翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
での共有バックアップの使用 AWS CloudHSM
CloudHSM は AWS Resource Access Manager (AWS RAM) と統合してリソース共有を有効にします。 AWS RAM は、一部の CloudHSM リソースを他の AWS アカウント または を通じて共有できるサービスです AWS Organizations。では AWS RAM、リソース共有 を作成して、所有しているリソースを共有します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには以下が含まれます。
-
での組織 AWS アカウント 内外の特定 AWS Organizations
-
内の組織内の組織単位 AWS Organizations
-
の組織全体 AWS Organizations
の詳細については AWS RAM、AWS RAM 「 ユーザーガイド」を参照してください。
このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。
バックアップを共有するための前提条件
-
バックアップを共有するには、バックアップを で所有する必要があります AWS アカウント。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。共有されたバックアップを共有することはできません。
-
バックアップを共有するには、 READY状態である必要があります。
-
バックアップを の組織または組織単位と共有するには AWS Organizations、 との共有を有効にする必要があります AWS Organizations。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsで共有を有効化する」を参照してください。
バックアップの共有
バックアップを他の と共有する場合 AWS アカウント、バックアップに保存されているキーとユーザーを含むクラスターをバックアップから復元できるようにします。
バックアップを共有するには、バックアップをリソース共有に追加する必要があります。リソース共有とは、 AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。CloudHSM コンソールを使用してバックアップを共有する場合は、既存のリソース共有に追加します。新しいリソース共有にバックアップを追加するには、まずAWS RAM コンソール
組織の一部であり AWS Organizations 、組織内で共有が有効になっている場合、組織内のコンシューマーには共有バックアップへのアクセスが自動的に付与されます。それ以外の場合、コンシューマーはリソース共有に参加する招待を受け取り、招待を承諾した後、共有バックアップへのアクセスが許可されます。
AWS RAM コンソールまたは を使用して、所有しているバックアップを共有できます AWS CLI。
AWS RAM コンソールを使用して所有しているバックアップを共有するには
「AWS RAM ユーザーガイド 」の「リソース共有の作成」を参照してください。
所有しているバックアップを共有するには (AWS RAM コマンド)
create-resource-share コマンドを使用します。
所有しているバックアップを共有するには (CloudHSM コマンド)
重要
Cloud HSM PutResourcePolicy オペレーションを使用してバックアップを共有できますが、代わりに (AWS RAM) を使用する AWS Resource Access Manager ことをお勧めします。を使用すると AWS RAM 、ポリシーが作成され、複数のリソースを一度に共有でき、共有リソースの検出可能性が向上します。を使用し PutResourcePolicy 、共有したバックアップをコンシューマーに説明させたい場合は、 オペレーションを使用してバックアップを標準の AWS RAM Resource Share AWS RAM PromoteResourceShareCreatedFromPolicy APIに昇格させる必要があります。
put-resource-policy コマンドを使用します。
-
という名前のファイルを作成し
policy.json
、次のポリシーをコピーします。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"
<consumer-aws-account-id-or-user>
" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>
" }] } -
共有するバックアップARNと識別子
policy.json
で更新します。次の例では、123456789012 で識別された AWS アカウントのルートユーザーに読み取り専用アクセスを付与します。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "
account-id
" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }重要
にアクセス許可を付与できるのは、 DescribeBackups アカウントレベルのみです。バックアップを別の顧客と共有する場合、そのアカウントで DescribeBackups アクセス許可を持つプリンシパルはバックアップを記述できます。
-
put-resource-policy コマンドを実行します。
$
aws cloudhsmv2 put-resource-policy --resource-arn
<resource-arn>
--policy file://policy.json注記
この時点で、コンシューマーはバックアップを使用できますが、共有パラメータを使用して DescribeBackups レスポンスに表示されません。次のステップでは、バックアップをレスポンスに含めるために AWS RAM リソース共有を昇格させる方法について説明します。
-
AWS RAM リソース共有 を取得しますARN。
$
aws ram list-resources --resource-owner SELF --resource-arns
<backup-arn>
これにより、次のようなレスポンスが返されます。
{ "resources": [ { "arn": "
<project-arn>
", "type": "<type>
", "resourceShareArn": "<resource-share-arn>
", "creationTime": "<creation-time>
", "lastUpdatedTime": "<last-update-time>
" } ] }レスポンスから、
<resource-share-arn>
次のステップで使用する値。 -
AWS RAM promote-resource-share-created-from-policy コマンドを実行します。
$
aws ram promote-resource-share-created-from-policy --resource-share-arn
<resource-share-arn>
-
リソース共有が昇格されたことを確認するには、 コマンドを実行します AWS RAM get-resource-shares 。
$
aws ram get-resource-shares --resource-owner SELF --resource-share-arns
<resource-share-arn>
ポリシーが昇格されると、レスポンスに
featureSet
リストされている は になりますSTANDARD
。これは、バックアップをポリシー内の新しいアカウントで説明できることを意味します。
共有バックアップの共有を解除する
リソースの共有を解除すると、コンシューマーはリソースを使用してクラスターを復元できなくなります。コンシューマーは、共有バックアップから復元したクラスターに引き続きアクセスできます。
所有している共有バックアップの共有を解除するには、リソース共有から削除する必要があります。これは、 AWS RAM コンソールまたは を使用して行うことができます AWS CLI。
AWS RAM コンソールを使用して所有している共有バックアップの共有を解除するには
「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。
所有している共有バックアップの共有を解除するには (AWS RAM コマンド)
disassociate-resource-share コマンドを使用します。
所有している共有バックアップの共有を解除するには (CloudHSM コマンド)
delete-resource-policy コマンドを使用します。
$
aws cloudhsmv2 delete-resource-policy --resource-arn
<resource-arn>
共有バックアップの特定
コンシューマーは、CloudHSM コンソールと を使用して、共有されているバックアップを識別できます AWS CLI。
CloudHSM コンソールを使用して共有されているバックアップを特定するには
https://console.aws.amazon.com/cloudhsm/ホーム
で AWS CloudHSM コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。
-
ナビゲーションペインで、[バックアップ] を選択します。
-
テーブルで、共有バックアップタブを選択します。
を使用して共有されたバックアップを識別するには AWS CLI
describe-backups コマンドと --shared
パラメータを使用して、共有されているバックアップを返します。
共有バックアップのアクセス許可
所有者のアクセス許可
バックアップ所有者は、共有バックアップを記述して管理し、それを使用してクラスターを復元できます。
コンシューマーのアクセス許可
バックアップコンシューマーは共有バックアップを変更することはできませんが、それを記述してクラスターを復元するために使用できます。
請求と使用量測定
バックアップの共有には追加料金はかかりません。