Clonage entre comptes avec Amazon Aurora AWS RAM et Amazon - Amazon Aurora
LimitesAutoriser d'autres AWS comptes à cloner votre clusterClonage d'un cluster appartenant à un autre compte AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clonage entre comptes avec Amazon Aurora AWS RAM et Amazon

En utilisant AWS Resource Access Manager (AWS RAM) avec Amazon Aurora, vous pouvez partager des clusters et des clones de base de données Aurora appartenant à votre AWS compte avec un autre AWS compte ou une autre organisation. Un tel clonage entre comptes est beaucoup plus rapide que la création et la restauration d'un instantané de base de données. Vous pouvez créer un clone d'un de vos clusters de base de données Aurora et partager le clone. Vous pouvez également partager votre cluster de base de données Aurora avec un autre AWS compte et laisser le titulaire du compte créer le clone. L'approche que vous choisissez dépend de votre cas d'utilisation.

Par exemple, il se peut que vous deviez partager régulièrement un clone de votre base de données financière avec l'équipe d'audit interne de votre organisation. Dans ce cas, votre équipe d'audit dispose de son propre compte AWS pour les applications qu'elle utilise. Vous pouvez autoriser le AWS compte de l'équipe d'audit à accéder à votre cluster de base de données Aurora et à le cloner selon les besoins.

D'un autre côté, si un fournisseur externe audite vos données financières, vous pouvez créer vous-même le clone. Vous donnez ensuite au fournisseur externe l'accès au clone uniquement.

Vous pouvez également utiliser le clonage entre comptes pour prendre en charge de nombreux cas d'utilisation identiques pour le clonage au sein d'un même AWS compte, tels que le développement et les tests. Par exemple, votre organisation peut utiliser différents AWS comptes pour la production, le développement, les tests, etc. Pour de plus amples informations, veuillez consulter Présentation du clonage Aurora.

Ainsi, vous souhaiterez peut-être partager un clone avec un autre AWS compte ou autoriser un autre AWS compte à créer des clones de vos clusters de base de données Aurora. Dans les deux cas, commencez par utiliser AWS RAM pour créer un objet de partage. Pour obtenir des informations complètes sur le partage de AWS ressources entre AWS comptes, consultez le guide de AWS RAM l'utilisateur.

La création d'un clone entre comptes nécessite des actions de la part du AWS compte propriétaire du cluster d'origine et du AWS compte qui crée le clone. D'abord, le propriétaire du cluster d'origine modifie le cluster pour autoriser un ou plusieurs autres comptes à le cloner. Si l'un des comptes appartient à une autre AWS organisation, AWS génère une invitation de partage. L'autre compte doit accepter l'invitation avant de continuer. Ensuite, chaque compte autorisé peut cloner le cluster. Tout au long de ce processus, le cluster est identifié par son nom de ressource Amazon unique (ARN).

Comme pour le clonage au sein du même AWS compte, l'espace de stockage supplémentaire n'est utilisé que si des modifications sont apportées aux données par la source ou le clone. Des frais de stockage sont alors appliqués. Si le cluster source est supprimé, les coûts de stockage sont répartis également entre les clusters clonés restants.

Limites du clonage intercompte

Le clonage intercompte Aurora présente les limitations suivantes :

  • Vous ne pouvez pas cloner un Aurora Serverless v1 cluster sur plusieurs AWS comptes.

  • Vous ne pouvez ni afficher ni accepter d'invitations à des ressources partagées avec le AWS Management Console. Utilisez Amazon RDS API ou la AWS RAM console pour consulter et accepter des invitations à des ressources partagées. AWS CLI

  • Vous ne pouvez créer qu'un seul nouveau clone à partir d'un clone partagé avec votre AWS compte.

  • Vous ne pouvez pas partager les ressources (clones ou clusters de bases de données Aurora) qui ont été partagées avec votre AWS compte.

  • Vous pouvez créer un maximum de 15 clones entre comptes à partir d'un seul cluster de base de données Aurora.

  • Chacun des 15 clones entre comptes doit être détenu par un compte différent AWS . En d'autres termes, vous ne pouvez créer qu'un seul clone multicompte d'un cluster au sein d'un AWS compte.

  • Après avoir cloné un cluster, le cluster d'origine et son clone sont considérés comme étant les mêmes dans le but d'appliquer les limites sur les clones entre comptes. Vous ne pouvez pas créer de clones entre comptes à la fois du cluster d'origine et du cluster cloné au sein du même compte. AWS Le nombre total de clones entre comptes pour le cluster original et n'importe lequel de ses clones ne peut pas dépasser 15.

  • Vous ne pouvez pas partager un cluster de base de données Aurora avec d'autres AWS comptes, sauf si le cluster est dans un ACTIVE état.

  • Vous ne pouvez pas renommer un cluster de base de données Aurora qui a été partagé avec d'autres AWS comptes.

  • Vous ne pouvez pas créer un clone entre comptes d'un cluster chiffré avec la RDS clé par défaut.

  • Vous ne pouvez pas créer de clones non chiffrés dans un AWS compte à partir de clusters de base de données Aurora chiffrés partagés par un autre AWS compte. Le propriétaire du cluster doit accorder l'autorisation d'accéder à la AWS KMS key du cluster source. Toutefois, vous pouvez utiliser une autre clé lorsque vous créez le clone.

Autoriser d'autres AWS comptes à cloner votre cluster

Pour autoriser d'autres AWS comptes à cloner un cluster dont vous êtes le propriétaire, utilisez AWS RAM pour définir l'autorisation de partage. Cela envoie également une invitation à chacun des autres comptes appartenant à une AWS organisation différente.

Pour connaître les procédures de partage des ressources dont vous êtes propriétaire dans la AWS RAM console, consultez la section Partage des ressources vous appartenant dans le guide de AWS RAM l'utilisateur.

Autoriser d'autres AWS comptes à cloner votre cluster

Si le cluster que vous partagez est chiffré, vous partagez également la AWS KMS key pour le cluster. Vous pouvez autoriser AWS Identity and Access Management (IAM) les utilisateurs ou les rôles d'un AWS compte à utiliser une KMS clé dans un autre compte.

Pour ce faire, vous devez d'abord ajouter le compte externe (utilisateur root) à la politique KMS clé de la clé via AWS KMS. Vous n'ajoutez pas les utilisateurs ou les rôles à la politique de clé, mais seulement le compte externe qui les possède. Vous ne pouvez partager qu'une KMS clé que vous créez, et non la clé de RDS service par défaut. Pour plus d'informations sur le contrôle d'accès pour KMS les clés, voir Authentification et contrôle d'accès pour AWS KMS.

Pour accorder l'autorisation de cloner votre cluster

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Choisissez le cluster de base de données que vous voulez partager pour afficher sa page Details (Détails) et choisissez l'onglet Connectivity & security (Connexion e sécurité.

  4. Dans la section Partager le cluster de base de données avec d'autres AWS comptes, entrez l'ID de compte numérique du AWS compte que vous souhaitez autoriser à cloner ce cluster. Pour un compte IDs appartenant à la même organisation, vous pouvez commencer à taper dans le champ, puis choisir dans le menu.

    Important

    Dans certains cas, il se peut que vous souhaitiez qu'un compte qui n'est pas dans la même organisation AWS que votre compte puisse cloner un cluster. Dans ces cas-là, pour des raisons de sécurité, la console ne signale pas qui est le propriétaire de l'ID de compte ou si le compte existe.

    Soyez prudent lorsque vous saisissez des numéros de compte qui ne font pas partie de la même AWS organisation que votre AWS compte. Vérifiez immédiatement que vous avez partagé avec le compte prévu.

  5. Sur la page de confirmation, vérifiez que l'ID de compte spécifié est correct. Entrez share dans la zone de confirmation pour confirmer.

    Sur la page Détails, une entrée apparaît qui indique l'ID de AWS compte spécifié sous Comptes avec lesquels ce cluster de base de données est partagé. La colone Status (État) affiche initialement l'état Pending.

  6. Contactez le propriétaire de l'autre AWS compte ou connectez-vous à ce compte si vous possédez les deux. Demandez au propriétaire de l'autre compte d'accepter l'invitation de partage et clonez le cluster de base de données, comme décrit ci-après.

Pour accorder l'autorisation de cloner votre cluster

  1. Collectez les informations pour les paramètres requis. Vous avez besoin de ARN l'identifiant numérique de votre cluster et de l'identifiant numérique de l'autre AWS compte.

  2. Exécutez la AWS RAM CLI commande create-resource-share.

    Pour LinuxmacOS, ou Unix :

    aws ram create-resource-share --name descriptive_name \
  --region region \
  --resource-arns cluster_arn \
  --principals other_account_ids

    Dans Windows :

    aws ram create-resource-share --name descriptive_name ^
  --region region ^
  --resource-arns cluster_arn ^
  --principals other_account_ids

    Pour inclure plusieurs comptes IDs pour le --principals paramètre, séparez-les les IDs uns des autres par des espaces. Pour spécifier si le compte autorisé IDs peut se trouver en dehors de votre AWS organisation, incluez le --no-allow-external-principals paramètre --allow-external-principals or pourcreate-resource-share.

Pour accorder l'autorisation de cloner votre cluster

  1. Collectez les informations pour les paramètres requis. Vous avez besoin de ARN l'identifiant numérique de votre cluster et de l'identifiant numérique de l'autre AWS compte.

  2. Appelez l' AWS RAM APIopération CreateResourceShareet spécifiez les valeurs suivantes :

    • Spécifiez l'ID de compte pour un ou plusieurs AWS comptes en tant que principals paramètre.

    • Spécifiez le resourceArns paramètre ARN pour un ou plusieurs clusters de base de données Aurora.

    • Spécifiez si le compte autorisé IDs peut se trouver en dehors de votre AWS organisation en incluant une valeur booléenne pour le allowExternalPrincipals paramètre.

Recréation d'un cluster utilisant la clé par défaut RDS

Si le cluster chiffré que vous prévoyez de partager utilise la RDS clé par défaut, veillez à le recréer. Pour ce faire, créez un instantané manuel de votre cluster de base de données, utilisez une AWS KMS key, puis restaurez le cluster dans un nouveau cluster. Partagez ensuite le nouveau cluster. Pour effectuer ce processus, procédez comme suit.

Pour recréer un cluster chiffré utilisant la clé par défaut RDS

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

  3. Choisissez votre instantané.

  4. Pour Actions (Actions), choisissez Copy Snapshot (Copier un instantané), puis choisissez Enable encryption (Activer le chiffrement).

  5. Pour AWS KMS key, choisissez la nouvelle clé de chiffrement que vous souhaitez utiliser.

  6. Restaurez l'instantané copié. Pour ce faire, suivez la procédure décrite dans Restauration à partir d'un instantané de cluster de base de données. La nouvelle instance de base de données utilise votre nouvelle clé de chiffrement.

  7. (Facultatif) Supprimez l'ancien cluster de base de données si vous n'en n'avez plus besoin. Pour ce faire, suivez la procédure décrite dans Suppression d'un instantané de cluster de base de données. Auparavant, confirmez que votre nouveau cluster a toutes les données nécessaires et que votre application peut y accéder avec succès.

Vérifier si un cluster dont vous êtes propriétaire est partagé avec d'autres AWS comptes

Vous pouvez vérifier si d'autres utilisateurs ont l'autorisation de partager un cluster. Procéder ainsi peut vous aider à comprendre si le cluster approche de la limite du nombre maximal de clones intercomptes.

Pour les procédures de partage de ressources à l'aide de la AWS RAM console, consultez la section Partage des ressources dont vous êtes propriétaire dans le Guide de AWS RAM l'utilisateur.

Pour savoir si un cluster dont vous êtes propriétaire est partagé avec d'autres AWS comptes

  • Appelez la AWS RAM CLI commande list-principalsen utilisant votre identifiant de compte en tant que propriétaire ARN de la ressource et celui de votre cluster en tant que ressourceARN. Vous pouvez voir tous les partages à l'aide de la commande suivante. Les résultats indiquent quels AWS comptes sont autorisés à cloner le cluster. 

    aws ram list-principals \
    --resource-arns your_cluster_arn \
    --principals your_aws_id
Pour savoir si un cluster dont vous êtes propriétaire est partagé avec d'autres AWS comptes

  • Appelez l' AWS RAM APIopération ListPrincipals. Utilisez votre identifiant de compte en tant que propriétaire ARN de la ressource et celui de votre cluster en tant que ressourceARN.

Clonage d'un cluster appartenant à un autre compte AWS

Pour cloner un cluster appartenant à un autre AWS compte, utilisez AWS RAM pour obtenir l'autorisation de créer le clone. Après que vous avez obtenu l'autorisation requise, utilisez la procédure standard pour cloner un cluster Aurora.

Vous pouvez également vérifier si un cluster que vous possédez est un clone d'un cluster appartenant à un autre AWS compte.

Pour connaître les procédures relatives à l'utilisation de ressources appartenant à d'autres utilisateurs dans la AWS RAM console, reportez-vous à la section Accès aux ressources partagées avec vous dans le Guide de AWS RAM l'utilisateur.

Afficher les invitations à cloner des clusters appartenant à d'autres AWS comptes

Pour utiliser les invitations à cloner des clusters détenus par des AWS comptes d'autres AWS organisations AWS CLI, utilisez la AWS RAM console ou le AWS RAM API. Actuellement, vous ne pouvez pas effectuer cette procédure à l'aide de la RDS console Amazon.

Pour connaître les procédures relatives aux invitations dans la AWS RAM console, consultez la section Accès aux ressources partagées avec vous dans le Guide de AWS RAM l'utilisateur.

Pour voir les invitations à cloner des clusters appartenant à d'autres AWS comptes

  1. Exécutez la AWS RAM CLI commande get-resource-share-invitations. 

    aws ram get-resource-share-invitations --region region_name

    Les résultats de la commande précédente affichent toutes les invitations pour cloner les clusters, y compris celles que vous avez déjà acceptées ou refusées.

  2. (Facultatif) Filtrez la liste afin que vous ne puissiez voir que les invitations qui nécessitent une action de votre part. Pour ce faire, ajoutez le paramètre --query 'resourceShareInvitations[?status==`PENDING`]'.

Pour voir les invitations à cloner des clusters appartenant à d'autres AWS comptes

  1. Appelez l' AWS RAM APIopération GetResourceShareInvitations. Cette opération retourne toutes les invitations, y compris celles que vous avez déjà acceptées ou refusées.

  2. (Facultatif) Recherchez uniquement les invitations qui nécessitent une action de votre part en vérifiant le champ de retour resourceShareAssociations pour une valeur status de PENDING.

Accepter les invitations à partager des clusters appartenant à d'autres AWS comptes

Vous pouvez accepter des invitations à partager des clusters appartenant à d'autres AWS comptes appartenant à des AWS organisations différentes. Pour utiliser ces invitations, utilisez le AWS CLI, le AWS RAM et RDS APIs ou la AWS RAM console. Actuellement, vous ne pouvez pas exécuter cette procédure à l'aide de la RDS console.

Pour connaître les procédures relatives aux invitations dans la AWS RAM console, consultez la section Accès aux ressources partagées avec vous dans le Guide de AWS RAM l'utilisateur.

Pour accepter une invitation à partager un cluster depuis un autre AWS compte

  1. Trouvez l'invitation ARN en exécutant la AWS RAM CLI commande get-resource-share-invitations, comme indiqué ci-dessus.

  2. Acceptez l'invitation en appelant la AWS RAM CLI commande accept-resource-share-invitation, comme indiqué ci-dessous.

    Pour LinuxmacOS, ou Unix :

    aws ram accept-resource-share-invitation \
  --resource-share-invitation-arn invitation_arn \
  --region region

    Dans Windows :

    aws ram accept-resource-share-invitation ^
  --resource-share-invitation-arn invitation_arn ^
  --region region
Pour accepter des invitations à partager le cluster de quelqu'un

  1. Trouvez l'invitation ARN en appelant l' AWS RAM APIopération GetResourceShareInvitations, comme indiqué ci-dessus.

  2. ARNTransmettez-le comme resourceShareInvitationArn paramètre de l'RDSAPIopération AcceptResourceShareInvitation.

Clonage d'un cluster Aurora appartenant à un autre compte AWS

Après avoir accepté l'invitation du AWS compte propriétaire du cluster de base de données, comme indiqué ci-dessus, vous pouvez cloner le cluster.

Pour cloner un cluster Aurora appartenant à un autre AWS compte

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans la panneau de navigation, choisissez Databases (Bases de données).

    En haut de la liste des bases de données, vous devez voir un ou plusieurs éléments avec une valeur Role (Rôle) égale à Shared from account #account_id. Pour des raisons de sécurité, vous pouvez uniquement afficher des informations limitées sur les clusters d'origine. Les propriétés que vous pouvez voir sont celles telles que le moteur de base de données et la version qui doivent être identiques dans votre cluster cloné.

  3. Choisissez le cluster que vous prévoyez de cloner.

  4. Pour Actions, choisissez Create clone (Créer un clone).

  5. Suivez la procédure dans Console pour terminer la configuration du cluster cloné.

  6. Si nécessaire, activez le chiffrement du cluster cloné. Si le cluster que vous clonez est chiffré, vous devez activer le chiffrement pour le cluster cloné. Le AWS compte qui a partagé le cluster avec vous doit également partager la KMS clé qui a été utilisée pour chiffrer le cluster. Vous pouvez utiliser la même KMS clé pour chiffrer le clone, ou votre propre KMS clé. Vous ne pouvez pas créer de clone entre comptes pour un cluster chiffré avec la KMS clé par défaut.

    Le compte propriétaire de la clé de chiffrement doit accorder au compte de destination l'autorisation d'utiliser la clé à l'aide d'une politique de clé. Ce processus est similaire à la façon dont les instantanés chiffrés sont partagés, à l'aide d'une politique de clé qui accorde au compte d destination l'autorisation d'utiliser la clé.

Pour cloner un cluster Aurora appartenant à un autre AWS compte

  1. Acceptez l'invitation du AWS compte propriétaire du cluster de base de données, comme indiqué ci-dessus.

  2. Clonez le cluster en spécifiant l'intégralité ARN du cluster source dans le source-db-cluster-identifier paramètre de la RDS CLI commande restore-db-cluster-to-point-in-time, comme indiqué ci-dessous.

    Si le message ARN transmis source-db-cluster-identifier n'a pas été partagé, la même erreur est renvoyée comme si le cluster spécifié n'existait pas.

    Pour LinuxmacOS, ou Unix :

    aws rds restore-db-cluster-to-point-in-time \
  --source-db-cluster-identifier=arn:aws:rds:arn_details \
  --db-cluster-identifier=new_cluster_id \
  --restore-type=copy-on-write \
  --use-latest-restorable-time

    Dans Windows :

    aws rds restore-db-cluster-to-point-in-time ^
  --source-db-cluster-identifier=arn:aws:rds:arn_details ^
  --db-cluster-identifier=new_cluster_id ^
  --restore-type=copy-on-write ^
  --use-latest-restorable-time

  3. Si le cluster que vous clonez est chiffré, chiffrez-le en incluant un paramètre kms-key-id. Cette kms-key-id valeur peut être la même que celle utilisée pour chiffrer le cluster de base de données d'origine ou votre propre KMS clé. Votre compte doit avoir l'autorisation d'utiliser cette clé de chiffrement.

    Pour LinuxmacOS, ou Unix :

    aws rds restore-db-cluster-to-point-in-time \
  --source-db-cluster-identifier=arn:aws:rds:arn_details \
  --db-cluster-identifier=new_cluster_id \
  --restore-type=copy-on-write \
  --use-latest-restorable-time \
  --kms-key-id=arn:aws:kms:arn_details

    Dans Windows :

    aws rds restore-db-cluster-to-point-in-time ^
  --source-db-cluster-identifier=arn:aws:rds:arn_details ^
  --db-cluster-identifier=new_cluster_id ^
  --restore-type=copy-on-write ^
  --use-latest-restorable-time ^
  --kms-key-id=arn:aws:kms:arn_details

    Le compte propriétaire de la clé de chiffrement doit accorder au compte de destination l'autorisation d'utiliser la clé à l'aide d'une politique de clé. Ce processus est similaire à la façon dont les instantanés chiffrés sont partagés, à l'aide d'une politique de clé qui accorde au compte d destination l'autorisation d'utiliser la clé. Un exemple de politique de clé suit. 

    {
  "Id": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}
Note

La point-in-time AWS CLI commande restore-db-cluster-to- restaure uniquement le cluster de base de données, pas les instances de base de données pour ce cluster de base de données. Pour créer des instances de base de données pour le cluster de base de données restauré, appelez la create-db-instancecommande. Spécifiez l'identificateur du cluster de base de données restauré dans --db-cluster-identifier.

Vous pouvez créer des instances de bases de données uniquement après la fin de la commande restore-db-cluster-to-point-in-time et lorsque le cluster de bases de données est disponible.

Pour cloner un cluster Aurora appartenant à un autre AWS compte

  1. Acceptez l'invitation du AWS compte propriétaire du cluster de base de données, comme indiqué ci-dessus.

  2. Clonez le cluster en spécifiant ARN l'intégralité du cluster source dans le SourceDBClusterIdentifier paramètre de l'RDSAPIopération RestoreDBClusterToPointInTime.

    Si le message ARN transmis SourceDBClusterIdentifier n'a pas été partagé, la même erreur est renvoyée comme si le cluster spécifié n'existait pas.

  3. Si le cluster que vous clonez est chiffré, incluez un paramètre KmsKeyId pour chiffrer le cluster cloné. Cette kms-key-id valeur peut être la même que celle utilisée pour chiffrer le cluster de base de données d'origine ou votre propre KMS clé. Votre compte doit avoir l'autorisation d'utiliser cette clé de chiffrement.

    Lors du clonage d'un volume, le compte de destination doit avoir l'autorisation d'utiliser la clé de chiffrement utilisée pour chiffrer le cluster source. Aurora chiffre le nouveau cluster cloné avec la clé de chiffrement spécifiée dans KmsKeyId.

    Le compte propriétaire de la clé de chiffrement doit accorder au compte de destination l'autorisation d'utiliser la clé à l'aide d'une politique de clé. Ce processus est similaire à la façon dont les instantanés chiffrés sont partagés, à l'aide d'une politique de clé qui accorde au compte d destination l'autorisation d'utiliser la clé. Un exemple de politique de clé suit. 

    {
  "Id": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}
Note

L'estoreDBClusterToPointInTimeRDSAPIopération R restaure uniquement le cluster de base de données, pas les instances de base de données pour ce cluster de base de données. Pour créer des instances de base de données pour le cluster de base de données restauré, appelez l'reateDBInstanceRDSAPIopération C. Spécifiez l'identificateur du cluster de base de données restauré dans DBClusterIdentifier. Vous pouvez créer des instances de base de données une fois seulement l'opération RestoreDBClusterToPointInTime terminée et le cluster de bases de données disponible.

Vérification pour savoir si un cluster de base de données est un clone intercompte

L'objet DBClusters identifie si chaque cluster est un clone intercompte. Vous pouvez voir les clusters que vous êtes autorisé à cloner en utilisant l'include-sharedoption lorsque vous exécutez la RDS CLI commande describe-db-clusters. Cependant, vous ne pouvez pas voir la plupart des détails de configuration de tels clusters.

Pour vérifier si un cluster de base de données est un clone entre comptes

  • Appelez la RDS CLI commande describe-db-clusters.

    L'exemple suivant montre comment les clusters de base de données de clone intercompte actuel ou potentiel apparaissent dans la sortie describe-db-clusters. Pour les clusters existants appartenant à votre AWS compte, le CrossAccountClone champ indique s'il s'agit d'un clone d'un cluster de base de données appartenant à un autre AWS compte.

    Dans certains cas, le numéro de AWS compte d'une entrée peut être différent du vôtre dans le DBClusterArn champ. Dans ce cas, cette entrée représente un cluster qui appartient à un autre AWS compte et que vous pouvez cloner. De telles entrées ont quelques champs autres que DBClusterArn. Lors de la création du cluster cloné, spécifiez les mêmes valeurs StorageEncrypted, Engine et EngineVersion que dans le cluster d'origine. 

    $aws rds describe-db-clusters --include-shared --region us-east-1
{
  "DBClusters": [
      {
          "EarliestRestorableTime": "2023-02-01T21:17:54.106Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": false,
...
      },
      {
          "EarliestRestorableTime": "2023-02-09T16:01:07.398Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": true,
...
      },
      {
          "StorageEncrypted": false,
          "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0
  ]
}
Pour vérifier si un cluster de base de données est un clone entre comptes

  • Appelez l'RDSAPIopération escribeDBClustersD.

    Pour les clusters existants appartenant à votre AWS compte, le CrossAccountClone champ indique s'il s'agit d'un clone d'un cluster de base de données appartenant à un autre AWS compte. Les entrées avec un numéro de AWS compte différent dans le DBClusterArn champ représentent des clusters que vous pouvez cloner et qui appartiennent à d'autres AWS comptes. Ces entrées ont quelques champs autres que DBClusterArn. Lors de la création du cluster cloné, spécifiez les mêmes valeurs StorageEncrypted, Engine et EngineVersion que dans le cluster d'origine.

    L'exemple suivant montre une valeur de retour qui illustre les clusters clonés réels et potentiels. 

    {
  "DBClusters": [
      {
          "EarliestRestorableTime": "2023-02-01T21:17:54.106Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": false,
...
      },
      {
          "EarliestRestorableTime": "2023-02-09T16:01:07.398Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": true,
...
      },
      {
          "StorageEncrypted": false,
          "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0"
      }
  ]
}