Utilisation de sauvegardes partagées dans AWS CloudHSM - AWS CloudHSM
Conditions préalables au partage des sauvegardesPartage d'une sauvegardeAnnulation du partage d'une sauvegarde partagéeIdentification d'une sauvegarde partagéeAutorisations pour les sauvegardes partagéesFacturation et mesures

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de sauvegardes partagées dans AWS CloudHSM

Le cloud HSM s'intègre à AWS Resource Access Manager (AWS RAM) pour permettre le partage des ressources. AWS RAM est un service qui vous permet de partager certaines HSM ressources du Cloud avec d'autres personnes Comptes AWS ou par le biais de AWS Organizations. Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Les consommateurs peuvent inclure :

  • Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations

  • Une unité organisationnelle au sein de son organisation dans AWS Organizations

  • Toute une organisation dans AWS Organizations

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Cette rubrique explique comment partager les ressources que vous possédez et comment utiliser les ressources partagées avec vous.

Conditions préalables au partage des sauvegardes

  • Pour partager une sauvegarde, vous devez la posséder dans votre Compte AWS. Cela signifie que la ressource doit être allouée ou provisionnée dans votre compte. Vous ne pouvez pas partager une sauvegarde qui a été partagée avec vous.

  • Pour partager une sauvegarde, celle-ci doit être en bon READYétat.

  • Pour partager une sauvegarde avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Partage d'une sauvegarde

Lorsque vous partagez une sauvegarde avec d'autres utilisateurs Comptes AWS, vous leur permettez de restaurer des clusters à partir de la sauvegarde qui contiennent les clés et les utilisateurs stockés dans la sauvegarde.

Pour partager une sauvegarde, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre elles Comptes AWS. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Lorsque vous partagez une sauvegarde à l'aide de la HSM console Cloud, vous l'ajoutez à un partage de ressources existant. Pour ajouter la sauvegarde à un nouveau partage de ressources, vous devez d'abord créer le partage de ressources à l'aide de la AWS RAM console.

Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les utilisateurs de votre organisation ont automatiquement accès à la sauvegarde partagée. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès à la sauvegarde partagée après avoir accepté l'invitation.

Vous pouvez partager une sauvegarde dont vous êtes propriétaire à l'aide de la AWS RAM console ou AWS CLI.

Pour partager une sauvegarde dont vous êtes propriétaire à l'aide de la AWS RAM console

Consultez Création d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour partager une sauvegarde dont vous êtes propriétaire (AWS RAM commande)

Utilisez la create-resource-sharecommande.

Pour partager une sauvegarde dont vous êtes propriétaire (HSMcommande Cloud)

Important

Bien que vous puissiez partager une sauvegarde à l'aide de l'HSM PutResourcePolicy opération Cloud, nous vous recommandons d'utiliser AWS Resource Access Manager (AWS RAM) à la place. L'utilisation AWS RAM présente de nombreux avantages car elle crée la politique qui vous convient, permet de partager plusieurs ressources en même temps et augmente la découvrabilité des ressources partagées. Si vous utilisez PutResourcePolicy et souhaitez que les utilisateurs puissent décrire les sauvegardes que vous avez partagées avec eux, vous devez promouvoir la sauvegarde au niveau d'un partage de AWS RAM ressources standard à l'aide de cette AWS RAM PromoteResourceShareCreatedFromPolicy API opération.

Utilisez la put-resource-policycommande.

  1. Créez un fichier nommé policy.json et copiez-y la politique suivante.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS":"<consumer-aws-account-id-or-user>"
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"<arn-of-backup-to-share>"
  }]
}

  2. Effectuez la mise à jour policy.json avec la sauvegarde ARN et les identifiants avec lesquels la partager. L'exemple suivant accorde un accès en lecture seule à l'utilisateur root pour le AWS compte identifié par 123456789012.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS": [
        "account-id"
      ]
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
  }]
}
    Important

    Vous ne pouvez accorder des autorisations qu' DescribeBackups au niveau du compte. Lorsque vous partagez une sauvegarde avec un autre client, tout mandant DescribeBackups autorisé à accéder à ce compte peut décrire la sauvegarde.

  3. Exécutez la commande put-resource-policy.

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    Note

    À ce stade, le consommateur peut utiliser la sauvegarde, mais elle n'apparaîtra pas dans la DescribeBackups réponse avec le paramètre partagé. Les étapes suivantes décrivent comment promouvoir le partage AWS RAM des ressources afin que la sauvegarde soit incluse dans la réponse.

  4. Obtenez le partage AWS RAM des ressourcesARN.

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    Cela renvoie une réponse similaire à celle-ci :

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    À partir de la réponse, copiez le <resource-share-arn> valeur à utiliser dans les prochaines étapes.

  5. Exécutez la commande AWS RAM promote-resource-share-created-from-policy.

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. Pour vérifier que le partage de ressources a été promu, vous pouvez exécuter la AWS RAM get-resource-sharescommande.

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    Lorsque la politique a été promue, la featureSet liste figurant dans la réponse estSTANDARD. Cela signifie également que la sauvegarde peut être décrite par les nouveaux comptes de la politique.

Annulation du partage d'une sauvegarde partagée

Lorsque vous annulez le partage d'une ressource, le consommateur ne peut plus l'utiliser pour restaurer un cluster. Les utilisateurs pourront toujours accéder à tous les clusters qu'ils ont restaurés à partir de la sauvegarde partagée.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire, vous devez la supprimer du partage de ressources. Vous pouvez le faire à l'aide de la AWS RAM console ou AWS CLI.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire à l'aide de la console AWS RAM

Consultez Mise à jour d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire (AWS RAM commande)

Utilisez la disassociate-resource-sharecommande.

Pour annuler le partage d'une sauvegarde partagée dont vous êtes propriétaire (HSMcommande Cloud)

Utilisez la delete-resource-policycommande.

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

Identification d'une sauvegarde partagée

Les consommateurs peuvent identifier une sauvegarde partagée avec eux à l'aide de la HSM console Cloud et AWS CLI.

Pour identifier les sauvegardes partagées avec vous à l'aide de la HSM console Cloud

  1. Ouvrez la AWS CloudHSM console à la https://console.aws.amazon.com/cloudhsm/maison.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Sauvegardes.

  4. Dans le tableau, choisissez l'onglet Sauvegardes partagées.

Pour identifier les sauvegardes partagées avec vous à l'aide du AWS CLI

Utilisez la commande describe-backups avec le --shared paramètre pour renvoyer les sauvegardes partagées avec vous.

Autorisations pour les sauvegardes partagées

Autorisations accordées aux propriétaires

Les propriétaires de sauvegardes peuvent décrire et gérer une sauvegarde partagée, ainsi que l'utiliser pour restaurer un cluster.

Autorisations accordées aux consommateurs

Les utilisateurs de sauvegardes ne peuvent pas modifier une sauvegarde partagée, mais ils peuvent la décrire et l'utiliser pour restaurer un cluster.

Facturation et mesures

Le partage des sauvegardes est gratuit.