本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用共享备份
CloudHSM AWS Resource Access Manager 与AWS RAM() 集成以实现资源共享。 AWS RAM 是一项使您能够与其他人或通过共享某些 CloudHSM 资源的服务。 AWS 账户 AWS Organizations使用 AWS RAM,您可以通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
-
具体在其组织 AWS 账户 内部或外部 AWS Organizations
-
其组织内部的组织单位 AWS Organizations
-
整个组织都在 AWS Organizations
有关的更多信息 AWS RAM,请参阅《AWS RAM 用户指南》。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享备份的先决条件
-
要共享备份,您必须将其归自己所有 AWS 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的备份。
-
要共享备份,备份必须处于 “就绪” 状态。
-
要与您的组织或中的组织单位共享备份 AWS Organizations,必须启用与共享 AWS Organizations。有关更多信息,请参阅AWS RAM 《用户指南》中的允许与 AWS Organizations 共享。
共享备份
当您与其他人共享备份时 AWS 账户,您可以使他们能够从包含存储在备份中的密钥和用户的备份中恢复集群。
要共享备份,必须将其添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。当您使用 CloudHSM 控制台共享备份时,可以将其添加到现有资源共享中。要将备份添加到新的资源共享,必须先使用AWS RAM
控制台
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则会自动授予组织中的消费者访问共享备份的权限。否则,消费者会收到加入资源共享的邀请,并在接受邀请后被授予访问共享备份的权限。
您可以使用 AWS RAM 控制台共享您拥有的备份,或者 AWS CLI。
使用 AWS RAM 控制台共享您拥有的备份
请参阅《AWS RAM 用户指南》中的创建资源共享。
共享您拥有的备份(AWS RAM 命令)
使用 create-resource-share 命令。
共享您拥有的备份(cloudHSM 命令)
重要
虽然您可以使用 Cloud PutResourcePolicy HSM 操作共享备份,但我们建议改 AWS Resource Access Manager 用AWS RAM()。使用 AWS RAM 提供了多种好处,因为它可以为您创建策略,允许同时共享多个资源,并提高共享资源的可发现性。如果您使用 PutResourcePolicy 并希望使用者能够描述您与他们共享的备份,则必须使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 操作将备份提升为标准 AWS RAM 资源共享。
使用 put-resource-policy 命令。
-
创建一个名为的文件
policy.json并将以下策略复制到其中。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"<consumer-aws-account-id-or-user>" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>" }] } -
policy.json使用备份 ARN 和标识符进行更新,以便与之共享。以下示例向根用户授予由 123456789012 标识的 AWS 账户的只读访问权限。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "account-id" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }重要
您只能在账户 DescribeBackups 级别向授予权限。当您与其他客户共享备份时,任何在该账户中拥有 DescribeBackups 权限的委托人都可以描述该备份。
-
运行 put-resource-policy 命令。
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.json注意
此时,使用者可以使用备份,但它不会显示在带有共享参数的 DescribeBackups 响应中。接下来的步骤将介绍如何提升 AWS RAM 资源共享,以便将备份包含在响应中。
-
获取 AWS RAM 资源共享 ARN。
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>这将返回类似于以下内容的响应:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }从响应中复制
< resource-share-arn >值,以便在后续步骤中使用。 -
运行 AWS RAM promote-resource-share-created-from-policy 命令。
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
要验证资源共享是否已升级,可以运行 AWS RAM get-resource-shares命令。
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>提升策略后,响应中
featureSet列出的内容为STANDARD。这也意味着可以用策略中的新账户来描述备份。
取消共享备份
取消共享资源后,使用者可能不再使用该资源来恢复集群。消费者仍然可以访问他们从共享备份中恢复的任何集群。
要取消共享您拥有的共享备份,必须将其从资源共享中移除。您可以使用 AWS RAM 控制台或执行此操作 AWS CLI。
使用控制台取消共享您拥有的共享备份 AWS RAM
请参阅《AWS RAM 用户指南》中的更新资源共享。
取消共享您拥有的共享备份(AWS RAM 命令)
使用 disassociate-resource-share 命令。
取消共享您拥有的共享备份(CloudHSM 命令)
使用 delete-resource-policy 命令。
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
识别共享备份
消费者可以使用 CloudHSM 控制台识别与他们共享的备份,然后。 AWS CLI
使用 CloudHSM 控制台识别与您共享的备份
打开 AWS CloudHSM 控制台,网址为 https://console.aws.amazon.com/cloudhsm/home
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择备份。
-
在表中,选择 “共享备份” 选项卡。
要识别与您共享的备份,请使用 AWS CLI
使用带--shared参数的 describe-bac kups 命令返回与您共享的备份。
共享备份的权限
所有者的权限
Backup 所有者可以描述和管理共享备份,也可以使用它来恢复集群。
使用者的权限
Backup 使用者无法修改共享备份,但他们可以对其进行描述并使用它来恢复集群。
计费和计量
共享备份不收取额外费用。
