Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partage d'un instantané de cluster de bases de données
Neptune vous permet de partager un instantané de cluster de bases de données manuel de différentes façons :
Le partage d'un instantané de cluster de bases de données manuel chiffré ou non chiffré permet aux comptes AWS autorisés de copier l'instantané.
Le partage d'un instantané de cluster de base de données manuel chiffré ou non chiffré permet aux comptes AWS autorisés de restaurer directement un cluster de base de données à partir l'instantané plutôt que d'effectuer une copie et de la restaurer.
Note
Pour partager un instantané de cluster de base de données automatisé, créez un instantané de cluster de base de données manuel en copiant l'instantané automatisé, puis partagez cette copie.
Pour plus d'informations sur la restauration d'un cluster de base de données à partir d'un instantané de cluster de base de données, consultez Comment effectuer une restauration à partir d'un instantané.
Vous pouvez partager un instantané manuel avec 20 autres comptes AWS maximum. Vous pouvez également partager un instantané manuel non chiffré marqué comme public ; il est ainsi accessible à tous les comptes AWS. Lors du partage d'un instantané marqué comme public, n'incluez aucune information privée dans vos instantanés publics.
Note
Lorsque vous restaurez un cluster de bases de données à partir d'un instantané partagé à l'aide de l'AWS Command Line Interface (AWS CLI) ou de l'API Neptune, vous devez spécifier l'Amazon Resource Name (ARN) de l'instantané partagé en tant qu'identifiant d'instantané.
Rubriques
Partage d'un instantané de cluster de base de données chiffré
Vous pouvez partager des instantanés de cluster de base de données qui ont été chiffrés « au repos » en utilisant l'algorithme de chiffrement AES-256. Pour plus d'informations, consultez Chiffrement des ressources Neptune au repos. Pour ce faire, vous devez exécuter les étapes suivantes :
-
Partagez la clé de chiffrement AWS Key Management Service (AWS KMS) qui a été utilisée pour chiffrer l'instantané avec tous les comptes que vous souhaitez autoriser à accéder à l'instantané.
Vous pouvez partager des clés de chiffrement AWS KMS avec un autre compte AWS en ajoutant l'autre compte à la stratégie de clé KMS. Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS KMS. Pour obtenir un exemple de création d'une stratégie de clé, consultez Création d'une stratégie IAM pour permettre la copie d'un instantané chiffré plus loin dans cette rubrique.
Utilisez l'API AWS Management Console, AWS CLI ou Neptune pour partager l'instantané chiffré avec les autres comptes.
Ces restrictions s'appliquent au partage d'instantanés chiffrés :
Vous ne pouvez pas partager des instantanés chiffrés comme publics.
Vous ne pouvez pas partager un instantané chiffré à l'aide de la clé de chiffrement AWS KMS par défaut du compte AWS qui a partagé l'instantané.
Autorisation de l'accès à une clé de chiffrement AWS KMS
Pour qu'un autre compte AWS copie un instantané de cluster de bases de données chiffré partagé depuis votre compte, le compte avec lequel vous partagez l'instantané doit avoir accès à la clé KMS qui a chiffré l'instantané. Pour autoriser un autre compte AWS à accéder à une clé AWS KMS, mettez à jour la stratégie de clé pour la clé KMS avec l'ARN du compte AWS avec lequel vous partagez la clé en tant que Principal dans la stratégie de clé KMS. Autorisez ensuite l'action kms:CreateGrant. Pour obtenir des instructions générales, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service.
Une fois que vous avez donné à un compte AWS l'accès à votre clé de chiffrement KMS, ce compte AWS doit créer un utilisateur IAM s'il n'en possède pas déjà un pour copier votre instantané chiffré. Dans ce cas, les restrictions de sécurité KMS n'autorisent pas l'utilisation d'une identité de compte AWS racine. Le compte AWS doit également attacher une politique IAM à cet utilisateur IAM pour que ce dernier puisse copier un instantané de cluster de bases de données chiffré à l'aide de votre clé KMS.
Dans l'exemple de stratégie suivant, l'utilisateur 111122223333 est le propriétaire de la clé de chiffrement KMS, et l'utilisateur 444455556666 est le compte avec lequel la clé est partagée. Cette stratégie de clé mise à jour permet au compte AWS d'accéder à la clé KMS en incluant l'ARN pour l'identité du compte AWS racine pour l'utilisateur 444455556666 en tant que Principal pour la stratégie et en autorisant l'action kms:CreateGrant.
{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
Création d'une stratégie IAM pour permettre la copie d'un instantané chiffré
Une fois que le compte AWS externe a accès à votre clé KMS, le propriétaire de ce compte peut générer une stratégie qui autorise un utilisateur IAM créé pour ce compte à copier un instantané chiffré avec cette clé KMS.
L'exemple suivant illustre une stratégie qui est peut être attachée à un utilisateur IAM pour le compte AWS 444455556666. Ceci permet à l'utilisateur IAM de copier un instantané partagé depuis le compte AWS 111122223333 qui a été chiffré avec la clé KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 dans la région us-west-2.
{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS Key Management Service.
Partage d'un instantané de cluster de bases de données
Vous pouvez partager un instantané de cluster de bases de données à l'aide de la AWS Management Console, de l'AWS CLI ou de l’API Neptune.
Utilisation de la console pour partager un instantané de cluster de base de données
En utilisant la console Neptune, vous pouvez partager un instantané de cluster de bases de données manuel avec jusqu'à 20 comptes AWS. Vous pouvez également arrêter le partage d'un instantané manuel avec un ou plusieurs comptes.
Pour partager un instantané de cluster de base de données manuel
-
Connectez-vous à la console de gestion AWS et ouvrez la console Amazon Neptune à l'adresse https://console.aws.amazon.com/neptune/home
. Dans le panneau de navigation, choisissez Snapshots.
Sélectionnez l'instantané manuel que vous souhaitez partager.
Choisissez Actions, Share Snapshot (Partager l’instantané).
-
Choisissez l'une des options suivantes pour DB snapshot visibility (Visibilité d'instantané de base de données).
-
Si la source est non chiffrée, choisissez Public pour permettre à tous les comptes AWS de restaurer un cluster de bases de données à partir de l'instantané de cluster de bases de données manuel. Choisissez Privé pour autoriser seulement les comptes AWS spécifiés à restaurer un cluster de bases de données depuis votre instantané de cluster de bases de données manuel.
Avertissement
Si vous définissez DB snapshot visibility (Visibilité de l'instantané de base de données) sur Public, tous les comptes AWS peuvent restaurer un cluster de bases de données à partir de votre instantané de cluster de bases de données manuel et accéder à vos données. Ne partagez pas en Public un instantané manuel de cluster DB contenant des informations privées.
Si la source est chiffrée, la Visibilité d'instantané de base de données est définie sur Privé, car les instantanés chiffrés ne peuvent pas être partagés s'ils sont marqués comme étant publics.
-
-
Dans ID de compte AWS, entrez l'identifiant du compte AWS que vous souhaitez autoriser à restaurer un cluster de bases de données à partir de votre instantané manuel. Choisissez ensuite Ajouter. Faites de même pour inclure des identifiants de compte AWS supplémentaires, jusqu'à 20 comptes AWS.
Si vous faites une erreur en ajoutant un identifiant de compte AWS à la liste des comptes autorisés, vous pouvez le supprimer de la liste en choisissant Delete (Supprimer) à droite de l'identifiant de compte AWS incorrect.
Après avoir ajouté des identifiants pour tous les comptes AWS que vous souhaitez autoriser à restaurer l'instantané manuel, choisissez Save (Enregistrer).
Pour arrêter le partage d'un instantané de cluster de bases de données manuel avec un compte AWS
-
Ouvrez la console Amazon Neptune à l'adresse https://console.aws.amazon.com/neptune/home
. Dans le panneau de navigation, choisissez Snapshots.
Sélectionnez l'instantané manuel que vous souhaitez cesser de partager.
Choisissez Actions, puis Share Snapshot (Partager instantané).
Pour supprimer une autorisation pour un compte AWS, choisissez Delete (Supprimer) pour l'identifiant du compte AWS dans la liste des comptes autorisés.
Choisissez Save (Enregistrer).
