Partage d'un instantané de de base de données

Amazon RDS vous permet de partager un instantané de base de données manuel comme suit :

• Le partage manuel d'un instantané de base de données, qu'il soit chiffré ou non, permet Comptes AWS aux personnes autorisées de copier l'instantané.

• Le partage d'un instantané de base de données manuel non chiffré permet aux Comptes AWS personnes autorisées de restaurer directement une instance de base de données à partir de l'instantané au lieu d'en prendre une copie et de la restaurer à partir de celui-ci. Toutefois, vous ne pouvez pas restaurer une instance de base de données à partir d'un instantané de base de données qui est à la fois partagé et chiffré. Par contre, vous pouvez créer une copie de l'instantané de base de données et restaurer l'instance de base de données à partir de cette copie.

Note

Pour partager un instantané de base de données automatisé, créez un instantané de base de données manuel en copiant l'instantané automatisé, puis partagez cette copie. Ce processus s'applique également aux ressources générées par AWS Backup.

Pour plus d'informations sur la copie d'un instantané, consultez Copie d'un instantané de base de données. Pour plus d'informations sur la restauration d'une instance de base de données à partir d'un instantané de base de données, consultez Restauration à partir d'un instantané de base de données.

Vous pouvez partager un instantané manuel avec un maximum de 20 autres personnes Comptes AWS.

Les restrictions suivantes s'appliquent lorsque vous partagez des instantanés manuels avec d'autres Comptes AWS personnes :

• Lorsque vous restaurez une instance de base de données à partir d'un instantané partagé à l'aide de l'API AWS Command Line Interface (AWS CLI) ou Amazon RDS, vous devez spécifier le nom de ressource Amazon (ARN) du cliché partagé comme identifiant de l'instantané.

• Vous ne pouvez pas partager un instantané de bases de données qui utilise un groupe d'options comportant des options permanentes ou persistantes, sauf pour les instances de base de données Oracle qui possèdent l'option Timezone et/ou OLS.

  Une option permanente ne peut pas être supprimée d'un groupe d'options. Les groupes d'options avec des options persistantes ne peuvent pas être supprimés d'une instance de base de données une fois que le groupe d'options a été assigné à l'instance de base de données.

  Le tableau suivant répertorie les options permanentes et persistantes ainsi que leurs moteurs de base de données associés.

  Nom d'option	Persistante	Permanent	Moteur de base de données
  TDE	Oui	Non	Configurer SQL Server Enterprise Edition
  TDE	Oui	Oui	Oracle Enterprise Edition
  Fuseau horaire	Oui	Oui	Oracle Enterprise Edition Oracle Standard Edition Oracle Standard Edition One Oracle Standard Edition 2

  Pour les instances de base de données Oracle, vous pouvez copier les instantanés de bases de données partagés qui possèdent l'option Timezone et/ou OLS. Pour ce faire, spécifiez un groupe d'options cibles qui inclut ces options lorsque vous copiez l'instantané de bases de données. L'option OLS est permanente et persistante uniquement pour les instances de bases de données Oracle exécutant Oracle version 12.2 ou ultérieure. Pour de plus amples informations sur ces options, veuillez consulter Fuseau horaire Oracle et Oracle Label Security.

• Vous ne pouvez pas partager un instantané d'un cluster de base de données multi-AZ.

Table des matières

• Partage d'un instantané
• Partage d'instantanés publics
  • Afficher des instantanés publics appartenant à d'autres Comptes AWS
  • Affichage de vos propres Instantanés publics
  • Partage d'instantanés publics à partir de versions obsolètes du moteur de base de données
• Partage d'instantanés chiffrés
  • Créez une clé gérée par le client et donnez-lui accès
  • Copiez et partagez l'instantané depuis le compte source
  • Copiez l'instantané partagé dans le compte cible
• Arrêter le partage de snapshots

Partage d'un instantané

Vous pouvez partager un instantané de base de données à l'aide de l'API AWS Management Console, de AWS CLI, ou de l'API RDS.

Console

À l'aide de la console Amazon RDS, vous pouvez partager un instantané de base de données manuel avec un maximum de 20 Comptes AWS personnes. Vous pouvez également utiliser la console pour arrêter le partage d'un instantané manuel avec un ou plusieurs comptes.

Pour partager un instantané de de base de données manuel à l'aide de la console Amazon RDS

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

2. Dans le panneau de navigation, choisissez Snapshots.

3. Sélectionnez l'instantané manuel que vous voulez partager.

4. Pour Actions, choisissez Share snapshot (Partager l'instantané).

5. Choisissez l'une des options suivantes pour DB snapshot visibility (Visibilité d'instantané de base de données).

   • Si la source n'est pas chiffrée, choisissez Public pour autoriser tous les AWS comptes à restaurer une instance de base de données à partir de votre instantané de base de données manuel, ou choisissez Privé pour autoriser uniquement Comptes AWS ce que vous spécifiez pour restaurer une instance de base de données à partir de votre instantané de base de données manuel.

     Avertissement

     Si vous définissez la visibilité des instantanés de base de données sur Public, tous Comptes AWS peuvent restaurer une instance de base de données à partir de votre instantané de base de données manuel et avoir accès à vos données. Ne partagez aucun instantané de base de données manuel contenant des informations privées en le marquant comme Public.

     Pour plus d’informations, consultez Partage d'instantanés publics.

   • Si la source est chiffrée, la Visibilité d'instantané de base de données est définie sur Privé, car les instantanés chiffrés ne peuvent pas être partagés s'ils sont marqués comme étant publics.

     Note

     Les instantanés chiffrés avec la valeur par défaut ne AWS KMS key peuvent pas être partagés. Pour plus d'informations sur la manière de contourner ce problème, consultezPartage d'instantanés chiffrés.

6. Pour ID de AWS compte, entrez l' Compte AWS identifiant du compte que vous souhaitez autoriser à restaurer une instance de base de données à partir de votre instantané manuel, puis choisissez Ajouter. Répétez l'opération pour inclure des Compte AWS identifiants supplémentaires, jusqu'à 20 Comptes AWS.

   Si vous commettez une erreur lors de l'ajout d'un Compte AWS identifiant à la liste des comptes autorisés, vous pouvez le supprimer de la liste en choisissant Supprimer à droite de l' Compte AWS identifiant incorrect.

   

7. Après avoir ajouté des identifiants pour tous les éléments Comptes AWS que vous souhaitez autoriser à restaurer l'instantané manuel, choisissez Enregistrer pour enregistrer vos modifications.

AWS CLI

Pour partager un instantané de base de données, utilisez la commande aws rds modify-db-snapshot-attribute. Utilisez le --values-to-add paramètre pour ajouter une liste des identifiants autorisés à restaurer l'instantané manuel. Comptes AWS

Exemple de partager un instantané avec un seul compte

L'exemple suivant permet 123456789012 à Compte AWS l'identifiant de restaurer le snapshot de base de données nommédb7-snapshot.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-snapshot-attribute \
--db-snapshot-identifier db7-snapshot \
--attribute-name restore \
--values-to-add 123456789012

Dans Windows :

aws rds modify-db-snapshot-attribute ^
--db-snapshot-identifier db7-snapshot ^
--attribute-name restore ^
--values-to-add 123456789012

Exemple de partager un instantané avec plusieurs comptes

L'exemple suivant active deux Compte AWS identifiants 111122223333 et 444455556666 permet de restaurer le snapshot de base de données nommémanual-snapshot1.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-snapshot-attribute \
--db-snapshot-identifier manual-snapshot1 \
--attribute-name restore \
--values-to-add {"111122223333","444455556666"}

Dans Windows :

aws rds modify-db-snapshot-attribute ^
--db-snapshot-identifier manual-snapshot1 ^
--attribute-name restore ^
--values-to-add "[\"111122223333\",\"444455556666\"]"

Note

Lorsque vous utilisez l'invite de commandes Windows, vous devez utiliser des guillemets doubles (") d'échappement dans le code JSON en les préfixant d'une barre oblique inverse (\).

Pour répertorier les Comptes AWS personnes autorisées à restaurer un instantané, utilisez la describe-db-snapshot-attributes AWS CLI commande.

API RDS

Vous pouvez également partager un instantané de base de données manuel avec d'autres utilisateurs à Comptes AWS l'aide de l'API Amazon RDS. Pour ce faire, appelez l'opération ModifyDBSnapshotAttribute. Spécifiez restore pour AttributeName et utilisez le ValuesToAdd paramètre pour ajouter une liste des identifiants autorisés à restaurer l'instantané manuel. Comptes AWS

Pour rendre un instantané manuel public et restaurable par tous Comptes AWS, utilisez la valeurall. Veillez toutefois à ne pas ajouter de all valeur aux instantanés manuels contenant des informations privées que vous ne souhaitez pas rendre accessibles à tous Comptes AWS. De même, ne spécifiez pas la valeur all pour les instantanés chiffrés, car il est impossible de rendre tous ces instantanés publics.

Pour répertorier toutes les Comptes AWS personnes autorisées à restaurer un instantané, utilisez l'opération DescribeDBSnapshotAttributesAPI.

Partage d'instantanés publics

Vous pouvez également partager un instantané manuel non chiffré en tant que public, ce qui le rend accessible à tous Comptes AWS. Lors du partage d'un instantané marqué comme public, assurez-vous de n'inclure aucune information privée dans l'instantané public.

Lorsqu'un instantané est partagé publiquement, il donne à tous les Comptes AWS droits nécessaires à la fois pour le copier et pour créer des instances de base de données à partir de celui-ci.

Le stockage de sauvegarde des snapshots publics appartenant à d'autres comptes n'est pas facturé. Seuls les instantanés que vous possédez vous sont facturés.

Si vous copiez un instantané public, vous êtes propriétaire de la copie. Le stockage de sauvegarde de votre copie d'instantané vous est facturé. Si vous créez une instance de base de données à partir d'un instantané public, cette instance de base de données vous est facturée. Pour plus d'informations sur la tarification Amazon RDS, consultez la page produit d'Amazon RDS.

Vous ne pouvez supprimer que les instantanés publics que vous possédez. Pour supprimer un instantané partagé ou public, assurez-vous de vous connecter au Compte AWS propriétaire de l'instantané.

Afficher des instantanés publics appartenant à d'autres Comptes AWS

Vous pouvez consulter les instantanés publics détenus par d'autres comptes dans une AWS région donnée dans l'onglet Public de la page Snapshots de la console Amazon RDS. Vos instantanés (ceux appartenant à votre compte) n'apparaissent pas dans cet onglet.

Pour afficher des instantanés publics

1. Ouvrez la console Amazon RDS à l’adresse https://console.aws.amazon.com/rds/.

2. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

3. Choisissez l'onglet Public.

   Les instantanés publics s'affichent. Vous pouvez voir quel compte possède un instantané public dans la colonne Owner (Propriétaire).

   Note

   Pour voir cette colonne, vous devrez peut-être modifier les préférences de la page en sélectionnant l'icône en forme d'engrenage en haut à droite de la liste Public snapshots (Instantanés publics).

Affichage de vos propres Instantanés publics

Vous pouvez utiliser la AWS CLI commande suivante (Unix uniquement) pour afficher les instantanés publics que vous possédez Compte AWS dans une région donnée AWS .

aws rds describe-db-snapshots --snapshot-type public --include-public | grep account_number

La sortie renvoyée est semblable à l'exemple suivant si vous avez des instantanés publics.

"DBSnapshotArn": "arn:aws:rds:us-east-1:123456789012:snapshot:mysnapshot1",
"DBSnapshotArn": "arn:aws:rds:us-east-1:123456789012:snapshot:mysnapshot2",

Note

Vous pouvez voir des entrées en double pour DBSnapshotIdentifier ou SourceDBSnapshotIdentifier.

Partage d'instantanés publics à partir de versions obsolètes du moteur de base de données

La restauration ou la copie d'instantanés publics à partir de versions obsolètes du moteur de base de données n'est pas prise en charge.

Les moteurs de base de données RDS pour Oracle et RDS pour PostgreSQL prennent en charge la mise à niveau directe des versions du moteur de capture de données. Vous pouvez mettre à jour vos instantanés, puis les partager à nouveau publiquement. Pour plus d’informations, consultez les ressources suivantes :

• Mise à niveau d'un instantané de base de données Oracle

• Mise à niveau d'une version du moteur d'instantané de base de données PostgreSQL

Pour les autres moteurs de base de données, effectuez les étapes suivantes pour rendre votre instantané public non pris en charge existant disponible pour restauration ou copie :

1. Marquez l'instantané comme privé.

2. Restaurez l'instantané.

3. Mettez à niveau l'instance de base de données restaurée vers une version du moteur prise en charge.

4. Créez un nouvel instantané.

5. Partagez à nouveau l'instantané publiquement.

Partage d'instantanés chiffrés

Vous pouvez partager des instantanés de bases de données qui ont été chiffrés « au repos » en utilisant l'algorithme de chiffrement AES-256, comme décrit dans Chiffrement des ressources Amazon RDS.

Les restrictions suivantes s'appliquent au partage d'instantanés chiffrés :

• Vous ne pouvez pas partager des instantanés chiffrés marqués comme publics.

• Vous ne pouvez pas partager des instantanés Oracle ou Microsoft SQL Server qui sont chiffrés à l'aide de Transparent Data Encryption (TDE).

• Vous ne pouvez pas partager un instantané chiffré à l'aide de la clé KMS par défaut de celle Compte AWS qui a partagé l'instantané.

Pour contourner le problème de clé KMS par défaut, effectuez les tâches suivantes :

1. Créez une clé gérée par le client et donnez-lui accès.

2. Copiez et partagez l'instantané depuis le compte source.

3. Copiez l'instantané partagé dans le compte cible.

Créez une clé gérée par le client et donnez-lui accès

Vous devez d'abord créer une clé KMS personnalisée Région AWS identique à l'instantané de base de données chiffré. Lors de la création de la clé gérée par le client, vous permettez à un autre utilisateur d'y accéder Compte AWS.

Pour créer une clé gérée par le client et y donner accès

1. Connectez-vous au AWS Management Console depuis la source Compte AWS.

2. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

3. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

4. Dans le volet de navigation, sélectionnez Clés gérées par le client.

5. Choisissez Create key.

6. Sur la page Configurer la clé :

   1. Pour Type de clé, sélectionnez Symétrique.

   2. Pour Utilisation des clés, sélectionnez Chiffrer et déchiffrer.

   3. (Facultatif) Développez Options avancées.

   4. Pour Origine du matériau clé, sélectionnez KMS.

   5. Pour Régionalité, sélectionnez la clé à région unique.

   6. Choisissez Suivant.

7. Sur la page Ajouter des étiquettes :

   1. Pour Alias. Entrez un nom d'affichage pour votre clé KMS, par exempleshare-snapshot.

   2. (Facultatif) Entrez une description pour votre clé KMS.

   3. (Facultatif) Ajoutez des balises à votre clé KMS.

   4. Choisissez Suivant.

8. Sur la page Définir des autorisations d'administration de clé, choisissez Suivant.

9. Sur la page Définir les autorisations d'utilisation des clés :

   1. Pour Autre Comptes AWS, choisissez Ajouter un autre Compte AWS.

   2. Entrez l'identifiant Compte AWS auquel vous souhaitez donner accès.

      Vous pouvez donner accès à plusieurs Comptes AWS.

   3. Choisissez Suivant.

10. Vérifiez votre clé KMS, puis choisissez Terminer.

Copiez et partagez l'instantané depuis le compte source

Ensuite, vous copiez l'instantané de base de données source vers un nouvel instantané à l'aide de la clé gérée par le client. Ensuite, vous le partagez avec la cible Compte AWS.

Pour copier et partager l'instantané

1. Connectez-vous au AWS Management Console depuis la source Compte AWS.

2. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/

3. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

4. Sélectionnez le snapshot de base de données que vous souhaitez copier.

5. Sous Actions, choisissez Copier un instantané.

6. Sur la page Copier un instantané :

   1. Pour Région de destination, choisissez l' Région AWS endroit où vous avez créé la clé gérée par le client lors de la procédure précédente.

   2. Entrez le nom de la copie instantanée de base de données dans New DB Snapshot Identifier.

   3. Pour AWS KMS key, choisissez la clé gérée par le client que vous avez créée.

      

   4. Choisissez Copy snapshot (Copier un instantané).

7. Lorsque la copie instantanée est disponible, sélectionnez-la.

8. Pour Actions, choisissez Share snapshot (Partager l'instantané).

9. Sur la page des autorisations relatives aux instantanés :

   1. Entrez l'Compte AWS identifiant avec lequel vous partagez la copie instantanée, puis choisissez Ajouter.

   2. Choisissez Enregistrer.

   L'instantané est partagé.

Copiez l'instantané partagé dans le compte cible

Vous pouvez maintenant copier le cliché partagé dans la cible Compte AWS.

Pour copier le cliché partagé

1. Connectez-vous au AWS Management Console depuis la cible Compte AWS.

2. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/

3. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

4. Choisissez l'onglet Partagé avec moi.

5. Sélectionnez l'instantané partagé.

6. Sous Actions, choisissez Copier un instantané.

7. Choisissez vos paramètres pour copier l'instantané comme dans la procédure précédente, mais utilisez un AWS KMS key paramètre appartenant au compte cible.

   Choisissez Copy snapshot (Copier un instantané).

Arrêter le partage de snapshots

Pour arrêter de partager un instantané de base de données, vous supprimez l'autorisation de la cible Compte AWS.

Console

Pour arrêter de partager un instantané de base de données manuel avec un Compte AWS

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

2. Dans le panneau de navigation, choisissez Snapshots.

3. Sélectionnez l'instantané manuel que vous voulez cesser de partager.

4. Choisissez Actions, puis Share snapshot (Partager l'instantané).

5. Pour supprimer l'autorisation pour un Compte AWS, choisissez Supprimer comme identifiant de AWS compte pour ce compte dans la liste des comptes autorisés.

6. Choisissez Save pour enregistrer les changements.

INTERFACE DE LIGNE DE COMMANDE (CLI)

Pour supprimer un Compte AWS identifiant de la liste, utilisez le --values-to-remove paramètre.

Exemple de l'arrêt du partage d'instantanés

L'exemple suivant empêche l' Compte AWS ID 444455556666 de restaurer le snapshot.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-snapshot-attribute \
--db-snapshot-identifier manual-snapshot1 \
--attribute-name restore \
--values-to-remove 444455556666

Dans Windows :

aws rds modify-db-snapshot-attribute ^
--db-snapshot-identifier manual-snapshot1 ^
--attribute-name restore ^
--values-to-remove 444455556666

API RDS

Pour supprimer l'autorisation de partage pour un Compte AWS, utilisez l'ModifyDBSnapshotAttributeopération avec AttributeName set to restore et le ValuesToRemove paramètre. Pour marquer un instantané manuel comme privé, supprimez la valeur all de la liste des valeurs pour l'attribut restore.