Trabajar con copias de seguridad compartidas - AWS CloudHSM
Requisitos previos para compartir copias de seguridadCompartir una copia de seguridadDejar de compartir una copia de seguridad compartidaIdentificar una copia de seguridad compartidaPermisos para copias de seguridad compartidasFacturación y medición

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con copias de seguridad compartidas

CloudHSM se integra AWS Resource Access Manager con AWS RAM() para permitir el intercambio de recursos. AWS RAM es un servicio que le permite compartir algunos recursos de CloudHSM con Cuentas de AWS otros o a través de ellos. AWS Organizations Con AWS RAM, puede compartir los recursos de su propiedad mediante la creación de un recurso compartido. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes compartirlos. Los consumidores pueden incluir lo siguiente:

  • Cuentas de AWS Específico dentro o fuera de su organización en AWS Organizations

  • Una unidad organizativa dentro de su organización en AWS Organizations

  • Toda una organización en AWS Organizations

Para obtener más información al respecto AWS RAM, consulte la Guía AWS RAM del usuario.

En este tema se explica cómo compartir los recursos que le pertenecen y cómo utilizar los recursos que se comparten con usted.

Requisitos previos para compartir copias de seguridad

  • Para compartir una copia de seguridad, debe tenerla en su Cuenta de AWS propiedad. Esto significa que el recurso debe asignarse o suministrarse en su cuenta. No puede compartir una copia de seguridad que se haya compartido con usted.

  • Para compartir una copia de seguridad, debe estar en estado LISTA.

  • Para compartir una copia de seguridad con tu organización o unidad organizativa AWS Organizations, debes habilitar la opción de compartirla con AWS Organizations. Para obtener más información, consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM .

Compartir una copia de seguridad

Cuando compartes una copia de seguridad con otras Cuentas de AWS personas, les permites restaurar los clústeres de la copia de seguridad que contienen las claves y los usuarios almacenados en la copia de seguridad.

Para compartir una copia de seguridad, debe añadirla a un recurso compartido. Un uso compartido de recursos es un recurso de AWS RAM que le permite compartir los recursos a través de Cuentas de AWS. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes se comparten. Cuando compartes una copia de seguridad mediante la consola CloudHSM, la añades a un recurso compartido existente. Para añadir la copia de seguridad a un nuevo recurso compartido, primero debe crear el recurso compartido mediante la AWS RAM consola.

Si forma parte de una organización AWS Organizations y está habilitado el uso compartido dentro de su organización, los consumidores de su organización tienen acceso automático a la copia de seguridad compartida. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso a la copia de seguridad compartida tras aceptar la invitación.

Puede compartir una copia de seguridad de su propiedad mediante la AWS RAM consola o AWS CLI.

Para compartir una copia de seguridad de tu propiedad mediante la AWS RAM consola

Consulte Crear un recurso compartido en la Guía del usuario de AWS RAM .

Para compartir una copia de seguridad de su propiedad (AWS RAM comando)

Utilice el comando create-resource-share.

Para compartir una copia de seguridad de su propiedad (comando CloudHSM)

importante

Si bien puede compartir una copia de seguridad mediante la operación PutResourcePolicy CloudHSM, le recomendamos que AWS Resource Access Manager utilice AWS RAM() en su lugar. Su uso AWS RAM ofrece múltiples ventajas, ya que crea la política adecuada para usted, permite compartir varios recursos al mismo tiempo y aumenta la capacidad de detección de los recursos compartidos. Si utilizas las copias de seguridad que has compartido con ellos PutResourcePolicy y deseas que los usuarios puedan describirlas, debes convertir la copia de seguridad en un AWS RAM recurso compartido estándar mediante la operación de la AWS RAM PromoteResourceShareCreatedFromPolicy API.

Utilice el comando put-resource-policy.

  1. Cree un archivo con un nombre policy.json y copie en él la siguiente política.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS":"<consumer-aws-account-id-or-user>"
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"<arn-of-backup-to-share>"
  }]
}

  2. policy.jsonActualízalo con el ARN de respaldo y los identificadores con los que compartirlo. En el siguiente ejemplo, se concede acceso de solo lectura al usuario raíz de la AWS cuenta identificada con el número 123456789012.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS": [
        "account-id"
      ]
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
  }]
}
    importante

    Solo puedes conceder permisos a nivel de cuenta. DescribeBackups Cuando compartes una copia de seguridad con otro cliente, cualquier responsable que tenga DescribeBackups permiso en esa cuenta puede describir la copia de seguridad.

  3. Ejecute el comando put-resource-policy.

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    nota

    En este punto, el consumidor puede usar la copia de seguridad, pero no aparecerá en la DescribeBackups respuesta con el parámetro compartido. Los siguientes pasos describen cómo promover el AWS RAM uso compartido de los recursos para que la copia de seguridad se incluya en la respuesta.

  4. Obtenga el AWS RAM ARN del recurso compartido.

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    Esto devuelve una respuesta similar a esta:

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    De la respuesta, copia el valor < resource-share-arn > para usarlo en los pasos siguientes.

  5. Ejecute el comando AWS RAM promote-resource-share-created-from-policy.

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. Para validar que se ha promocionado el recurso compartido, puede ejecutar el comando. AWS RAM get-resource-shares

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    Cuando se ha promovido la política, la que featureSet aparece en la respuesta esSTANDARD. Esto también significa que las nuevas cuentas de la política pueden describir la copia de seguridad.

Dejar de compartir una copia de seguridad compartida

Al dejar de compartir un recurso, es posible que el consumidor ya no lo utilice para restaurar un clúster. Los consumidores podrán seguir accediendo a los clústeres que hayan restaurado a partir de la copia de seguridad compartida.

Para dejar de compartir una copia de seguridad compartida de su propiedad, debe eliminarla del recurso compartido. Puede hacerlo mediante la AWS RAM consola o AWS CLI.

Para dejar de compartir una copia de seguridad compartida de su propiedad mediante la consola AWS RAM

Consulte Actualizar un recurso compartido en la Guía del usuario de AWS RAM .

Para dejar de compartir una copia de seguridad compartida de tu propiedad (comando)AWS RAM

Utilice el comando disassociate-resource-share.

Para dejar de compartir una copia de seguridad compartida de su propiedad (comando CloudHSM)

Utilice el comando delete-resource-policy. 

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

Identificar una copia de seguridad compartida

Los consumidores pueden identificar una copia de seguridad compartida con ellos mediante la consola CloudHSM y. AWS CLI

Para identificar las copias de seguridad compartidas con usted mediante la consola CloudHSM

  1. Abra la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/home.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Backups.

  4. En la tabla, selecciona la pestaña Copias de seguridad compartidas.

Para identificar las copias de seguridad compartidas con usted mediante el AWS CLI

Utilice el comando describe-backups con el --shared parámetro para devolver las copias de seguridad que se han compartido con usted.

Permisos para copias de seguridad compartidas

Permisos de los propietarios

Los propietarios de las copias de seguridad pueden describir y gestionar una copia de seguridad compartida, así como utilizarla para restaurar un clúster.

Permisos de los consumidores

Los consumidores de Backup no pueden modificar una copia de seguridad compartida, pero pueden describirla y usarla para restaurar un clúster.

Facturación y medición

No hay cargos adicionales por compartir copias de seguridad.