Utilisation de sauvegardes partagées - AWS CloudHSM
Conditions préalables au partage des sauvegardesPartage d'une sauvegardeAnnulation du partage d'une sauvegarde partagéeIdentification d'une sauvegarde partagéeAutorisations pour les sauvegardes partagéesFacturation et mesures

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de sauvegardes partagées

CloudHSM s'intègre àAWS RAM() pour AWS Resource Access Manager permettre le partage des ressources. AWS RAM est un service qui vous permet de partager certaines ressources CloudHSM avec Comptes AWS d'autres personnes ou par le biais de celles-ci. AWS Organizations Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Les consommateurs peuvent inclure :

  • Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations

  • Une unité organisationnelle au sein de son organisation dans AWS Organizations

  • Toute une organisation dans AWS Organizations

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Cette rubrique explique comment partager des ressources dont vous êtes propriétaire et comment utiliser les ressources partagées avec vous.

Conditions préalables au partage des sauvegardes

  • Pour partager une sauvegarde, vous devez la posséder dans votre Compte AWS. Cela signifie que la ressource doit être allouée ou provisionnée dans votre compte. Vous ne pouvez pas partager une sauvegarde qui a été partagée avec vous.

  • Pour partager une sauvegarde, celle-ci doit être à l'état PRÊT.

  • Pour partager une sauvegarde avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Partage d'une sauvegarde

Lorsque vous partagez une sauvegarde avec d'autres utilisateurs Comptes AWS, vous leur permettez de restaurer des clusters à partir de la sauvegarde qui contiennent les clés et les utilisateurs stockés dans la sauvegarde.

Pour partager une sauvegarde, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre elles Comptes AWS. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Lorsque vous partagez une sauvegarde à l'aide de la console CloudHSM, vous l'ajoutez à un partage de ressources existant. Pour ajouter la sauvegarde à un nouveau partage de ressources, vous devez d'abord créer le partage de ressources à l'aide de la AWS RAM console.

Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les utilisateurs de votre organisation ont automatiquement accès à la sauvegarde partagée. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès à la sauvegarde partagée après avoir accepté l'invitation.

Vous pouvez partager une sauvegarde dont vous êtes propriétaire à l'aide de la AWS RAM console ou AWS CLI.

Pour partager une sauvegarde dont vous êtes propriétaire à l'aide de la AWS RAM console

Consultez Création d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour partager une sauvegarde dont vous êtes propriétaire (AWS RAM commande)

Utilisez la commande create-resource-share.

Pour partager une sauvegarde dont vous êtes propriétaire (commande CloudHSM)

Important

Bien que vous puissiez partager une sauvegarde à l'aide de l'opération PutResourcePolicy CloudHSM, nous vous recommandons d' AWS Resource Access Manager utiliser AWS RAM() à la place. L'utilisation AWS RAM présente de nombreux avantages car elle crée la politique qui vous convient, permet de partager plusieurs ressources en même temps et augmente la découvrabilité des ressources partagées. Si vous utilisez PutResourcePolicy et souhaitez que les utilisateurs puissent décrire les sauvegardes que vous avez partagées avec eux, vous devez promouvoir la sauvegarde au niveau d'un partage de AWS RAM ressources standard à l'aide de l'opération AWS RAM PromoteResourceShareCreatedFromPolicy API.

Utilisez la commande put-resource-policy.

  1. Créez un fichier nommé policy.json et copiez-y la politique suivante.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS":"<consumer-aws-account-id-or-user>"
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"<arn-of-backup-to-share>"
  }]
}

  2. Effectuez la mise à jour policy.json avec l'ARN de sauvegarde et les identifiants avec lesquels le partager. L'exemple suivant accorde un accès en lecture seule à l'utilisateur root pour le AWS compte identifié par 123456789012.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS": [
        "account-id"
      ]
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
  }]
}
    Important

    Vous ne pouvez accorder des autorisations qu' DescribeBackups au niveau du compte. Lorsque vous partagez une sauvegarde avec un autre client, tout mandant DescribeBackups autorisé à accéder à ce compte peut décrire la sauvegarde.

  3. Exécutez la commande put-resource-policy.

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    Note

    À ce stade, le consommateur peut utiliser la sauvegarde, mais elle n'apparaîtra pas dans la DescribeBackups réponse avec le paramètre partagé. Les étapes suivantes décrivent comment promouvoir le partage AWS RAM des ressources afin que la sauvegarde soit incluse dans la réponse.

  4. Obtenez l'ARN du partage de AWS RAM ressources.

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    Cela renvoie une réponse similaire à celle-ci :

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    Dans la réponse, copiez la valeur < resource-share-arn > à utiliser dans les étapes suivantes.

  5. Exécutez la commande AWS RAM promote-resource-share-created-from-policy.

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. Pour vérifier que le partage de ressources a été promu, vous pouvez exécuter la AWS RAM get-resource-sharescommande.

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    Lorsque la politique a été promue, la featureSet liste figurant dans la réponse estSTANDARD. Cela signifie également que la sauvegarde peut être décrite par les nouveaux comptes de la politique.

Annulation du partage d'une sauvegarde partagée

Lorsque vous annulez le partage d'une ressource, le consommateur ne peut plus l'utiliser pour restaurer un cluster. Les utilisateurs pourront toujours accéder à tous les clusters qu'ils ont restaurés à partir de la sauvegarde partagée.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire, vous devez la supprimer du partage de ressources. Vous pouvez le faire à l'aide de la AWS RAM console ou AWS CLI.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire à l'aide de la console AWS RAM

Consultez Mise à jour d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire (AWS RAM commande)

Utilisez la commande disassociate-resource-share.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire (commande CloudHSM)

Utilisez la commande delete-resource-policy. 

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

Identification d'une sauvegarde partagée

Les consommateurs peuvent identifier une sauvegarde partagée avec eux à l'aide de la console CloudHSM et. AWS CLI

Pour identifier les sauvegardes partagées avec vous à l'aide de la console CloudHSM

  1. Ouvrez la AWS CloudHSM console à l'adresse https://console.aws.amazon.com/cloudhsm/home.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Sauvegardes.

  4. Dans le tableau, choisissez l'onglet Sauvegardes partagées.

Pour identifier les sauvegardes partagées avec vous à l'aide du AWS CLI

Utilisez la commande describe-backups avec le --shared paramètre pour renvoyer les sauvegardes partagées avec vous.

Autorisations pour les sauvegardes partagées

Autorisations accordées aux propriétaires

Les propriétaires de sauvegardes peuvent décrire et gérer une sauvegarde partagée, ainsi que l'utiliser pour restaurer un cluster.

Autorisations accordées aux consommateurs

Les utilisateurs de sauvegardes ne peuvent pas modifier une sauvegarde partagée, mais ils peuvent la décrire et l'utiliser pour restaurer un cluster.

Facturation et mesures

Le partage des sauvegardes n'entraîne aucun frais supplémentaire.