Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Compartir una instantánea de clúster de base de datos
Al utilizar Neptune, puede compartir una instantánea manual de clúster de base de datos de las siguientes maneras:
Al compartir una instantánea manual de clúster de base de datos, ya sea cifrada o no cifrada, habilita a las cuentas autorizadas de AWS a copiar la instantánea.
Si se comparte una instantánea manual de un clúster de base de datos, ya sea cifrada o sin cifrar, las cuentas autorizadas de AWS podrán restaurar directamente un clúster de base de datos a partir de la instantánea en lugar de hacer una copia de ella y restaurarla.
nota
Para compartir una instantánea automatizada de clúster de base de datos, cree una instantánea manual de clúster de base de datos al copiar la instantánea automatizada y, a continuación, comparta esa copia.
Para obtener más información sobre cómo restaurar un clúster de base de datos a partir de una instantánea de clúster de base de datos, consulte Cómo realizar la restauración a partir de una instantánea.
Puede compartir una instantánea manual con un máximo de 20 cuentas de AWS. También puede compartir una instantánea manual sin cifrar como pública, lo que hace que esté disponible para todas las cuentas de AWS. Al compartir una instantánea como pública, tenga cuidado de que no incluya información confidencial.
nota
Cuando se restaura un clúster de base de datos a partir de una instantánea compartida utilizando la AWS Command Line Interface (AWS CLI) o la API de Neptune, se debe especificar el nombre de recurso de Amazon (ARN) de la instantánea compartida como identificador de instantánea.
Temas
Uso compartido de una instantánea de clúster de base de datos cifrada
Puede compartir instantáneas de clúster de base de datos que se han cifrado "en reposo" utilizando el algoritmo de cifrado AES-256. Para obtener más información, consulte Cifrado de los recursos de Neptune en reposo. Para ello, debe seguir estos pasos:
-
Comparta la clave de cifrado de AWS Key Management Service (AWS KMS) que se utilizó para cifrar la instantánea con las cuentas que desea que tengan acceso a la instantánea.
Puede compartir las claves de cifrado de AWS KMS con otra cuenta de AWS añadiendo la otra cuenta a la política de claves de KMS. Para obtener información detallada sobre cómo actualizar una política de claves, consulte Políticas de claves en la Guía para desarrolladores de AWS KMS. Para ver un ejemplo de cómo crear una política de claves, consulte Creación de una política de IAM para permitir la copia de la instantánea cifrada más adelante en este tema.
Utilice la AWS Management Console, la AWS CLI o la API de Neptune para compartir la instantánea cifrada con las otras cuentas.
Estas restricciones se aplican al uso compartido de instantáneas cifradas:
No se pueden compartir instantáneas cifradas como públicas.
No se puede compartir una instantánea que se ha cifrado utilizando la clave de cifrado de AWS KMS predeterminada de la cuenta de AWS que compartió la instantánea.
Cómo permitir el acceso a una clave de cifrado de AWS KMS
Para que otra cuenta de AWS pueda copiar una instantánea cifrada de un clúster de base de datos que se comparta desde su cuenta, la cuenta con la que se comparte la instantánea debe tener acceso a la clave de KMS que cifró la instantánea. Para permitir que otra cuenta de AWS tenga acceso a una clave de AWS KMS, actualice la política de claves correspondiente a la clave de KMS con el ARN de la cuenta de AWS con la que está compartiendo como una Principal en la política de claves de KMS. A continuación, permita la acción kms:CreateGrant. Consulte Allowing users in other accounts to use a KMS key en la Guía para desarrolladores de AWS Key Management Service para conocer las instrucciones generales.
Después de dar a una cuenta de AWS acceso a su clave de cifrado de KMS, para copiar la instantánea cifrada, dicha cuenta de AWS debe crear un usuario de IAM si todavía no lo tiene. Las restricciones de seguridad de KMS no permiten el uso de una identidad de cuenta raíz de AWS para ello. La cuenta de AWS también debe asociar a ese usuario de IAM una política de IAM que le permita copiar una instantánea de clúster de base de datos cifrada utilizando la clave de KMS.
En el siguiente ejemplo de política de claves, el usuario 111122223333 es el propietario de la clave de cifrado de KMS, y el usuario 444455556666 es la cuenta con la que se comparte la clave. Esta política de claves actualizada da a la cuenta de AWS acceso a la clave de KMS al incluir el ARN de la identidad raíz de la cuenta de AWS del usuario 444455556666 como Principal para la política, y al permitir la acción kms:CreateGrant.
{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
Creación de una política de IAM para permitir la copia de la instantánea cifrada
Después de que la cuenta externa de AWS tenga acceso a la clave de KMS, el propietario de esa cuenta puede crear una política que permita a un usuario de IAM creado para esa cuenta copiar una instantánea que haya sido cifrada con esa clave de KMS.
En el siguiente ejemplo, se muestra una política que puede asociarse a un usuario de IAM para la cuenta de AWS 444455556666. Permite al usuario de IAM copiar una instantánea compartida de la cuenta de AWS 111122223333 que se ha cifrado con la clave de KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 en la región us-west-2.
{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener información detallada sobre cómo actualizar una política de claves, consulte Políticas de claves en la Guía para desarrolladores de AWS Key Management Service.
Compartir una instantánea de clúster de base de datos
Puede compartir una instantánea de clúster de base de datos usando la AWS Management Console, la AWS CLI o la API de Neptune.
Uso de la consola para compartir una instantánea de clúster de base de datos
Con la consola de Neptune, puede compartir una instantánea manual de clúster de base de datos con un máximo de 20 cuentas de AWS. También puede dejar de compartir una instantánea manual con una o varias cuentas.
Compartir una instantánea manual de un clúster de base de datos
-
Inicie sesión en la consola de administración de AWS y abra la consola de Amazon Neptune en https://console.aws.amazon.com/neptune/home
. En el panel de navegación, elija Snapshots (Instantáneas).
Elija la instantánea manual que desea compartir.
Elija Actions (Acciones), Share Snapshot (Compartir instantánea).
-
Elija una de las siguientes opciones para DB Snapshot Visibility (Visibilidad de instantánea de base de datos).
-
Si el origen no está cifrado, elija Público para permitir que todas las cuentas de AWSrestauren un clúster de base de datos a partir de su instantánea manual de clúster de base de datos. O elija Privado para permitir que solo las cuentas de AWS que especifique puedan restaurar un clúster de base de datos a partir de su instantánea manual de clúster de base de datos.
aviso
Si establece DB snapshot visibility (Visibilidad de instantánea de base de datos) como Public (Pública), todas las cuentas de AWS pueden restaurar un clúster de base de datos a partir de una instantánea de clúster de base de datos manual y tener acceso a sus datos. No comparta como Public (Pública) ninguna instantánea de clúster de base de datos manual que contenga información confidencial.
Si el original está cifrado, DB Snapshot Visibility (Visibilidad de instantánea de base de datos) se establece en Private (Privada), ya que las instantáneas cifradas no se pueden compartir como públicas.
-
-
En ID de cuenta de AWS, introduzca el identificador de cuenta de AWS correspondiente a una cuenta a la que desea permitir la restauración de un clúster de base de datos a partir de la instantánea manual. A continuación, elija Add (Añadir). Repita esta acción para incluir identificadores de cuenta de AWS adicionales, con un máximo de 20 cuentas de AWS.
Si comete un error al añadir un identificador de cuenta de AWS a la lista de cuentas permitidas, puede eliminarlo de la lista seleccionando Delete (Eliminar) a la derecha del identificador incorrecto de la cuenta de AWS.
Después de añadir los identificadores de todas las cuentas de AWS a las que desea permitir la restauración de la instantánea manual, elija Guardar.
Para dejar de compartir una instantánea manual de clúster de base de datos con una cuenta de AWS
-
Abra la consola de Amazon Neptune en https://console.aws.amazon.com/neptune/home
. En el panel de navegación, elija Snapshots (Instantáneas).
Elija la instantánea manual que desea dejar de compartir.
Elija Actions (Acciones) y, a continuación, elija Share Snapshot (Compartir instantánea).
Para eliminar el permiso de una cuenta de AWS, elija Delete (Eliminar) para el identificador de cuenta de AWS correspondiente a esa cuenta en la lista de cuentas autorizadas.
Seleccione Save.
