Kopieren eines Amazon RDS Custom for SQL Server-DB-Snapshots

Mit RDS Custom for SQL Server können Sie automatische Backups und manuelle DB-Snapshots kopieren. Nach dem Kopieren eines Snapshots handelt es sich bei der von Ihnen erstellten Kopie um einen manuellen Snapshot. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss eine eindeutige Kennung haben.

Sie können einen Snapshot nur innerhalb desselben kopieren AWS Konto zwischen verschiedenen AWS-Regionen wo RDS Custom for SQL Server verfügbar ist. Die folgenden Operationen werden derzeit nicht unterstützt:

• Kopieren von DB-Snapshots innerhalb desselben AWS-Region.

• DB-Snapshots zwischen AWS Konten.

RDSCustom for SQL Server unterstützt das inkrementelle Kopieren von Snapshots. Weitere Informationen finden Sie unter Inkrementelles Kopieren von Snapshots.

Einschränkungen

Die folgenden Einschränkungen gelten für das Kopieren eines DB-Snapshots für RDS Custom for SQL Server:

• Wenn Sie einen Quell-Snapshot löschen, bevor der Ziel-Snapshot verfügbar ist, kann das Kopieren des Snapshots fehlschlagen. Stellen Sie sicher, dass der Ziel-Snapshot den Status hat, AVAILABLE bevor Sie den Quell-Snapshot löschen.

• Sie können in Ihrer Anfrage zum Kopieren von DB-Snapshots keinen Namen für eine Optionsgruppe angeben oder eine Optionsgruppe kopieren.

• Wenn Sie ein abhängiges Objekt löschen AWS Ressourcen des Quell-DB-Snapshots vor oder während des Kopiervorgangs könnte Ihre Anfrage zum Kopieren des Snapshots asynchron fehlschlagen.

  • Wenn Sie die Service Master Key (SMK) -Backup-Datei für Ihre Quell-DB-Instance löschen, die im RDS Custom Managed S3-Bucket in Ihrem Konto gespeichert ist, ist das Kopieren des DB-Snapshots asynchron erfolgreich. Bei SQL Serverfunktionen, die von TDE aktivierten Datenbanken SMK abhängig sind, treten jedoch Probleme auf. Weitere Informationen finden Sie unter Problembehandlung PENDING _ RECOVERY state für TDE aktivierte Datenbanken in RDS Custom for SQL Server.

• Kopieren von DB-Snapshots innerhalb derselben AWS-Region wird derzeit nicht unterstützt.

• Kopieren von DB-Snapshots zwischen AWS Konten werden derzeit nicht unterstützt.

Die Einschränkungen beim Kopieren eines DB-Snapshots für Amazon gelten RDS auch für RDS Custom for SQL Server. Weitere Informationen finden Sie unter Einschränkungen.

Umgang mit Verschlüsselungen

Alle RDS Custom for SQL Server-DB-Instances und DB-Snapshots sind mit KMS Schlüsseln verschlüsselt. Sie können nur einen verschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren. Daher müssen Sie einen im KMS Ziel gültigen Schlüssel angeben AWS-Region für Ihre Anfrage zum Kopieren von DB-Snapshots.

Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon RDS verwendet Umschlagverschlüsselung, um Daten während des Kopiervorgangs mit dem angegebenen Ziel zu schützen AWS-Region KMSSchlüssel. Weitere Informationen finden Sie unter Umschlagverschlüsselung im AWS Key Management Service Entwicklerhandbuch.

Regionsübergreifendes Kopieren

Sie können DB-Snapshots zwischen AWS-Regionen. Für das regionsübergreifende Kopieren von Snapshots gelten jedoch bestimmte Einschränkungen und Überlegungen.

Autorisierung RDS zur Kommunikation zwischen AWS-Regionen zum Kopieren von Snapshots

Nachdem eine regionsübergreifende Anfrage zum Kopieren von DB-Snapshots erfolgreich verarbeitet wurde, wird der Kopiervorgang RDS gestartet. Eine Autorisierungsanfrage für den RDS Zugriff auf den Quell-Snapshot wird erstellt. Diese Autorisierungsanfrage verknüpft den Quell-DB-Snapshot mit dem Ziel-DB-Snapshot. Dadurch kann nur RDS auf den angegebenen Ziel-Snapshot kopiert werden.

RDSverifiziert die Autorisierung mithilfe der rds:CrossRegionCommunication Berechtigung in der serviceverknüpften RolleIAM. Wenn die Kopie autorisiert ist, RDS kann sie mit der Quellregion kommunizieren und den Kopiervorgang abschließen.

RDShat keinen Zugriff auf DB-Snapshots, die nicht zuvor durch eine opyDBSnapshot C-Anfrage autorisiert wurden. Die Autorisierung wird nach Abschluss des Kopiervorgangs widerrufen.

RDSverwendet die dienstbezogene Rolle, um die Autorisierung in der Quellregion zu überprüfen. Der Kopiervorgang schlägt fehl, wenn Sie die mit dem Dienst verknüpfte Rolle während des Kopiervorgangs löschen.

Weitere Informationen finden Sie unter Verwenden von dienstbezogenen Rollen in der AWS Identity and Access Management Benutzerleitfaden.

Die Verwendung von AWS Security Token Service Anmeldedaten

Sitzungstoken aus der ganzen Welt AWS Security Token Service (AWS STS) Endpunkte sind nur gültig in AWS-Regionen die standardmäßig aktiviert sind (kommerzielle Regionen). Wenn Sie Anmeldeinformationen aus dem assumeRole API Vorgang in verwenden AWS STS, verwenden Sie den regionalen Endpunkt, wenn es sich bei der Quellregion um eine Opt-in-Region handelt. Andernfalls schlägt die Anforderung fehl. Ihre Anmeldeinformationen müssen in beiden Regionen gültig sein. Dies gilt nur für Opt-in-Regionen, wenn Sie die Region verwenden AWS STS Endpunkt.

Um den globalen Endpunkt zu verwenden, stellen Sie sicher, dass er für beide Regionen in den Vorgängen aktiviert ist. Stellen Sie den globalen Endpunkt auf Valid insgesamt ein AWS-Regionen in der AWS STS Kontoeinstellungen.

Weitere Informationen finden Sie unter Verwalten AWS STS in einem AWS-Region in der AWS Identity and Access Management Benutzerleitfaden.

Snapshots von DB-Instances, die mit Custom Engine-Versionen erstellt wurden () CEV

Bei einem DB-Snapshot einer DB-Instance, die eine Custom Engine-Version (CEV) verwendet, RDS ordnet die CEV dem DB-Snapshot zu. Um einen Quell-DB-Snapshot zu kopieren, der einem CEV Across zugeordnet ist AWS-Regionen, RDS kopiert den CEV zusammen mit dem Quell-DB-Snapshot in die Zielregion.

Wenn Sie mehrere DB-Snapshots, die demselben zugeordnet sind, in dieselbe CEV Zielregion kopieren, kopiert die erste Kopieranforderung den zugehörigenCEV. Der Kopiervorgang der folgenden Anfragen findet die ursprünglich kopierten Kopien CEV und ordnet sie den folgenden DB-Snapshot-Kopien zu. Die vorhandene CEV Kopie muss sich im AVAILABLE Status befinden, damit sie den DB-Snapshot-Kopien zugeordnet werden kann.

Um einen DB-Snapshot zu kopieren, der einem zugeordnet istCEV, muss die IAM Richtlinie des Anforderers über die erforderlichen Berechtigungen verfügen, um sowohl das Kopieren des DB-Snapshots als auch das zugehörige CEV Kopieren zu autorisieren. Die folgenden Berechtigungen sind in der IAM Richtlinie Ihres Anforderers erforderlich, um das zugehörige Kopieren zu ermöglichen: CEV

• rds:CopyCustomDBEngineVersion‐ Ihr IAM Auftraggeber benötigt die Erlaubnis, die Quelle zusammen mit dem Quell-DB-Snapshot in die Zielregion CEV zu kopieren. Die Anforderung zum Kopieren des Snapshots schlägt aufgrund von Autorisierungsfehlern fehl, wenn Ihr IAM Principal, der die Anfrage gestellt hat, nicht berechtigt ist, die Quelle zu kopieren. CEV

• ec2:CreateTags‐ Der Basiswert EC2 AMI der Quelle CEV wird als Teil der CEV Kopie in die Zielregion kopiert. RDSBenutzerdefiniert versucht, das AMI mit dem AWSRDSCustom Tag zu kennzeichnen, bevor das kopiert wirdAMI. Vergewissern Sie sich, dass Ihr IAM Principal, der die Anfrage gestellt hat, berechtigt ist, das Tag anhand der der Quelle AMI zugrundeliegenden Tags CEV in der Quellregion zu erstellen.

Weitere Informationen zu CEV Kopierberechtigungen finden Sie unterErteilen Sie Ihrem IAM Principal die erforderlichen Berechtigungen.

Erteilen Sie Ihrem IAM Principal die erforderlichen Berechtigungen

Stellen Sie sicher, dass Sie über ausreichende Zugriffsrechte verfügen, um einen DB-Snapshot RDS vom Typ Custom for SQL Server zu kopieren. Die IAM Rolle oder der Benutzer (als IAM Principal bezeichnet) für das Kopieren eines DB-Snapshots mithilfe der Konsole oder CLI muss über eine der folgenden Richtlinien verfügen, damit die DB-Instance erfolgreich erstellt werden kann:

• Die AdministratorAccess Richtlinie oder

• Die folgende AmazonRDSFullAccess-Richtlinie zeigt die zusätzlichen Berechtigungen.

  s3:CreateBucket
  s3:GetBucketPolicy
  s3:PutBucketPolicy
  kms:CreateGrant
  kms:DescribeKey
  ec2:CreateTags

RDSBenutzerdefiniert verwendet diese Berechtigungen beim Kopieren von Snapshots zwischen AWS-Regionen. Mit diesen Berechtigungen werden Ressourcen in Ihrem Konto konfiguriert, die für RDS benutzerdefinierte Operationen erforderlich sind. Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key Verwaltung.

Die folgende JSON Beispielrichtlinie gewährt zusätzlich zur AmazonRDSFullAccess Richtlinie die erforderlichen Berechtigungen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Anmerkung

Stellen Sie sicher, dass die aufgelisteten Berechtigungen nicht durch Dienststeuerungsrichtlinien (SCPs), Berechtigungsgrenzen oder Sitzungsrichtlinien, die dem IAM Prinzipal zugeordnet sind, eingeschränkt werden.

Wenn Sie in der IAM Richtlinie des Anforderers Bedingungen mit Kontextschlüsseln verwenden, können bestimmte Bedingungen dazu führen, dass die Anfrage fehlschlägt. Weitere Informationen zu häufigen Fallstricken aufgrund von IAM Richtlinienbedingungen finden Sie unter. Anfordern einer Regionsübergreifende Kopie für DB-Snapshots

Kopieren eines DB-Snapshots

Verwenden Sie die folgenden Verfahren, um einen DB-Snapshot zu kopieren. Für jeden AWS Sie können bis zu 20 DB-Snapshots gleichzeitig von einem Konto kopieren AWS-Region zu einem anderen. Wenn Sie einen DB-Snapshot in einen anderen kopieren AWS-Region, erstellen Sie einen manuellen DB-Snapshot, der in diesem gespeichert wird AWS-Region. Einen DB-Snapshot aus der Quelle kopieren AWS-Region fallen RDS Amazon-Datenübertragungsgebühren an. Weitere Informationen zu den Preisen für Datenübertragungen finden Sie unter RDSAmazon-Preise.

Nachdem die DB-Snapshot-Kopie im neuen AWS-Region, verhält sich die DB-Snapshot-Kopie genauso wie alle anderen DB-Snapshots in diesem AWS-Region.

Sie können einen DB-Snapshot kopieren, indem Sie AWS Management Console, AWS CLI, oder der Amazon RDSAPI.

Console

Mit dem folgenden Verfahren wird ein DB-Snapshot vom Typ RDS Custom for SQL Server kopiert, indem AWS Management Console.

1. Melden Sie sich an bei AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

2. Wählen Sie im Navigationsbereich die Option Snapshots.

3. Wählen Sie den DB-Snapshot RDS Benutzerdefiniert für SQL Server aus, den Sie kopieren möchten.

4. Wählen Sie in der Dropdownliste Aktionen die Option Snapshot kopieren aus.

   

5. Um den DB-Snapshot in einen anderen zu kopieren AWS-Region, setzen Sie Destination Region auf den erforderlichen Wert.

   Anmerkung

   Das Ziel AWS-Region muss dieselbe Version der Datenbank-Engine wie für die Quelle verfügbar sein AWS-Region.

6. Geben Sie unter Neuer DB-Snapshot-ID einen eindeutigen Namen für den DB-Snapshot ein. Sie können mehrere Kopien eines automatisierten Backups oder eines manuellen Snapshots erstellen, aber jede Kopie muss eine eindeutige Kennung haben.

7. (Optional) Wählen Sie Copy Tags (Tags kopieren), um Tags und Werte aus dem Snapshot in die Kopie des Snapshots zu übernehmen.

8. Geben Sie für Verschlüsselung die KMS Schlüssel-ID an, die zum Verschlüsseln der DB-Snapshot-Kopie verwendet werden soll.

   Anmerkung

   RDSBenutzerdefiniert für SQL Server verschlüsselt alle DB-Snapshots. Sie können keinen unverschlüsselten DB-Snapshot erstellen.

9. Wählen Sie Copy Snapshot (Snapshot kopieren) aus.

RDSCustom for SQL Server erstellt eine DB-Snapshot-Kopie Ihrer DB-Instance im AWS-Region Ihrer Auswahl.

AWS CLI

Sie können einen DB-Snapshot vom Typ „RDSBenutzerdefiniert für SQL Server“ kopieren, indem Sie AWS CLI Befehl copy-db-snapshot. Wenn Sie den Snapshot in einen neuen kopieren AWS-Region, führen Sie den Befehl im neuen aus AWS-Region. Die folgenden Optionen werden verwendet, um einen DB-Snapshot zu kopieren. Nicht alle Optionen werden in allen Szenarien benötigt.

• --source-db-snapshot-identifier‐ Der Bezeichner für den Quell-DB-Snapshot.

  • Wenn sich der Quell-Snapshot in einem anderen befindet AWS-Region Geben Sie als die Kopie einen gültigen DB-Snapshot anARN. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

• --target-db-snapshot-identifier‐ Die Kennung für die neue Kopie des DB-Snapshots.

• --kms-key-id‐Die KMS Schlüssel-ID für einen verschlüsselten DB-Snapshot. Die KMS Schlüssel-ID ist der Amazon-Ressourcenname (ARN), die Schlüssel-ID oder der Schlüsselalias für den KMS Schlüssel.

  • Wenn Sie einen verschlüsselten Snapshot in einen anderen kopieren AWS-Region, dann müssen Sie einen KMS Schlüssel für das Ziel angeben AWS-Region. KMSSchlüssel sind spezifisch für AWS-Region in dem sie erstellt wurden und Sie können keine Verschlüsselungsschlüssel von einem verwenden AWS-Region in einem anderen AWS-Region es sei denn, es wird ein Schlüssel für mehrere Regionen verwendet. Weitere Informationen zu Schlüsseln für mehrere Regionen finden Sie unter Verwenden von KMS Schlüsseln für mehrere Regionen in AWS KMS.

• --copy-tags‐ Fügen Sie die Tags und Werte aus dem Quell-Snapshot in die Kopie des Snapshots ein.

Die folgenden Optionen werden für das Kopieren eines DB-Snapshots vom Typ „RDSBenutzerdefiniert für SQL Server“ nicht unterstützt:

• --copy-option-group

• --option-group-name

• --pre-signed-url

• --target-custom-availability-zone

Das folgende Codebeispiel kopiert einen verschlüsselten DB-Snapshot aus der Region USA West (Oregon) in die Region USA Ost (Nord-Virginia). Führen Sie den Befehl in der Zielregion (us-east-1) aus.

Für Linux, macOS oder Unix:

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Für Windows:

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

RDS API

Sie können einen RDS Custom for SQL Server-DB-Snapshot mithilfe der RDS API Amazon-Operation C kopierenopyDBSnapshot. Wenn Sie den Snapshot in einen neuen kopieren AWS-Region, führen Sie die Aktion im neuen aus AWS-Region. Die folgenden Parameter werden verwendet, um einen DB-Snapshot zu kopieren. Nicht alle Parameter sind erforderlich:

• SourceDBSnapshotIdentifier‐ Der Bezeichner für den Quell-DB-Snapshot.

  • Wenn sich der Quell-Snapshot in einem anderen befindet AWS-Region Geben Sie als die Kopie einen gültigen DB-Snapshot anARN. Beispiel, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

• TargetDBSnapshotIdentifier‐ Die Kennung für die neue Kopie des DB-Snapshots.

• KmsKeyId‐ Die KMS Schlüssel-ID für einen verschlüsselten DB-Snapshot. Die KMS Schlüssel-ID ist der Amazon-Ressourcenname (ARN), die Schlüssel-ID oder der Schlüsselalias für den KMS Schlüssel.

  • Wenn Sie einen verschlüsselten Snapshot in einen anderen kopieren AWS-Region, dann müssen Sie einen KMS Schlüssel für das Ziel angeben AWS-Region. KMSSchlüssel sind spezifisch für AWS-Region in dem sie erstellt wurden und Sie können keine Verschlüsselungsschlüssel von einem verwenden AWS-Region in einem anderen AWS-Region es sei denn, es wird ein Schlüssel für mehrere Regionen verwendet. Weitere Informationen zu Schlüsseln für mehrere Regionen finden Sie unter Verwenden von KMS Schlüsseln für mehrere Regionen in AWS KMS.

• CopyTags‐ Stellen Sie diesen Parameter auf eintrue, um Tags und Werte aus dem Quell-Snapshot in die Kopie des Snapshots zu kopieren. Der Standardwert ist false.

Die folgenden Optionen werden beim Kopieren eines DB-Snapshots vom Typ „RDSBenutzerdefiniert für SQL Server“ nicht unterstützt:

• CopyOptionGroup

• OptionGroupName

• PreSignedUrl

• TargetCustomAvailabilityZone

Der folgende Code erstellt eine Kopie eines Snapshots mit dem neuen Namen mydbsnapshotcopy in der US East (N. Virginia)-Region.

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf