Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condivisione di uno snapshot cluster database
Con Neptune puoi condividere uno snapshot del cluster database manuale nei modi seguenti:
La condivisione di uno snapshot del cluster di database manuale, crittografato o non crittografato permette agli account AWS autorizzati di copiare lo snapshot.
La condivisione di uno snapshot cluster database manuale, crittografato o non crittografato, permette agli account AWS autorizzati di ripristinare direttamente un cluster database dallo snapshot, anziché eseguirne una copia da cui effettuare il ripristino.
Nota
Per condividere uno snapshot cluster database automatico, crea uno snapshot cluster database manuale copiando lo snapshot automatico e quindi condividi la copia.
Per ulteriori informazioni sul ripristino di un cluster di database da una snapshot di cluster di database, consulta Come eseguire il ripristino da uno snapshot.
Puoi condividere una snapshot manuale con al massimo altri 20 account AWS. Puoi anche condividere uno snapshot manuale non crittografato come pubblico, per renderlo disponibile a tutti gli account AWS. Quando si condivide una snapshot come pubblica, occorre fare attenzione che non siano incluse informazioni personali.
Nota
Quando ripristini un cluster database da uno snapshot condiviso usando AWS Command Line Interface (AWS CLI) o l'API di Neptune, devi specificare il nome della risorsa Amazon (ARN) dello snapshot condiviso come identificatore dello snapshot.
Argomenti
Condivisione di una snapshot di cluster di database crittografata
Puoi condividere snapshot di cluster di database che sono state crittografate in stato inattivo usando l'algoritmo di crittografia AES-256. Per ulteriori informazioni, consulta Crittografia delle risorse Neptune inattive. A tal fine, occorre procedere nel seguente modo:
-
Condividi la chiave di crittografia di AWS Key Management Service (AWS KMS) utilizzata per crittografare la snapshot con qualsiasi account con cui desideri accedere alla snapshot.
Puoi condividere le chiavi di crittografia AWS KMS con un altro account AWS aggiungendolo alla policy della chiave KMS. Per informazioni dettagliate sull'aggiornamento della policy della chiave, consulta la sezione relativa alle policy delle chiavi nella Guida per sviluppatori AWS KMS. Per un esempio di creazione di una policy delle chiavi, consulta Creazione di una policy IAM per abilitare la copia di una snapshot crittografata più avanti in questo argomento.
Usa la AWS Management Console, la AWS CLI o l'API di Neptune per condividere lo snapshot crittografato con gli altri account.
Queste limitazioni si applicano alla condivisione delle snapshot crittografate:
Non puoi condividere gli snapshot crittografati come pubblici.
Non puoi condividere uno snapshot crittografato con la chiave di crittografia AWS KMS predefinita dell'account AWS che ha condiviso lo snapshot.
Concedere l'accesso a una chiave crittografica di AWS KMS
Per consentire a un altro account AWS di copiare uno snapshot del cluster database crittografato dal tuo account, l'account con cui condividi lo snapshot deve avere accesso alla chiave KMS che ha crittografato lo snapshot. Per consentire a un altro account AWS di accedere a una chiave AWS KMS, aggiorna la policy della chiave relativa alla chiave KMS con il nome ARN dell'account AWS con cui esegui la condivisione come Principal nella policy della chiave KMS. Successivamente, autorizza l'operazione kms:CreateGrant. Per le istruzioni generali, consulta Consentire agli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service.
Dopo aver concesso a un account AWS l'accesso alla chiave di crittografia KMS, per copiare lo snapshot crittografato l'account AWS dovrà creare un utente IAM, se non ne ha già uno. Le restrizioni di sicurezza di KMS non consentono l'utilizzo dell'identità di un account AWS root per questo scopo. L'account AWS dovrà inoltre collegare una policy IAM a tale utente IAM per permettergli di copiare uno snapshot del cluster database crittografato usando la chiave KMS.
Nel seguente esempio di policy chiavi, l'utente 111122223333 è il proprietario della chiave di crittografia KMS, mentre l'utente 444455556666 è l'account con cui viene condivisa la chiave. Questa policy della chiave aggiornata offre all'account AWS l'accesso alla chiave KMS, includendo l'ARN per l'identità dell'account root di AWS per l'utente 444455556666 come Principal per la policy e consentendo l'operazione kms:CreateGrant.
{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
Creazione di una policy IAM per abilitare la copia di una snapshot crittografata
Dopo aver concesso l'accesso alla chiave KMS all'account AWS esterno, il proprietario dell'account può creare una policy che consenta a un utente IAM creato per l'account di copiare uno snapshot crittografato mediante tale chiave KMS.
L'esempio seguente mostra una policy che può essere collegata a un utente IAM per l'account AWS 444455556666. Consente all'utente IAM di copiare uno snapshot condiviso dall'account AWS 111122223333 che è stato crittografato con la chiave KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 nella regione us-west-2.
{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Per informazioni dettagliate sull'aggiornamento della policy della chiave, consulta la sezione relativa alle policy delle chiavi nella Guida per sviluppatori AWS Key Management Service.
Condivisione di uno snapshot cluster database
Puoi condividere uno snapshot di cluster database usando la AWS Management Console, la AWS CLI o l'API di Neptune.
Utilizzo della console per condividere uno snapshot di cluster database
Usando la console Neptune, puoi condividere uno snapshot del cluster database manuale con un massimo di 20 account AWS. Puoi anche interrompere la condivisione di uno snapshot manuale con uno o più account.
Per condividere uno snapshot di cluster database
-
Accedi alla Console di gestione AWS e apri la console Amazon Neptune all'indirizzo https://console.aws.amazon.com/neptune/home
. Nel riquadro di navigazione, selezionare Snapshots (Snapshot).
Scegliere lo snapshot manuale da condividere.
Scegliere Actions (Operazioni), Share Snapshot (Condividi snapshot).
-
Scegliere una delle opzioni seguenti per DB snapshot visibility (Visibilità snapshot DB).
-
Se l'origine non è crittografata, scegli Pubblico per consentire a tutti gli account AWS di ripristinare un cluster database dallo snapshot del cluster database manuale. In alternativa, scegli Privato per consentire solo agli account AWS specificati di ripristinare un cluster database dallo snapshot del cluster database manuale.
avvertimento
Se si imposta Visibilità snapshot DB su Pubblico, tutti gli account AWS possono ripristinare un cluster di database dallo snapshot del cluster di database manuale e accedere ai dati. Non condividere snapshot di cluster di database manuali che contengono informazioni private impostandoli come Public (Pubblico).
Se l'origine è crittografata, l'opzione DB snapshot visibility (Visibilità snapshot DB) è impostata su Private (Privato), perché gli snapshot crittografati non possono essere condivisi come pubblici.
-
-
Per ID account AWS, immetti l'identificatore dell'account AWS a cui si vuole consentire il ripristino di un cluster del database dallo snapshot manuale. Quindi scegliere Add (Aggiungi). Ripetere questa operazione per includere altri identificatori di account AWS, per un massimo di 20 account AWS.
In caso di errori durante l'aggiunta di un identificatore di account AWS all'elenco di account consentiti, è possibile eliminare l'account in questione dall'elenco selezionando Elimina a destra dell'identificatore dell'account AWS errato.
Dopo aver aggiunto gli identificatori per tutti gli account AWS a cui si vuole consentire il ripristino dello snapshot manuale, scegli Salva.
Per interrompere la condivisione di uno snapshot del cluster di database manuale con un account AWS
-
Apri la console Amazon Neptune all'indirizzo https://console.aws.amazon.com/neptune/home
. Nel riquadro di navigazione, selezionare Snapshots (Snapshot).
Selezionare lo snapshot manuale di cui interrompere la condivisione.
Scegliere Actions (Operazioni) e quindi Share Snapshot (Condividi snapshot).
Per rimuovere l'autorizzazione per un account AWS, selezionare Elimina per l’identificatore account AWS per quell’account dall’elenco di account autorizzati.
Seleziona Salva.
