Partage des instantanés du cluster Amazon DocumentDB

Dans Amazon DocumentDB, vous pouvez partager des instantanés de cluster manuels, qui peuvent être copiés par des personnes autorisées. Comptes AWS Vous pouvez partager des instantanés manuels chiffrés ou non chiffrés. Lors du partage d'un instantané non chiffré, les personnes autorisées Comptes AWS peuvent restaurer le cluster directement à partir de l'instantané au lieu d'en faire une copie et de le restaurer à partir de celui-ci. Cependant, vous ne pouvez pas restaurer un cluster à partir d'un instantané qui est à la fois partagé et chiffré. Par contre, vous pouvez créer une copie du cluster et restaurer le cluster à partir de cette copie. Pour de plus amples informations sur la copie d'un instantané, veuillez consulter Copier des instantanés du cluster Amazon DocumentDB.

Note

Vous ne pouvez pas partager un instantané de cluster automatisé Amazon DocumentDB. Pour contourner le problème, vous pouvez créer un instantané manuel en copiant l'instantané automatisé, puis en partageant cette copie. Pour de plus amples informations sur la copie d'un instantané, veuillez consulter Copier des instantanés du cluster Amazon DocumentDB. Pour de plus amples informations sur la restauration d'un cluster à partir d’un instantané, veuillez consulter Restauration à partir d'un instantané de cluster.

Vous pouvez partager un instantané manuel avec un maximum de 20 autres personnes Comptes AWS. Vous pouvez également partager un instantané manuel non chiffré marqué comme public ; il est ainsi accessible à tous les comptes . Lors du partage d'un instantané marqué comme public, assurez-vous de n'inclure aucune information privée dans vos instantanés publics.

Lorsque vous partagez des instantanés manuels avec d'autres Comptes AWS utilisateurs et que vous restaurez un cluster à partir d'un instantané partagé à l'aide AWS CLI d'Amazon API DocumentDB, vous devez spécifier le nom de ressource Amazon ARN () du cliché partagé comme identifiant de capture d'écran.

Partage d'un instantané chiffré

Les restrictions suivantes s'appliquent au partage d'instantanés chiffrés :

• Vous ne pouvez pas partager des instantanés chiffrés marqués comme publics.

• Vous ne pouvez pas partager un instantané chiffré à l'aide de la clé de AWS KMS chiffrement par défaut du compte qui a partagé l'instantané.

Suivez les étapes ci-après pour partager des instantanés chiffrés.

1. Partagez la clé de chiffrement AWS Key Management Service (AWS KMS) qui a été utilisée pour chiffrer l'instantané avec tous les comptes auxquels vous souhaitez accéder à l'instantané.

   Vous pouvez partager des clés de AWS KMS chiffrement avec d'autres AWS comptes en ajoutant les autres comptes à la politique des AWS KMS clés. Pour plus de détails sur la mise à jour d'une politique clé, consultez la section Utilisation des politiques clés AWS KMS dans le guide du AWS Key Management Service développeur. Pour obtenir un exemple de création d'une stratégie de clé, consultez Création d'une IAM politique pour permettre la copie de l'instantané chiffré plus loin dans cette rubrique.

2. Utilisez le AWS CLI, comme indiqué ci-dessous, pour partager l'instantané chiffré avec les autres comptes.

Autoriser l'accès à une clé AWS KMS de chiffrement

Pour Compte AWS qu'un autre puisse copier un instantané chiffré partagé depuis votre compte, le compte avec lequel vous partagez votre instantané doit avoir accès à la AWS KMS clé qui a chiffré l'instantané. Pour permettre à un autre compte d'accéder à une AWS KMS clé, mettez à jour la politique relative à la AWS KMS clé avec celle ARN du compte que vous partagez en tant que principal dans la politique des AWS KMS clés. Autorisez ensuite l'action kms:CreateGrant.

Une fois que vous avez autorisé un compte à accéder à votre clé de AWS KMS chiffrement, pour copier votre instantané chiffré, ce compte doit créer un utilisateur AWS Identity and Access Management (IAM) s'il n'en possède pas déjà un. En outre, ce compte doit également associer à cet IAM utilisateur une IAM politique lui permettant de copier un instantané chiffré à l'aide de votre AWS KMS clé. Le compte doit être un IAM utilisateur et ne peut pas être une Compte AWS identité root en raison de restrictions AWS KMS de sécurité.

Dans l'exemple de politique de clé suivant, l'utilisateur 123451234512 est le propriétaire de la clé de chiffrement. AWS KMS L'utilisateur 123456789012 est le compte avec lequel la clé est partagée. Cette politique clé mise à jour permet au compte d'accéder à la AWS KMS clé. ARNPour ce faire, il inclut l' Compte AWS identité root de l'utilisateur 123456789012 en tant que principal de la politique et en autorisant l'action. kms:CreateGrant

{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {"AWS": [
                "arn:aws:iam::123451234512:user/KeyUser",
                "arn:aws:iam::123456789012:root"
            ]},
            "Action": [
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"},
            {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {"AWS": [
                "arn:aws:iam::123451234512:user/KeyUser",
                "arn:aws:iam::123456789012:root"
            ]},
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
        }
    ]
}

Création d'une IAM politique pour permettre la copie de l'instantané chiffré

Lorsque l'utilisateur externe Compte AWS a accès à votre AWS KMS clé, le propriétaire de ce compte peut créer une politique permettant à un IAM utilisateur créé pour le compte de copier un instantané chiffré avec cette AWS KMS clé.

L'exemple suivant montre une politique qui peut être attachée à un IAM utilisateur pour Compte AWS 123456789012. La politique permet à l'IAMutilisateur de copier un instantané partagé à partir du compte 123451234512 qui a été chiffré avec la clé AWS KMS dans c989c1dd-a3f2-4a5d-8d96-e793d082ab26 la région us-west-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Pour plus de détails sur la mise à jour d'une politique clé, consultez la section Utilisation des politiques clés AWS KMS dans le guide du AWS Key Management Service développeur.

Partage d'un instantané

Pour partager un instantané, utilisez l'opération Amazon DocumentDB. modify-db-snapshot-attribute Utilisez le --values-to-add paramètre pour ajouter une liste des IDs personnes Comptes AWS autorisées à restaurer l'instantané manuel.

L'exemple suivant permet à deux Compte AWS identifiants, 123451234512 et 123456789012, de restaurer le cliché nommé. manual-snapshot1 Il supprime également la valeur d'attribut all pour marquer l'instantané comme étant privé.

Pour Linux, macOS ou Unix :

aws docdb modify-db-cluster-snapshot-attribute \
    --db-cluster-snapshot-identifier sample-cluster-snapshot \
    --attribute-name restore \
    --values-to-add '["123451234512","123456789012"]'

Pour Windows :

aws docdb modify-db-cluster-snapshot-attribute ^
    --db-cluster-snapshot-identifier sample-cluster-snapshot ^
    --attribute-name restore ^
    --values-to-add '["123451234512","123456789012"]'

Le résultat de cette opération ressemble à ceci.

{
    "DBClusterSnapshotAttributesResult": {
        "DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
        "DBClusterSnapshotAttributes": [
            {
                "AttributeName": "restore",
                "AttributeValues": [
                    "123451234512",
                    "123456789012"
                ]
            }
        ]
    }
}

Pour supprimer un Compte AWS identifiant de la liste, utilisez le --values-to-remove paramètre. L'exemple suivant empêche l' Compte AWS ID 123456789012 de restaurer le snapshot.

Pour Linux, macOS ou Unix :

aws docdb modify-db-cluster-snapshot-attribute \
    --db-cluster-snapshot-identifier sample-cluster-snapshot \
    --attribute-name restore \
    --values-to-remove '["123456789012"]'

Pour Windows :

aws docdb modify-db-cluster-snapshot-attribute ^
    --db-cluster-snapshot-identifier sample-cluster-snapshot ^
    --attribute-name restore ^
    --values-to-remove '["123456789012"]'

Le résultat de cette opération ressemble à ceci.

{
    "DBClusterSnapshotAttributesResult": {
        "DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
        "DBClusterSnapshotAttributes": [
            {
                "AttributeName": "restore",
                "AttributeValues": [
                    "123451234512"
                ]
            }
        ]
    }
}