Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kloning lintas akun dengan AWS RAM dan Amazon Aurora
Dengan menggunakan AWS Resource Access Manager (AWS RAM) dengan Amazon Aurora, Anda dapat berbagi klaster Aurora DB dan klon milik akun Anda dengan AWS akun atau organisasi lain. AWS Kloning lintas akun lebih cepat daripada membuat dan memulihkan snapshot basis data. Anda dapat membuat klon dari salah satu klaster DB Aurora Anda lalu membagikan klon tersebut. Atau Anda dapat membagikan cluster Aurora DB Anda dengan AWS akun lain dan membiarkan pemegang akun membuat klon. Pendekatan yang Anda pilih tergantung pada kasus penggunaan Anda.
Misalnya, Anda mungkin perlu berbagi klon basis data keuangan Anda secara rutin dengan tim audit internal organisasi Anda. Dalam hal ini, tim audit Anda memiliki akun AWS untuk aplikasi yang digunakannya. Anda dapat memberikan izin kepada AWS akun tim audit untuk mengakses klaster Aurora DB Anda dan mengkloningnya sesuai kebutuhan.
Di sisi lain, jika vendor luar mengaudit data keuangan Anda, Anda mungkin lebih memilih untuk membuat klon sendiri. Anda kemudian memberi vendor luar tersebut akses ke klon saja.
Anda juga dapat menggunakan kloning lintas akun untuk mendukung banyak kasus penggunaan yang sama untuk kloning dalam AWS akun yang sama, seperti pengembangan dan pengujian. Misalnya, organisasi Anda mungkin menggunakan AWS akun yang berbeda untuk produksi, pengembangan, pengujian, dan sebagainya. Untuk informasi selengkapnya, lihat Gambaran umum kloning Aurora.
Dengan demikian, Anda mungkin ingin berbagi klon dengan AWS akun lain atau mengizinkan akun lain untuk membuat klon dari cluster Aurora DB Anda. AWS Dalam kedua kasus, mulailah dengan menggunakan AWS RAM untuk membuat objek berbagi. Untuk informasi lengkap tentang berbagi AWS sumber daya antar AWS akun, lihat Panduan AWS RAM Pengguna.
Membuat klon lintas akun memerlukan tindakan dari AWS akun yang memiliki cluster asli, dan AWS akun yang membuat klon. Pertama, pemilik klaster asli memodifikasi klaster untuk mengizinkan satu atau beberapa akun lain mengkloningnya. Jika salah satu akun berada di AWS organisasi yang berbeda AWS , buat undangan berbagi. Akun lain tersebut harus menerima undangan sebelum melanjutkan. Kemudian, setiap akun terotorisasi dapat mengkloning klaster. Selama proses ini, klaster diidentifikasi berdasarkan Amazon Resource Name (ARN) yang unik.
Seperti halnya kloning dalam AWS akun yang sama, ruang penyimpanan tambahan hanya digunakan jika perubahan dilakukan pada data oleh sumber atau klon. Biaya untuk penyimpanan kemudian diterapkan pada waktu itu. Jika klaster sumber dihapus, biaya penyimpanan didistribusikan secara merata di antara klon yang tersisa.
Topik
Batasan kloning lintas akun
Kloning lintas akun Aurora memiliki batasan sebagai berikut:
-
Anda tidak dapat mengkloning Aurora Serverless v1 cluster di seluruh AWS akun.
-
Anda tidak dapat melihat atau menerima undangan ke sumber daya bersama dengan. AWS Management Console Gunakan API Amazon RDS, atau AWS RAM konsol untuk melihat dan menerima undangan ke sumber daya bersama. AWS CLI
-
Anda hanya dapat membuat satu klon baru dari sumber daya yang dibagikan dengan Anda Akun AWS. Ini berlaku apakah sumber daya bersama adalah cluster Aurora DB asli atau klon yang dibuat sebelumnya.
-
Anda hanya dapat membuat satu klon baru dari klon yang telah dibagikan dengan akun Anda AWS .
-
Anda tidak dapat berbagi sumber daya (klon atau klaster Aurora DB) yang telah dibagikan dengan akun Anda. AWS
-
Anda dapat membuat maksimum 15 klon lintas akun dari setiap klaster DB Aurora.
-
Masing-masing dari 15 klon lintas akun harus dimiliki oleh akun yang berbeda AWS . Artinya, Anda hanya dapat membuat satu klon lintas akun dari sebuah cluster dalam akun apa pun AWS .
-
Setelah Anda mengkloning klaster, klaster asli dan klonnya dianggap sama untuk tujuan memberlakukan batasan pada klon lintas akun. Anda tidak dapat membuat klon lintas akun dari klaster asli dan kloning kloning dalam akun yang sama. AWS Jumlah total klon lintas akun untuk klaster asli dan klonnya tidak boleh melebihi 15.
-
Anda tidak dapat berbagi cluster Aurora DB dengan AWS akun lain kecuali klaster dalam keadaan.
ACTIVE -
Anda tidak dapat mengganti nama cluster Aurora DB yang telah dibagikan dengan AWS akun lain.
-
Anda tidak dapat membuat klon lintas akun dari klaster yang dienkripsikan dengan kunci RDS default.
-
Anda tidak dapat membuat klon yang tidak terenkripsi dalam satu akun AWS dari kluster Aurora DB terenkripsi yang telah dibagikan oleh akun lain. AWS Pemilik klaster harus memberikan izin untuk mengakses AWS KMS key klaster sumber. Namun, Anda dapat menggunakan kunci yang berbeda saat Anda membuat klon.
Mengizinkan AWS akun lain untuk mengkloning klaster Anda
Untuk mengizinkan AWS akun lain mengkloning klaster yang Anda miliki, gunakan AWS RAM untuk mengatur izin berbagi. Melakukannya juga mengirimkan undangan ke masing-masing akun lain yang ada di AWS organisasi yang berbeda.
Untuk prosedur berbagi sumber daya yang Anda miliki di AWS RAM konsol, lihat Berbagi sumber daya yang Anda miliki di Panduan AWS RAM Pengguna.
Topik
Memberikan izin ke AWS akun lain untuk mengkloning klaster Anda
Jika klaster yang Anda bagikan dienkripsi, Anda juga berbagi AWS KMS key untuk klaster tersebut. Anda dapat mengizinkan pengguna atau peran AWS Identity and Access Management (IAM) dalam satu AWS akun untuk menggunakan kunci KMS di akun yang berbeda.
Untuk melakukan ini, pertama-tama Anda menambahkan akun eksternal (pengguna root) ke kebijakan kunci kunci KMS melalui AWS KMS. Anda tidak menambahkan pengguna atau peran individual ke kebijakan kunci, hanya akun eksternal yang memilikinya. Anda hanya dapat berbagi kunci KMS yang Anda buat, bukan kunci layanan RDS default. Untuk informasi tentang kontrol akses untuk kunci KMS, lihat Autentikasi dan kontrol akses untuk AWS KMS.
Untuk memberikan izin untuk mengkloning klaster Anda
Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/
. -
Di panel navigasi, pilih Basis Data.
-
Pilih klaster DB yang ingin Anda bagikan untuk melihat halaman Detail, lalu pilih tab Konektivitas & keamanan.
-
Di bagian Share DB cluster with other AWS accounts, masukkan ID akun numerik untuk AWS akun yang ingin Anda izinkan untuk mengkloning cluster ini. Untuk akun IDs di organisasi yang sama, Anda dapat mulai mengetik di kotak dan kemudian memilih dari menu.
penting
Dalam beberapa kasus, Anda mungkin ingin akun yang tidak berada dalam organisasi AWS yang sama dengan akun Anda untuk mengkloning klaster. Dalam kasus ini, demi alasan keamanan, konsol tidak melaporkan siapa yang memiliki ID akun tersebut atau apakah akun tersebut ada.
Hati-hati memasukkan nomor akun yang tidak berada di AWS organisasi yang sama dengan AWS akun Anda. Segera verifikasi bahwa Anda berbagi kepada akun yang dimaksud.
-
Di halaman konfirmasi, verifikasi bahwa ID akun yang Anda tentukan sudah benar. Masukkan
sharedi kotak konfirmasi untuk mengonfirmasi.Pada halaman Detail, muncul entri yang menunjukkan ID AWS akun yang ditentukan di bawah Akun tempat cluster DB ini dibagikan. Kolom Status awalnya menunjukkan status Tertunda.
-
Hubungi pemilik AWS akun lain, atau masuk ke akun itu jika Anda memiliki keduanya. Minta pemilik akun lain untuk menerima undangan berbagi dan mengkloning klaster DB, sebagaimana dijelaskan sebagai berikut.
Untuk memberikan izin untuk mengkloning klaster Anda
-
Kumpulkan informasi untuk parameter yang diperlukan. Anda memerlukan ARN untuk cluster Anda dan ID numerik untuk akun lainnya. AWS
-
Jalankan AWS RAM perintah CLI.
create-resource-shareUntuk Linux, macOS, atau Unix:
aws ram create-resource-share --namedescriptive_name\ --regionregion\ --resource-arnscluster_arn\ --principalsother_account_idsUntuk Windows:
aws ram create-resource-share --namedescriptive_name^ --regionregion^ --resource-arnscluster_arn^ --principalsother_account_idsUntuk memasukkan beberapa akun IDs untuk
--principalsparameter, pisahkan IDs satu sama lain dengan spasi. Untuk menentukan apakah akun yang diizinkan IDs dapat berada di luar AWS organisasi Anda, sertakan--allow-external-principalsatau--no-allow-external-principalsparameter untukcreate-resource-share.
Untuk memberikan izin untuk mengkloning klaster Anda
-
Kumpulkan informasi untuk parameter yang diperlukan. Anda memerlukan ARN untuk cluster Anda dan ID numerik untuk akun lainnya. AWS
-
Panggil operasi AWS RAM API CreateResourceShare, dan tentukan nilai berikut:
-
Tentukan ID akun untuk satu atau lebih AWS akun sebagai
principalsparameter. -
Tentukan ARN untuk satu atau beberapa klaster DB Aurora sebagai parameter
resourceArns. -
Tentukan apakah akun yang diizinkan IDs dapat berada di luar AWS organisasi Anda dengan menyertakan nilai Boolean untuk
allowExternalPrincipalsparameter tersebut.
-
Membuat ulang klaster yang menggunakan kunci RDS default
Jika klaster terenkripsi yang ingin Anda bagikan menggunakan kunci RDS default, pastikan untuk membuat ulang klaster tersebut. Untuk melakukannya, buat snapshot manual dari klaster DB Anda, gunakan AWS KMS key, lalu pulihkan klaster tersebut ke klaster baru. Kemudian, bagikan klaster baru ini. Untuk melakukan proses ini, lakukan langkah-langkah berikut.
Untuk membuat ulang klaster terenkripsi yang menggunakan kunci RDS default
Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/
. -
Pilih Snapshot dari panel navigasi.
-
Pilih snapshot Anda.
-
Untuk Tindakan, pilih Salin Snapshot, lalu pilih Aktifkan enkripsi.
-
Untuk AWS KMS key, pilih kunci enkripsi baru yang ingin Anda gunakan.
-
Pulihkan snapshot yang telah disalin. Untuk melakukannya, ikuti prosedur dalam Memulihkan dari snapshot klaster DB. Instans DB baru akan menggunakan kunci enkripsi baru Anda.
-
(Opsional) Hapus klaster DB lama jika Anda tidak lagi membutuhkannya. Untuk melakukannya, ikuti prosedur dalam Menghapus snapshot klaster DB. Sebelum Anda melakukannya, konfirmasi bahwa klaster baru Anda memiliki semua data yang diperlukan dan bahwa aplikasi Anda dapat mengaksesnya dengan sukses.
Memeriksa apakah klaster yang Anda miliki dibagikan dengan AWS akun lain
Anda dapat memeriksa apakah pengguna lain memiliki izin untuk berbagi klaster. Tindakan tersebut dapat membantu Anda memahami apakah klaster hampir mencapai batas jumlah maksimum klon lintas akun.
Untuk prosedur berbagi sumber daya menggunakan AWS RAM konsol, lihat Berbagi sumber daya yang Anda miliki di Panduan AWS RAM Pengguna.
Untuk mengetahui apakah klaster yang Anda miliki dibagikan dengan AWS akun lain
-
Panggil perintah AWS RAM CLI
list-principals, menggunakan ID akun Anda sebagai pemilik sumber daya dan ARN cluster Anda sebagai ARN sumber daya. Anda dapat melihat semua pembagian dengan perintah berikut. Hasilnya menunjukkan AWS akun mana yang diizinkan untuk mengkloning cluster.aws ram list-principals \ --resource-arnsyour_cluster_arn\ --principalsyour_aws_id
Untuk mengetahui apakah klaster yang Anda miliki dibagikan dengan AWS akun lain
-
Panggil operasi AWS RAM API ListPrincipals. Gunakan ID akun Anda sebagai pemilik sumber daya dan ARN klaster sebagai ARN sumber daya.
Kloning cluster yang dimiliki oleh akun lain AWS
Untuk mengkloning cluster yang dimiliki oleh AWS akun lain, gunakan AWS RAM untuk mendapatkan izin untuk membuat klon. Setelah Anda mendapatkan izin yang diperlukan, gunakan prosedur standar untuk mengkloning klaster Aurora.
Anda juga dapat memeriksa apakah cluster yang Anda miliki adalah tiruan dari cluster yang dimiliki oleh AWS akun yang berbeda.
Untuk prosedur untuk bekerja dengan sumber daya yang dimiliki oleh orang lain di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan AWS RAM Pengguna.
Topik
Melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS
Untuk bekerja dengan undangan untuk mengkloning cluster yang dimiliki oleh AWS akun di AWS organisasi lain, gunakan, AWS RAM konsol AWS CLI, atau API. AWS RAM Saat ini, Anda tidak dapat melakukan prosedur ini menggunakan konsol Amazon RDS.
Untuk prosedur untuk bekerja dengan undangan di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan Pengguna.AWS RAM
Untuk melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS
-
Jalankan AWS RAM perintah CLI.
get-resource-share-invitationsaws ram get-resource-share-invitations --regionregion_nameHasil dari perintah sebelumnya menunjukkan semua undangan untuk klaster klon, termasuk semua yang telah Anda terima atau ditolak.
-
(Opsional) Filter daftar sehingga Anda hanya melihat undangan yang memerlukan tindakan dari Anda. Untuk melakukannya, tambahkan parameter
--query 'resourceShareInvitations[?status==`PENDING`]'.
Untuk melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS
-
Panggil operasi AWS RAM API
GetResourceShareInvitations. Operasi ini akan menampilkan semua undangan tersebut, termasuk semua yang telah Anda terima atau tolak. -
(Opsional) Temukan hanya undangan yang memerlukan tindakan dari Anda dengan memeriksa
statusdengan nilaiPENDINGpada bidangresourceShareAssociationsyang dihasilkan.
Menerima undangan untuk berbagi cluster yang dimiliki oleh akun lain AWS
Anda dapat menerima undangan untuk berbagi cluster yang dimiliki oleh AWS akun lain yang berada di organisasi yang berbeda. AWS Untuk bekerja dengan undangan ini, gunakan, AWS RAM dan RDS APIs, atau konsol. AWS CLI AWS RAM Saat ini, Anda tidak dapat melakukan prosedur ini menggunakan konsol RDS.
Untuk prosedur untuk bekerja dengan undangan di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan Pengguna.AWS RAM
Untuk menerima undangan untuk berbagi klaster dari AWS akun lain
-
Temukan ARN undangan dengan menjalankan perintah AWS RAM CLI
get-resource-share-invitations, seperti yang ditunjukkan sebelumnya. -
Terima undangan dengan memanggil perintah AWS RAM CLI
accept-resource-share-invitation, seperti yang ditunjukkan berikut.Untuk Linux, macOS, atau Unix:
aws ram accept-resource-share-invitation \ --resource-share-invitation-arninvitation_arn\ --regionregionUntuk Windows:
aws ram accept-resource-share-invitation ^ --resource-share-invitation-arninvitation_arn^ --regionregion
Untuk menerima undangan untuk membagikan klaster orang lain
-
Temukan ARN undangan dengan memanggil operasi AWS RAM API
GetResourceShareInvitations, seperti yang ditunjukkan sebelumnya. -
Lewatkan ARN tersebut sebagai parameter
resourceShareInvitationArnuntuk operasi API RDS AcceptResourceShareInvitation.
Kloning cluster Aurora yang dimiliki oleh akun lain AWS
Setelah Anda menerima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya, Anda dapat mengkloning cluster.
Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS
Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/
. -
Di panel navigasi, pilih Basis Data.
Di bagian atas daftar basis data, Anda akan melihat satu atau beberapa item dengan nilai Peran yang menampilkan
Shared from account #. Untuk alasan keamanan, Anda hanya dapat melihat informasi terbatas tentang klaster asli. Properti yang dapat Anda lihat antara lain adalah mesin dan versi basis data, yang harus sama dalam kloning klaster Anda.account_id -
Pilih klaster yang akan dikloning.
-
Untuk Tindakan, pilih Buat klon.
-
Ikuti prosedur dalam Konsol untuk menyelesaikan penyiapan klaster yang dikloning.
-
Sesuai kebutuhan, aktifkan enkripsi untuk klaster yang dikloning. Jika klaster tersebut dienkripsi, Anda harus mengaktifkan enkripsi untuk klaster yang dikloning. Akun AWS yang berbagi klaster dengan Anda juga harus berbagi kunci KMS yang digunakan untuk mengenkripsi klaster. Anda dapat menggunakan kunci KMS yang sama untuk mengenkripsi klon, atau kunci KMS Anda sendiri. Anda tidak dapat membuat klon lintas akun untuk klaster yang dienkripsi dengan kunci KMS default.
Akun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci.
Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS
-
Terima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya.
-
Kloning klaster dengan menentukan ARN lengkap klaster sumber dalam parameter
source-db-cluster-identifierpada perintah CLI RDSrestore-db-cluster-to-point-in-time, sebagaimana ditunjukkan berikut ini.Jika ARN yang diteruskan sebagai
source-db-cluster-identifierbelum dibagikan, kesalahan yang sama akan ditampilkan seolah-olah klaster tersebut tidak ada.Untuk Linux, macOS, atau Unix:
aws rds restore-db-cluster-to-point-in-time \ --source-db-cluster-identifier=arn:aws:rds:arn_details\ --db-cluster-identifier=new_cluster_id\ --restore-type=copy-on-write \ --use-latest-restorable-timeUntuk Windows:
aws rds restore-db-cluster-to-point-in-time ^ --source-db-cluster-identifier=arn:aws:rds:arn_details^ --db-cluster-identifier=new_cluster_id^ --restore-type=copy-on-write ^ --use-latest-restorable-time -
Jika klaster yang Anda kloning terenkripsi, enkripsi klaster yang dikloning dengan menyertakan parameter
kms-key-id. Nilaikms-key-idini dapat sama dengan yang digunakan untuk mengenkripsi klaster DB asli, atau kunci KMS Anda sendiri. Akun Anda harus memiliki izin untuk menggunakan kunci enkripsi tersebut.Untuk Linux, macOS, atau Unix:
aws rds restore-db-cluster-to-point-in-time \ --source-db-cluster-identifier=arn:aws:rds:arn_details\ --db-cluster-identifier=new_cluster_id\ --restore-type=copy-on-write \ --use-latest-restorable-time \ --kms-key-id=arn:aws:kms:arn_detailsUntuk Windows:
aws rds restore-db-cluster-to-point-in-time ^ --source-db-cluster-identifier=arn:aws:rds:arn_details^ --db-cluster-identifier=new_cluster_id^ --restore-type=copy-on-write ^ --use-latest-restorable-time ^ --kms-key-id=arn:aws:kms:arn_detailsAkun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci. Contoh kebijakan kunci adalah sebagai berikut.
{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
catatan
Perintah restore-db-cluster-to- point-in-time AWS CLI hanya mengembalikan cluster DB, bukan instance DB untuk cluster DB itu. Untuk membuat instance DB untuk cluster DB yang dipulihkan, panggil perintah. create-db-instance Tentukan pengidentifikasi klaster DB yang dipulihkan di --db-cluster-identifier.
Anda dapat membuat instans DB hanya setelah perintah restore-db-cluster-to-point-in-time selesai dan klaster DB tersedia.
Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS
-
Terima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya.
-
Kloning klaster dengan menentukan ARN lengkah klaster sumber dalam parameter
SourceDBClusterIdentifierpada operasi API RDSRestoreDBClusterToPointInTime.Jika ARN yang diteruskan sebagai
SourceDBClusterIdentifierbelum dibagikan, kesalahan yang sama akan ditampilkan seolah-olah klaster tersebut tidak ada. -
Jika klaster yang Anda kloning terenkripsi, sertakan parameter
KmsKeyIduntuk mengenkripsi klaster yang dikloning. Nilaikms-key-idini dapat sama dengan yang digunakan untuk mengenkripsi klaster DB asli, atau kunci KMS Anda sendiri. Akun Anda harus memiliki izin untuk menggunakan kunci enkripsi tersebut.Saat mengkloning volume, akun tujuan harus memiliki izin untuk menggunakan kunci enkripsi yang digunakan untuk mengenkripsi klaster sumber. Aurora mengenkripsi klaster baru yang dikloning dengan kunci enkripsi yang ditentukan dalam
KmsKeyId.Akun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci. Contoh kebijakan kunci adalah sebagai berikut.
{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
catatan
Operasi Restore DBCluster ToPointInTime RDS API hanya mengembalikan cluster DB, bukan instance DB untuk cluster DB tersebut. Untuk membuat instans DB untuk cluster DB yang dipulihkan, jalankan operasi Create DBInstance RDS API. Tentukan pengidentifikasi klaster DB yang dipulihkan di DBClusterIdentifier. Anda dapat membuat instans DB hanya setelah operasi RestoreDBClusterToPointInTime selesai dan klaster DB tersedia.
Memeriksa apakah klaster DB merupakan klon lintas akun
Objek DBClusters mengidentifikasi apakah setiap klaster merupakan klon lintas akun. Anda dapat melihat klaster yang izin kloning Anda miliki dengan menggunakan opsi include-shared saat Anda menjalankan perintah CLI RDS describe-db-clusters. Namun, Anda tidak dapat melihat sebagian besar detail konfigurasi untuk klaster tersebut.
Untuk memeriksa apakah klaster DB merupakan klon lintas akun
-
Panggil perintah CLI RDS
describe-db-clusters.Contoh berikut menunjukkan bagaimana klaster DB klon lintas akun yang sebenarnya atau potensial muncul di output
describe-db-clusters. Untuk klaster yang ada yang dimiliki oleh AWS akun Anda,CrossAccountClonebidang menunjukkan apakah klaster adalah tiruan dari klaster DB yang dimiliki oleh akun lain AWS .Dalam beberapa kasus, entri mungkin memiliki nomor AWS akun yang berbeda dari milik Anda di
DBClusterArnlapangan. Dalam hal ini, entri itu mewakili cluster yang dimiliki oleh AWS akun yang berbeda dan Anda dapat mengkloning. Entri tersebut memiliki beberapa bidang selainDBClusterArn. Saat membuat klaster yang diklon, tentukan nilaiStorageEncrypted,Engine, danEngineVersionyang sama seperti dalam klaster asli.$aws rds describe-db-clusters --include-shared --region us-east-1 { "DBClusters": [ { "EarliestRestorableTime": "2023-02-01T21:17:54.106Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": false, ... }, { "EarliestRestorableTime": "2023-02-09T16:01:07.398Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": true, ... }, { "StorageEncrypted": false, "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0 ] }
Untuk memeriksa apakah klaster DB merupakan klon lintas akun
-
Panggil operasi API RDS Jelaskan DBClusters.
Untuk klaster yang ada yang dimiliki oleh AWS akun Anda,
CrossAccountClonebidang menunjukkan apakah klaster adalah tiruan dari klaster DB yang dimiliki oleh akun lain AWS . Entri dengan nomor AWS akun yang berbeda diDBClusterArnbidang mewakili cluster yang dapat Anda kloning dan yang dimiliki oleh akun lain. AWS Entri tersebut memiliki beberapa bidang selainDBClusterArn. Saat membuat klaster yang diklon, tentukan nilaiStorageEncrypted,Engine, danEngineVersionyang sama seperti dalam klaster asli.Contoh berikut menunjukkan nilai yang dihasilkan yang menunjukkan klaster yang dikloning yang sebenarnya dan potensial.
{ "DBClusters": [ { "EarliestRestorableTime": "2023-02-01T21:17:54.106Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": false, ... }, { "EarliestRestorableTime": "2023-02-09T16:01:07.398Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": true, ... }, { "StorageEncrypted": false, "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0" } ] }
