Amazon DocumentDB クラスタースナップショットの共有 - Amazon DocumentDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DocumentDB クラスタースナップショットの共有

Amazon DocumentDB では、手動クラスタースナップショットを共有できます。手動クラスタースナップショットは許可によってコピーできます。AWS アカウント。暗号化されている手動スナップショットまたは暗号化されていない手動スナップショットを共有できます。暗号化されていないスナップショットを共有する場合、承認済みAWS アカウントは、クラスターをコピーしてそこから復元するのではなく、スナップショットから直接クラスターを復元できます。ただし、共有され暗号化されたスナップショットから、クラスターを復元することはできません。代わりに、クラスターのコピーを作成し、そのコピーからクラスターを復元できます。スナップショットのコピーの詳細については、「Amazon DocumentDB クラスタースナップショットのコピー」を参照してください。

注記

Amazon DocumentDB の自動クラスタースナップショットを共有することはできません。回避策として、自動スナップショットをコピーして手動スナップショットを作成し、そのコピーを共有できます。スナップショットのコピーの詳細については、「Amazon DocumentDB クラスタースナップショットのコピー」を参照してください。スナップショットからクラスターを復元する方法の詳細については、「クラスタースナップショットからの復元」を参照してください。

手動スナップショットを最大 20 のその他のスナップショットと共有することができます。AWS アカウント。暗号化されていない手動スナップショットをパブリックとして共有することもできます。これにより、このスナップショットをすべての アカウントが使用できるようになります。スナップショットをパブリックとして共有する場合には、パブリックスナップショットにプライベート情報が含まれないように注意してください。

手動スナップショットを他の人と共有する場合AWS アカウントを使用して、共有スナップショットからクラスターを復元します。AWS CLIまたは Amazon DocumentDB API を使用する場合は、スナップショット識別子として共有スナップショットの Amazon リソースネーム (ARN) を指定する必要があります。

暗号化されたスナップショットの共有

以下の制限は、暗号化されたスナップショットの共有に適用されます。

  • 暗号化されたスナップショットをパブリックとして共有することはできません。

  • スナップショットを共有するアカウントのデフォルト AWS KMS 暗号化キーを使って暗号化されたスナップショットを共有することはできません。

暗号化されたスナップショットを共有するには、以下のステップに従います。

  1. スナップショットの暗号化に使用された AWS Key Management Service (AWS KMS) 暗号化キーを、スナップショットにアクセスできるようにするすべてのアカウントと共有します。

    共有できますAWS KMS別の暗号化キーとの暗号キーAWS他のアカウントをAWS KMSキーポリシー。キーポリシーの更新の詳細については、「」を参照してください。でのキーポリシーの使用AWSKMSAWS Key Management Serviceデベロッパーガイド。キーポリシーの作成例については、このトピックで後述する 暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成を参照してください。

  2. を使用するAWS CLI,以下に示すようにを使用して、暗号化されたスナップショットを他のアカウントと共有します。

AWS KMS 暗号化キーへのアクセス許可

別のAWS アカウントアカウントから共有された暗号化されたスナップショットをコピーするには、スナップショットを共有したアカウントにAWS KMSスナップショットを暗号化したキー。別のアカウントに AWS KMS キーへのアクセスを許可するには、AWS KMS キーのキーポリシーを更新して、共有先のアカウントの ARN を AWS KMS キーポリシーのプリンシパルに設定します。次に、kms:CreateGrant アクションを許可します。

アカウントにAWS KMS暗号化キー、暗号化されたスナップショットをコピーするには、そのアカウントでAWS Identity and Access Management(IAM) ユーザー (まだない場合は) ユーザー。さらに、そのアカウントは、ユーザーが暗号化されたスナップショットをコピーできるようにする IAM ポリシーをその IAM ユーザーにアタッチする必要があります。AWS KMSkey: アカウントは IAM ユーザーである必要があります。ルートにすることはできません。AWS アカウントによるアイデンティティAWS KMSセキュリティ制限。

次のキーポリシーの例では、ユーザー 123451234512 が AWS KMS 暗号化キーの所有者です。ユーザー 123456789012 がキーの共有先のアカウントです。この更新されたキーポリシーにより、アカウントは AWS KMS キーにアクセスできます。これは、ルートの ARN を含めることによって行われます。AWS アカウントユーザー 123456789012 をポリシーのプリンシパルとして認識し、kms:CreateGrantaction.

{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::123451234512:user/KeyUser", "arn:aws:iam::123456789012:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::123451234512:user/KeyUser", "arn:aws:iam::123456789012:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }

暗号化されているスナップショットのコピーを可能にする IAM ポリシーの作成

外部がいつになるかAWS アカウントへのアクセス権を持っているAWS KMSキー、そのアカウントの所有者は、アカウントで作成された IAM ユーザーが、そのアカウントで暗号化されたスナップショットをコピーできるようにするポリシーを作成できます。AWS KMSkey:

次の例では、の IAM ユーザーにアタッチできるポリシーを示します。AWS アカウント123456789012. このポリシーにより、IAM ユーザーは、で暗号化されたアカウント 123451234512 から共有スナップショットをコピーできます。AWS KMSキーc989c1dd-a3f2-4a5d-8d96-e793d082ab26us-west-2 リージョンで。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

キーポリシーの更新の詳細については、を参照してください。でのキーポリシーの使用AWS KMSAWS Key Management Serviceデベロッパーガイド

スナップショットの共有

スナップショットを共有するには、Amazon DocumentDB を使用します。modify-db-snapshot-attributeオペレーション. を使用する--values-to-addの ID のリストを追加するには、AWS アカウント手動スナップショットを復元する権限があります。

次の例では、2 つの許可があります。AWS アカウントという名前のスナップショットを復元するための識別子 1234512345123451234512345129012manual-snapshot1。また、all 属性値を削除し、スナップショットをプライベートとしてマークします。

Linux、macOS、Unix の場合:

aws docdb modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier sample-cluster-snapshot \ --attribute-name restore \ --values-to-add '["123451234512","123456789012"]'

Windows の場合:

aws docdb modify-db-cluster-snapshot-attribute ^ --db-cluster-snapshot-identifier sample-cluster-snapshot ^ --attribute-name restore ^ --values-to-add '["123451234512","123456789012"]'

このオペレーションによる出力は、次のようになります。

{ "DBClusterSnapshotAttributesResult": { "DBClusterSnapshotIdentifier": "sample-cluster-snapshot", "DBClusterSnapshotAttributes": [ { "AttributeName": "restore", "AttributeValues": [ "123451234512", "123456789012" ] } ] } }

を削除するにはAWS アカウントリストの識別子で、--values-to-removeパラメータ。次の例では、AWS アカウントスナップショットの復元から ID 123456789012 です。

Linux、macOS、Unix の場合:

aws docdb modify-db-cluster-snapshot-attribute \ --db-cluster-snapshot-identifier sample-cluster-snapshot \ --attribute-name restore \ --values-to-remove '["123456789012"]'

Windows の場合:

aws docdb modify-db-cluster-snapshot-attribute ^ --db-cluster-snapshot-identifier sample-cluster-snapshot ^ --attribute-name restore ^ --values-to-remove '["123456789012"]'

このオペレーションによる出力は、次のようになります。

{ "DBClusterSnapshotAttributesResult": { "DBClusterSnapshotIdentifier": "sample-cluster-snapshot", "DBClusterSnapshotAttributes": [ { "AttributeName": "restore", "AttributeValues": [ "123451234512" ] } ] } }