Unterschied zwischen vollständigen und inkrementellen Snapshots. Sie gelten sowohl für freigegebene als auch für nicht freigegebene Snapshots.

Snapshot Verschlüsselungsschlüssel Vollständig oder inkrementell
S1 K1 Voll
S2 K1 Inkrementelle von S1
S3 K1 Inkrementelle von S2
S4 K1 Inkrementelle von S3
Kopie von S1 (S1C) K2 Voll
Kopie von S2 (S2C) K3 Voll
Kopie von S3 (S3C) K3 Inkrementelle von S2C
Kopie von S4 (S4C) K3 Inkrementelle von S3C
Kopie 2 von S4 (S4C2) K4 Voll
Anmerkung

In diesen Beispielen sind Snapshots S2, S3 und S4 nur inkrementell, wenn der vorherige Snapshot noch vorhanden ist.

Gleiches gilt für Kopien. Snapshot-Kopien S3C und S4C sind nur inkrementell, wenn die vorherige Kopie noch vorhanden ist.

Informationen zum Kopieren inkrementeller Snapshots in allen AWS-Regionen finden Sie unter Vollständige und inkrementelle Kopien.

Regionsübergreifende Snapshot-Kopie

Sie können DB-Snapshots über AWS-Regionen hinweg kopieren. Es gibt jedoch bestimmte Einschränkungen und Überlegungen für das Kopieren von regionsübergreifenden Snapshots.

Anfordern einer Regionsübergreifende Kopie für DB-Snapshots

Um mit der Quellregion zu kommunizieren, um eine regionsübergreifende DB-Snapshot-Kopie anzufordern, muss der Anforderer (IAM-Rolle oder IAM-Benutzer) Zugriff auf den Quell-DB-Snapshot und die Quellregion haben.

Bestimmte Bedingungen in der IAM-Richtlinie des Anforderers können dazu führen, dass die Anfrage fehlschlägt. In den folgenden Beispielen wird davon ausgegangen, dass Sie den DB-Snapshot von USA Ost (Ohio) zu US East (N. Virginia) kopieren. Diese Beispiele zeigen die Bedingungen in der IAM-Richtlinie des Anforderers, die dazu führen, dass die Anfrage fehlschlägt:

  • Die Richtlinie des Anforderers hat eine Bedingung für aws:RequestedRegion.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-east-1" } }

    Die Anfrage schlägt fehl, weil die Richtlinie den Zugriff auf die Quellregion nicht zulässt. Für eine erfolgreiche Anfrage geben Sie sowohl die Quell- als auch die Zielregion an.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-east-2" ] } }
  • Die Richtlinie des Anforderers erlaubt keinen Zugriff auf den Quell-DB-Snapshot.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "arn:aws:rds:us-east-1:123456789012:snapshot:target-snapshot" ...

    Für eine erfolgreiche Anfrage geben Sie sowohl die Quell- als auch die Ziel-Snapshots an.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": [ "arn:aws:rds:us-east-1:123456789012:snapshot:target-snapshot", "arn:aws:rds:us-east-2:123456789012:snapshot:source-snapshot" ] ...
  • Die Richtlinie des Anforderers lehnt a aws:ViaAWSService.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "Bool": {"aws:ViaAWSService": "false"} }

    Die Kommunikation mit der Quellregion erfolgt über RDS im Namen des Anforderers. Für eine erfolgreiche Anfrage lehnen Sie keine Aufrufe von AWS-Services ab.

  • Die Richtlinie des Anforderers hat eine Bedingung für aws:SourceVpc oder aws:SourceVpce.

    Diese Anforderungen können fehlschlagen, da RDS den Aufruf an die entfernte Region nicht vom angegebenen VPC- oder VPC-Endpunkt ausführt.

Wenn Sie eine der vorherigen Bedingungen verwenden müssen, die dazu führen würde, dass eine Anfrage fehlschlägt, können Sie eine zweite Anweisung mit aws:CalledVia in Ihrer Richtlinie aufnehmen, um die Anfrage erfolgreich zu machen. Zum Beispiel können Sie aws:CalledVia mit aws:SourceVpce wie hier gezeigt verwenden:

... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "Condition" : { "ForAnyValue:StringEquals" : { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "rds:CopyDBSnapshot" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "rds.amazonaws.com" ] } } }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.

Autorisieren der Snapshot-Kopie

Nachdem eine regionsübergreifenden DB-Snapshot-Kopieranforderung success ausgibt, startet RDS die Kopie im Hintergrund. Es wird eine Autorisierung für RDS für den Zugriff auf den Quell-Snapshot erstellt. Diese Autorisierung verknüpft den Quell-DB-Snapshot mit dem Ziel-DB-Snapshot und ermöglicht es RDS, nur in den angegebenen Ziel-Snapshot zu kopieren.

Die Autorisierung wird von RDS unter Verwendung der rds:CrossRegionCommunication-Berechtigung in der serviceverknüpfte IAM-Rolle verifiziert. Wenn die Kopie autorisiert ist, kommuniziert RDS mit der Quellregion und schließt die Kopie ab.

RDS hat keinen Zugriff auf DB-Snapshots, die zuvor nicht von einer CopyDBSnapshot-Anfrage authorisiert wurden. Die Autorisierung wird widerrufen, wenn der Kopiervorgang abgeschlossen ist.

RDS verwendet die serviceverknüpfte Rolle, um die Autorisierung in der Quellregion zu überprüfen. Wenn Sie die serviceverknüpfte Rolle während des Kopiervorgangs löschen, schlägt die Kopie fehl.

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im IAM-Benutzerhandbuch.

Verwenden von AWS Security Token Service-Anmeldeinformationen

Sitzungstoken vom globalen AWS Security Token Service (AWS STS)-Endpunkt sind nur in den AWS-Regionen gültig, die standardmäßig aktiviert sind (kommerzielle Regionen). Wenn Sie Anmeldeinformationen aus dem assumeRole API-Betrieb in AWS STS verwenden, verwenden Sie den regionalen Endpunkt, wenn die Quellregion eine Opt-in-Region ist. Andernfalls schlägt die Anforderung fehl. Dies geschieht, weil Ihre Anmeldeinformationen in beiden Regionen gültig sein müssen, was für Opt-in-Regionen nur gilt, wenn der regionale AWS STS-Endpunkt verwendet wird.

Um den globalen Endpunkt zu verwenden, stellen Sie sicher, dass er für beide Regionen in den Vorgängen aktiviert ist. Setzen Sie den globalen Endpunkt auf Valid in all AWS-Regionen in den AWS STS-Kontoeinstellungen.

Die gleiche Regel gilt für Anmeldeinformationen im vorsignierten URL-Parameter.

Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.

Latenz- und mehrfache Kopieranfragen

Je nach den beteiligten AWS-Regionen und der Menge der zu kopierenden Daten kann es Stunden dauern, bis eine regionsübergreifende Snapshot-Kopie fertiggestellt wird.

In einigen Fällen kann es eine große Anzahl von regionsübergreifenden Snapshot-Kopieranforderungen aus einer bestimmten AWS-Region geben. In solchen Fällen stellt Amazon RDS neue regionsübergreifende Kopieranforderungen dieser Quell-AWS-Region gegebenenfalls in eine Warteschlange, bis aktive Kopiervorgänge abgeschlossen wurden. Zu Kopieranforderungen, die sich in der Warteschlange befinden, werden keine Fortschrittsinformationen angezeigt. Fortschrittsinformationen werden angezeigt, sobald das Kopieren beginnt.

Vollständige und inkrementelle Kopien

Wenn Sie einen Snapshot in eine andere AWS-Region als die Region des Quell-Snapshots kopieren, ist die erste Kopie eine vollständige Snapshot-Kopie, auch wenn Sie einen inkrementellen Snapshot kopieren. Eine vollständige Snapshot-Kopie enthält alle Daten und Metadaten, die zur Wiederherstellung der DB-Instance erforderlich sind. Nach der ersten Snapshot-Kopie können Sie inkrementelle Snapshots derselben DB-Instance in dieselbe Zielregion innerhalb desselben AWS-Kontos kopieren. Weitere Informationen zu inkrementellen Snapshots finden Sie unter Inkrementelles Kopieren von Snapshots.

Das inkrementelle Kopieren von Snapshots über AWS-Regionen hinweg wird sowohl für unverschlüsselte als auch für verschlüsselte Snapshots unterstützt.

Wenn Sie einen Snapshot über AWS-Regionen hinweg kopieren, handelt es sich bei der Kopie um eine inkrementelle Kopie, wenn die folgenden Bedingungen erfüllt sind:

  • Der Snapshot wurde zuvor in die Zielregion kopiert.

  • Die aktuelle Snapshot-Kopie existiert noch in der Zielregion.

  • Alle Kopien des Snapshots in der Zielregion sind entweder unverschlüsselt oder wurden mit demselben KMS-Schlüssel verschlüsselt.

Überlegungen zu Optionsgruppen

Optionsgruppen sind für die AWS-Region spezifisch, in der sie erstellt werden. Sie können Optionsgruppen einer AWS-Region nicht in einer anderen AWS-Region verwenden.

Wenn Sie einen Snapshot regionsübergreifend kopieren, können Sie eine neue Optionsgruppe für den Snapshot angeben. Wir empfehlen, die neue Optionsgruppe vorzubereiten, bevor Sie den Snapshot kopieren. Erstellen Sie in der Ziel-AWS-Region eine Optionsgruppe mit den Einstellungen, die für die ursprüngliche DB-Instance den ursprünglichen DB-Cluster gelten. Wenn bereits eine Gruppe in der neuen AWS-Region existiert, können Sie diese verwenden.

In einigen Fällen können Sie einen Snapshot kopieren und keine neue Optionsgruppe für den Snapshot angeben. In diesen Fällen erhält die DB-Instance bei der Wiederherstellung des Snapshots die standardmäßige Optionsgruppe. Soll die neue DB-Instance die gleichen Optionen wie das Original erhalten, gehen Sie folgendermaßen vor:

  1. Erstellen Sie in der Ziel-AWS-Region eine Optionsgruppe mit den Einstellungen, die für die ursprüngliche DB-Instance den ursprünglichen DB-Cluster gelten. Wenn bereits eine Gruppe in der neuen AWS-Region existiert, können Sie diese verwenden.

  2. Modifizieren Sie nach der Wiederherstellung des Snapshots in der Ziel-AWS-Region die neue DB-Instance und fügen Sie die neue Optionsgruppe oder die bestehende Optionsgruppe aus dem vorhergehenden Schritt hinzu.

Überlegungen zu Parametergruppen

Wenn Sie einen Snapshot regionsübergreifend kopieren, enthält die Kopie nicht die von der ursprünglichen DB-Instance verwendete Parametergruppe. Wenn Sie einen Snapshot wiederherstellen, um eine neue DB-Instance zu erstellen, erhält diese DB-Instance die Standardparametergruppe für die AWS-Region der Erstellung. Soll die neue DB-Instance die gleichen Parameter wie das Original erhalten, gehen Sie folgendermaßen vor:

  1. Erstellen Sie in der Ziel-AWS-Region eine DB-Parametergruppe mit den Einstellungen, die für die ursprüngliche DB-Instance gelten. Wenn bereits eine Gruppe in der neuen AWS-Region existiert, können Sie diese verwenden.

  2. Modifizieren Sie nach der Wiederherstellung des Snapshots in der Ziel-AWS-Region die neue DB-Instance und fügen Sie die neue Optionsgruppe oder die bestehende Parametergruppe aus dem vorhergehenden Schritt hinzu.

Kopieren eines DB-Snapshots

Verwenden Sie zum Kopieren eines DB-Snapshots die in diesem Thema beschriebenen Verfahren. Eine Übersicht zum Kopieren von Snapshots finden Sie unter Kopieren eines DB-Snapshots

Für jedes AWS-Konto können Sie gleichzeitig bis zu fünf DB-Snapshots aus einer AWS-Region in eine andere kopieren. Wenn Sie einen DB-Snapshot in eine andere AWS-Region kopieren, erstellen Sie einen manuellen DB-Snapshot, der in der betreffenden AWS-Region beibehalten wird. Beim Kopieren von DB-Snapshots aus der Quell-AWS-Region fallen Amazon-RDS-Datenübertragungsgebühren an.

Weitere Informationen zu den Kosten von Datenübertragungen finden Sie unter Amazon RDS – Preise.

Nachdem die Kopie des DB-Snapshots in der neuen AWS-Region erstellt wurde, verhält sich diese DB-Snapshot-Kopie wie alle anderen DB-Snapshots in der AWS-Region.

Sie können einen DB-Snapshot mit der AWS Management Console, der AWS CLI oder der RDS-API kopieren.

Mit dem folgenden Verfahren wird ein verschlüsselter oder unverschlüsselter DB-Snapshot in einer AWS-Region oder regionsübergreifend unter Verwendung der AWS Management Console kopiert.

So kopieren Sie einen DB-Snapshot

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den zu kopierenden DB-Snapshot.

  4. Wählen Sie für Actions (Aktionen) die Option Copy Snapshot (Snapshot kopieren).

    Die Seite Snapshot kopieren wird angezeigt.

    
							Kopieren eines DB-Snapshots
  5. (Optional) Um den DB-Snapshot in eine andere AWS-Region zu kopieren, wählen Sie unter Destination Region (Zielregion) die neue AWS-Region aus.

    Anmerkung

    In der Ziel-AWS-Region muss die Datenbank-Engine in der gleichen Version wie in der Quell-AWS-Region verfügbar sein.

  6. Geben Sie in New DB Snapshot Identifier (Neue DB-Snapshot-Kennung) den Namen der DB-Snapshot-Kopie ein.

    Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss über eine eindeutige Kennung verfügen.

  7. (Optional) Wählen Sie unter Target Option Group (Zieloptionsgruppe) eine neue Optionsgruppe aus.

    Geben Sie diese Option an, wenn Sie einen Snapshot aus einer AWS-Region in eine andere kopieren und die DB-Instance nicht die Standardoptionsgruppe verwendet.

    Damit die Quell-DB-Instance für Oracle oder Microsoft SQL Server die transparente Datenverschlüsselung verwendet, müssen Sie diese Option beim regionsübergreifenden Kopieren angeben. Weitere Informationen finden Sie unter Überlegungen zu Optionsgruppen.

  8. (Optional) Wählen Sie Copy Tags (Tags kopieren), um Tags und Werte aus dem Snapshot in die Kopie des Snapshots zu übernehmen.

  9. (Optional) Für Verschlüsselung , gehen Sie folgendermaßen vor:

    1. Wählen Sie Enable Encryption (Verschlüsselung aktivieren), wenn der DB-Snapshot nicht verschlüsselt ist, die Kopie aber verschlüsselt werden soll.

      Anmerkung

      Wenn der DB-Snapshot verschlüsselt ist, müssen Sie die Kopie verschlüsseln, damit das Kontrollkästchen bereits aktiviert ist.

    2. Für AWS KMS key geben Sie den KMS-Schlüsselbezeichner an, der zur Verschlüsselung der DB-Snapshot-Kopie verwendet werden soll.

  10. Wählen Sie Copy Snapshot (Snapshot kopieren) aus.

Sie können einen DB-Snapshot mit dem AWS CLI-Befehl copy-db-snapshot kopieren. Wenn Sie den Snapshot in eine neue AWS-Region kopieren, führen Sie den Befehl in der neuen AWS-Region aus.

Zum Kopieren eines DB-Snapshots werden die folgenden Optionen verwendet. Nicht alle Optionen werden in allen Szenarien benötigt. Verwenden Sie die folgenden Beschreibungen und Beispiele, um die zu verwendenden Optionen zu ermitteln.

  • --source-db-snapshot-identifier – Der Bezeichner des Quell-DB-Snapshots.

    • Wenn sich der Quell-Snapshot in derselben AWS-Region wie die Kopie befindet, müssen Sie einen gültigen DB-Snapshot-Bezeichner angeben. Beispiel, rds:mysql-instance1-snapshot-20130805.

    • Wenn sich der Quell-Snapshot in einer anderen AWS-Region als die Kopie befindet, müssen Sie einen gültigen DB-Snapshot-ARN angeben. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20130805.

    • Wenn Sie aus einem freigegebenen manuellen DB-Snapshot kopieren, muss dieser Parameter der Amazon-Ressourcenname (ARN) des freigegebenen DB-Snapshots sein.

    • Wenn Sie einen verschlüsselten Snapshot kopieren, muss dieser Parameter im ARN-Format der Quell-AWS-Region angegeben werden und SourceDBSnapshotIdentifier im Parameter PreSignedUrl entsprechen.

  • --target-db-snapshot-identifier – Der Bezeichner für die neue Kopie des verschlüsselten DB-Snapshots.

  • --copy-tags – Geben Sie diese Option an, damit Tags und Werte aus dem Snapshot in die Kopie des Snapshots übernommen werden.

  • --option-group-name – Die Optionsgruppe, die der Kopie des Snapshots zugeordnet werden soll.

    Geben Sie diese Option an, wenn Sie einen Snapshot aus einer AWS-Region in eine andere kopieren und die DB-Instance nicht die Standardoptionsgruppe verwendet.

    Damit die Quell-DB-Instance für Oracle oder Microsoft SQL Server die transparente Datenverschlüsselung verwendet, müssen Sie diese Option beim regionsübergreifenden Kopieren angeben. Weitere Informationen finden Sie unter Überlegungen zu Optionsgruppen.

  • --kms-key-id – Der KMS-Schlüsselbezeichner für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten DB-Snapshot von Ihrem AWS-Konto kopieren, können Sie einen Wert für diesen Parameter angeben, um die Kopie mit einem neuen KMS-Schlüssel zu verschlüsseln. Wenn Sie keinen Wert für diesen Parameter angeben, wird die Kopie des DB-Snapshots mit demselben KMS-Verschlüsselungsschlüssel wie der Quell-DB-Snapshot verschlüsselt.

    • Wenn Sie einen verschlüsselten DB-Snapshot kopieren, der von einem anderen AWS-Konto freigegeben wurde, müssen Sie einen Wert für diesen Parameter angeben.

    • Falls Sie diesen Parameter beim Kopieren eines unverschlüsselten Snapshots angeben, wird die Kopie verschlüsselt.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel-AWS-Region angeben. KMS-Schlüssel sind spezifisch für die AWS-Region, in der sie erstellt wurden, und Sie können keine Verschlüsselungsschlüssel aus einer AWS-Region in einer anderen AWS-Region verwenden.

Beispiel Unverschlüsselte Quelle in derselben Region

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der AWS-Region, in der sich der Quell-Snapshot befindet. Beim Erstellen der Kopie werden alle Tags des ursprünglichen Snapshots in die Snapshot-Kopie übernommen.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier mysql-instance1-snapshot-20130805 \ --target-db-snapshot-identifier mydbsnapshotcopy \ --copy-tags

Für Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier mysql-instance1-snapshot-20130805 ^ --target-db-snapshot-identifier mydbsnapshotcopy ^ --copy-tags

Beispiel Unverschlüsselte Quelle in andere Region

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der AWS-Region, in der der Befehl ausgeführt wird.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier arn:aws:rds:us-east-1:123456789012:snapshot:mysql-instance1-snapshot-20130805 \ --target-db-snapshot-identifier mydbsnapshotcopy

Für Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier arn:aws:rds:us-east-1:123456789012:snapshot:mysql-instance1-snapshot-20130805 ^ --target-db-snapshot-identifier mydbsnapshotcopy

Beispiel Verschlüsselte Quelle in andere Region

Im folgenden Codebeispiel wird ein verschlüsselter DB-Snapshot aus der USA West (Oregon)-Region in die US East (N. Virginia)-Region kopiert. Führen Sie den Befehl in der Zielregion (us-east-1) aus.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115 \ --target-db-snapshot-identifier mydbsnapshotcopy \ --kms-key-id my-us-east-1-key \ --option-group-name custom-option-group-name

Für Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115 ^ --target-db-snapshot-identifier mydbsnapshotcopy ^ --kms-key-id my-us-east-1-key ^ --option-group-name custom-option-group-name

Der Parameter --source-region ist erforderlich, wenn Sie einen verschlüsselten Snapshot zwischen den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (USA-West) kopieren. Geben Sie für --source-region die AWS-Region der Quell-DB-Instance an.

Wenn --source-region nicht festgelegt ist, geben Sie einen --pre-signed-url-Wert an. Eine vorsignierte URL ist eine URL, die eine mit der Signaturversion 4 signierte Anforderung für den Befehl copy-db-snapshot enthält, die in der Quell-AWS-Region aufgerufen wird. Weitere Informationen über die Option pre-signed-url finden Sie unter copy-db-snapshot in der AWS CLI-Befehlsreferenz.

Sie können einen DB-Snapshot mithilfe der Amazon RDS-API-Operation CopyDBSnapshot kopieren. Wenn Sie den Snapshot in eine neue AWS-Region kopieren, führen Sie die Aktion in der neuen AWS-Region aus.

Zum Kopieren eines DB-Snapshots werden die folgenden Parameter verwendet. Nicht alle Parameter werden in allen Szenarien benötigt. Verwenden Sie die folgenden Beschreibungen und Beispiele, um die zu verwendenden Parameter zu ermitteln.

  • SourceDBSnapshotIdentifier – Der Bezeichner des Quell-DB-Snapshots.

    • Wenn sich der Quell-Snapshot in derselben AWS-Region wie die Kopie befindet, müssen Sie einen gültigen DB-Snapshot-Bezeichner angeben. Beispiel, rds:mysql-instance1-snapshot-20130805.

    • Wenn sich der Quell-Snapshot in einer anderen AWS-Region als die Kopie befindet, müssen Sie einen gültigen DB-Snapshot-ARN angeben. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20130805.

    • Wenn Sie aus einem freigegebenen manuellen DB-Snapshot kopieren, muss dieser Parameter der Amazon-Ressourcenname (ARN) des freigegebenen DB-Snapshots sein.

    • Wenn Sie einen verschlüsselten Snapshot kopieren, muss dieser Parameter im ARN-Format der Quell-AWS-Region angegeben werden und SourceDBSnapshotIdentifier im Parameter PreSignedUrl entsprechen.

  • TargetDBSnapshotIdentifier – Der Bezeichner für die neue Kopie des verschlüsselten DB-Snapshots.

  • CopyTags – Setzen Sie diesen Parameter auf true, damit Tags und Werte aus dem Snapshot in die Kopie des Snapshots übernommen werden. Der Standardwert ist false.

  • OptionGroupName – Die Optionsgruppe, die der Kopie des Snapshots zugeordnet werden soll.

    Geben Sie diesen Parameter an, wenn Sie einen Snapshot aus einer AWS-Region in eine andere kopieren und die DB-Instance nicht die Standardoptionsgruppe verwendet.

    Damit die Quell-DB-Instance für Oracle oder Microsoft SQL Server die transparente Datenverschlüsselung verwendet, müssen Sie diesen Parameter beim regionsübergreifenden Kopieren angeben. Weitere Informationen finden Sie unter Überlegungen zu Optionsgruppen.

  • KmsKeyId – Der KMS-Schlüsselbezeichner für einen verschlüsselten DB-Snapshot. Der KMS-Schlüsselbezeichner ist der Amazon Resource Name (ARN), der Schlüsselbezeichner oder der Schlüsselalias für den KMS-Schlüssel.

    • Wenn Sie einen verschlüsselten DB-Snapshot von Ihrem AWS-Konto kopieren, können Sie einen Wert für diesen Parameter angeben, um die Kopie mit einem neuen KMS-Schlüssel zu verschlüsseln. Wenn Sie keinen Wert für diesen Parameter angeben, wird die Kopie des DB-Snapshots mit demselben KMS-Verschlüsselungsschlüssel wie der Quell-DB-Snapshot verschlüsselt.

    • Wenn Sie einen verschlüsselten DB-Snapshot kopieren, der von einem anderen AWS-Konto freigegeben wurde, müssen Sie einen Wert für diesen Parameter angeben.

    • Falls Sie diesen Parameter beim Kopieren eines unverschlüsselten Snapshots angeben, wird die Kopie verschlüsselt.

    • Wenn Sie einen verschlüsselten Snapshot in eine andere AWS-Region kopieren, müssen Sie einen KMS-Schlüssel für die Ziel-AWS-Region angeben. KMS-Schlüssel sind spezifisch für die AWS-Region, in der sie erstellt wurden, und Sie können keine Verschlüsselungsschlüssel aus einer AWS-Region in einer anderen AWS-Region verwenden.

  • PreSignedUrl – Die URL, die eine mit Signature Version 4 signierte Anforderung für die API-Operation CopyDBSnapshot in der Quell-AWS-Region enthält, in der sich der zu kopierende DB-Snapshot befindet.

    Geben Sie diesen Parameter an, wenn Sie einen verschlüsselten DB-Snapshot unter Verwendung der Amazon-RDS-API aus einer anderen AWS-Region kopieren. Sie können anstelle dieses Parameters die Option für die Quellregion angeben, wenn Sie einen verschlüsselten DB-Snapshot unter Verwendung der AWS-Region aus einer anderen AWS CLI kopieren.

    Die vorsignierte URL muss eine gültige Anforderung für die API-Operation CopyDBSnapshot sein, die in der Quell-AWS-Region ausgeführt werden kann, in der sich der zu kopierende verschlüsselte DB-Snapshot befindet. Die vorsignierte URL-Anforderung muss die folgenden Parameterwerte enthalten:

    • DestinationRegion – Die AWS-Region, in die der verschlüsselte DB-Snapshot kopiert wird. Diese AWS-Region ist die Region, in der die Aktion CopyDBSnapshot aufgerufen wird, die diese vorsignierte URL enthält.

      Nehmen wir beispielsweise an, Sie kopieren einen verschlüsselten DB-Snapshot aus der Region us-west-2 in die Region us-east-1. Sie rufen dann die Aktion CopyDBSnapshot in der Region us-east-1 auf und geben Sie eine vorsignierte URL an, die einen Aufruf an die Aktion CopyDBSnapshot in der Region us-west-2 enthält. In diesem Beispiel muss DestinationRegion in der vorsignierten URL auf die Region us-east-1 festgelegt werden.

    • KmsKeyId – Die KMS-Schlüsselkennung für den Schlüssel, der für die Verschlüsselung der Kopie des DB-Snapshots in der Ziel-AWS-Region verwendet werden soll. Dieser Bezeichner wird für die Aktion CopyDBSnapshot, die in der Ziel-AWS-Region aufgerufen wird, und für die in der vorsignierten URL enthaltene Aktion verwendet.

    • SourceDBSnapshotIdentifier – Der DB-Snapshot-Bezeichner des zu kopierenden verschlüsselten DB-Snapshots. Dieser Bezeichner muss im ARN-Format (Amazon-Ressourcenname) der Quell-AWS-Region angegeben werden. Wenn Sie beispielsweise einen verschlüsselten DB-Snapshot aus der Region us-west-2 kopieren, entspricht der SourceDBSnapshotIdentifier folgendem Beispiel: arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115.

    Weitere Informationen zu mit Signature Version 4 signierte Anforderungen finden Sie nachstehend:

Beispiel Unverschlüsselte Quelle in derselben Region

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der AWS-Region, in der sich der Quell-Snapshot befindet. Beim Erstellen der Kopie werden alle Tags des ursprünglichen Snapshots in die Snapshot-Kopie übernommen.

https://rds.us-west-1.amazonaws.com/ ?Action=CopyDBSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=mysql-instance1-snapshot-20130805 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20140429/us-west-1/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

Beispiel Unverschlüsselte Quelle in andere Region

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der USA West (Nordkalifornien)-Region.

https://rds.us-west-1.amazonaws.com/ ?Action=CopyDBSnapshot &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-east-1%3A123456789012%3Asnapshot%3Amysql-instance1-snapshot-20130805 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20140429/us-west-1/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

Beispiel Verschlüsselte Quelle in andere Region

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der US East (N. Virginia)-Region.

https://rds.us-east-1.amazonaws.com/ ?Action=CopyDBSnapshot &KmsKeyId=my-us-east-1-key &OptionGroupName=custom-option-group-name &PreSignedUrl=https%253A%252F%252Frds.us-west-2.amazonaws.com%252F %253FAction%253DCopyDBSnapshot %2526DestinationRegion%253Dus-east-1 %2526KmsKeyId%253Dmy-us-east-1-key %2526SourceDBSnapshotIdentifier%253Darn%25253Aaws%25253Ards%25253Aus-west-2%25253A123456789012%25253Asnapshot%25253Amysql-instance1-snapshot-20161115 %2526SignatureMethod%253DHmacSHA256 %2526SignatureVersion%253D4 %2526Version%253D2014-10-31 %2526X-Amz-Algorithm%253DAWS4-HMAC-SHA256 %2526X-Amz-Credential%253DAKIADQKE4SARGYLE%252F20161117%252Fus-west-2%252Frds%252Faws4_request %2526X-Amz-Date%253D20161117T215409Z %2526X-Amz-Expires%253D3600 %2526X-Amz-SignedHeaders%253Dcontent-type%253Bhost%253Buser-agent%253Bx-amz-content-sha256%253Bx-amz-date %2526X-Amz-Signature%253D255a0f17b4e717d3b67fad163c3ec26573b882c03a65523522cf890a67fca613 &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Amysql-instance1-snapshot-20161115 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request &X-Amz-Date=20161117T221704Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf