As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compartilhar um snapshot do cluster de banco de dados
Com o Neptune, é possível compartilhar um snapshot manual do cluster de banco de dados das seguintes formas:
O compartilhamento de um snapshot manual de cluster de banco de dados, seja criptografado ou não, permite que as contas da AWS autorizadas copiem o snapshot.
Compartilhar um snapshot de cluster de banco de dados manual, criptografado ou não, permite às contas da AWS autorizadas restaurarem diretamente um cluster de banco de dados a partir do snapshot em vez de fazer uma cópia dele e restaurar a partir daí.
nota
Para compartilhar um snapshot automatizado do cluster de banco de dados, crie um snapshot manual do cluster de banco de dados copiando o snapshot automatizado e, em seguida, compartilhe essa cópia.
Para mais informações sobre a restauração de um cluster de banco de dados a partir de um snapshot de cluster de banco de dados, consulte Como restaurar por um snapshot.
Você pode compartilhar um snapshot manual com até 20 outras contas da AWS. Também é possível compartilhar um snapshot manual não criptografado como público, disponibilizando-o para todas as contas da AWS. Ao fazer isso, tome cuidado para que suas informações privadas não estejam incluídas nos snapshots públicos.
nota
Ao restaurar um cluster de banco de dados por um snapshot compartilhado usando a AWS Command Line Interface (AWS CLI) ou a API do Neptune, é necessário especificar o nome do recurso da Amazon (ARN) do snapshot compartilhado como o identificador do snapshot.
Tópicos
Compartilhar um snapshot de cluster de banco de dados criptografado
Você pode compartilhar snapshots criptografados “em repouso” do cluster de banco de dados usando o algoritmo de criptografia AES-256. Para obter mais informações, consulte Criptografia de recursos em repouso do Neptune. Para fazer isso, você deve seguir as seguintes etapas:
-
Compartilhe a chave de criptografia do AWS Key Management Service (AWS KMS) que foi usada para criptografar o snapshot com todas as contas que você deseja que possam acessar o snapshot.
É possível compartilhar chaves de criptografia do AWS KMS com outra conta da AWS adicionando a outra conta à política de chaves do KMS. Para obter mais detalhes sobre a atualização de uma política de chaves, consulte Políticas de chave no AWS KMSGuia do desenvolvedor do . Para ver um exemplo de como criar uma política de chaves, consulte Criação de uma política do IAM para permitir a cópia do snapshot criptografado, mais adiante neste tópico.
Use o AWS Management Console, a AWS CLI ou a API do Neptune para compartilhar o snapshot criptografado com outras contas.
Estas restrições se aplicam ao compartilhamento de snapshots criptografados:
Não é possível compartilhar snapshots criptografados como públicos.
Não é possível compartilhar um snapshot criptografado usando a chave de criptografia padrão do AWS KMS da conta da AWS que compartilhou o snapshot.
Permissão de acesso a uma chave de criptografia do AWS KMS
Para que outra conta da AWS possa copiar um snapshot do cluster de banco de dados criptografado compartilhado da conta, a conta com a qual você compartilhar o snapshot deverá ter acesso à chave do KMS que criptografou o snapshot. Para permitir o acesso de outra conta da AWS a uma chave do AWS KMS, atualize a política de chaves da chave do KMS, adicionando o ARN da conta da AWS com a qual você está compartilhando como Principal na política de chaves do KMS. Então, permita a ação kms:CreateGrant. Consulte Allowing users in other accounts to use a KMS key no Guia do desenvolvedor do AWS Key Management Service para obter instruções gerais.
Depois que você conceder a uma conta da AWS acesso à sua chave de criptografia do KMS, será necessário que essa conta da AWS crie um usuário do IAM se ainda não tiver um, para copiar o snapshot criptografado. As restrições de segurança do KMS não permitem o uso de uma identidade de conta raiz da AWS para isso. A conta da AWS também deverá vincular uma política do IAM ao usuário do IAM para permitir que este copie um snapshot criptografado do cluster de banco de dados usando a chave do KMS.
No exemplo de política de chaves a seguir, o usuário 111122223333 é o proprietário da chave de criptografia do KMS, e o usuário 444455556666 é a conta com a qual a chave está sendo compartilhada. Essa atualização da política de chaves concede à conta da AWS acesso à chave do KMS ao incluir o ARN da identidade de conta raiz da AWS ao usuário 444455556666 como Principal na política e ao permitir a ação kms:CreateGrant.
{ "Id=": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid=": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid=": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
Criação de uma política do IAM para permitir a cópia do snapshot criptografado
Quando a conta da AWS externa já tiver acesso à chave do KMS, o proprietário dessa conta poderá criar uma política que permita a um usuário do IAM criado para essa conta copiar um snapshot criptografado com essa chave do KMS.
O exemplo a seguir mostra uma política que pode ser associada a um usuário do IAM para a conta da AWS 444455556666. Ela permite que o usuário do IAM copie um snapshot compartilhado da conta da AWS 111122223333 que foi criptografada com a chave do KMS c989c1dd-a3f2-4a5d-8d96-e793d082ab26 na região us-west-2.
{ "Version": "2012-10-17", "Statement": [ { "Sid=": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"] }, { "Sid=": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obter mais detalhes sobre a atualização de uma política de chaves, consulte Políticas de chave no AWS Key Management ServiceGuia do desenvolvedor do .
Compartilhamento de um snapshot do cluster de banco de dados
É possível compartilhar um snapshot do cluster de banco de dados usando o AWS Management Console, a AWS CLI ou a API do Neptune.
Usar o console para compartilhar um snapshot de cluster de banco de dados
Usando o console do Neptune, é possível compartilhar um snapshot manual do cluster de banco de dados com até vinte contas da AWS. Você também pode interromper o compartilhamento de um snapshot manual com uma ou mais contas.
Para compartilhar um snapshot de cluster de banco de dados manual
-
Faça login no Console de Gerenciamento da AWS e abra o console do Amazon Neptune em https://console.aws.amazon.com/neptune/home
. No painel de navegação, escolha Snapshots.
Escolha o snapshot manual que você deseja compartilhar.
Escolha Actions (Ações), Share Snapshot (Compartilhar snapshot).
-
Escolha uma das seguintes opções para DB snapshot visibility (Visibilidade do snapshot de banco de dados).
-
Se a origem não for criptografada, escolha Público para permitir que todas as contas da AWS restaurem um cluster de banco de dados pelo snapshot do cluster de banco de dados manual. Ou escolha Privado para permitir que apenas as contas da AWS que você especificar restaurem um cluster de banco de dados por meio do snapshot de cluster de banco de dados manual.
Atenção
Se você definir DB snapshot visibility (Visibilidade do snapshot do banco de dados) como Public (Pública), todas as contas da AWS poderão restaurar um cluster de banco de dados de um snapshot manual de cluster de banco de dados e ter acesso aos seus dados. Não compartilhe nenhum snapshot de cluster de banco de dados manual que contenha informações privadas, como Public (Público).
Se a origem estiver criptografada, DB snapshot visibility (Visibilidade do snapshot de banco de dados) será definida como Private (Privada) porque os snapshots criptografados não podem ser compartilhados como públicos.
-
-
Em ID de conta da AWS, digite o identificador da conta da AWS à qual você deseja conceder a permissão para restaurar um cluster de banco de dados por meio do snapshot manual. Em seguida, escolha Adicionar. Repita a operação para incluir outros identificadores de contas da AWS, até chegar ao limite de 20 contas da AWS.
Se você errar ao adicionar o identificador de conta da AWS à lista de contas permitidas, saiba que é possível excluí-lo da lista escolhendo Delete à direita do identificador incorreto da conta da AWS.
Depois de adicionar os identificadores de todas as contas da AWS às quais você deseja conceder a permissão para restaurar o snapshot manual, selecione Salvar.
Como interromper o compartilhamento de um snapshot manual de cluster de banco de dados com uma conta da AWS
-
Abra o console do Amazon Neptune em https://console.aws.amazon.com/neptune/home
. No painel de navegação, escolha Snapshots.
Escolha o snapshot manual que você deseja interromper o compartilhamento.
Escolha Actions (Ações) e, em seguida, escolha Share Snapshot (Compartilhar snapshot).
Para remover a permissão de uma conta da AWS, escolha Delete para o identificador dessa conta da AWS na lista de contas autorizadas.
Escolha Save (Salvar).
