Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bekerja dengan cadangan bersama
CloudHSM terintegrasi AWS Resource Access Manager dengan AWS RAM() untuk mengaktifkan berbagi sumber daya. AWS RAM adalah layanan yang memungkinkan Anda untuk berbagi beberapa sumber daya CloudHSM dengan Akun AWS yang lain atau melalui. AWS Organizations Dengan AWS RAM, Anda berbagi sumber daya yang Anda miliki dengan membuat pembagian sumber daya. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan dibagikan. Konsumen dapat mencakup:
-
Khusus Akun AWS di dalam atau di luar organisasinya di AWS Organizations
-
Unit organisasi di dalam organisasinya di AWS Organizations
-
Seluruh organisasi di AWS Organizations
Untuk informasi selengkapnya AWS RAM, lihat Panduan AWS RAM Pengguna.
Topik ini menjelaskan cara berbagi sumber daya yang Anda miliki, dan cara menggunakan sumber daya yang dibagikan dengan Anda.
Daftar Isi
Prasyarat untuk berbagi cadangan
-
Untuk berbagi cadangan, Anda harus memilikinya di Anda Akun AWS. Ini berarti bahwa sumber daya harus dialokasikan atau disediakan di akun Anda. Anda tidak dapat membagikan cadangan yang telah dibagikan dengan Anda.
-
Untuk berbagi cadangan, itu harus dalam keadaan READY.
-
Untuk berbagi cadangan dengan organisasi Anda atau unit organisasi di AWS Organizations, Anda harus mengaktifkan berbagi dengan AWS Organizations. Untuk informasi selengkapnya, lihat Mengaktifkan Berbagi dengan AWS Organizations di Panduan AWS RAM Pengguna.
Berbagi cadangan
Ketika Anda berbagi cadangan dengan yang lain Akun AWS, Anda memungkinkan mereka untuk memulihkan cluster dari cadangan yang berisi kunci dan pengguna yang disimpan dalam cadangan.
Untuk membagikan cadangan, Anda harus menambahkannya ke berbagi sumber daya. Berbagi sumber daya adalah AWS RAM sumber daya yang memungkinkan Anda berbagi sumber daya Akun AWS. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan berbagi dengan mereka. Saat membagikan cadangan menggunakan konsol CloudHSM, Anda menambahkannya ke pembagian sumber daya yang ada. Untuk menambahkan cadangan ke pembagian sumber daya baru, Anda harus terlebih dahulu membuat pembagian sumber daya menggunakan AWS RAM
konsol
Jika Anda adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, konsumen di organisasi Anda secara otomatis diberikan akses ke cadangan bersama. Jika tidak, konsumen menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke cadangan bersama setelah menerima undangan.
Anda dapat membagikan cadangan yang Anda miliki menggunakan AWS RAM konsol atau AWS CLI.
Untuk berbagi cadangan yang Anda miliki menggunakan AWS RAM konsol
Lihat Membuat Sumber Daya Bersama di Panduan Pengguna AWS RAM .
Untuk berbagi cadangan yang Anda miliki (AWS RAM perintah)
Gunakan perintah create-resource-share.
Untuk berbagi cadangan yang Anda miliki (perintah CloudHSM)
penting
Meskipun Anda dapat membagikan cadangan menggunakan operasi PutResourcePolicy CloudHSM, sebaiknya AWS Resource Access Manager gunakan AWS RAM() sebagai gantinya. Menggunakan AWS RAM memberikan banyak manfaat karena menciptakan kebijakan untuk Anda, memungkinkan beberapa sumber daya untuk dibagikan sekaligus, dan meningkatkan kemampuan menemukan sumber daya bersama. Jika Anda menggunakan PutResourcePolicy dan ingin konsumen dapat menjelaskan cadangan yang Anda bagikan dengan mereka, Anda harus mempromosikan cadangan ke Pembagian AWS RAM Sumber Daya standar menggunakan operasi AWS RAM PromoteResourceShareCreatedFromPolicy API.
Gunakan perintah put-resource-policy.
-
Buat file bernama
policy.jsondan salin kebijakan berikut ke dalamnya.{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"<consumer-aws-account-id-or-user>" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>" }] } -
Perbarui
policy.jsondengan ARN cadangan dan pengidentifikasi untuk dibagikan. Contoh berikut memberikan akses read-only ke pengguna root untuk AWS akun yang diidentifikasi oleh 123456789012.{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "account-id" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }penting
Anda hanya dapat memberikan izin untuk DescribeBackups di tingkat akun. Ketika Anda berbagi cadangan dengan pelanggan lain, setiap prinsipal yang memiliki DescribeBackups izin di akun itu dapat menjelaskan cadangan.
-
Jalankan perintah put-resource-policy.
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.jsoncatatan
Pada titik ini, konsumen dapat menggunakan cadangan tetapi tidak akan muncul dalam DescribeBackups respons dengan parameter bersama. Langkah selanjutnya menjelaskan cara mempromosikan pembagian AWS RAM sumber daya agar cadangan dimasukkan dalam respons.
-
Dapatkan AWS RAM sumber daya berbagi ARN.
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>Ini mengembalikan respons yang mirip dengan ini:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }Dari respons, salin nilai
< resource-share-arn >untuk digunakan pada langkah selanjutnya. -
Jalankan perintah AWS RAM promote-resource-share-created-from-policy.
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
Untuk memvalidasi bahwa pembagian sumber daya telah dipromosikan, Anda dapat menjalankan AWS RAM get-resource-sharesperintah.
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>Ketika kebijakan telah dipromosikan, yang
featureSettercantum dalam tanggapan adalahSTANDARD. Ini juga berarti cadangan dapat dijelaskan oleh akun baru dalam kebijakan.
Membatalkan berbagi cadangan bersama
Saat Anda membatalkan pembagian sumber daya, konsumen mungkin tidak lagi menggunakannya untuk memulihkan cluster. Konsumen masih dapat mengakses cluster apa pun yang mereka pulihkan dari cadangan bersama.
Untuk membatalkan pembagian cadangan bersama yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan AWS RAM konsol atau AWS CLI.
Untuk membatalkan pembagian cadangan bersama yang Anda miliki menggunakan konsol AWS RAM
Lihat Memperbarui Sumber Daya Bersama di Panduan Pengguna AWS RAM .
Untuk membatalkan berbagi cadangan bersama yang Anda miliki (AWS RAM perintah)
Gunakan perintah disassociate-resource-share.
Untuk membatalkan berbagi cadangan bersama yang Anda miliki (perintah CloudHSM)
Gunakan perintah delete-resource-policy.
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
Mengidentifikasi cadangan bersama
Konsumen dapat mengidentifikasi cadangan yang dibagikan dengan mereka menggunakan konsol CloudHSM dan. AWS CLI
Untuk mengidentifikasi cadangan yang dibagikan dengan Anda menggunakan konsol CloudHSM
Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Cadangan.
-
Dalam tabel, pilih tab Cadangan bersama.
Untuk mengidentifikasi cadangan yang dibagikan dengan Anda menggunakan AWS CLI
Gunakan perintah deskripsi-cadangan dengan --shared parameter untuk mengembalikan cadangan yang dibagikan dengan Anda.
Izin untuk cadangan bersama
Izin untuk pemilik
Pemilik cadangan dapat mendeskripsikan dan mengelola cadangan bersama serta menggunakannya untuk memulihkan klaster.
Izin untuk konsumen
Konsumen cadangan tidak dapat memodifikasi cadangan bersama, tetapi mereka dapat mendeskripsikannya dan menggunakannya untuk memulihkan cluster.
Tagihan dan pengukuran
Tidak ada biaya tambahan untuk berbagi cadangan.
