AWSSupport-ShareRDSSnapshot - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ShareRDSSnapshot

Beschreibung

Das AWSSupport-ShareRDSSnapshot Runbook bietet eine automatisierte Lösung für das Verfahren, das im Knowledge Center-Artikel Wie kann ich einen verschlüsselten Amazon RDS-DB-Snapshot mit einem anderen Konto teilen? beschrieben wird. Wenn Ihr Amazon Relational Database Service (Amazon RDS) -Snapshot mit der Standardeinstellung verschlüsselt wurde Von AWS verwalteter Schlüssel, können Sie den Snapshot nicht teilen. In diesem Fall müssen Sie den Snapshot mit einem vom Kunden verwalteten Schlüssel kopieren und den Snapshot dann mit dem Zielkonto teilen. Diese Automatisierung führt diese Schritte mit dem Wert aus, den Sie im SnapshotName Parameter angeben, oder anhand des letzten Snapshots, der für die ausgewählte Amazon RDS-DB-Instance oder den ausgewählten Amazon RDS-DB-Cluster gefunden wurde.

Anmerkung

Wenn Sie keinen Wert für den KMSKey Parameter angeben, erstellt die Automatisierung einen neuen, vom AWS KMS Kunden verwalteten Schlüssel in Ihrem Konto, der zur Verschlüsselung des Snapshots verwendet wird.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Datenbanken

Parameter

  • AccountIds

    Typ: StringList

    Beschreibung: (Erforderlich) Durch Kommas getrennte Liste von Konto-IDs, mit denen der Snapshot geteilt werden soll.

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • Datenbank

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Name der Amazon RDS-DB-Instance oder des Clusters, dessen Snapshot Sie teilen möchten. Dieser Parameter ist optional, wenn Sie einen Wert für den SnapshotName Parameter angeben.

  • KMS-Schlüssel

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der vollständige Amazon-Ressourcenname (ARN) des vom AWS KMS Kunden verwalteten Schlüssels, der zur Verschlüsselung des Snapshots verwendet wurde.

  • SnapshotName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID des DB-Clusters oder Instance-Snapshots, den Sie verwenden möchten.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:StartAutomationExecution

  • rds:DescribeDBInstances

  • rds:DescribeDBSnapshots

  • rds:CopyDBSnapshot

  • rds:ModifyDBSnapshotAttribute

AutomationAssumeRoleFür den erfolgreichen Start des Runbooks für einen DB-Cluster sind die folgenden Aktionen erforderlich.

  • ssm:StartAutomationExecution

  • rds:DescribeDBClusters

  • rds:DescribeDBClusterSnapshots

  • rds:CopyDBClusterSnapshot

  • rds:ModifyDBClusterSnapshotAttribute

Die zur Ausführung der Automatisierung verwendete IAM-Rolle muss als Schlüsselbenutzer hinzugefügt werden, um den im Parameter angegebenen KMS-Schlüssel verwenden zu können. ARNKmsKey Informationen zum Hinzufügen von Schlüsselbenutzern zu einem KMS-Schlüssel finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

Das AutomationAssumeRole erfordert die folgenden zusätzlichen Aktionen, um das Runbook erfolgreich zu starten, wenn Sie keinen Wert für den KMSKey Parameter angeben.

  • kms:CreateKey

  • kms:ScheduleKeyDeletion

  • kms:CreateGrant

  • kms:DescribeKey

Dokumentschritte

  1. aws:executeScript- Überprüft, ob ein Wert für den KMSKey Parameter angegeben wurde, und erstellt einen vom AWS KMS Kunden verwalteten Schlüssel, falls kein Wert gefunden wird.

  2. aws:branch- Überprüft, ob ein Wert für den SnapshotName Parameter angegeben wurde, und verzweigt entsprechend.

  3. aws:executeAwsApi- Prüft, ob der bereitgestellte Snapshot von einer DB-Instance stammt.

  4. aws:executeScript- Formatiert den SnapshotName Parameter und ersetzt Doppelpunkte durch einen Bindestrich.

  5. aws:executeAwsApi- Kopiert den Snapshot mit dem angegebenen Wert. KMSKey

  6. aws:waitForAwsResourceProperty- Wartet, bis der Vorgang zum Kopieren des Snapshots abgeschlossen ist.

  7. aws:executeAwsApi- Teilt den neuen Snapshot mit dem AccountIds angegebenen.

  8. aws:executeAwsApi- Prüft, ob der bereitgestellte Snapshot aus einem DB-Cluster stammt.

  9. aws:executeScript- Formatiert den SnapshotName Parameter und ersetzt Doppelpunkte durch einen Bindestrich.

  10. aws:executeAwsApi- Kopiert den Snapshot mit dem angegebenen Wert. KMSKey

  11. aws:waitForAwsResourceProperty- Wartet, bis der Vorgang zum Kopieren des Snapshots abgeschlossen ist.

  12. aws:executeAwsApi- Teilt den neuen Snapshot mit dem AccountIds angegebenen.

  13. aws:executeAwsApi- Prüft, ob der für den Database Parameter angegebene Wert eine DB-Instance ist.

  14. aws:executeAwsApi- Prüft, ob der für den Database Parameter angegebene Wert ein DB-Cluster ist.

  15. aws:executeAwsApi- Ruft eine Liste von Snapshots für die angegebenen Daten ab. Database

  16. aws:executeScript- Ermittelt den neuesten verfügbaren Snapshot aus der Liste, die im vorherigen Schritt zusammengestellt wurde.

  17. aws:executeAwsApi- Kopiert den DB-Instance-Snapshot mit dem angegebenen WertKMSKey.

  18. aws:waitForAwsResourceProperty- Wartet, bis der Vorgang zum Kopieren des Snapshots abgeschlossen ist.

  19. aws:executeAwsApi- Teilt den neuen Snapshot mit dem AccountIds angegebenen.

  20. aws:executeAwsApi- Ruft eine Liste von Snapshots für den angegebenen ab. Database

  21. aws:executeScript- Ermittelt den neuesten verfügbaren Snapshot aus der Liste, die im vorherigen Schritt zusammengestellt wurde.

  22. aws:executeAwsApi- Kopiert den DB-Instance-Snapshot mit dem angegebenen WertKMSKey.

  23. aws:waitForAwsResourceProperty- Wartet, bis der Vorgang zum Kopieren des Snapshots abgeschlossen ist.

  24. aws:executeAwsApi- Teilt den neuen Snapshot mit dem AccountIds angegebenen.

  25. aws:executeScript- Löscht den vom AWS KMS Kunden verwalteten Schlüssel, der durch die Automatisierung erstellt wurde, wenn Sie keinen Wert für den KMSKey Parameter angegeben haben und die Automatisierung fehlschlägt.