アカウント間での DB クラスタースナップショットのコピー - Amazon Aurora

アカウント間での DB クラスタースナップショットのコピー

Amazon RDS API の ModifyDBClusterSnapshotAttribute アクションと CopyDBClusterSnapshot アクションを使用することで、他の AWS アカウントが、指定した DB クラスタースナップショットをコピーできるようにすることができます。DB クラスタースナップショットは、同じ AWS リージョン のアカウント間でのみコピーできます。クロスアカウントコピーは、アカウント A がコピー可能なスナップショットを作成した後、アカウント B がそれをコピーするというプロセスになります。

  1. アカウント A を使用し、ModifyDBClusterSnapshotAttribute パラメータに restore を、AttributeName パラメータにアカウント B の ID を指定して、ValuesToAdd を呼び出します。

  2. (スナップショットが暗号化されている場合) アカウント A を使用し、まずアカウント B の ARN を Principal として追加してから kms:CreateGrant アクションを許可し、KMS キーのキーポリシーを更新します。

  3. (スナップショットが暗号化されている場合) アカウント B を使用し、ユーザーを選択または作成して、KMS キーを使用して暗号化されている DB クラスタースナップショットのコピーを許可する IAM ポリシーをそのユーザーにアタッチします。

  4. アカウント B を使用して CopyDBClusterSnapshot を呼び出し、SourceDBClusterSnapshotIdentifier パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (アカウント A の ID を含める必要があります)。

DB クラスタースナップショットを復元するアクセス許可が付与されているすべての AWS アカウントを一覧表示するには、DescribeDBSnapshotAttributes または DescribeDBClusterSnapshotAttributes API オペレーションを使用します。

AWS アカウントの共有アクセス権限を削除するには、ModifyDBSnapshotAttributeModifyDBClusterSnapshotAttribute に設定して、AttributeName パラメータで削除するアカウントの ID を設定し、restore アクションまたは ValuesToRemove アクションを使用します。

暗号化されていない DB クラスタースナップショットを同じ AWS リージョン 内の別のアカウントにコピーするには、以下の手順を使用します。

  1. DB クラスタースナップショットの出典アカウントで、ModifyDBClusterSnapshotAttribute パラメータに restore を指定して AttributeName パラメータにターゲットアカウントの ID を指定し、ValuesToAdd を呼び出します。

    アカウント 987654321 を使用して次の例を実行すると、2 つの AWS アカウント識別子 123451234512 および 123456789012manual-snapshot1 という名前の DB クラスタースナップショットを復元できるようになります。

    https://rds.us-west-2.amazonaws.com/ ?Action=ModifyDBClusterSnapshotAttribute &AttributeName=restore &DBClusterSnapshotIdentifier=manual-snapshot1 &SignatureMethod=HmacSHA256&SignatureVersion=4 &ValuesToAdd.member.1=123451234512 &ValuesToAdd.member.2=123456789012 &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20150922T220515Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3
  2. ターゲットアカウントで、CopyDBClusterSnapshot を呼び出し、SourceDBClusterSnapshotIdentifier パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (出典アカウントの ID を含める必要があります)。

    アカウント 123451234512 を使用して次の例を実行すると、DB クラスターアカウント aurora-cluster1-snapshot-20130805 がアカウント 987654321 からコピーされ、dbclustersnapshot1 という名前の DB クラスタースナップショットが作成されます。

    https://rds.us-west-2.amazonaws.com/ ?Action=CopyDBClusterSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805 &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1 &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2

暗号化されている DB クラスタースナップショットを同じ AWS リージョン 内の別のアカウントにコピーするには、以下の手順を使用します。

  1. DB クラスタースナップショットの出典アカウントで、ModifyDBClusterSnapshotAttribute パラメータに restore を指定して AttributeName パラメータにターゲットアカウントの ID を指定し、ValuesToAdd を呼び出します。

    アカウント 987654321 を使用して次の例を実行すると、2 つの AWS アカウント識別子 123451234512 および 123456789012manual-snapshot1 という名前の DB クラスタースナップショットを復元できるようになります。

    https://rds.us-west-2.amazonaws.com/ ?Action=ModifyDBClusterSnapshotAttribute &AttributeName=restore &DBClusterSnapshotIdentifier=manual-snapshot1 &SignatureMethod=HmacSHA256&SignatureVersion=4 &ValuesToAdd.member.1=123451234512 &ValuesToAdd.member.2=123456789012 &Version=2014-10-31 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20150922T220515Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=ef38f1ce3dab4e1dbf113d8d2a265c67d17ece1999ffd36be85714ed36dddbb3
  2. DB クラスタースナップショットのソースアカウントで、暗号化された DB クラスタースナップショットと同じ AWS リージョン にカスタム KMS キーを作成します。カスタマーマネージドキーの作成中に、ターゲットの AWS アカウント にそのキーへのアクセス権を付与します。詳細については、「カスタマーマネージドキーを作成し、そのキーへのアクセス権を付与する」を参照してください。

  3. スナップショットをターゲット AWS アカウント にコピーして共有します。詳細については、「ソースアカウントからスナップショットをコピーして共有する」を参照してください。

  4. ターゲットアカウントで、CopyDBClusterSnapshot を呼び出し、SourceDBClusterSnapshotIdentifier パラメータを使用して、コピーする DB クラスタースナップショットの ARN を指定します (出典アカウントの ID を含める必要があります)。

    アカウント 123451234512 を使用して次の例を実行すると、DB クラスターアカウント aurora-cluster1-snapshot-20130805 がアカウント 987654321 からコピーされ、dbclustersnapshot1 という名前の DB クラスタースナップショットが作成されます。

    https://rds.us-west-2.amazonaws.com/ ?Action=CopyDBClusterSnapshot &CopyTags=true &SignatureMethod=HmacSHA256 &SignatureVersion=4 &SourceDBClusterSnapshotIdentifier=arn:aws:rds:us-west-2:987654321:cluster-snapshot:aurora-cluster1-snapshot-20130805 &TargetDBClusterSnapshotIdentifier=dbclustersnapshot1 &Version=2013-09-09 &X-Amz-Algorithm=AWS4-HMAC-SHA256 &X-Amz-Credential=AKIADQKE4SARGYLE/20150922/us-west-2/rds/aws4_request &X-Amz-Date=20140429T175351Z &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date &X-Amz-Signature=9164337efa99caf850e874a1cb7ef62f3cea29d0b448b9e0e7c53b288ddffed2