Copia de una instantánea de base de datos - Amazon Relational Database Service

Copia de una instantánea de base de datos

Con Amazon RDS, puede copiar copias de seguridad automatizadas o instantáneas de bases de datos manuales. Después de copiar una instantánea, la copia es una instantánea manual. Puede hacer varias copias de una copia de seguridad automatizada o instantánea manual, pero cada copia debe tener un identificador único.

Puede copiar una instantánea en la misma Región de AWS, entre Regiones de AWS y puede copiar instantáneas compartidas.

Limitaciones

A continuación se indican algunas limitaciones al copiar instantáneas:

  • No puede copiar una instantánea en o desde las siguientes regiones China (Pekín) o China (Ningxia).

  • Puede copiar una instantánea entre AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste). Sin embargo, no puede copiar una instantánea entre estas AWS GovCloud (US) y las Regiones de AWS comerciales.

  • Si elimina una instantánea de origen antes de que la instantánea de destino esté disponible, la copia de la instantánea podría generar un error. Compruebe que la instantánea de destino tiene el estado AVAILABLE antes de eliminar una instantánea de origen.

  • Puede tener hasta cinco solicitudes de copia de instantánea en curso en una única región de destino por cuenta.

  • Si solicita varias copias de instantáneas de la misma instancia de base de datos de origen, se ponen a la cola internamente. Las copias solicitadas posteriormente no se iniciarán hasta que se completen las copias de instantáneas anteriores. Para obtener más información, consulte el tema sobre por qué la creación de instantáneas de EBS o la AMI de EC2 es lenta en el Centro de conocimientos de AWS.

  • Dependiendo de las Regiones de AWS implicadas y de la cantidad de datos que se vayan a copiar, una copia de instantánea entre regiones puede tardar horas en completarse. En algunos casos, puede haber un gran número de solicitudes de copia de instantáneas entre regiones desde una región. En estos casos, Amazon RDS puede poner nuevas solicitudes de copia entre regiones desde esa región de origen en una cola hasta que alguna de las copias en curso se complete. No se muestra ninguna información de progreso sobre las solicitudes de copia mientras están en la cola. La información de progreso se muestra cuando comienza la copia.

Retención de instantáneas

Amazon RDS elimina copias de seguridad automatizadas en varias situaciones:

  • Al final de su periodo de retención.

  • Cuando desactiva las copias de seguridad automatizadas para una instancia de base de datos.

  • Cuando se elimina una instancia de base de datos.

Si desea conservar una copia de seguridad automatizada durante un periodo más largo, cópiela para crear una instantánea manual que se conservará hasta que la elimine. Es posible que los costos de almacenamiento de Amazon RDS se apliquen a las instantáneas manuales si exceden el espacio de almacenamiento predeterminado.

Para obtener más información acerca de los costos de almacenamiento de copias de seguridad, consulte Precios de Amazon RDS.

Copia de instantáneas compartidas

Puede copiar instantáneas compartidas con usted por otras cuentas de AWS. En algunos casos, puede copiar una instantánea cifrada que se ha compartido desde otra cuenta de AWS. En estos casos, debe tener acceso a la AWS KMS key que se utilizó para cifrar la instantánea.

Puede copiar una instantánea de base de datos compartida entre Regiones de AWS, siempre que esté sin cifrar. No obstante, si la instantánea de base de datos está cifrada, solo puede copiarla en la misma región.

nota

La copia de instantáneas incrementales compartidas en la misma Región de AWS se admite cuando no están cifradas o cuando están cifradas con la misma clave de KMS que la instantánea completa inicial. Si utiliza una clave KMS diferente para cifrar instantáneas posteriores al copiarlas, esas instantáneas compartidas son instantáneas completas. Para obtener más información, consulte Copias de instantáneas incrementales.

Tratamiento del cifrado

Puede copiar una instantánea que se haya cifrado con una clave de KMS. Si copia una instantánea cifrada, la copia de la instantánea se debe cifrar también. Si copia una instantánea cifrada dentro de la misma Región de AWS, puede cifrar la copia con la misma clave de KMS que la instantánea original. O bien puede especificar una clave de KMS diferente.

Si copia una instantánea cifrada entre regiones, debe especificar una clave de KMS valida en la Región de AWS de destino. Puede ser una clave de KMS específica de la región o una clave de varias regiones. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en AWS KMS.

La instantánea de origen permanece cifrada durante todo el proceso de copia. Para obtener más información, consulte Limitaciones de las instancias de base de datos cifrados de Amazon RDS.

También puede cifrar una copia de una instantánea sin cifrar. De esta forma, puede añadir rápidamente el cifrado a una instancia de base de datos que antes estaba sin cifrar. Para ello, cree una instantánea de su instancia de base de datos cuando todo esté listo para cifrarla. A continuación, puede crear una copia de dicha instantánea y especificar una clave de KMS para cifrar esa copia de la instantánea. A continuación, puede restaurar una instancia de base de datos cifrado desde la instantánea cifrada.

Copias de instantáneas incrementales

Una instantánea incremental contiene solo los datos que han cambiado tras la instantánea más reciente de la misma instancia de base de datos. La copia de instantáneas incrementales es más rápida y genera un costo de almacenamiento más bajo que la copia de instantáneas completa.

nota

Cuando copia una instantánea de origen que es una copia instantánea en sí misma, la nueva copia no es incremental. Esto se debe a que la copia instantánea de origen no incluye los metadatos necesarios para las copias incrementales.

Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental.

Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.

Al copiar una instantánea entre cuentas de AWS, la copia es incremental si se cumplen los siguientes criterios:

  • Una instantánea diferente de la misma instancia de base de datos fuente se ha copiado previamente a la cuenta de destino.

  • La copia más reciente de la instantánea sigue presente en la cuenta de destino.

  • Todas las copias de la instantánea en la cuenta de destino, bien no están cifradas, o bien se cifraron con la misma clave de KMS.

En los siguientes ejemplos, se muestra la diferencia entre las instantáneas completas y progresivas. Se aplican a instantáneas compartidas y no compartidas.

Instantánea Clave de cifrado Completa o progresiva
S1 K1 Completa
S2 K1 Progresiva de S1
S3 K1 Progresiva de S2
S4 K1 Progresiva de S3
Copia de S1 (S1C) K2 Completa
Copia de S2 (S2C) K3 Completa
Copia de S3 (S3C) K3 Progresiva de S2C
Copia de S4 (S4C) K3 Progresiva de S3C
Copia 2 de S4 (S4C2) K4 Completa
nota

En estos ejemplos, las instantáneas S2, S3 y S4 son progresivas solo si la instantánea anterior sigue existiendo.

Lo mismo sucede con las copias. Las copias de las instantáneas S3C y S4C son progresivas solo si la copia anterior sigue existiendo.

Para obtener información sobre cómo copiar instantáneas incrementales en Regiones de AWS, consulte Copias completas e incrementales.

Copia de instantáneas entre regiones

Puede copiar instantáneas de base de datos en Regiones de AWS. Sin embargo, existen ciertas restricciones y consideraciones para la copia de instantáneas entre regiones.

Solicitudes de copia de instantáneas de base de datos entre regiones

Para comunicarse con la región de origen para solicitar la copia de una instantánea de base de datos entre regiones, el solicitante (rol de IAM o usuario de IAM) debe tener acceso a la instantánea de base de datos de origen y a la región de origen.

Ciertas condiciones en la política de IAM del solicitante pueden generar un error en la solicitud. En los siguientes ejemplos se supone que está copiando la instantánea de base de datos de EE.UU. Este (Ohio) a US East (N. Virginia). Estos ejemplos muestran condiciones en la política de IAM del solicitante que generan un error en la solicitud:

  • La política del solicitante tiene una condición para la aws:RequestedRegion.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-east-1" } }

    La solicitud falla porque la política no permite el acceso a la región de origen. Para que una solicitud sea correcta, se deben especificar las regiones de origen y destino.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-east-2" ] } }
  • La política del solicitante no permite el acceso a la instantánea de base de datos de origen.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "arn:aws:rds:us-east-1:123456789012:snapshot:target-snapshot" ...

    Para una solicitud correcta, especifique las instantáneas de origen y de destino.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": [ "arn:aws:rds:us-east-1:123456789012:snapshot:target-snapshot", "arn:aws:rds:us-east-2:123456789012:snapshot:source-snapshot" ] ...
  • La política del solicitante niega aws:ViaAWSService.

    ... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "Bool": {"aws:ViaAWSService": "false"} }

    La comunicación con la región de origen la efectúa RDS en nombre del solicitante. Para que una solicitud sea correcta, no deniegue las llamadas realizadas por los servicios de AWS.

  • La política del solicitante tiene una condición para aws:SourceVpc o aws:SourceVpce.

    Estas solicitudes pueden fallar porque cuando RDS realiza la llamada a la región remota, esta no procede del punto de enlace de la VPC o la VPC especificada.

Si es necesario utilizar una de las condiciones anteriores que generarían un error en una solicitud, se puede incluir una segunda instrucción con aws:CalledVia en la política para que la solicitud se realice correctamente. Por ejemplo, se puede usar aws:CalledVia con aws:SourceVpce, como se muestra aquí:

... "Effect": "Allow", "Action": "rds:CopyDBSnapshot", "Resource": "*", "Condition": { "Condition" : { "ForAnyValue:StringEquals" : { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "rds:CopyDBSnapshot" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "rds.amazonaws.com" ] } } }

Para obtener más información, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.

Autorización de copia de la instantánea

Después de que una solicitud de copia de instantánea de base de datos entre regiones devuelve success, RDS inicia la copia en segundo plano. Se crea una autorización para que RDS acceda a la instantánea de origen. Esta autorización vincula la instantánea de base de datos de origen a la instantánea de base de datos de destino y permite que RDS copie solo en la instantánea de destino especificada.

La autorización es verificada por RDS mediante el permiso rds:CrossRegionCommunication en el rol de IAM vinculado al servicio. Si la copia está autorizada, RDS se comunica con la región de origen y completa la copia.

RDS no tiene acceso a instantáneas de base de datos que no estaban autorizadas previamente por una solicitud de CopyDBSnapshot. La autorización se revoca cuando se completa la copia.

RDS utiliza el rol vinculado a servicios para verificar la autorización en la región de origen. Si elimina la función vinculada a servicios durante el proceso de copia, se produce un error en la copia.

Para obtener más información, consulte Usar roles vinculados a servicios en la Guía del usuario de IAM.

Uso de credenciales de AWS Security Token Service

Los tokens de sesión del punto de conexión global de AWS Security Token Service (AWS STS) son válidos únicamente en Regiones de AWS que están habilitadas de forma predeterminada (regiones comerciales). Si utiliza credenciales de la operación de la API assumeRole en AWS STS, utilice el punto de enlace regional si la región de origen es una región registrada. De lo contrario, la solicitud devuelve un error. Esto ocurre porque las credenciales deben ser válidas en ambas regiones, lo cual se cumple para las regiones registradas solo cuando se utiliza el punto de enlace regional de AWS STS.

Para utilizar el punto de enlace global, asegúrese de que está habilitado para operaciones en ambas regiones. Establezca el punto de enlace global en Valid in all Regiones de AWS en la configuración de la cuenta de AWS STS.

La misma regla se aplica a las credenciales del parámetro URL prefirmado.

Para obtener más información, consulte Administración de AWS STS en una Región de AWS en la guía del usuario de IAM.

Latencia y múltiples solicitudes de copia

Dependiendo de las Regiones de AWS implicadas y de la cantidad de datos que se vayan a copiar, una copia de instantánea entre regiones puede tardar horas en completarse.

En algunos casos, puede haber un gran número de solicitudes de copia de instantáneas entre regiones desde una Región de AWS. En estos casos, Amazon RDS puede poner nuevas solicitudes de copia entre regiones desde esa Región de AWS de origen en una cola hasta que alguna de las copias en curso se complete. No se muestra ninguna información de progreso sobre las solicitudes de copia mientras están en la cola. La información de progreso se muestra cuando comienza la copia.

Copias completas e incrementales

Al copiar una instantánea en una región Región de AWS que es distinta de la región de la instantánea de origen, la primera copia es una copia de la instantánea completa, incluso si copia una instantánea incremental. Una copia de la instantánea completa contiene todos los datos y metadatos necesarios para restaurar la instancia de base de datos. Tras la primera copia de la instantánea, puede copiar instantáneas incrementales de la misma instancia de base de datos en la misma región de destino en la misma cuenta AWS. Para obtener más información sobre las instantáneas incrementales, consulte Copias de instantáneas incrementales.

La copia de instantáneas incrementales en Regiones de AWS se admite tanto para las instantáneas sin cifrar como para las cifradas.

Al copiar una instantánea en Regiones de AWS, la copia es incremental si se cumplen los siguientes criterios:

  • La instantánea se ha copiado previamente a la región de destino.

  • La copia más reciente de la instantánea sigue presente en la región de destino.

  • Todas las copias de la instantánea en la región de destino, bien no están cifradas, o bien se cifraron con la misma clave de KMS.

Consideraciones relativas al grupo de opciones

Los grupos de opciones son específicos de la Región de AWS en la que se crean y no es posible usar un grupo de opciones de una Región de AWS en otra Región de AWS.

Al copiar una instantánea entre regiones, puede especificar un nuevo grupo de opciones para la instantánea. Es recomendable preparar un nuevo grupo de opciones antes de copiar la instantánea. En la Región de AWS de destino, cree un grupo de opciones con la misma configuración que la instancia de base de datos original. Si ya existe uno en la Región de AWS nueva, puede usarlo.

En algunos casos, puede copiar una instantánea y no especificar un nuevo grupo de opciones para la instantánea. En estos casos, al restaurar la instantánea, la instancia de la base de datos obtiene el grupo de opciones predeterminado. Para aplicar a la nueva de instancia de la base de datos las mismas opciones que al original, se debe hacer lo siguiente:

  1. En la Región de AWS de destino, cree un grupo de opciones con la misma configuración que la instancia de base de datos original. Si ya existe uno en la Región de AWS nueva, puede usarlo.

  2. Después de restaurar la instantánea en la Región de AWS de destino, modifique la instancia de base de datos y agregue el grupo de opciones nuevo o ya existente del paso anterior.

Consideraciones relativas al grupo de parámetros

Cuando se copia una instantánea entre regiones, la copia no incluye el grupo de parámetros empleado por la instancia de base de datos original. Cuando se restaura una instantánea para crear una nueva instancia de base de datos, la instancia de base de datos usa el grupo de parámetros predeterminado para la Región de AWS en la que se creó. Para aplicar a la instancia de la base de datos los mismos parámetros que al original, se debe hacer lo siguiente:

  1. En la Región de AWS de destino, cree un grupo de parámetros del clúster de base de datos con la misma configuración que la instancia de base de datos. Si ya existe uno en la Región de AWS nueva, puede usarlo.

  2. Después de restaurar la instantánea en la Región de AWS de destino, modifique la instancia de base de datos y agregue el grupo de parámetros nuevo o existente del paso anterior.

Copia de una instantánea de base de datos

Use los procedimientos de este tema para copiar una instantánea de base de datos. Para obtener información general acerca de la copia de una instantánea, consulte Copia de una instantánea de base de datos

Para cada cuenta AWS, puede copiar hasta cinco instantáneas de base de datos a la vez de una Región de AWS a otra. Si copia una instantánea de base de datos en otra Región de AWS, crea una instantánea de base de datos manual que se conserva en esa Región de AWS. Al copiar una instantánea de base de datos fuera de la Región de AWS origen, se producen cargos por transferencia de datos de Amazon RDS.

Para obtener más información acerca de los precios de las transferencias de datos, consulte Precios de Amazon RDS.

Una vez que la copia de la instantánea de base de datos se ha creado en la nueva Región de AWS, la copia de la instantánea de base de datos se comporta como las demás instantáneas de base de datos de esa Región de AWS.

Puede copiar una instantánea de base de datos usando la AWS Management Console, la AWS CLI o la API de RDS.

Este procedimiento copia una instantánea de base de datos cifrada o sin cifrar, en la misma Región de AWS o entre regiones, por medio de la AWS Management Console.

Para copiar una instantánea de base de datos

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Seleccione la instantánea de base de datos que desea copiar.

  4. En Actions (Acciones), elija Copy snapshot (Copiar instantánea).

    Aparece la página Copy snapshot (Copiar instantánea).

    
							Copia de una instantánea de base de datos
  5. (Opcional) Para copiar la instantánea de base de datos en una Región de AWS diferente, en Destination Region (Región de destino) elija la nueva Región de AWS.

    nota

    La Región de AWS de destino debe tener la misma versión del motor de base de datos disponible que la Región de AWS de origen.

  6. En New DB Snapshot Identifier (Nuevo identificador de instantánea de base de datos), escriba el nombre de la copia de la instantánea de base de datos.

    Puede hacer varias copias de una copia de seguridad automatizada o instantánea manual, pero cada copia debe tener un identificador único.

  7. (Opcional) En Target Option Group (Grupo de opciones de destino), elija un nuevo grupo de opciones.

    Especifique esta opción si va a copiar una instantánea de una Región de AWS a otra y su instancia de base de datos usa un grupo de opciones distinto del predeterminado.

    Si su instancia de base de datos de origen usa el Cifrado de datos transparente para Oracle o Microsoft SQL Server, debe especificar esta opción cuando copie entre regiones. Para obtener más información, consulte Consideraciones relativas al grupo de opciones.

  8. (Opcional) Seleccione Copy Tags (Copiar etiquetqas) para copiar las etiquetas y los valores de la instantánea en la copia de la instantánea.

  9. (Opcional) EnEncryption (Cifrado), haga lo siguiente:

    1. Elija Enable Encryption (Habilitar cifrado) si la instantánea de base de datos no está cifrada, pero desea cifrar la copia.

      nota

      Si la instantánea de base de datos está cifrada, debe cifrar la copia, por lo que la casilla de verificación ya está seleccionada.

    2. En AWS KMS key, especifique el identificador de la clave de KMS que se debe utilizar para cifrar la copia de la instantánea de base de datos.

  10. Elija Copy Snapshot (Copiar instantánea).

Puede copiar una instantánea de base de datos usando el comando copy-db-snapshot de la AWS CLI. Si desea copiar la instantánea en una nueva Región de AWS, ejecute el comando en la nueva Región de AWS.

Las siguientes opciones se usan para copiar una instantánea de base de datos. No todas las opciones son necesarias para todos los escenarios. Use las descripciones y los ejemplos siguientes para determinar qué opciones se deben usar.

  • --source-db-snapshot-identifier: identificador de la instantánea de base de datos de origen.

    • Si la instantánea de origen está en la misma Región de AWS que la copia, especifique un identificador de instantánea de base de datos válido. Por ejemplo, rds:mysql-instance1-snapshot-20130805.

    • Si la instantánea de origen está en una Región de AWS distinta de la de la copia, especifique un ARN de instantánea de base de datos válido. Por ejemplo, arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20130805.

    • Si va a copiar desde una instantánea de base de datos manual compartida, este parámetro debe ser el nombre de recurso de Amazon (ARN) de la instantánea de base de datos compartida.

    • Si va a copiar una instantánea cifrada, este parámetro debe estar en el formato de ARN de la Región de AWS de origen y debe coincidir con SourceDBSnapshotIdentifier en el parámetro PreSignedUrl.

  • --target-db-snapshot-identifier: identificador de la nueva copia de la instantánea de base de datos cifrada.

  • --copy-tags: incluya la opción de copiar etiquetas para copiar las etiquetas y los valores de la instantánea en la copia de la instantánea.

  • --option-group-name: grupo de opciones que se debe asociar con la copia de la instantánea.

    Especifique esta opción si va a copiar una instantánea de una Región de AWS a otra y su instancia de base de datos usa un grupo de opciones distinto del predeterminado.

    Si su instancia de base de datos de origen usa el Cifrado de datos transparente para Oracle o Microsoft SQL Server, debe especificar esta opción cuando copie entre regiones. Para obtener más información, consulte Consideraciones relativas al grupo de opciones.

  • --kms-key-id: identificador de la clave de KMS de una instantánea de base de datos cifrada. El identificador de la clave de KMS es el nombre de recurso de Amazon (ARN), el identificador de la clave o el alias de clave de la clave de KMS.

    • Si copia una instantánea de base de datos cifrada desde su cuenta de AWS, puede especificar un valor para este parámetro y cifrar la copia con una nueva clave de KMS. Si no especifica ningún valor para este parámetro, la copia de la instantánea de base de datos se cifra con la misma clave de KMS que la instantánea de base de datos de origen.

    • Si copia una instantánea de base de datos cifrada que se ha compartido desde otra cuenta AWS, debe especificar un valor para este parámetro.

    • Si especifica este parámetro al copiar una instantánea sin cifrar, la copia se cifra.

    • Si copia una instantánea cifrada en otra Región de AWS, debe especificar una clave de KMS para la región de Región de AWS de destino. Las claves de KMS son específicas de la Región de AWS en la que se han creado y no se pueden utilizar las claves de cifrado de una Región de AWS en otra Región de AWS.

ejemplo Origen sin cifrar, a la misma región

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la misma Región de AWS que la instantánea de origen. Cuando se crea la copia, todas las etiquetas de la instantánea original se copian en la copia de la instantánea.

Para Linux, macOS o Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier mysql-instance1-snapshot-20130805 \ --target-db-snapshot-identifier mydbsnapshotcopy \ --copy-tags

Para Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier mysql-instance1-snapshot-20130805 ^ --target-db-snapshot-identifier mydbsnapshotcopy ^ --copy-tags

ejemplo Origen sin cifrar, entre regiones

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la Región de AWS en la que se ejecuta el comando.

Para Linux, macOS o Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier arn:aws:rds:us-east-1:123456789012:snapshot:mysql-instance1-snapshot-20130805 \ --target-db-snapshot-identifier mydbsnapshotcopy

Para Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier arn:aws:rds:us-east-1:123456789012:snapshot:mysql-instance1-snapshot-20130805 ^ --target-db-snapshot-identifier mydbsnapshotcopy

ejemplo Origen cifrado, entre regiones

El siguiente ejemplo de código copia una instantánea de base de datos cifrada de la región EE.UU. Oeste (Oregón) a la región US East (N. Virginia). Ejecute el comando en la región de destino (us-east-1).

Para Linux, macOS o Unix:

aws rds copy-db-snapshot \ --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115 \ --target-db-snapshot-identifier mydbsnapshotcopy \ --kms-key-id my-us-east-1-key \ --option-group-name custom-option-group-name

Para Windows:

aws rds copy-db-snapshot ^ --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115 ^ --target-db-snapshot-identifier mydbsnapshotcopy ^ --kms-key-id my-us-east-1-key ^ --option-group-name custom-option-group-name

El parámetro --source-region es necesario cuando se copia una instantánea cifrada entre las regiones AWS GovCloud (Este de EE. UU.) y AWS GovCloud (EE. UU. Oeste). Para --source-region, especifique la Región de AWS de la instancia de base de datos de origen.

Si no se ha especificado --source-region, especifique un valor de --pre-signed-url. Una URL prefirmada es una URL que contiene una solicitud firmada de Signature Version 4 para el comando copy-db-snapshot que se llama en la Región de AWS de origen. Para obtener más información acerca de la opción pre-signed-url, consulte copy-db-snapshot en la Referencia de los comandos de AWS CLI.

Puede copiar una instantánea de base de datos usando la operación CopyDBSnapshot de la API de Amazon RDS. Si desea copiar la instantánea en una nueva Región de AWS, realice la acción en la nueva Región de AWS.

Los siguientes parámetros se usan para copiar una instantánea de base de datos. No todos los parámetros son necesarios para todos los escenarios. Use las descripciones y los ejemplos siguientes para determinar qué parámetros se deben usar.

  • SourceDBSnapshotIdentifier: identificador de la instantánea de base de datos de origen.

    • Si la instantánea de origen está en la misma Región de AWS que la copia, especifique un identificador de instantánea de base de datos válido. Por ejemplo, rds:mysql-instance1-snapshot-20130805.

    • Si la instantánea de origen está en una Región de AWS distinta de la de la copia, especifique un ARN de instantánea de base de datos válido. Por ejemplo, arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20130805.

    • Si va a copiar desde una instantánea de base de datos manual compartida, este parámetro debe ser el nombre de recurso de Amazon (ARN) de la instantánea de base de datos compartida.

    • Si va a copiar una instantánea cifrada, este parámetro debe estar en el formato de ARN de la Región de AWS de origen y debe coincidir con SourceDBSnapshotIdentifier en el parámetro PreSignedUrl.

  • TargetDBSnapshotIdentifier: identificador de la nueva copia de la instantánea de base de datos cifrada.

  • CopyTags: defina este parámetro como true para copiar las etiquetas y los valores de la instantánea en la copia de la instantánea. El valor predeterminado es false.

  • OptionGroupName: grupo de opciones que se debe asociar con la copia de la instantánea.

    Especifique este parámetro si va a copiar una instantánea de una Región de AWS en otra y su instancia de base de datos usa un grupo de opciones distinto del predeterminado.

    Si su instancia de base de datos de origen usa el cifrado de datos transparente para Oracle o Microsoft SQL Server, debe especificar este parámetro cuando copie entre regiones. Para obtener más información, consulte Consideraciones relativas al grupo de opciones.

  • KmsKeyId: identificador de la clave de KMS de una instantánea de base de datos cifrada. El identificador de la clave de KMS es el nombre de recurso de Amazon (ARN), el identificador de la clave o el alias de clave de la clave de KMS.

    • Si copia una instantánea de base de datos cifrada desde su cuenta de AWS, puede especificar un valor para este parámetro y cifrar la copia con una nueva clave de KMS. Si no especifica ningún valor para este parámetro, la copia de la instantánea de base de datos se cifra con la misma clave de KMS que la instantánea de base de datos de origen.

    • Si copia una instantánea de base de datos cifrada que se ha compartido desde otra cuenta AWS, debe especificar un valor para este parámetro.

    • Si especifica este parámetro al copiar una instantánea sin cifrar, la copia se cifra.

    • Si copia una instantánea cifrada en otra Región de AWS, debe especificar una clave de KMS para la región de Región de AWS de destino. Las claves de KMS son específicas de la Región de AWS en la que se han creado y no se pueden utilizar las claves de cifrado de una Región de AWS en otra Región de AWS.

  • PreSignedUrl: la URL que contiene una solicitud firmada de Signature Version 4 para la operación CopyDBSnapshot de la API en la Región de AWS de origen que contiene la instantánea de la base de datos fuente que se desea copiar.

    Debe especificar este parámetro cuando copie una instantánea de base de datos cifrada desde otra Región de AWS con la API de Amazon RDS. Puede especificar la opción de la región de origen en lugar de este parámetro cuando copie una instantánea de base de datos cifrada desde otra Región de AWS con la AWS CLI.

    La URL prefirmada debe ser una solicitud válida para la operación de la API CopyDBSnapshot que se puede ejecutar en la Región de AWS de origen que contiene la instantánea de base de datos cifrada que se va a copiar. La solicitud de la URL prefirmada debe contener los siguientes valores de parámetros:

    • DestinationRegion: la Región de AWS en la que se copiará la instantánea de base de datos cifrada. Esta Región de AWS es la misma en la que se llama a la operación CopyDBSnapshot que contiene esta URL prefirmada.

      Por ejemplo, supongamos que copia una instantánea de base de datos cifrada desde la región us-west-2 a la región us-east-1. A continuación, llame la operación CopyDBSnapshot en la región us-east-1 y proporcione una URL prefirmada que contenga una llamada a la operación CopyDBSnapshot en la región us-west-2. En este ejemplo, el valor de DestinationRegion en la URL prefirmada se debe establecer en la región us-east-1.

    • KmsKeyId: el identificador de la clave de KMS que se va a utilizar para cifrar la copia de la instantánea de base de datos en la Región de AWS de destino. Es el mismo identificador tanto para la operación CopyDBSnapshot a la que se llama en la Región de AWS de destino como para la operación contenida en la URL prefirmada.

    • SourceDBSnapshotIdentifier: identificador de la instantánea de base de datos para la instantánea cifrada que se va a copiar. Este identificador debe estar en el formato de Nombre de recurso de Amazon (ARN) para la Región de AWS de origen. Por ejemplo, si copia una instantánea de base de datos cifrada de la región us-west-2, el SourceDBSnapshotIdentifier tendrá un aspecto similar al del siguiente ejemplo: arn:aws:rds:us-west-2:123456789012:snapshot:mysql-instance1-snapshot-20161115.

    Para obtener más información acerca de las solicitudes firmadas en Signature Version 4, consulte lo siguiente:

ejemplo Origen sin cifrar, a la misma región

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la misma Región de AWS que la instantánea de origen. Cuando se crea la copia, todas las etiquetas de la instantánea original se copian en la copia de la instantánea.

https://rds.us-west-1.amazonaws.com/ ?Action=CopyDBSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=mysql-instance1-snapshot-20130805 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20140429/us-west-1/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

ejemplo Origen sin cifrar, entre regiones

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la región EE.UU. Oeste (Norte de California).

https://rds.us-west-1.amazonaws.com/ ?Action=CopyDBSnapshot &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-east-1%3A123456789012%3Asnapshot%3Amysql-instance1-snapshot-20130805 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20140429/us-west-1/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

ejemplo Origen cifrado, entre regiones

El siguiente código crea una copia de una instantánea, con el nuevo nombre mydbsnapshotcopy, en la región US East (N. Virginia).

https://rds.us-east-1.amazonaws.com/ ?Action=CopyDBSnapshot &KmsKeyId=my-us-east-1-key &OptionGroupName=custom-option-group-name &PreSignedUrl=https%253A%252F%252Frds.us-west-2.amazonaws.com%252F %253FAction%253DCopyDBSnapshot %2526DestinationRegion%253Dus-east-1 %2526KmsKeyId%253Dmy-us-east-1-key %2526SourceDBSnapshotIdentifier%253Darn%25253Aaws%25253Ards%25253Aus-west-2%25253A123456789012%25253Asnapshot%25253Amysql-instance1-snapshot-20161115 %2526SignatureMethod%253DHmacSHA256 %2526SignatureVersion%253D4 %2526Version%253D2014-10-31 %2526X-Amz-Algorithm%253DAWS4-HMAC-SHA256 %2526X-Amz-Credential%253DAKIADQKE4SARGYLE%252F20161117%252Fus-west-2%252Frds%252Faws4_request %2526X-Amz-Date%253D20161117T215409Z %2526X-Amz-Expires%253D3600 %2526X-Amz-SignedHeaders%253Dcontent-type%253Bhost%253Buser-agent%253Bx-amz-content-sha256%253Bx-amz-date %2526X-Amz-Signature%253D255a0f17b4e717d3b67fad163c3ec26573b882c03a65523522cf890a67fca613 &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Amysql-instance1-snapshot-20161115 &TargetDBSnapshotIdentifier=mydbsnapshotcopy &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request &X-Amz-Date=20161117T221704Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf