Kloning lintas akun dengan AWS RAM dan Amazon Aurora - Amazon Aurora:
BatasanMengizinkan AWS akun lain untuk mengkloning klaster AndaKloning cluster yang dimiliki oleh akun lain AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kloning lintas akun dengan AWS RAM dan Amazon Aurora

Dengan menggunakan AWS Resource Access Manager (AWS RAM) dengan Amazon Aurora, Anda dapat berbagi klaster Aurora DB dan klon milik akun Anda dengan AWS akun atau organisasi lain. AWS Kloning lintas akun lebih cepat daripada membuat dan memulihkan snapshot basis data. Anda dapat membuat klon dari salah satu klaster DB Aurora Anda lalu membagikan klon tersebut. Atau Anda dapat membagikan cluster Aurora DB Anda dengan AWS akun lain dan membiarkan pemegang akun membuat klon. Pendekatan yang Anda pilih tergantung pada kasus penggunaan Anda.

Misalnya, Anda mungkin perlu berbagi klon basis data keuangan Anda secara rutin dengan tim audit internal organisasi Anda. Dalam hal ini, tim audit Anda memiliki akun AWS untuk aplikasi yang digunakannya. Anda dapat memberikan izin kepada AWS akun tim audit untuk mengakses klaster Aurora DB Anda dan mengkloningnya sesuai kebutuhan.

Di sisi lain, jika vendor luar mengaudit data keuangan Anda, Anda mungkin lebih memilih untuk membuat klon sendiri. Anda kemudian memberi vendor luar tersebut akses ke klon saja.

Anda juga dapat menggunakan kloning lintas akun untuk mendukung banyak kasus penggunaan yang sama untuk kloning dalam AWS akun yang sama, seperti pengembangan dan pengujian. Misalnya, organisasi Anda mungkin menggunakan AWS akun yang berbeda untuk produksi, pengembangan, pengujian, dan sebagainya. Untuk informasi selengkapnya, lihat Gambaran umum kloning Aurora.

Dengan demikian, Anda mungkin ingin berbagi klon dengan AWS akun lain atau mengizinkan akun lain untuk membuat klon dari cluster Aurora DB Anda. AWS Dalam kedua kasus, mulailah dengan menggunakan AWS RAM untuk membuat objek berbagi. Untuk informasi lengkap tentang berbagi AWS sumber daya antar AWS akun, lihat Panduan AWS RAM Pengguna.

Membuat klon lintas akun memerlukan tindakan dari AWS akun yang memiliki cluster asli, dan AWS akun yang membuat klon. Pertama, pemilik klaster asli memodifikasi klaster untuk mengizinkan satu atau beberapa akun lain mengkloningnya. Jika salah satu akun berada di AWS organisasi yang berbeda AWS , buat undangan berbagi. Akun lain tersebut harus menerima undangan sebelum melanjutkan. Kemudian, setiap akun terotorisasi dapat mengkloning klaster. Sepanjang proses ini, cluster diidentifikasi dengan Amazon Resource Name (ARN) yang unik.

Seperti halnya kloning dalam AWS akun yang sama, ruang penyimpanan tambahan hanya digunakan jika perubahan dilakukan pada data oleh sumber atau klon. Biaya untuk penyimpanan kemudian diterapkan pada waktu itu. Jika klaster sumber dihapus, biaya penyimpanan didistribusikan secara merata di antara klon yang tersisa.

Batasan kloning lintas akun

Kloning lintas akun Aurora memiliki batasan sebagai berikut:

  • Anda tidak dapat mengkloning Aurora Serverless v1 cluster di seluruh AWS akun.

  • Anda tidak dapat melihat atau menerima undangan ke sumber daya bersama dengan. AWS Management Console Gunakan AWS CLI, Amazon RDSAPI, atau AWS RAM konsol untuk melihat dan menerima undangan ke sumber daya bersama.

  • Anda hanya dapat membuat satu klon baru dari klon yang telah dibagikan dengan akun Anda AWS .

  • Anda tidak dapat berbagi sumber daya (klon atau klaster Aurora DB) yang telah dibagikan dengan akun Anda. AWS

  • Anda dapat membuat maksimum 15 klon lintas akun dari setiap klaster DB Aurora.

  • Masing-masing dari 15 klon lintas akun harus dimiliki oleh akun yang berbeda AWS . Artinya, Anda hanya dapat membuat satu klon lintas akun dari sebuah cluster dalam akun apa pun AWS .

  • Setelah Anda mengkloning klaster, klaster asli dan klonnya dianggap sama untuk tujuan memberlakukan batasan pada klon lintas akun. Anda tidak dapat membuat klon lintas akun dari klaster asli dan kloning kloning dalam akun yang sama. AWS Jumlah total klon lintas akun untuk klaster asli dan klonnya tidak boleh melebihi 15.

  • Anda tidak dapat berbagi cluster Aurora DB dengan AWS akun lain kecuali klaster dalam keadaan. ACTIVE

  • Anda tidak dapat mengganti nama cluster Aurora DB yang telah dibagikan dengan AWS akun lain.

  • Anda tidak dapat membuat klon lintas akun dari klaster yang dienkripsi dengan kunci default. RDS

  • Anda tidak dapat membuat klon yang tidak terenkripsi dalam satu akun AWS dari kluster Aurora DB terenkripsi yang telah dibagikan oleh akun lain. AWS Pemilik klaster harus memberikan izin untuk mengakses AWS KMS key klaster sumber. Namun, Anda dapat menggunakan kunci yang berbeda saat Anda membuat klon.

Mengizinkan AWS akun lain untuk mengkloning klaster Anda

Untuk mengizinkan AWS akun lain mengkloning klaster yang Anda miliki, gunakan AWS RAM untuk mengatur izin berbagi. Melakukannya juga mengirimkan undangan ke masing-masing akun lain yang ada di AWS organisasi yang berbeda.

Untuk prosedur berbagi sumber daya yang Anda miliki di AWS RAM konsol, lihat Berbagi sumber daya yang Anda miliki di Panduan AWS RAM Pengguna.

Memberikan izin ke AWS akun lain untuk mengkloning klaster Anda

Jika klaster yang Anda bagikan dienkripsi, Anda juga berbagi AWS KMS key untuk klaster tersebut. Anda dapat mengizinkan AWS Identity and Access Management (IAM) pengguna atau peran dalam satu AWS akun untuk menggunakan KMS kunci di akun yang berbeda.

Untuk melakukan ini, pertama-tama Anda menambahkan akun eksternal (pengguna root) ke kebijakan KMS kunci kunci melalui AWS KMS. Anda tidak menambahkan pengguna atau peran individual ke kebijakan kunci, hanya akun eksternal yang memilikinya. Anda hanya dapat membagikan KMS kunci yang Anda buat, bukan kunci RDS layanan default. Untuk informasi tentang kontrol akses untuk KMS kunci, lihat Otentikasi dan kontrol akses untuk AWS KMS.

Untuk memberikan izin untuk mengkloning klaster Anda

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

  3. Pilih klaster DB yang ingin Anda bagikan untuk melihat halaman Detail, lalu pilih tab Konektivitas & keamanan.

  4. Di bagian Share DB cluster with other AWS accounts, masukkan ID akun numerik untuk AWS akun yang ingin Anda izinkan untuk mengkloning cluster ini. Untuk akun IDs di organisasi yang sama, Anda dapat mulai mengetik di kotak dan kemudian memilih dari menu.

    penting

    Dalam beberapa kasus, Anda mungkin ingin akun yang tidak berada dalam organisasi AWS yang sama dengan akun Anda untuk mengkloning klaster. Dalam kasus ini, demi alasan keamanan, konsol tidak melaporkan siapa yang memiliki ID akun tersebut atau apakah akun tersebut ada.

    Hati-hati memasukkan nomor akun yang tidak berada di AWS organisasi yang sama dengan AWS akun Anda. Segera verifikasi bahwa Anda berbagi kepada akun yang dimaksud.

  5. Di halaman konfirmasi, verifikasi bahwa ID akun yang Anda tentukan sudah benar. Masukkan share di kotak konfirmasi untuk mengonfirmasi.

    Pada halaman Detail, muncul entri yang menunjukkan ID AWS akun yang ditentukan di bawah Akun tempat cluster DB ini dibagikan. Kolom Status awalnya menunjukkan status Tertunda.

  6. Hubungi pemilik AWS akun lain, atau masuk ke akun itu jika Anda memiliki keduanya. Minta pemilik akun lain untuk menerima undangan berbagi dan mengkloning klaster DB, sebagaimana dijelaskan sebagai berikut.

Untuk memberikan izin untuk mengkloning klaster Anda

  1. Kumpulkan informasi untuk parameter yang diperlukan. Anda memerlukan ARN untuk cluster Anda dan ID numerik untuk AWS akun lainnya.

  2. Jalankan AWS RAM CLI perintah create-resource-share.

    Untuk Linux, macOS, atau Unix:

    aws ram create-resource-share --name descriptive_name \
  --region region \
  --resource-arns cluster_arn \
  --principals other_account_ids

    Untuk Windows:

    aws ram create-resource-share --name descriptive_name ^
  --region region ^
  --resource-arns cluster_arn ^
  --principals other_account_ids

    Untuk memasukkan beberapa akun IDs untuk --principals parameter, pisahkan IDs satu sama lain dengan spasi. Untuk menentukan apakah akun yang diizinkan IDs dapat berada di luar AWS organisasi Anda, sertakan --allow-external-principals atau --no-allow-external-principals parameter untukcreate-resource-share.

Untuk memberikan izin untuk mengkloning klaster Anda

  1. Kumpulkan informasi untuk parameter yang diperlukan. Anda memerlukan ARN untuk cluster Anda dan ID numerik untuk AWS akun lainnya.

  2. Panggil AWS RAM API operasi CreateResourceShare, dan tentukan nilai-nilai berikut:

    • Tentukan ID akun untuk satu atau lebih AWS akun sebagai principals parameter.

    • Tentukan ARN untuk satu atau lebih cluster Aurora DB sebagai parameter. resourceArns

    • Tentukan apakah akun yang diizinkan IDs dapat berada di luar AWS organisasi Anda dengan menyertakan nilai Boolean untuk allowExternalPrincipals parameter tersebut.

Membuat ulang cluster yang menggunakan kunci default RDS

Jika klaster terenkripsi yang Anda rencanakan untuk dibagikan menggunakan RDS kunci default, pastikan untuk membuat ulang klaster. Untuk melakukannya, buat snapshot manual dari klaster DB Anda, gunakan AWS KMS key, lalu pulihkan klaster tersebut ke klaster baru. Kemudian, bagikan klaster baru ini. Untuk melakukan proses ini, lakukan langkah-langkah berikut.

Untuk membuat ulang cluster terenkripsi yang menggunakan kunci default RDS

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Pilih Snapshot dari panel navigasi.

  3. Pilih snapshot Anda.

  4. Untuk Tindakan, pilih Salin Snapshot, lalu pilih Aktifkan enkripsi.

  5. Untuk AWS KMS key, pilih kunci enkripsi baru yang ingin Anda gunakan.

  6. Pulihkan snapshot yang telah disalin. Untuk melakukannya, ikuti prosedur dalam Memulihkan dari snapshot klaster DB. Instans DB baru akan menggunakan kunci enkripsi baru Anda.

  7. (Opsional) Hapus klaster DB lama jika Anda tidak lagi membutuhkannya. Untuk melakukannya, ikuti prosedur dalam Menghapus snapshot klaster DB. Sebelum Anda melakukannya, konfirmasi bahwa klaster baru Anda memiliki semua data yang diperlukan dan bahwa aplikasi Anda dapat mengaksesnya dengan sukses.

Memeriksa apakah klaster yang Anda miliki dibagikan dengan AWS akun lain

Anda dapat memeriksa apakah pengguna lain memiliki izin untuk berbagi klaster. Tindakan tersebut dapat membantu Anda memahami apakah klaster hampir mencapai batas jumlah maksimum klon lintas akun.

Untuk prosedur berbagi sumber daya menggunakan AWS RAM konsol, lihat Berbagi sumber daya yang Anda miliki di Panduan AWS RAM Pengguna.

Untuk mengetahui apakah klaster yang Anda miliki dibagikan dengan AWS akun lain

  • Panggil AWS RAM CLI perintah list-principals, menggunakan ID akun Anda sebagai pemilik sumber daya dan cluster Anda sebagai sumber dayaARN. ARN Anda dapat melihat semua pembagian dengan perintah berikut. Hasilnya menunjukkan AWS akun mana yang diizinkan untuk mengkloning cluster. 

    aws ram list-principals \
    --resource-arns your_cluster_arn \
    --principals your_aws_id
Untuk mengetahui apakah klaster yang Anda miliki dibagikan dengan AWS akun lain

  • Panggil AWS RAM API operasi ListPrincipals. Gunakan ID akun Anda sebagai pemilik sumber daya dan klaster Anda sebagai sumber dayaARN. ARN

Kloning cluster yang dimiliki oleh akun lain AWS

Untuk mengkloning cluster yang dimiliki oleh AWS akun lain, gunakan AWS RAM untuk mendapatkan izin untuk membuat klon. Setelah Anda mendapatkan izin yang diperlukan, gunakan prosedur standar untuk mengkloning klaster Aurora.

Anda juga dapat memeriksa apakah cluster yang Anda miliki adalah tiruan dari cluster yang dimiliki oleh AWS akun yang berbeda.

Untuk prosedur untuk bekerja dengan sumber daya yang dimiliki oleh orang lain di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan AWS RAM Pengguna.

Melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS

Untuk bekerja dengan undangan untuk mengkloning cluster yang dimiliki oleh AWS akun di AWS organisasi lain, gunakan, AWS RAM konsol AWS CLI, atau. AWS RAM API Saat ini, Anda tidak dapat melakukan prosedur ini menggunakan RDS konsol Amazon.

Untuk prosedur untuk bekerja dengan undangan di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan Pengguna.AWS RAM

Untuk melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS

  1. Jalankan AWS RAM CLI perintah get-resource-share-invitations. 

    aws ram get-resource-share-invitations --region region_name

    Hasil dari perintah sebelumnya menunjukkan semua undangan untuk klaster klon, termasuk semua yang telah Anda terima atau ditolak.

  2. (Opsional) Filter daftar sehingga Anda hanya melihat undangan yang memerlukan tindakan dari Anda. Untuk melakukannya, tambahkan parameter --query 'resourceShareInvitations[?status==`PENDING`]'.

Untuk melihat undangan untuk mengkloning cluster yang dimiliki oleh akun lain AWS

  1. Panggil AWS RAM API operasi GetResourceShareInvitations. Operasi ini akan menampilkan semua undangan tersebut, termasuk semua yang telah Anda terima atau tolak.

  2. (Opsional) Temukan hanya undangan yang memerlukan tindakan dari Anda dengan memeriksa status dengan nilai PENDING pada bidang resourceShareAssociations yang dihasilkan.

Menerima undangan untuk berbagi cluster yang dimiliki oleh akun lain AWS

Anda dapat menerima undangan untuk berbagi cluster yang dimiliki oleh AWS akun lain yang berada di organisasi yang berbeda. AWS Untuk bekerja dengan undangan ini, gunakan AWS CLI, AWS RAM dan RDSAPIs, atau konsol. AWS RAM Saat ini, Anda tidak dapat melakukan prosedur ini menggunakan RDS konsol.

Untuk prosedur untuk bekerja dengan undangan di AWS RAM konsol, lihat Mengakses sumber daya yang dibagikan dengan Anda di Panduan Pengguna.AWS RAM

Untuk menerima undangan untuk berbagi klaster dari AWS akun lain

  1. Temukan undangan ARN dengan menjalankan AWS RAM CLI perintah get-resource-share-invitations, seperti yang ditunjukkan sebelumnya.

  2. Terima undangan dengan memanggil AWS RAM CLI perintah accept-resource-share-invitation, seperti yang ditunjukkan berikut.

    Untuk Linux, macOS, atau Unix:

    aws ram accept-resource-share-invitation \
  --resource-share-invitation-arn invitation_arn \
  --region region

    Untuk Windows:

    aws ram accept-resource-share-invitation ^
  --resource-share-invitation-arn invitation_arn ^
  --region region
Untuk menerima undangan untuk membagikan klaster orang lain

  1. Temukan undangan ARN dengan memanggil AWS RAM API operasi GetResourceShareInvitations, seperti yang ditunjukkan sebelumnya.

  2. Lewati itu ARN sebagai resourceShareInvitationArn parameter ke RDS API operasi AcceptResourceShareInvitation.

Kloning cluster Aurora yang dimiliki oleh akun lain AWS

Setelah Anda menerima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya, Anda dapat mengkloning cluster.

Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

    Di bagian atas daftar basis data, Anda akan melihat satu atau beberapa item dengan nilai Peran yang menampilkan Shared from account #account_id. Untuk alasan keamanan, Anda hanya dapat melihat informasi terbatas tentang klaster asli. Properti yang dapat Anda lihat antara lain adalah mesin dan versi basis data, yang harus sama dalam kloning klaster Anda.

  3. Pilih klaster yang akan dikloning.

  4. Untuk Tindakan, pilih Buat klon.

  5. Ikuti prosedur dalam Konsol untuk menyelesaikan penyiapan klaster yang dikloning.

  6. Sesuai kebutuhan, aktifkan enkripsi untuk klaster yang dikloning. Jika klaster tersebut dienkripsi, Anda harus mengaktifkan enkripsi untuk klaster yang dikloning. AWS Akun yang berbagi cluster dengan Anda juga harus berbagi KMS kunci yang digunakan untuk mengenkripsi cluster. Anda dapat menggunakan KMS kunci yang sama untuk mengenkripsi klon, atau kunci Anda sendiriKMS. Anda tidak dapat membuat klon lintas akun untuk klaster yang dienkripsi dengan kunci default. KMS

    Akun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci.

Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS

  1. Terima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya.

  2. Kloning cluster dengan menentukan penuh ARN cluster sumber dalam source-db-cluster-identifier parameter RDS CLI perintah restore-db-cluster-to-point-in-time, seperti yang ditunjukkan berikut.

    Jika ARN diteruskan sebagai source-db-cluster-identifier belum dibagikan, kesalahan yang sama dikembalikan seolah-olah cluster yang ditentukan tidak ada.

    Untuk Linux, macOS, atau Unix:

    aws rds restore-db-cluster-to-point-in-time \
  --source-db-cluster-identifier=arn:aws:rds:arn_details \
  --db-cluster-identifier=new_cluster_id \
  --restore-type=copy-on-write \
  --use-latest-restorable-time

    Untuk Windows:

    aws rds restore-db-cluster-to-point-in-time ^
  --source-db-cluster-identifier=arn:aws:rds:arn_details ^
  --db-cluster-identifier=new_cluster_id ^
  --restore-type=copy-on-write ^
  --use-latest-restorable-time

  3. Jika klaster yang Anda kloning terenkripsi, enkripsi klaster yang dikloning dengan menyertakan parameter kms-key-id. kms-key-idNilai ini bisa sama dengan yang digunakan untuk mengenkripsi cluster DB asli, atau KMS kunci Anda sendiri. Akun Anda harus memiliki izin untuk menggunakan kunci enkripsi tersebut.

    Untuk Linux, macOS, atau Unix:

    aws rds restore-db-cluster-to-point-in-time \
  --source-db-cluster-identifier=arn:aws:rds:arn_details \
  --db-cluster-identifier=new_cluster_id \
  --restore-type=copy-on-write \
  --use-latest-restorable-time \
  --kms-key-id=arn:aws:kms:arn_details

    Untuk Windows:

    aws rds restore-db-cluster-to-point-in-time ^
  --source-db-cluster-identifier=arn:aws:rds:arn_details ^
  --db-cluster-identifier=new_cluster_id ^
  --restore-type=copy-on-write ^
  --use-latest-restorable-time ^
  --kms-key-id=arn:aws:kms:arn_details

    Akun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci. Contoh kebijakan kunci adalah sebagai berikut. 

    {
  "Id": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}
catatan

point-in-time AWS CLIPerintah restore-db-cluster-to- hanya mengembalikan cluster DB, bukan instance DB untuk cluster DB itu. Untuk membuat instance DB untuk cluster DB yang dipulihkan, panggil perintah. create-db-instance Tentukan pengidentifikasi klaster DB yang dipulihkan di --db-cluster-identifier.

Anda dapat membuat instans DB hanya setelah perintah restore-db-cluster-to-point-in-time selesai dan klaster DB tersedia.

Untuk mengkloning cluster Aurora yang dimiliki oleh akun lain AWS

  1. Terima undangan dari AWS akun yang memiliki cluster DB, seperti yang ditunjukkan sebelumnya.

  2. Kloning cluster dengan menentukan ARN penuh cluster sumber dalam SourceDBClusterIdentifier parameter operasi. RDS API RestoreDBClusterToPointInTime

    Jika ARN diteruskan sebagai SourceDBClusterIdentifier belum dibagikan, maka kesalahan yang sama dikembalikan seolah-olah cluster yang ditentukan tidak ada.

  3. Jika klaster yang Anda kloning terenkripsi, sertakan parameter KmsKeyId untuk mengenkripsi klaster yang dikloning. kms-key-idNilai ini bisa sama dengan yang digunakan untuk mengenkripsi cluster DB asli, atau KMS kunci Anda sendiri. Akun Anda harus memiliki izin untuk menggunakan kunci enkripsi tersebut.

    Saat mengkloning volume, akun tujuan harus memiliki izin untuk menggunakan kunci enkripsi yang digunakan untuk mengenkripsi klaster sumber. Aurora mengenkripsi klaster baru yang dikloning dengan kunci enkripsi yang ditentukan dalam KmsKeyId.

    Akun yang memiliki kunci enkripsi harus memberikan izin penggunaan kunci tersebut ke akun tujuan melalui kebijakan kunci. Proses ini serupa dengan cara berbagi snapshot terenkripsi, dengan menggunakan kebijakan kunci yang memberikan izin ke akun tujuan untuk menggunakan kunci. Contoh kebijakan kunci adalah sebagai berikut. 

    {
  "Id": "key-policy-1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::account_id:user/KeyUser",
        "arn:aws:iam::account_id:root"
      ]},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
    }
  ]
}
catatan

estoreDBClusterToPointInTimeRDSAPIOperasi R hanya mengembalikan cluster DB, bukan instance DB untuk cluster DB itu. Untuk membuat instance DB untuk cluster DB yang dipulihkan, panggil operasi C reateDBInstance RDSAPI. Tentukan pengidentifikasi klaster DB yang dipulihkan di DBClusterIdentifier. Anda dapat membuat instans DB hanya setelah operasi RestoreDBClusterToPointInTime selesai dan klaster DB tersedia.

Memeriksa apakah klaster DB merupakan klon lintas akun

Objek DBClusters mengidentifikasi apakah setiap klaster merupakan klon lintas akun. Anda dapat melihat cluster yang Anda memiliki izin untuk dikloning dengan menggunakan include-shared opsi saat Anda menjalankan perintah. RDS CLI describe-db-clusters Namun, Anda tidak dapat melihat sebagian besar detail konfigurasi untuk klaster tersebut.

Untuk memeriksa apakah klaster DB merupakan klon lintas akun

  • Panggil RDS CLI perintahnya describe-db-clusters.

    Contoh berikut menunjukkan bagaimana klaster DB klon lintas akun yang sebenarnya atau potensial muncul di output describe-db-clusters. Untuk klaster yang ada yang dimiliki oleh AWS akun Anda, CrossAccountClone bidang menunjukkan apakah klaster adalah tiruan dari klaster DB yang dimiliki oleh akun lain AWS .

    Dalam beberapa kasus, entri mungkin memiliki nomor AWS akun yang berbeda dari milik Anda di DBClusterArn lapangan. Dalam hal ini, entri itu mewakili cluster yang dimiliki oleh AWS akun yang berbeda dan Anda dapat mengkloning. Entri tersebut memiliki beberapa bidang selain DBClusterArn. Saat membuat klaster yang diklon, tentukan nilai StorageEncrypted, Engine, dan EngineVersion yang sama seperti dalam klaster asli. 

    $aws rds describe-db-clusters --include-shared --region us-east-1
{
  "DBClusters": [
      {
          "EarliestRestorableTime": "2023-02-01T21:17:54.106Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": false,
...
      },
      {
          "EarliestRestorableTime": "2023-02-09T16:01:07.398Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": true,
...
      },
      {
          "StorageEncrypted": false,
          "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0
  ]
}
Untuk memeriksa apakah klaster DB merupakan klon lintas akun

  • Panggil RDS API operasi D escribeDBClusters.

    Untuk klaster yang ada yang dimiliki oleh AWS akun Anda, CrossAccountClone bidang menunjukkan apakah klaster adalah tiruan dari klaster DB yang dimiliki oleh akun lain AWS . Entri dengan nomor AWS akun yang berbeda di DBClusterArn bidang mewakili cluster yang dapat Anda kloning dan yang dimiliki oleh akun lain. AWS Entri tersebut memiliki beberapa bidang selain DBClusterArn. Saat membuat klaster yang diklon, tentukan nilai StorageEncrypted, Engine, dan EngineVersion yang sama seperti dalam klaster asli.

    Contoh berikut menunjukkan nilai yang dihasilkan yang menunjukkan klaster yang dikloning yang sebenarnya dan potensial. 

    {
  "DBClusters": [
      {
          "EarliestRestorableTime": "2023-02-01T21:17:54.106Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": false,
...
      },
      {
          "EarliestRestorableTime": "2023-02-09T16:01:07.398Z",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0",
          "CrossAccountClone": true,
...
      },
      {
          "StorageEncrypted": false,
          "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh",
          "Engine": "aurora-mysql",
          "EngineVersion": "8.0.mysql_aurora.3.02.0"
      }
  ]
}