Compartilhamento de snapshots criptografados
Você pode compartilhar snapshots do cluster de banco de dados que foram criptografados "em repouso" usando o algoritmo de criptografia AES-256, conforme descrito em Criptografar recursos do Amazon Aurora.
As seguintes restrições se aplicam ao compartilhamento de snapshots criptografados:
-
Não é possível compartilhar snapshots criptografados como públicos.
-
Não é possível compartilhar um snapshot criptografado usando a chave do KMS padrão da Conta da AWS que compartilhou o snapshot.
Para ter mais informações sobre o gerenciamento de chaves AWS KMS para o Amazon RDS, consulte Gerenciamento de AWS KMS key.
Para contornar o problema da chave do KMS padrão, realize as seguintes tarefas:
Criar uma chave gerenciada pelo cliente e conceder acesso a ela
Primeiro, você deve criar uma chave do KMS personalizada na mesma Região da AWS do snapshot do cluster de banco de dados criptografado. Ao criar a chave gerenciada pelo cliente, conceda acesso a ela a outra Conta da AWS.
Como criar uma chave gerenciada pelo cliente e conceder acesso a ela
-
Faça login no AWS Management Console pela Conta da AWS de origem.
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Escolha Create key (Criar chave).
-
Na página Configurar chave:
-
Em Tipo de chave, selecione Simétrico.
-
Em Uso da chave, selecione Criptografar e descriptografar.
-
Expanda Advanced options (Opções avançadas).
-
Em Origem do material de chaves, selecione KMS.
-
Em Regionalidade, selecione Chave de região única.
-
Escolha Próximo.
-
-
Na página Adicionar rótulos:
-
Para Alias, insira um nome de exibição para a chave do KMS, por exemplo,
share-snapshot
. -
(Opcional) Insira uma descrição para a chave do KMS.
-
(Opcional) Adicione tags à chave do KMS.
-
Escolha Próximo.
-
-
Na página Definir permissões administrativas da chave, escolha Próximo.
-
Na página Definir permissões de uso da chave:
-
Em Outras Contas da AWS, selecione Adicionar outra Conta da AWS.
-
Insira o ID da Conta da AWS à qual você deseja conceder acesso.
É possível conceder acesso a várias Contas da AWS.
-
Escolha Próximo.
-
-
Revise a chave do KMS e escolha Concluir.
Copiar e compartilhar o snapshot da conta de origem
Depois, você deve copiar o snapshot do cluster de banco de dados de origem para um novo snapshot usando a chave gerenciada pelo cliente. Depois, você vai compartilhá-lo com a Conta da AWS de destino.
Como copiar e compartilhar o snapshot
-
Faça login no AWS Management Console pela Conta da AWS de origem.
-
Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. -
No painel de navegação, escolha Snapshots.
-
Selecione o snapshot de cluster de banco de dados a ser copiado.
-
Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).
-
Na página Copiar snapshot:
-
Em Região de destino, selecione a Região da AWS onde você criou a chave gerenciada pelo cliente no procedimento anterior.
-
Digite o nome da cópia do snapshot de cluster de banco de dados em New DB Snapshot Identifier (Novo identificador de DB snapshot).
-
Para AWS KMS key, selecione a chave gerenciada pelo cliente que você criou.
-
Escolha Copy snapshot (Copiar snapshot).
-
-
Quando a cópia do snapshot estiver disponível, selecione-a.
-
Em Actions (Ações), selecione Share Snapshot (Compartilhar snapshot).
-
Na página Permissões de snapshot:
-
Insira o ID da Conta da AWS com a qual você está compartilhando a cópia do snapshot e selecione Adicionar.
-
Escolha Salvar.
O snapshot é compartilhado.
-
Copiar o snapshot compartilhado na conta de destino
Agora você pode copiar o snapshot compartilhado na Conta da AWS de destino.
Como copiar o snapshot compartilhado
-
Faça login no AWS Management Console pela Conta da AWS de destino.
-
Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. -
No painel de navegação, escolha Snapshots.
-
Selecione a guia Compartilhado comigo.
-
Selecione o snapshot compartilhado.
-
Para Actions (Ações), escolha Copy Snapshot (Copiar snapshot).
-
Escolha as configurações para copiar o snapshot como no procedimento anterior, mas use uma AWS KMS key que pertença à conta de destino.
Escolha Copy snapshot (Copiar snapshot).