Amazon Neptune
Guide de l'utilisateur (Version de l'API 2017-11-29)

Partage d'un instantané de cluster DB

Neptune vous permet de partager un instantané manuel de cluster DB de différentes manières :

  • Le partage d'un instantané manuel de cluster DB, chiffré ou non, permet aux comptes AWS autorisés de copier l'instantané.

  • Le partage d'un instantané de cluster de base de données manuel chiffré ou non chiffré permet aux comptes AWS autorisés de restaurer directement un cluster de base de données à partir l'instantané plutôt que d'effectuer une copie et de la restaurer.

Note

Pour partager un instantané automatisé de cluster DB, créez un instantané manuel en copiant l'instantané automatisé, puis partagez cette copie.

Pour plus d'informations sur la restauration d'un cluster de base de données à partir d'un instantané de cluster de base de données, consultez Présentation de la sauvegarde et de la restauration d'un cluster DB Neptune.

Vous pouvez partager un instantané manuel avec 20 autres comptes AWS maximum. Vous pouvez également partager un instantané manuel non chiffré marqué comme public ; il est ainsi accessible à tous les comptes AWS. Lors du partage d'un instantané marqué comme public, n'incluez aucune information privée dans vos instantanés publics.

Les limites suivantes s'appliquent lors du partage de snapshots manuels avec d'autres comptes AWS :

  • Lorsque vous restaurez un cluster DB à partir d'un instantané partagé à l'aide de l'AWS Command Line Interface (AWS CLI) ou de l'API Neptune, vous devez spécifier l'Amazon Resource Name (ARN) de l'instantané partagé en tant qu'identificateur d'instantané.

Partage d'un instantané chiffré

Vous pouvez partager des instantanés de cluster DB qui ont été chiffrés « au repos » en utilisant l'algorithme de chiffrement AES-256, comme décrit dans Chiffrement des ressources Neptune. Pour ce faire, vous devez exécuter les étapes suivantes :

  1. Partagez la clé de chiffrement AWS Key Management Service (AWS KMS) qui a été utilisée pour chiffrer l'instantané avec tous les comptes que vous souhaitez autoriser à accéder à l'instantané.

    Vous pouvez partager des clés de chiffrement AWS KMS avec un autre compte AWS en ajoutant l'autre compte à la stratégie de clé KMS. Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS KMS. Pour obtenir un exemple de création d'une stratégie de clé, consultez Autorisation de l'accès à une clé de chiffrement AWS KMS plus loin dans cette rubrique.

  2. Utilisez l'AWS Management Console, l'AWS CLI ou l'API Neptune pour partager l'instantané chiffré avec les autres comptes.

Ces restrictions s'appliquent au partage d'instantanés chiffrés :

  • Vous ne pouvez pas partager des instantanés chiffrés marqués comme publics.

  • Vous ne pouvez pas partager un instantané chiffré à l'aide de la clé de chiffrement AWS KMS par défaut du compte AWS qui a partagé l'instantané.

Autorisation de l'accès à une clé de chiffrement AWS KMS

Pour qu'un autre compte AWS copie un instantané chiffré de cluster DB partagé à partir de votre compte, le compte avec lequel vous partagez votre instantané doit avoir accès à la clé KMS qui a chiffré l'instantané. Pour autoriser un autre compte AWS à accéder à une clé AWS KMS, mettez à jour la stratégie de clé pour la clé KMS avec l'ARN du compte AWS auquel vous partagez en tant que Principal dans la stratégie de clé KMS, puis autorisez l'action kms:CreateGrant.

Une fois que vous avez donné à un compte AWS l'accès à votre clé de chiffrement KMS, pour copier votre instantané chiffré, ce compte AWS doit créer un utilisateur AWS Identity and Access Management (IAM) s'il n'en possède pas déjà un. En outre, ce compte AWS doit également attacher à cet utilisateur IAM une stratégie IAM l'autorisant à copier un instantané de cluster DB chiffré à l'aide de votre clé KMS. Le compte doit être un utilisateur IAM et ne peut pas être une identité du compte AWS racine en raison des restrictions de sécurité KMS.

Dans l'exemple de stratégie suivant, l'utilisateur 111122223333 est le propriétaire de la clé de chiffrement KMS, et l'utilisateur 444455556666 est le compte avec lequel la clé est partagée. Cette stratégie de clé mise à jour permet au compte AWS d'accéder à la clé KMS en incluant l'ARN pour l'identité du compte AWS racine pour l'utilisateur 444455556666 en tant que Principal pour la stratégie et en autorisant l'action kms:CreateGrant.

{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

Création d'une stratégie IAM pour permettre la copie d'un instantané chiffré

Une fois que le compte AWS externe peut accéder à votre clé KMS, le propriétaire de ce compte AWS peut créer une stratégie qui autorise un utilisateur IAM créé pour ce compte à copier un instantané chiffré avec cette clé KMS.

L'exemple suivant montre une stratégie pouvant être attachée à un utilisateur IAM pour un compte AWS 444455556666 qui permet à l'utilisateur IAM de copier un instantané partagé depuis le compte AWS 111122223333 qui a été chiffré avec la clé KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 dans la région us-west-2.

{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Pour plus de détails sur la mise à jour d'une stratégie de clé, voir Stratégies de clés dans le Guide du développeur AWS KMS.

Partage d'un instantané

Vous pouvez partager un instantané de cluster DB à l'aide de l'AWS Management Console, l'AWS CLI ou l'API Neptune.

AWS Management Console

En utilisant la console Neptune, vous pouvez partager un instantané manuel de cluster DB avec 20 comptes AWS maximum. Vous pouvez également utiliser la console pour arrêter le partage d'un instantané manuel avec un ou plusieurs comptes.

Pour partager un instantané manuel de cluster DB à l'aide de la console Neptune

  1. Connectez-vous à AWS Management Console et ouvrez la console Amazon Neptune à partir de l'adresse https://console.aws.amazon.com/neptune/home.

  2. Dans le volet de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané manuel que vous voulez partager.

  4. Choisissez Actions, puis Share Snapshot (Partager l'instantané).

  5. Choisissez l'une des options suivantes pour DB snapshot visibility (Visibilité d'instantané DB).

    • Si la source n'est pas chiffrée, choisissez Public pour permettre à tous les comptes AWS de restaurer un cluster DB à partir de votre instantané manuel de cluster DB, ou choisissez Private (Privé) pour autoriser uniquement les comptes AWS spécifiés à restaurer un cluster DB à partir de votre instantané manuel de cluster DB.

      Avertissement

      Si vous configurez DB snapshot visibility (Visibilité d'instantané DB) sur Public, tous les comptes AWS peuvent restaurer un cluster DB à partir de votre instantané manuel de cluster DB et accéder à vos données. Ne partagez pas en Public un instantané manuel de cluster DB contenant des informations privées.

    • Si la source est chiffrée, DB snapshot visibility (Visibilité d'instantané DB) est définie sur Private (Privé), car les instantanés chiffrés ne peuvent pas être partagés s'ils sont marqués comme étant publics.

  6. Dans AWS Account ID (ID de compte AWS), saisissez l'identifiant du compte AWS que vous souhaitez autoriser à restaurer un cluster DB à partir de votre instantané manuel, puis choisissez Add (Ajouter). Faites de même pour inclure des identifiants de compte AWS supplémentaires, jusqu'à 20 comptes AWS.

    Si vous faites une erreur en ajoutant un identifiant de compte AWS à la liste des comptes autorisés, vous pouvez le supprimer de la liste en choisissant Delete à droite de l'identifiant de compte AWS incorrect.

  7. Après avoir ajouté des identifiants pour tous les comptes AWS que vous souhaitez autoriser à restaurer l'instantané manuel, choisissez Save pour enregistrer vos changements.

Pour arrêter le partage d'un instantané manuel de cluster DB avec un compte AWS

  1. Connectez-vous à AWS Management Console et ouvrez la console Amazon Neptune à partir de l'adresse https://console.aws.amazon.com/neptune/home.

  2. Dans le volet de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané manuel que vous voulez cesser de partager.

  4. Choisissez Actions, puis Share Snapshot (Partager l'instantané).

  5. Pour supprimer une autorisation pour un compte AWS, choisissez Delete pour l'identifiant du compte AWS dans la liste des comptes autorisés.

  6. Choisissez Save pour enregistrer les changements.