Partage d'un instantané de cluster de base de données - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage d'un instantané de cluster de base de données

Neptune vous permet de partager un instantané de cluster de base de données manuel des façons suivantes :

  • Le partage d'un instantané de cluster de base de données manuel chiffré ou non chiffré permet d'autoriserAWScomptes pour copier l'instantané.

  • Le partage d'un instantané de cluster de base de données manuel chiffré ou non chiffré permet aux comptes AWS autorisés de restaurer directement un cluster de base de données à partir l'instantané plutôt que d'effectuer une copie et de la restaurer.

Note

Pour partager un instantané de cluster de base de données automatisé, créez un instantané de cluster de base de données manuel en copiant l'instantané automatisé, puis partagez cette copie.

Pour plus d'informations sur la restauration d'un cluster de base de données à partir d'un instantané de cluster de base de données, consultez Comment restaurer à partir d'un instantané.

Vous pouvez partager un instantané manuel avec 20 autres comptes AWS maximum. Vous pouvez également partager un instantané manuel non chiffré marqué comme public ; il est ainsi accessible à tous les comptes AWS. Lors du partage d'un instantané marqué comme public, n'incluez aucune information privée dans vos instantanés publics.

Note

Lorsque vous restaurez un cluster DB à partir d'un instantané partagé à l'aide de la consoleAWS Command Line Interface(AWS CLI) ou de l'API Neptune, vous devez spécifier l'Amazon Resource Name (ARN) de l'instantané partagé en tant qu'identificateur d'instantané.

Partage d'un instantané de cluster de base de données chiffré

Vous pouvez partager des instantanés de cluster de base de données qui ont été chiffrés « au repos » en utilisant l'algorithme de chiffrement AES-256. Pour plus d'informations, consultez Chiffrer les ressources Neptune au repos. Pour ce faire, vous devez exécuter les étapes suivantes :

  1. Partagez la clé de chiffrement AWS Key Management Service (AWS KMS) qui a été utilisée pour chiffrer l'instantané avec tous les comptes que vous souhaitez autoriser à accéder à l'instantané.

    Vous pouvez partagerAWS KMSclés de chiffrement avec une autreAWSen ajoutant l'autre compte à la stratégie de clé KMS. Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS KMS. Pour obtenir un exemple de création d'une stratégie de clé, consultez Création d'une stratégie IAM pour permettre la copie d'un instantané chiffré plus loin dans cette rubrique.

  2. Utilisation de l'AWS Management Console,AWS CLI, ou l'API Neptune pour partager l'instantané chiffré avec les autres comptes.

Ces restrictions s'appliquent au partage d'instantanés chiffrés :

  • Vous ne pouvez pas partager des instantanés chiffrés comme publics.

  • Vous ne pouvez pas partager un instantané qui a été chiffré à l'aide de la valeur par défautAWS KMSclé de chiffrement de la consoleAWScompte qui a partagé l'instantané.

Autorisation de l'accès à une clé de chiffrement AWS KMS

Pour un autreAWSpour copier un instantané de cluster de base de données chiffré partagé depuis votre compte. Le compte avec lequel vous partagez votre instantané doit avoir accès à la clé KMS qui a chiffré l'instantané. Pour autoriser un autreAWSaccès à un compteAWS KMS, mettez à jour la stratégie de clé de la clé KMS avec l'ARN de la consoleAWScompte que vous partagez en tant que comptePrincipaldans la stratégie clé AWS KMS. Autorisez ensuite l'action kms:CreateGrant.

Après avoir donné unAWSaccès au compte à votre clé de chiffrement KMS, pour copier votre instantané chiffré, queAWSdoit créer un compteAWS Identity and Access Management(IAM) s'il n'en a pas déjà un. En outre, celaAWSdoit également attacher une stratégie IAM pour cet utilisateur IAM qui permet à ce dernier de copier un instantané de cluster de base de données chiffré à l'aide de votre clé KMS. Le compte doit être un utilisateur IAM et ne peut pas être un utilisateur racineAWSidentité du compte en raison des restrictions de sécurité KMS.

Dans l'exemple de stratégie suivant, l'utilisateur 111122223333 est le propriétaire de la clé de chiffrement KMS, et l'utilisateur 444455556666 est le compte avec lequel la clé est partagée. Cette politique de clé mise à jour permet au compte AWS d'accéder à la clé KMS en incluant l'ARN pour l'identité du compte AWS racine pour l'utilisateur 444455556666 en tant que Principal pour la politique et en autorisant l'action kms:CreateGrant.

{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

Création d'une stratégie IAM pour permettre la copie d'un instantané chiffré

Après l'extérieurAWSpeut accéder à votre clé KMS. Le propriétaire de ce compte peut créer une stratégie qui autorise un utilisateur IAM créé pour ce compte à copier un instantané chiffré avec cette clé KMS.

L'exemple suivant illustre une stratégie qui est peut être attachée à un utilisateur IAM pourAWScompte444455556666. Il permet à l'utilisateur IAM de copier un instantané partagé depuisAWScompte111122223333qui a été chiffré avec la clé KMSc989c1dd-a3f2-4a5d-8d96-e793d082ab26dans leus-west-2Région .

{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS KMS.

Partage d'un instantané de cluster de base de données

Vous pouvez partager un instantané de cluster DB à l'aide de la consoleAWS Management Console, leAWS CLI, ou l'API Neptune.

Utilisation de la console pour partager un instantané de cluster de base de données

En utilisant la console Neptune, vous pouvez partager un instantané de cluster de base de données manuel avec jusqu'à 20AWScomptes. Vous pouvez également arrêter le partage d'un instantané manuel avec un ou plusieurs comptes.

Pour partager un instantané de cluster de base de données manuel

  1. Connectez-vous à à la consoleAWSManagement Console et ouvrez la console Amazon Neptune à l'adressehttps://console.aws.amazon.com/neptune/home.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané manuel que vous souhaitez partager.

  4. Choisissez Actions, Share Snapshot (Partager l’instantané).

  5. Choisissez l'une des options suivantes pour DB snapshot visibility (Visibilité d'instantané de base de données).

    • Si la source n'est pas chiffrée, choisissezPublicpour permettre à tousAWSpour restaurer un cluster DB à partir de votre instantané de cluster de base de données manuel. Ou choisissezPrivépour autoriser uniquementAWSque vous spécifiez pour restaurer un cluster DB à partir de votre instantané de cluster de base de données manuel.

      Avertissement

      Si vous définissezVisibilité d'instantané DBpourPublic, toutAWSLes comptes peuvent restaurer un cluster DB à partir de votre instantané de cluster de base de données manuel et accéder à vos données. Ne partagez pas en Public un instantané manuel de cluster DB contenant des informations privées.

    • Si la source est chiffrée, la Visibilité d'instantané de base de données est définie sur Privé, car les instantanés chiffrés ne peuvent pas être partagés s'ils sont marqués comme étant publics.

  6. PourAWSID de compte, saisissez la consoleAWSidentifiant de compte pour un compte que vous souhaitez autoriser à restaurer un cluster DB à partir de votre instantané manuel. Choisissez ensuite Ajouter. Faites de même pour inclure des identifiants de compte AWS supplémentaires, jusqu'à 20 comptes AWS.

    Si vous faites une erreur en ajoutant un identifiant de compte AWS à la liste des comptes autorisés, vous pouvez le supprimer de la liste en choisissant Delete (Supprimer) à droite de l'identifiant de compte AWS incorrect.

  7. Une fois que vous avez ajouté des identifiants pour tous lesAWSque vous souhaitez autoriser à restaurer l'instantané manuel, choisissezEnregistrer.

Pour arrêter le partage d'un instantané de cluster de base de données manuel avec unAWScompte

  1. Ouvrez la console Amazon Neptune à l'adressehttps://console.aws.amazon.com/neptune/home.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané manuel que vous souhaitez cesser de partager.

  4. Choisissez Actions, puis Share Snapshot (Partager instantané).

  5. Pour supprimer une autorisation pour un compte AWS, choisissez Delete (Supprimer) pour l'identifiant du compte AWS dans la liste des comptes autorisés.

  6. Choisissez Save (Enregistrer).