本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS RAM 和 Amazon Aurora 進行跨帳戶複製
透過將 AWS Resource Access Manager (AWS RAM) 與 Amazon Aurora 搭配使用,您可以將屬於您 AWS 帳戶的 Aurora 資料庫叢集和複製分享給另一個 AWS 帳戶或組織。例如跨帳戶複製會比建立並還原資料庫快照更快。您可以建立其中一個 Aurora 資料庫叢集的複製,並共享該複製。或者,您可以與其他 AWS 帳戶共用 Aurora 資料庫叢集,並讓帳戶持有人建立複製。您選擇的方式會依使用案例而定。
例如,您可能需要定期與組織內部稽核團隊共享財務資料庫的複製。在此情況下,您的稽核團隊會有其使用之應用程式的自有 AWS 帳戶。您可以授予稽核團隊的 AWS 帳戶存取 Aurora 資料庫叢集的許可,並視需要複製它。
另一方面,如果外部供應商稽核您的財務資料,您可能會偏好由您自行建立複製。然後,您僅需授予外部供應商複製的存取權。
您也可以使用跨帳戶複製來支援許多相同的使用案例,以便在同一個 AWS 帳戶中複製,例如開發和測試。例如,您的組織可能會使用不同的 AWS 帳戶進行生產、開發、測試等。如需詳細資訊,請參閱Aurora 複製的概觀。
因此,您可能想要與另一個 AWS 帳戶共用複製,或允許另一個 AWS 帳戶建立 Aurora 資料庫叢集的複製。在任一情況下,請先使用 AWS RAM 來建立共用物件。如需在帳戶之間 AWS 共用 AWS 資源的完整資訊,請參閱 AWS RAM 使用者指南。
建立跨帳戶複製需要來自擁有原始叢集 AWS 之帳戶的動作,以及建立複製 AWS 的帳戶。首先,原始叢集擁有者需要修改叢集,允許一或多個其他帳戶複製該叢集。如果任何帳戶位於不同的 AWS 組織中, AWS 會產生共用邀請。另一個帳戶必須接受邀請才能繼續進行。然後,每個獲得授權的帳戶便可以複製叢集。在整個過程中,可使用叢集的唯一 Amazon Resource Name (ARN) 來識別叢集。
如同在相同 AWS 帳戶中複製一樣,只有在來源或複製對資料進行變更時,才會使用額外的儲存空間。然後,此時會收取儲存裝置費用。若來源叢集遭到刪除,儲存成本便會平均分配到剩餘的複製叢集。
跨帳戶複製的限制
Aurora 跨帳戶複製的限制如下:
-
您無法跨 AWS 帳戶複製Aurora Serverless v1叢集。
-
您無法透過 檢視或接受共用資源的邀請 AWS Management Console。使用 AWS CLI、Amazon RDS API 或 AWS RAM 主控台來檢視和接受共用資源的邀請。
-
您只能從與 共用的資源建立新的複製 AWS 帳戶。這適用於共用資源是原始 Aurora 資料庫叢集或先前建立的複製。
-
您只能從與 AWS 您的帳戶共用的複製中建立新的複製。
-
您無法共用已與 AWS 您的帳戶共用的資源 (區塊或 Aurora 資料庫叢集)。
-
您可從任何單一 Aurora 資料庫叢集建立最多 15 個跨帳戶複製。
-
15 個跨帳戶複製的每個都必須由不同的 AWS 帳戶擁有。也就是說,您只能在任何帳戶中建立一個跨帳戶複製的叢集 AWS 。
-
複製叢集後,為了對跨帳戶複製強制實施限制,原始叢集及其複製將視為相同。您無法同時建立相同帳戶中原始叢集和複製叢集的跨 AWS 帳戶複製。原始叢集及其任何複製的跨帳戶複製總數不得超過 15 個。
-
除非叢集處於
ACTIVE狀態,否則您無法與其他 AWS 帳戶共用 Aurora 資料庫叢集。 -
您無法重新命名已與其他 AWS 帳戶共用的 Aurora 資料庫叢集。
-
您無法針對使用預設 RDS 金鑰加密的叢集建立跨帳戶複製。
-
您無法從另一個 AWS 帳戶共用的加密 Aurora 資料庫叢集,在某個 AWS 帳戶中建立未加密的複製。叢集擁有者必須授予許可,才能存取來源叢集的 AWS KMS key。不過,您可以在建立複製時使用不同金鑰。
允許其他 AWS 帳戶複製您的叢集
若要允許其他 AWS 帳戶複製您擁有的叢集,請使用 AWS RAM 設定共用許可。這樣做也會傳送邀請給位於不同 AWS 組織中的每個其他帳戶。
如需在 AWS RAM 主控台中共用您擁有之資源的程序,請參閱AWS RAM 《 使用者指南》中的共用您擁有之資源。
將複製叢集的許可授予其他 AWS 帳戶
若您要共用的叢集經過加密,您也要共用叢集的 AWS KMS key 。您可以允許一個 AWS 帳戶中的 AWS Identity and Access Management (IAM) 使用者或角色在不同帳戶中使用 KMS 金鑰。
若要這麼做,請先將外部帳戶 (根使用者) 新增至 KMS 金鑰的金鑰政策 AWS KMS。您不需要將個別使用者或角色新增到金鑰政策,只需新增擁有這些使用者或角色的外部帳戶。您只能共用您建立的 KMS 金鑰,而非預設的 RDS 服務金鑰。如需 KMS 金鑰存取控制的相關資訊,請參閱AWS KMS的身分驗證及存取控制。
授予複製您叢集的許可
登入 AWS Management Console ,並在 https://console.aws.amazon.com/rds/
:// 開啟 Amazon RDS 主控台。 -
在導覽窗格中,選擇 Databases (資料庫)。
-
選擇您希望共享的資料庫叢集,來查看其 Details (詳細資訊) 頁面,然後選擇 Connectivity & security (連線能力與安全) 標籤。
-
在與其他 AWS 帳戶共用資料庫叢集區段中,輸入您要允許 複製此叢集 AWS 之帳戶的數值帳戶 ID。針對相同組織中的帳戶 ID,您可以在方塊中開始輸入,然後從選單內選擇。
重要
在某些情況下,您可能會希望讓並非位於與您帳戶相同 AWS 組織中的帳戶複製叢集。在這些情況下,基於安全理由,主控台 不會報告擁有該帳戶 ID 的人員,或是該帳戶是否存在。
請小心輸入與您帳戶不在相同 AWS 組織中 AWS 的帳戶號碼。請立即驗證您已和您計劃的目標帳戶進行共享。
-
在確認頁面上,驗證您指定的帳戶 ID 是否正確。在確認方塊中輸入
share以進行確認。在詳細資訊頁面上,會出現一個項目,顯示與此資料庫叢集共用之 AWS 帳戶底下指定的帳戶 ID。 Status (狀態) 欄一開始會顯示 Pending (待定) 狀態。
-
請聯絡其他 AWS 帳戶的擁有者,或如果您同時擁有該帳戶,則登入該帳戶。指示另一個帳戶的擁有者接受共享邀請並複製資料庫叢集,如以下說明所示。
授予複製您叢集的許可
-
收集必要參數的資訊。您需要叢集的 ARN 和其他 AWS 帳戶的數值 ID。
-
執行 AWS RAM CLI 命令
create-resource-share。對於 Linux、 macOS或 Unix:
aws ram create-resource-share --namedescriptive_name\ --regionregion\ --resource-arnscluster_arn\ --principalsother_account_ids在 Windows 中:
aws ram create-resource-share --namedescriptive_name^ --regionregion^ --resource-arnscluster_arn^ --principalsother_account_ids若要針對
--principals包含多個帳戶 ID,請使用空格分隔不同的 ID。若要指定獲得允許的帳戶 ID 是否可在您 AWS 組織的外部,請針對--allow-external-principals包含--no-allow-external-principals或create-resource-share參數。
授予複製您叢集的許可
-
收集必要參數的資訊。您需要叢集的 ARN 和其他 AWS 帳戶的數值 ID。
-
呼叫 AWS RAM API 操作 CreateResourceShare,並指定下列值:
-
指定一或多個帳戶的帳戶 ID AWS 做為
principals參數。 -
將一或多個 Aurora 資料庫叢集的 ARN 指定為
resourceArns參數。 -
針對
allowExternalPrincipals參數包含布林值,指定獲得允許的帳戶 ID 是否可位於您 AWS 組織的外部。
-
重新建立使用預設 RDS 金鑰的叢集
若您預計使用預設 RDS 金鑰來共享的加密叢集,請務必重新建立叢集。若要執行此作業,請建立資料庫叢集的手動快照、使用 AWS KMS key,然後將叢集還原至新的叢集。然後共用新叢集。若要執行此程序,請進行下列步驟。
重新建立使用預設 RDS 金鑰的加密叢集
登入 AWS Management Console ,並在 https://console.aws.amazon.com/rds/
:// 開啟 Amazon RDS 主控台。 -
從導覽窗格選擇 Snapshots (快照)。
-
選擇您的快照。
-
針對 Actions (動作),選擇 Copy Snapshot (複製快照),然後選擇 Enable encryption (啟用加密)。
-
針對 AWS KMS key,選擇您希望使用的新加密金鑰。
-
還原複製的快照。若要執行此作業,請依照 從資料庫叢集快照還原 中的程序進行。新的資料庫執行個體會使用您的新加密金鑰。
-
(選用) 若您不再需要舊的資料庫叢集,您可以刪除它。若要執行此作業,請依照 刪除資料庫叢集快照 中的程序進行。在您執行該作業前,請確認新的叢集已具備所有必要的資料,並且您的應用程式可以成功存取新的叢集。
檢查您擁有的叢集是否與其他 AWS 帳戶共用
您可以檢查其他使用者是否具備共享叢集的許可。執行此作業有助您了解叢集是否已接近跨帳戶複製的數量上限。
如需使用 AWS RAM 主控台共用資源的程序,請參閱AWS RAM 《 使用者指南》中的共用您擁有的資源。
了解您擁有的叢集是否與其他 AWS 帳戶共用
-
呼叫 AWS RAM CLI 命令
list-principals,使用您的帳戶 ID 做為資源擁有者,並使用叢集的 ARN 做為資源 ARN。您可以使用以下命令查看所有共享。結果指出哪些 AWS 帳戶可以複製叢集。aws ram list-principals \ --resource-arnsyour_cluster_arn\ --principalsyour_aws_id
了解您擁有的叢集是否與其他 AWS 帳戶共用
-
呼叫 AWS RAM API 操作 ListPrincipals。使用您的帳戶 ID 做為資源擁有者,以及您叢集的 ARN 做為資源 ARN。
複製另一個 AWS 帳戶擁有的叢集
若要複製另一個 AWS 帳戶擁有的叢集,請使用 AWS RAM 取得進行複製的許可。在您擁有必要的許可後,便可以使用複製 Aurora 叢集的標準程序。
您也可以檢查您擁有的叢集是否為不同 AWS 帳戶所擁有叢集的複製。
如需使用 AWS RAM 主控台中其他人擁有之資源的程序,請參閱《 使用者指南》中的存取與您共用的資源。 AWS RAM
檢視複製其他 AWS 帳戶所擁有叢集的邀請
若要使用邀請來複製其他 AWS 組織中 AWS 帳戶擁有的叢集,請使用 AWS CLI、 AWS RAM 主控台或 AWS RAM API。目前,您無法使用 Amazon RDS 主控台執行這項程序。
如需在 AWS RAM 主控台中使用邀請的程序,請參閱AWS RAM 《 使用者指南》中的存取與您共用的資源。
查看複製其他 AWS 帳戶所擁有叢集的邀請
-
執行 AWS RAM CLI 命令
get-resource-share-invitations。aws ram get-resource-share-invitations --regionregion_name上述命令的結果會顯示所有複製叢集的邀請,包括任何您已接受和拒絕的邀請。
-
(選用) 篩選清單,讓您可以只查看需要您採取動作的邀請。若要執行此作業,請新增
--query 'resourceShareInvitations[?status==`PENDING`]'參數。
查看複製其他 AWS 帳戶所擁有叢集的邀請
-
呼叫 AWS RAM API 操作
GetResourceShareInvitations。此操作會傳回所有這類邀請,包括任何您已接受或拒絕的邀請。 -
(選用) 透過針對
resourceShareAssociations的status值選取PENDING傳回欄位,來只尋找需要您採取動作的邀請。
接受共用其他 AWS 帳戶所擁有叢集的邀請
您可以接受邀請,以共用不同 AWS 組織中其他 AWS 帳戶擁有的叢集。若要使用這些邀請,請使用 AWS CLI、 AWS RAM 和 RDS APIs 或 AWS RAM 主控台。目前,您無法使用 RDS 主控台執行這項程序。
如需在 AWS RAM 主控台中使用邀請的程序,請參閱AWS RAM 《 使用者指南》中的存取與您共用的資源。
接受從另一個 AWS 帳戶共用叢集的邀請
-
執行 AWS RAM CLI 命令 來尋找邀請 ARN
get-resource-share-invitations,如上所示。 -
呼叫 AWS RAM CLI 命令 接受邀請
accept-resource-share-invitation,如下所示。對於 Linux、 macOS或 Unix:
aws ram accept-resource-share-invitation \ --resource-share-invitation-arninvitation_arn\ --regionregion在 Windows 中:
aws ram accept-resource-share-invitation ^ --resource-share-invitation-arninvitation_arn^ --regionregion
接受共享其他人叢集的邀請
-
呼叫 AWS RAM API 操作 尋找邀請 ARN
GetResourceShareInvitations,如上所示。 -
將該 ARN 做為
resourceShareInvitationArn參數傳遞至 RDS API 操作 AcceptResourceShareInvitation。
複製另一個 AWS 帳戶擁有的 Aurora 叢集
接受來自擁有資料庫叢集 AWS 之帳戶的邀請後,您可以複製叢集,如前所示。
複製另一個 AWS 帳戶擁有的 Aurora 叢集
登入 AWS Management Console ,並在 https://console.aws.amazon.com/rds/
:// 開啟 Amazon RDS 主控台。 -
在導覽窗格中,選擇 Databases (資料庫)。
在資料庫清單頂端,您應該會看到一或多個 Role (角色) 值為
Shared from account #的項目。基於安全理由,您只能看到關於原始叢集的有限資訊。您可以看到的屬性為資料庫引擎和版本等在您複製叢集中也必須相同的屬性。account_id -
請選擇您想要複製的叢集。
-
針對 Actions (動作),選擇 Create clone (建立複製)。
-
遵循 主控台 中的程序來完成設定複製叢集。
-
若需要的話,請啟用複製叢集的加密。若您要複製的叢集經過加密,您必須為複製叢集啟用加密。與您共用叢集的 AWS 帳戶也必須共用用來加密叢集的 KMS 金鑰。您可以使用相同的 KMS 金鑰或是您自己的 KMS 金鑰來加密複製。您無法為使用預設 KMSS 金鑰加密的叢集建立跨帳戶複製。
擁有加密金鑰的帳戶必須使用金鑰政策,將使用金鑰的許可授予目標帳戶。這項程序與共享加密快照的程序相似,因為他們都是使用將利用金鑰的許可授予目標帳戶的金鑰政策。
複製另一個 AWS 帳戶擁有的 Aurora 叢集
-
接受來自擁有資料庫叢集之 AWS 帳戶的邀請,如前所示。
-
在 RDS CLI 命令
source-db-cluster-identifier的restore-db-cluster-to-point-in-time參數中指定來源叢集的完整 ARN,如以下所示。若做為
source-db-cluster-identifier傳遞的 ARN 尚未共享,則會傳回相同的錯誤,就好像指定的叢集不存在般。對於 Linux、 macOS或 Unix:
aws rds restore-db-cluster-to-point-in-time \ --source-db-cluster-identifier=arn:aws:rds:arn_details\ --db-cluster-identifier=new_cluster_id\ --restore-type=copy-on-write \ --use-latest-restorable-time在 Windows 中:
aws rds restore-db-cluster-to-point-in-time ^ --source-db-cluster-identifier=arn:aws:rds:arn_details^ --db-cluster-identifier=new_cluster_id^ --restore-type=copy-on-write ^ --use-latest-restorable-time -
若您要複製的叢集經過加密,請透過在其中包含
kms-key-id參數來加密您的複製叢集。這個kms-key-id值可以和用來加密原始資料庫叢集的值相同,或是使用您自己的 KMS 金鑰。您的帳戶也必須具備使用該加密金鑰的許可。對於 Linux、 macOS或 Unix:
aws rds restore-db-cluster-to-point-in-time \ --source-db-cluster-identifier=arn:aws:rds:arn_details\ --db-cluster-identifier=new_cluster_id\ --restore-type=copy-on-write \ --use-latest-restorable-time \ --kms-key-id=arn:aws:kms:arn_details在 Windows 中:
aws rds restore-db-cluster-to-point-in-time ^ --source-db-cluster-identifier=arn:aws:rds:arn_details^ --db-cluster-identifier=new_cluster_id^ --restore-type=copy-on-write ^ --use-latest-restorable-time ^ --kms-key-id=arn:aws:kms:arn_details擁有加密金鑰的帳戶必須使用金鑰政策,將使用金鑰的許可授予目標帳戶。這項程序與共享加密快照的程序相似,因為他們都是使用將利用金鑰的許可授予目標帳戶的金鑰政策。以下是金鑰政策的範例。
{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
注意
restore-db-cluster-to-point-in-time AWS CLI 命令只會還原資料庫叢集,而不會還原該資料庫叢集的資料庫執行個體。若要為已還原的資料庫叢集建立資料庫執行個體,請呼叫 create-db-instance 命令。以 --db-cluster-identifier 指定已還原資料庫叢集的識別碼。
只在 restore-db-cluster-to-point-in-time 命令完成且資料庫叢集可用時,您才能建立資料庫執行個體。
複製另一個 AWS 帳戶擁有的 Aurora 叢集
-
接受來自擁有資料庫叢集之 AWS 帳戶的邀請,如前所示。
-
在 RDS API 操作
SourceDBClusterIdentifier的RestoreDBClusterToPointInTime參數中指定來源叢集的完整 ARN 來複製叢集。若做為
SourceDBClusterIdentifier傳遞的 ARN 尚未共享,則會傳回相同的錯誤,就好像指定的叢集不存在般。 -
若您要複製的叢集經過加密,請在其中包含
KmsKeyId參數來加密您的複製叢集。這個kms-key-id值可以和用來加密原始資料庫叢集的值相同,或是使用您自己的 KMS 金鑰。您的帳戶也必須具備使用該加密金鑰的許可。在您複製磁碟區時,目標帳戶必須具備用來加密來源叢集的加密金鑰使用許可。Aurora 會使用在
KmsKeyId中指定的加密金鑰來加密新的複製叢集。擁有加密金鑰的帳戶必須使用金鑰政策,將使用金鑰的許可授予目標帳戶。這項程序與共享加密快照的程序相似,因為他們都是使用將利用金鑰的許可授予目標帳戶的金鑰政策。以下是金鑰政策的範例。
{ "Id": "key-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account_id:user/KeyUser", "arn:aws:iam::account_id:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ] }
注意
RestoreDBClusterToPointInTime RDS API 操作只會還原資料庫叢集,而不會還原該資料庫叢集的資料庫執行個體。若要為已還原的資料庫叢集建立資料庫執行個體,請呼叫 CreateDBInstance RDS API 操作。以 DBClusterIdentifier 指定已還原資料庫叢集的識別碼。只有在 RestoreDBClusterToPointInTime 操作完成後,且資料庫叢集為可用時,您才能建立資料庫執行個體。
檢查資料庫叢集是否為跨帳戶複製
DBClusters 物件可識別每個叢集是否是跨帳戶複製。您可以在執行 RDS CLI 命令 include-shared 時,使用 describe-db-clusters 選項來查看您具備複製許可的叢集。但是,您無法看到這類叢集的大部分組態詳細資訊。
檢查資料庫叢集是否為跨帳戶複製
-
請呼叫 RDS CLI 命令
describe-db-clusters。以下範例會示範實際或潛在跨帳戶複製資料庫叢集在
describe-db-clusters輸出中的顯示方式。對於您 AWS 帳戶擁有的現有叢集,CrossAccountClone欄位會指出叢集是否為另一個 AWS 帳戶擁有的資料庫叢集複製。在某些情況下,項目的 AWS 帳號可能與
DBClusterArn欄位中的帳號不同。在這種情況下,該項目代表由不同 AWS 帳戶擁有且您可以複製的叢集。這類項目除了DBClusterArn之外還有一些欄位。在建立複製叢集時,請指定與原始叢集相同的StorageEncrypted、Engine和EngineVersion值。$aws rds describe-db-clusters --include-shared --region us-east-1 { "DBClusters": [ { "EarliestRestorableTime": "2023-02-01T21:17:54.106Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": false, ... }, { "EarliestRestorableTime": "2023-02-09T16:01:07.398Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": true, ... }, { "StorageEncrypted": false, "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0 ] }
檢查資料庫叢集是否為跨帳戶複製
-
請呼叫 RDS API 操作 DescribeDBClusters。
對於您 AWS 帳戶擁有的現有叢集,
CrossAccountClone欄位會指出叢集是否為另一個 AWS 帳戶擁有的資料庫叢集複製。DBClusterArn欄位中具有不同 AWS 帳戶號碼的項目代表您可以複製的叢集,以及由其他 AWS 帳戶擁有的叢集。這些項目除了DBClusterArn之外還有一些欄位。在建立複製叢集時,請指定與原始叢集相同的StorageEncrypted、Engine和EngineVersion值。以下範例會顯示傳回值,示範實際和潛在的複製叢集。
{ "DBClusters": [ { "EarliestRestorableTime": "2023-02-01T21:17:54.106Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": false, ... }, { "EarliestRestorableTime": "2023-02-09T16:01:07.398Z", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0", "CrossAccountClone": true, ... }, { "StorageEncrypted": false, "DBClusterArn": "arn:aws:rds:us-east-1:12345678:cluster:cluster-abcdefgh", "Engine": "aurora-mysql", "EngineVersion": "8.0.mysql_aurora.3.02.0" } ] }
