AWSSupport-ShareRDSSnapshot - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-ShareRDSSnapshot

Description

AWSSupport-ShareRDSSnapshotRunbook 針對知識中心文章中概述的程序提供自動化解決方案如何與其他帳戶共用加密的 Amazon RDS 資料庫快照? 如果您的 Amazon Relational Database Service (Amazon RDS) 快照已使用預設值加密 AWS 受管金鑰,則無法共用快照。在此情況下,您必須使用客戶管理的金鑰複製快照,然後與目標帳戶共用快照。此自動化會使用您在SnapshotName參數中指定的值,或針對所選 Amazon RDS 資料庫執行個體或叢集找到的最新快照來執行這些步驟。

注意

如果您未指定KMSKey參數值,自動化作業會在您的帳 AWS KMS 戶中建立新的客戶管理金鑰,用於加密快照集。

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

資料庫

參數

  • AccountIds

    類型: StringList

    說明:(必填) 要與之共用快照的帳號 ID 清單 (以逗號分隔)。

  • AutomationAssumeRole

    類型:字串

    說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • 資料庫

    類型:字串

    說明:(必填) 您要共用其快照之 Amazon RDS 資料庫執行個體或叢集的名稱。如果您為參數指定值,則此SnapshotName參數為可選。

  • 科姆斯基

    類型:字串

    說明:(選用) 用於加密快照之 AWS KMS 客戶受管金鑰的完整 Amazon 資源名稱 (ARN)。

  • SnapshotName

    類型:字串

    說明:(選擇性) 您要使用的資料庫叢集或執行個體快照的 ID。

必要的 IAM 許可

AutomationAssumeRole參數需要下列動作才能成功使用 runbook。

  • ssm:StartAutomationExecution

  • rds:DescribeDBInstances

  • rds:DescribeDBSnapshots

  • rds:CopyDBSnapshot

  • rds:ModifyDBSnapshotAttribute

AutomationAssumeRole需要下列動作才能成功啟動資料庫叢集的 runbook。

  • ssm:StartAutomationExecution

  • rds:DescribeDBClusters

  • rds:DescribeDBClusterSnapshots

  • rds:CopyDBClusterSnapshot

  • rds:ModifyDBClusterSnapshotAttribute

用於執行自動化的 IAM 角色必須新增為金鑰使用者,才能使用ARNKmsKey參數中指定的 KMS 金鑰。如需將金鑰使用者新增至 KMS 金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的變更金鑰政策

如果您未指定KMSKey參數值,則AutomationAssumeRole需要下列其他動作才能成功啟動 runbook。

  • kms:CreateKey

  • kms:ScheduleKeyDeletion

  • kms:CreateGrant

  • kms:DescribeKey

文件步驟

  1. aws:executeScript-檢查是否為KMSKey參數提供值,並在找不到任何值時建立 AWS KMS 客戶管理的金鑰。

  2. aws:branch-檢查是否為SnapshotName參數提供了值,並相應地進行分支。

  3. aws:executeAwsApi-檢查提供的快照是否來自資料庫執行個體。

  4. aws:executeScript-格式化用連字符替換冒號的SnapshotName參數。

  5. aws:executeAwsApi-使用指定的複製快照KMSKey

  6. aws:waitForAwsResourceProperty-等待複製快照作業完成。

  7. aws:executeAwsApi-與AccountIds指定的快照共用新快照。

  8. aws:executeAwsApi-檢查提供的快照是否來自資料庫叢集。

  9. aws:executeScript-格式化用連字符替換冒號的SnapshotName參數。

  10. aws:executeAwsApi-使用指定的複製快照KMSKey

  11. aws:waitForAwsResourceProperty-等待複製快照作業完成。

  12. aws:executeAwsApi-與AccountIds指定的快照共用新快照。

  13. aws:executeAwsApi-檢查為Database參數提供的值是否為資料庫執行個體。

  14. aws:executeAwsApi-檢查為Database參數提供的值是否為資料庫叢集。

  15. aws:executeAwsApi-擷取指定的快照清單Database

  16. aws:executeScript-從上一個步驟中組裝的清單中確定可用的最新快照。

  17. aws:executeAwsApi-使用指定的複製資料庫執行個體快照KMSKey

  18. aws:waitForAwsResourceProperty-等待複製快照作業完成。

  19. aws:executeAwsApi-與AccountIds指定的快照共用新快照。

  20. aws:executeAwsApi-擷取指定的快照清單Database

  21. aws:executeScript-從上一個步驟中組裝的清單中確定可用的最新快照。

  22. aws:executeAwsApi-使用指定的複製資料庫執行個體快照KMSKey

  23. aws:waitForAwsResourceProperty-等待複製快照作業完成。

  24. aws:executeAwsApi-與AccountIds指定的快照共用新快照。

  25. aws:executeScript-如果您未指定KMSKey參數值且自動化失敗,則刪除由自動化建立的 AWS KMS 客戶管理金鑰。