공유 백업 사용 - AWS CloudHSM
백업 공유를 위한 사전 요구 사항백업 공유공유 백업 공유 취소공유 백업 식별공유 백업에 대한 권한결제 및 측정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

공유 백업 사용

CloudHSM은AWS RAM() AWS Resource Access Manager 와 통합되어 리소스 공유를 가능하게 합니다. AWS RAM 일부 CloudHSM 리소스를 다른 사람과 AWS 계정 공유하거나 이를 통해 공유할 수 있는 서비스입니다. AWS Organizations를 사용하면 리소스 공유를 생성하여 소유한 리소스를 공유할 수 있습니다. AWS RAM 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. 소비자에는 다음이 포함될 수 있습니다.

  • 특정 조직 AWS 계정 내부 또는 외부 AWS Organizations

  • 조직 내부의 조직 단위 AWS Organizations

  • 조직 전체가 AWS Organizations

에 대한 AWS RAM자세한 내용은 AWS RAM 사용 설명서를 참조하십시오.

이 항목에서는 소유한 리소스를 공유하는 방법과 공유 리소스를 사용하는 방법을 설명합니다.

백업 공유를 위한 사전 요구 사항

  • 백업을 공유하려면 백업을 소유해야 합니다. AWS 계정즉, 계정에서 리소스를 할당하거나 프로비저닝해야 합니다. 공유된 백업은 공유할 수 없습니다.

  • 백업을 공유하려면 해당 백업이 READY 상태여야 합니다.

  • 에서 AWS Organizations조직 또는 조직 구성 단위와 백업을 공유하려면 공유를 활성화해야 합니다 AWS Organizations. 자세한 내용은 AWS RAM 사용 설명서AWS Organizations과(와) 공유 활성화를 참조하세요.

백업 공유

백업을 다른 사람과 공유하는 AWS 계정경우 백업에 저장된 키와 사용자가 포함된 클러스터를 백업에서 복원할 수 있습니다.

백업을 공유하려면 리소스 공유에 백업을 추가해야 합니다. 리소스 공유는 AWS 계정전반에서 리소스를 공유할 수 있게 해주는 AWS RAM 리소스입니다. 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. CloudHSM 콘솔을 사용하여 백업을 공유하는 경우 기존 리소스 공유에 백업을 추가합니다. 새 리소스 공유에 백업을 추가하려면 먼저 콘솔을 사용하여 리소스 공유를 생성해야 합니다.AWS RAM

에서 조직에 속해 AWS Organizations 있고 조직 내 공유가 활성화되어 있는 경우 조직의 소비자에게 공유 백업에 대한 액세스 권한이 자동으로 부여됩니다. 그렇지 않으면 소비자는 리소스 공유에 참여하라는 초대를 받게 되며 초대를 수락한 후에 공유 백업에 대한 액세스 권한이 부여됩니다.

소유한 백업을 AWS RAM 콘솔이나 를 사용하여 공유할 수 AWS CLI있습니다.

AWS RAM 콘솔을 사용하여 소유한 백업을 공유하려면

AWS RAM 사용 설명서리소스 공유 생성을 참조하세요.

소유한 백업을 공유하려면 (AWS RAM 명령)

create-resource-share 명령을 사용합니다.

소유한 백업을 공유하려면 (CloudHSM 명령)

중요

PutResourcePolicy CloudHSM 작업을 사용하여 백업을 공유할 수 있지만 대신 () AWS Resource Access Manager 를 사용하는AWS RAM것이 좋습니다. 를 AWS RAM 사용하면 정책이 생성되므로 여러 가지 이점이 있고, 한 번에 여러 리소스를 공유할 수 있으며, 공유 리소스의 검색 가능성이 높아집니다. 공유한 백업을 PutResourcePolicy 사용하고 소비자가 설명할 수 있게 하려면 AWS RAM PromoteResourceShareCreatedFromPolicy API 작업을 사용하여 백업을 표준 AWS RAM 리소스 공유로 승격해야 합니다.

put-resource-policy 명령을 사용합니다.

  1. 라는 policy.json 파일을 만들고 다음 정책을 파일에 복사하십시오.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS":"<consumer-aws-account-id-or-user>"
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"<arn-of-backup-to-share>"
  }]
}

  2. 백업 ARN 및 공유할 식별자로 policy.json 업데이트하십시오. 다음 예시에서는 123456789012로 식별된 AWS 계정의 루트 사용자에게 읽기 전용 액세스 권한을 부여합니다.

    {
  "Version":"2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Principal":{
      "AWS": [
        "account-id"
      ]
    },
    "Action":[
      "cloudhsm:CreateCluster",
      "cloudhsm:DescribeBackups"],
    "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123"
  }]
}
    중요

    계정 수준에서만 권한을 부여할 수 있습니다. DescribeBackups 다른 고객과 백업을 공유하는 경우 해당 계정에 대한 DescribeBackups 권한이 있는 모든 보안 주체는 백업에 대해 설명할 수 있습니다.

  3. put-resource-policy 명령을 실행합니다.

    $ aws cloudhsmv2 put-resource-policy --resource-arn <resource-arn> --policy file://policy.json
    참고

    이때 소비자는 백업을 사용할 수 있지만 공유 매개변수가 포함된 DescribeBackups 응답에는 표시되지 않습니다. 다음 단계에서는 백업이 응답에 포함되도록 AWS RAM 리소스 공유를 승격하는 방법을 설명합니다.

  4. AWS RAM 리소스 공유 ARN을 가져옵니다.

    $ aws ram list-resources --resource-owner SELF --resource-arns <backup-arn>

    그러면 다음과 비슷한 응답이 반환됩니다.

    {
  "resources": [
    {
      "arn": "<project-arn>",
      "type": "<type>",
      "resourceShareArn": "<resource-share-arn>",
      "creationTime": "<creation-time>",
      "lastUpdatedTime": "<last-update-time>"
    }
  ]
}

    응답에서 다음 단계에서 사용할 < resource-share-arn > 값을 복사합니다.

  5. AWS RAM promote-resource-share-created-from-policy 명령을 실행합니다.

    $ aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

  6. 명령을 실행하여 리소스 공유가 승격되었는지 확인할 수 있습니다. AWS RAM get-resource-shares 

    $ aws ram get-resource-shares --resource-owner SELF --resource-share-arns <resource-share-arn>

    정책이 승격되면 응답에 featureSet 다음과 같이 나열됩니다STANDARD. 즉, 정책의 새 계정이 백업을 설명할 수 있다는 의미이기도 합니다.

공유 백업 공유 취소

리소스 공유를 취소하면 소비자는 더 이상 해당 리소스를 사용하여 클러스터를 복원할 수 없습니다. 소비자는 공유 백업에서 복원한 모든 클러스터에 계속 액세스할 수 있습니다.

소유한 공유 백업을 공유 해제하려면 리소스 공유에서 해당 백업을 제거해야 합니다. AWS RAM 콘솔이나 AWS CLI를 사용하여 이 작업을 수행할 수 있습니다.

콘솔을 사용하여 소유한 공유 백업의 AWS RAM 공유를 취소하려면

AWS RAM 사용 설명서에서 리소스 공유 업데이트를 참조하세요.

소유한 공유 백업의 공유를 취소하려면 (명령)AWS RAM

disassociate-resource-share 명령을 사용합니다.

소유한 공유 백업의 공유를 취소하려면 (CloudHSM 명령)

delete-resource-policy 명령을 사용합니다.

$ aws cloudhsmv2 delete-resource-policy --resource-arn <resource-arn>

공유 백업 식별

소비자는 CloudHSM 콘솔 및 을 사용하여 공유된 백업을 식별할 수 있습니다. AWS CLI

CloudHSM 콘솔을 사용하여 사용자와 공유한 백업을 식별하려면

  1. https://console.aws.amazon.com/cloudhsm/home 에서 AWS CloudHSM 콘솔을 엽니다.

  2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

  3. 탐색 창에서 백업을 선택합니다.

  4. 표에서 공유 백업 탭을 선택합니다.

를 사용하여 공유한 백업을 식별하려면 AWS CLI

describe-backups 명령어를 --shared 파라미터와 함께 사용하여 공유된 백업을 반환할 수 있습니다.

공유 백업에 대한 권한

소유자에 대한 권한

백업 소유자는 공유 백업을 설명 및 관리하고 클러스터를 복원하는 데 사용할 수 있습니다.

소비자에 대한 권한

백업 소비자는 공유 백업을 수정할 수는 없지만 공유 백업을 설명하고 클러스터를 복원하는 데 사용할 수는 있습니다.

결제 및 측정

백업 공유에는 추가 요금이 부과되지 않습니다.