アカウント間での DB クラスタースナップショットのコピー
Amazon RDS API の ModifyDBClusterSnapshotAttribute
アクションと CopyDBClusterSnapshot
アクションを使用することで、他の AWS アカウントが、指定した DB クラスタースナップショットをコピーできるようにすることができます。DB クラスタースナップショットは、同じ AWS リージョン のアカウント間でのみコピーできます。クロスアカウントコピーは、アカウント A がコピー可能なスナップショットを作成した後、アカウント B がそれをコピーするというプロセスになります。
-
アカウント A を使用し、
ModifyDBClusterSnapshotAttribute
パラメータにrestore
を、AttributeName
パラメータにアカウント B の ID を指定して、ValuesToAdd
を呼び出します。 -
(スナップショットが暗号化されている場合) アカウント A を使用し、まずアカウント B の ARN を
Principal
として追加してからkms:CreateGrant
アクションを許可し、KMS キーのキーポリシーを更新します。 -
(スナップショットが暗号化されている場合) アカウント B を使用し、ユーザーを選択または作成して、KMS キーを使用して暗号化されている DB クラスタースナップショットのコピーを許可する IAM ポリシーをそのユーザーにアタッチします。
-
アカウント B を使用して
CopyDBClusterSnapshot
を呼び出し、SourceDBClusterSnapshotIdentifier
パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (アカウント A の ID を含める必要があります)。
DB クラスタースナップショットを復元するアクセス許可が付与されているすべての AWS アカウントを一覧表示するには、DescribeDBSnapshotAttributes または DescribeDBClusterSnapshotAttributes API オペレーションを使用します。
AWS アカウントの共有アクセス権限を削除するには、ModifyDBSnapshotAttribute
を ModifyDBClusterSnapshotAttribute
に設定して、AttributeName
パラメータで削除するアカウントの ID を設定し、restore
アクションまたは ValuesToRemove
アクションを使用します。
暗号化されていない DB クラスタースナップショットを同じ AWS リージョン 内の別のアカウントにコピーするには、以下の手順を使用します。
DB クラスタースナップショットの出典アカウントで、
ModifyDBClusterSnapshotAttribute
パラメータにrestore
を指定してAttributeName
パラメータにターゲットアカウントの ID を指定し、ValuesToAdd
を呼び出します。アカウント
987654321
を使用して次の例を実行すると、2 つの AWS アカウント識別子123451234512
および123456789012
がmanual-snapshot1
という名前の DB クラスタースナップショットを復元できるようになります。https://rds.us-west-2.amazonaws.com/ ?Action=ModifyDBClusterSnapshotAttribute &AttributeName=restore &DBClusterSnapshotIdentifier=manual-snapshot1 &SignatureMethod=HmacSHA256&SignatureVersion=4 &ValuesToAdd.member.1=123451234512 &ValuesToAdd.member.2=123456789012 &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20150922T220515Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3
-
ターゲットアカウントで、
CopyDBClusterSnapshot
を呼び出し、SourceDBClusterSnapshotIdentifier
パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (出典アカウントの ID を含める必要があります)。アカウント
123451234512
を使用して次の例を実行すると、DB クラスターアカウントaurora-cluster1-snapshot-20130805
がアカウント987654321
からコピーされ、dbclustersnapshot1
という名前の DB クラスタースナップショットが作成されます。https://rds.us-west-2.amazonaws.com/ ?Action=CopyDBClusterSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805 &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1 &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2
暗号化されている DB クラスタースナップショットを同じ AWS リージョン 内の別のアカウントにコピーするには、以下の手順を使用します。
-
DB クラスタースナップショットの出典アカウントで、
ModifyDBClusterSnapshotAttribute
パラメータにrestore
を指定してAttributeName
パラメータにターゲットアカウントの ID を指定し、ValuesToAdd
を呼び出します。アカウント
987654321
を使用して次の例を実行すると、2 つの AWS アカウント識別子123451234512
および123456789012
がmanual-snapshot1
という名前の DB クラスタースナップショットを復元できるようになります。https://rds.us-west-2.amazonaws.com/ ?Action=ModifyDBClusterSnapshotAttribute &AttributeName=restore &DBClusterSnapshotIdentifier=manual-snapshot1 &SignatureMethod=HmacSHA256&SignatureVersion=4 &ValuesToAdd.member.1=123451234512 &ValuesToAdd.member.2=123456789012 &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20150922T220515Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3
-
DB クラスタースナップショットのソースアカウントで、暗号化された DB クラスタースナップショットと同じ AWS リージョン にカスタム KMS キーを作成します。カスタマーマネージドキーの作成中に、ターゲットの AWS アカウント にそのキーへのアクセス権を付与します。詳細については、「カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与する」を参照してください。
-
スナップショットをターゲット AWS アカウント にコピーして共有します。詳細については、「ソースアカウントからスナップショットをコピーして共有する」を参照してください。
-
ターゲットアカウントで、
CopyDBClusterSnapshot
を呼び出し、SourceDBClusterSnapshotIdentifier
パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (出典アカウントの ID を含める必要があります)。アカウント
123451234512
を使用して次の例を実行すると、DB クラスターアカウントaurora-cluster1-snapshot-20130805
がアカウント987654321
からコピーされ、dbclustersnapshot1
という名前の DB クラスタースナップショットが作成されます。https://rds.us-west-2.amazonaws.com/ ?Action=CopyDBClusterSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805 &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1 &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2