Compartir una instantánea de clúster de base de datos

Al utilizar Amazon RDS, puede compartir una instantánea manual de clúster de base de datos de las siguientes maneras:

• Al compartir una instantánea manual de clúster de base de datos, ya sea cifrada o no cifrada, habilita a las cuentas autorizadas de AWS a copiar la instantánea.

• Si se comparte una instantánea manual de un clúster de base de datos, ya sea cifrada o sin cifrar, las cuentas autorizadas de AWS podrán restaurar directamente un clúster de base de datos a partir de la instantánea en lugar de hacer una copia de ella y restaurarla.

nota

Para compartir una instantánea automatizada de clúster de base de datos, cree una instantánea manual de clúster de base de datos al copiar la instantánea automatizada y, a continuación, comparta esa copia. Este proceso también se aplica a los recursos generados por Backup de AWS.

Para obtener más información acerca de la copia de instantáneas, consulte Copia de una instantánea de clúster de base de datos. Para obtener más información sobre cómo restaurar una instancia de base de datos desde una instantánea de clúster de base de datos, consulte Restauración de una instantánea de clúster de base de datos.

Para obtener más información acerca de cómo restaurar un clúster de base de datos a partir de una instantánea de clúster de base de datos, consulte Información general de copias de seguridad y restauración de un clúster de base de datos Aurora.

Puede compartir una instantánea manual con otras 20 Cuentas de AWS como máximo.

Cuando se comparten instantáneas manuales con otras Cuentas de AWS, se aplican las restricciones siguientes:

• Cuando se restaura un clúster de base de datos a partir de una instantánea compartida mediante la AWS Command Line Interface (AWS CLI) o la API de Amazon RDS, se debe especificar el nombre de recurso de Amazon (ARN) de la instantánea compartida como identificador de instantánea.

Contenido

• Uso compartido de una instantánea
• Uso compartido de instantáneas públicas
  • Visualización de instantáneas públicas propiedad de otras Cuentas de AWS
  • Consulta de sus propias instantáneas públicas
  • Uso compartido de instantáneas públicas de versiones obsoletas del motor de base de datos
• Cómo compartir instantáneas cifradas
  • Creación de una clave administrada por el cliente y concesión de acceso a ella
  • Copia y compartición de la instantánea desde la cuenta de origen
  • Copia de la instantánea compartida en la cuenta de destino
• Cancelación del uso compartido de instantáneas

Uso compartido de una instantánea

Puede compartir una instantánea de clúster de base de datos usando la AWS Management Console, la AWS CLI o la API de RDS.

Consola

Con la consola de Amazon RDS, puede compartir una instantánea manual de un clúster de base de datos con un máximo de 20 Cuentas de AWS. También puede utilizar la consola para dejar de compartir una instantánea manual con una o varias cuentas.

Para compartir una instantánea manual de clúster de base de datos mediante la consola de Amazon RDS

1. Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

2. En el panel de navegación, elija Snapshots (Instantáneas).

3. Seleccione la instantánea manual que desea compartir.

4. En Actions) (Acciones), elija Share Snapshot (Compartir instantánea).

5. Elija una de las siguientes opciones para DB Snapshot Visibility (Visibilidad de instantánea de base de datos).

   • Si el origen está sin cifrar, elija Público para permitir que todas las Cuentas de AWS restauren un clúster de base de datos a partir de la instantánea de clúster de base de datos manual, o elija Privado para permitir que únicamente las Cuentas de AWS que especifique restauren un clúster de base de datos a partir de una instantánea de clúster de base de datos manual.

     aviso

     Si establece Visibilidad de instantánea de base de datos como Pública, todas las Cuentas de AWS pueden restaurar un clúster de base de datos a partir de una instantánea de clúster de base de datos manual y tener acceso a sus datos. No comparta como Public (Pública) ninguna instantánea de clúster de base de datos manual que contenga información confidencial.

     Para obtener más información, consulte Uso compartido de instantáneas públicas.

   • Si el original está cifrado, DB Snapshot Visibility (Visibilidad de instantánea de base de datos) se establece en Private (Privada), ya que las instantáneas cifradas no se pueden compartir como públicas.

     nota

     Las instantáneas que se hayan cifrado con la AWS KMS key predeterminada no se pueden compartir. Para obtener información acerca de cómo solucionar este problema, consulte Cómo compartir instantáneas cifradas.

6. Para ID de cuenta de AWS, escriba el identificador de Cuenta de AWS para una cuenta a la que desea permitir restaurar un clúster de instancia de base de datos desde su instantánea manual y, luego, elija Agregar. Repita esta acción para incluir identificadores de Cuenta de AWS adicionales, hasta un máximo de 20 Cuentas de AWS.

   Si comete un error al añadir un identificador de Cuenta de AWS a la lista de cuentas permitidas, puede eliminarlo de la lista seleccionando Eliminar a la derecha del identificador incorrecto de la Cuenta de AWS.

   

7. Después de añadir los identificadores de todas las Cuentas de AWS a las que desea permitir la restauración de la instantánea manual, elija Guardar para guardar los cambios.

AWS CLI

Para compartir una instantánea de clúster de base de datos, use el comando aws rds modify-db-cluster-snapshot-attribute. Use el parámetro --values-to-add para añadir la lista de los ID de Cuentas de AWS que tienen autorización para restaurar la instantánea manual.

ejemplo de compartir una instantánea con una sola cuenta

El siguiente ejemplo habilita el identificador de Cuenta de AWS 123456789012 para restaurar la instantánea de clúster de base de datos denominada cluster-3-snapshot.

Para Linux, macOS o Unix:

aws rds modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier cluster-3-snapshot \
--attribute-name restore \
--values-to-add 123456789012

En Windows:

aws rds modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier cluster-3-snapshot ^
--attribute-name restore ^
--values-to-add 123456789012

ejemplo de compartir una instantánea con varias cuentas

El siguiente ejemplo habilita dos identificadores de Cuenta de AWS, 111122223333 y 444455556666, para restaurar la instantánea del clúster de base de datos denominada manual-cluster-snapshot1.

Para Linux, macOS o Unix:

aws rds modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier manual-cluster-snapshot1 \
--attribute-name restore \
--values-to-add {"111122223333","444455556666"}

En Windows:

aws rds modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier manual-cluster-snapshot1 ^
--attribute-name restore ^
--values-to-add "[\"111122223333\",\"444455556666\"]"

nota

Al utilizar el símbolo del sistema de Windows, debe aplicar escape con comillas dobles (") en código JSON al ponerlas como prefijo con una barra invertida (\).

Para enumerar las Cuentas de AWS habilitadas para restaurar una instantánea, utilice el comando describe-db-cluster-snapshot-attributes de la AWS CLI.

API de RDS

También puede compartir una instantánea manual de clúster de base de datos con otras Cuentas de AWS mediante la API de Amazon RDS. Para ello, llame a la operación ModifyDBClusterSnapshotAttribute. Especifique restore en AttributeName y utilice el parámetro ValuesToAdd para añadir la lista de los ID de las Cuentas de AWS que tienen autorización para restaurar la instantánea manual.

Para hacer que una instantánea manual sea pública y puedan restaurarla todas las Cuentas de AWS, utilice el valor all. Sin embargo, tenga cuidado de no añadir el valor all para las instantáneas manuales que contienen información confidencial que no desea que esté disponible para todas las Cuentas de AWS. Además, tampoco especifique all para las instantáneas cifradas, ya que dichas instantáneas no pueden hacerse públicas.

Para ver una lista de todas las Cuentas de AWS que tienen permiso para restaurar una instantánea, utilice la operación DescribeDBClusterSnapshotAttributes de la API.

Uso compartido de instantáneas públicas

Puede compartir una instantánea manual sin cifrar como pública, lo que hace que esté disponible para todas las Cuentas de AWS. Al compartir una instantánea como pública, asegúrese de que no contiene información privada.

Cuando una instantánea se comparte públicamente, da todos los permisos de Cuentas de AWS tanto para copiar la instantánea como para crear los clústeres de base de datos de ella.

No se le facturará el almacenamiento de copia de seguridad de instantáneas públicas propiedad de otras cuentas. Solo se le facturan las instantáneas de su propiedad.

Si copia una instantánea pública, es el propietario de la copia. Se le facturará el almacenamiento de copia de seguridad de su copia instantánea. Si crea un clúster de base de datos desde una instantánea pública, se le facturará ese clúster de base de datos. Para obtener información acerca de los precios de Amazon Aurora, consulte la página de precios de Aurora.

Solo puede eliminar las instantáneas públicas de su propiedad. Para eliminar una instantánea compartida o pública, debe iniciar sesión en la Cuenta de AWS propietaria de la instantánea.

Visualización de instantáneas públicas propiedad de otras Cuentas de AWS

Puede ver instantáneas públicas propiedad de otras cuentas en una Región de AWS particular en la pestaña Público de la página Instantáneas de la consola de Amazon RDS. Sus instantáneas (las que pertenecen a su cuenta) no aparecen en esta pestaña.

Para ver instantáneas públicas

1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

2. En el panel de navegación, elija Snapshots (Instantáneas).

3. Seleccione la pestaña Public (Público).

   Aparecen las instantáneas públicas. Puede ver qué cuenta posee una instantánea pública en la columna Owner (Propietario).

   nota

   Es posible que tenga que modificar las preferencias de la página, seleccionando el icono de engranaje en la parte superior derecha de la lista Public snapshots (Instantáneas públicas), para ver esta columna.

Consulta de sus propias instantáneas públicas

Puede utilizar el siguiente comando de la AWS CLI (solo para Unix) a fin de buscar las instantáneas públicas de su Cuenta de AWS en una Región de AWS concreta.

aws rds describe-db-cluster-snapshots --snapshot-type public --include-public | grep account_number

El resultado devuelto es similar al siguiente ejemplo si tiene instantáneas públicas.

"DBClusterSnapshotArn": "arn:aws:rds:us-west-2:123456789012:cluster-snapshot:myclustersnapshot1",
"DBClusterSnapshotArn": "arn:aws:rds:us-west-2:123456789012:cluster-snapshot:myclustersnapshot2",

Uso compartido de instantáneas públicas de versiones obsoletas del motor de base de datos

No se admite la restauración ni la copia de instantáneas públicas a partir de versiones obsoletas del motor de base de datos. Para poder restaurar o copiar su instantánea pública existente no compatible, realice los siguientes pasos:

1. Marque la instantánea como privada.

2. Restaurare la instantánea.

3. Actualice el clúster de base de datos restaurado a una versión del motor compatible.

4. Cree una instantánea.

5. Vuelva a compartir la instantánea públicamente.

Cómo compartir instantáneas cifradas

Puede compartir instantáneas de clúster de base de datos que se han cifrado "en reposo" utilizando el algoritmo de cifrado AES-256, como se describe en Cifrado de recursos de Amazon Aurora.

Cuando se comparten instantáneas cifradas, se aplican las siguientes restricciones:

• No se pueden compartir instantáneas cifradas como públicas.

• No se puede compartir una instantánea que se ha cifrado utilizando la clave de KMS predeterminada de la Cuenta de AWS que compartió la instantánea.

Para solucionar el problema de la clave de KMS predeterminada, realice las siguientes tareas:

1. Creación de una clave administrada por el cliente y concesión de acceso a ella.

2. Copia y compartición de la instantánea desde la cuenta de origen.

3. Copia de la instantánea compartida en la cuenta de destino.

Creación de una clave administrada por el cliente y concesión de acceso a ella

En primer lugar, debe crear una clave KMS personalizada en la misma Región de AWS que la instantánea del clúster de la base de datos cifrada. Al crear la clave administrada por el cliente, le da acceso a ella a otra Cuenta de AWS.

Para crear una clave administrada por el cliente y dar acceso a ella

1. Inicie sesión en la AWS Management Console desde la Cuenta de AWS de origen.

2. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

3. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

4. En el panel de navegación, elija Claves administradas por el cliente.

5. Elija Create key.

6. En la página Configurar clave:

   1. En Tipo de clave, seleccione Simétrica.

   2. En Uso de claves, seleccione Cifrar y descifrar.

   3. Expanda Advanced options (Opciones avanzadas).

   4. En Origen del material de claves, seleccione Externo.

   5. En Regionalidad, seleccione Clave de una sola región.

   6. Elija Siguiente.

7. En la página Agregar etiquetas:

   1. Para Alias, introduzca un nombre que mostrar para su clave KMS, por ejemplo share-snapshot.

   2. (Opcional) Introduzca una descripción de su clave KMS.

   3. (Opcional) Agregue etiquetas a su clave KMS.

   4. Elija Siguiente.

8. En la página Definir permisos de administración de claves, elija Siguiente.

9. En la página Definir permisos de uso de claves:

   1. En Otras Cuentas de AWS, seleccione Agregar otra Cuenta de AWS.

   2. Introduzca el ID de la Cuenta de AWS a la que desee conceder acceso.

      Puede conceder acceso a varias Cuentas de AWS.

   3. Elija Siguiente.

10. Revise su clave KMS y, a continuación, seleccione Finalizar.

Copia y compartición de la instantánea desde la cuenta de origen

A continuación, debe copiar la instantánea del clúster de base de datos de origen en una nueva instantánea mediante la clave administrada por el cliente. A continuación, la debe compartir con la Cuenta de AWS de destino.

Para copiar y compartir la instantánea

1. Inicie sesión en la AWS Management Console desde la Cuenta de AWS de origen.

2. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

3. En el panel de navegación, elija Snapshots (Instantáneas).

4. Seleccione la instantánea del clúster de base de datos que quiera copiar.

5. En Actions (Acciones), elija Copy snapshot (Copiar instantánea).

6. En la página Copiar instantánea:

   1. Para Región de destino, elija la Región de AWS en la que creó la clave administrada por el cliente en el procedimiento anterior.

   2. Introduzca el nombre de la copia de la instantánea del clúster de base de datos en New DB Snapshot Identifier (Nuevo identificador de instantánea de base de datos).

   3. Para AWS KMS key, elija la clave administrada por el cliente que ha creado.

      

   4. Elija Copy Snapshot (Copiar instantánea).

7. Cuando la copia de la instantánea esté disponible, selecciónela.

8. En Actions) (Acciones), elija Share Snapshot (Compartir instantánea).

9. En la página Permisos de la instantánea:

   1. Introduzca el ID de la Cuenta de AWS con la que vaya a compartir la copia de la instantánea y, a continuación, seleccione Agregar.

   2. Elija Guardar.

   La instantánea ya se ha compartido.

Copia de la instantánea compartida en la cuenta de destino

Ahora puede copiar la instantánea compartida en la Cuenta de AWS de destino.

Para copiar la instantánea compartida

1. Inicie sesión en la AWS Management Console desde la Cuenta de AWS de destino.

2. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

3. En el panel de navegación, elija Snapshots (Instantáneas).

4. Seleccione la pestaña Compartido conmigo.

5. Seleccione la instantánea compartida.

6. En Actions (Acciones), elija Copy snapshot (Copiar instantánea).

7. Elija la configuración para copiar la instantánea como en el procedimiento anterior, pero utilice una AWS KMS key que pertenezca a la cuenta de destino.

   Elija Copy Snapshot (Copiar instantánea).

Cancelación del uso compartido de instantáneas

Para dejar de compartir una instantánea de un clúster de base de datos, debe eliminar el permiso de la Cuenta de AWS de destino.

Consola

Para dejar de compartir una instantánea manual de clúster de base de datos con una Cuenta de AWS

1. Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

2. En el panel de navegación, elija Snapshots (Instantáneas).

3. Seleccione la instantánea manual que desea dejar de compartir.

4. Elija Actions (Acciones) y, a continuación, Share Snapshot (Compartir instantánea).

5. Para eliminar el permiso de una Cuenta de AWS, elija Eliminar para el identificador de cuenta de AWS correspondiente a esa cuenta en la lista de cuentas autorizadas.

6. Elija Guardar para guardar los cambios.

CLI

Para quitar un identificador de Cuenta de AWS de la lista, use el parámetro --values-to-remove.

ejemplo de detener el uso compartido de instantáneas

En el siguiente ejemplo se impide que el ID 444455556666 de Cuenta de AWS se restaure desde la instantánea.

Para Linux, macOS o Unix:

aws rds modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier manual-cluster-snapshot1 \
--attribute-name restore \
--values-to-remove 444455556666

En Windows:

aws rds modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier manual-cluster-snapshot1 ^
--attribute-name restore ^
--values-to-remove 444455556666

API de RDS

Para eliminar el permiso de uso compartido de una Cuenta de AWS, utilice la operación ModifyDBClusterSnapshotAttribute con AttributeName establecido en restore y el parámetro ValuesToRemove. Para marcar una instantánea manual como privada, elimine el valor all de la lista de valores del atributo restore.