Compartilhamento de snapshots criptografados - Amazon Aurora

Compartilhamento de snapshots criptografados

Você pode compartilhar snapshots do cluster de banco de dados que foram criptografados "em repouso" usando o algoritmo de criptografia AES-256, conforme descrito em Criptografar recursos do Amazon Aurora.

As seguintes restrições se aplicam ao compartilhamento de snapshots criptografados:

  • Não é possível compartilhar snapshots criptografados como públicos.

  • Não é possível compartilhar um snapshot criptografado usando a chave do KMS padrão da Conta da AWS que compartilhou o snapshot.

    Para ter mais informações sobre o gerenciamento de chaves AWS KMS para o Amazon RDS, consulte Gerenciamento de AWS KMS key.

Para contornar o problema da chave do KMS padrão, realize as seguintes tarefas:

Criar uma chave gerenciada pelo cliente e conceder acesso a ela

Primeiro, você deve criar uma chave do KMS personalizada na mesma Região da AWS do snapshot do cluster de banco de dados criptografado. Ao criar a chave gerenciada pelo cliente, conceda acesso a ela a outra Conta da AWS.

Como criar uma chave gerenciada pelo cliente e conceder acesso a ela
  1. Faça login no AWS Management Console pela Conta da AWS de origem.

  2. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  3. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  4. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  5. Escolha Create key (Criar chave).

  6. Na página Configurar chave:

    1. Em Tipo de chave, selecione Simétrico.

    2. Em Uso da chave, selecione Criptografar e descriptografar.

    3. Expanda Advanced options (Opções avançadas).

    4. Em Origem do material de chaves, selecione KMS.

    5. Em Regionalidade, selecione Chave de região única.

    6. Escolha Próximo.

  7. Na página Adicionar rótulos:

    1. Para Alias, insira um nome de exibição para a chave do KMS, por exemplo, share-snapshot.

    2. (Opcional) Insira uma descrição para a chave do KMS.

    3. (Opcional) Adicione tags à chave do KMS.

    4. Escolha Próximo.

  8. Na página Definir permissões administrativas da chave, escolha Próximo.

  9. Na página Definir permissões de uso da chave:

    1. Em Outras Contas da AWS, selecione Adicionar outra Conta da AWS.

    2. Insira o ID da Conta da AWS à qual você deseja conceder acesso.

      É possível conceder acesso a várias Contas da AWS.

    3. Escolha Próximo.

  10. Revise a chave do KMS e escolha Concluir.

Copiar e compartilhar o snapshot da conta de origem

Depois, você deve copiar o snapshot do cluster de banco de dados de origem para um novo snapshot usando a chave gerenciada pelo cliente. Depois, você vai compartilhá-lo com a Conta da AWS de destino.

Como copiar e compartilhar o snapshot
  1. Faça login no AWS Management Console pela Conta da AWS de origem.

  2. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  3. No painel de navegação, escolha Snapshots.

  4. Selecione o snapshot de cluster de banco de dados a ser copiado.

  5. Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).

  6. Na página Copiar snapshot:

    1. Em Região de destino, selecione a Região da AWS onde você criou a chave gerenciada pelo cliente no procedimento anterior.

    2. Digite o nome da cópia do snapshot de cluster de banco de dados em New DB Snapshot Identifier (Novo identificador de DB snapshot).

    3. Para AWS KMS key, selecione a chave gerenciada pelo cliente que você criou.

      Selecione a chave gerenciada pelo cliente.
    4. Escolha Copy snapshot (Copiar snapshot).

  7. Quando a cópia do snapshot estiver disponível, selecione-a.

  8. Em Actions (Ações), selecione Share Snapshot (Compartilhar snapshot).

  9. Na página Permissões de snapshot:

    1. Insira o ID da Conta da AWS com a qual você está compartilhando a cópia do snapshot e selecione Adicionar.

    2. Escolha Salvar.

    O snapshot é compartilhado.

Copiar o snapshot compartilhado na conta de destino

Agora você pode copiar o snapshot compartilhado na Conta da AWS de destino.

Como copiar o snapshot compartilhado
  1. Faça login no AWS Management Console pela Conta da AWS de destino.

  2. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  3. No painel de navegação, escolha Snapshots.

  4. Selecione a guia Compartilhado comigo.

  5. Selecione o snapshot compartilhado.

  6. Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).

  7. Escolha as configurações para copiar o snapshot como no procedimento anterior, mas use uma AWS KMS key que pertença à conta de destino.

    Escolha Copy snapshot (Copiar snapshot).