As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Compartilhar um snapshot do cluster de banco de dados
Com o Neptune, é possível compartilhar um snapshot manual do cluster de banco de dados das seguintes formas:
+ Compartilhar um snapshot manual do cluster de banco de dados, seja criptografado ou não criptografado, permite que AWS contas autorizadas copiem o snapshot.
+ Compartilhar um snapshot de cluster de banco de dados manual não criptografado permite que AWS contas autorizadas restaurem diretamente um cluster de banco de dados a partir do snapshot, em vez de fazer uma cópia e restaurar a partir dela. Os instantâneos criptografados não podem ser restaurados diretamente; eles devem ser copiados primeiro e depois restaurados a partir da cópia.
**nota**
Para compartilhar um snapshot automatizado do cluster de banco de dados, crie um snapshot manual do cluster de banco de dados copiando o snapshot automatizado e, em seguida, compartilhe essa cópia.
Para mais informações sobre a restauração de um cluster de banco de dados a partir de um snapshot de cluster de banco de dados, consulte [Como restaurar por um snapshot](backup-restore-restore-snapshot.md#backup-restore-restore-snapshot-restoring).
Você pode compartilhar um instantâneo manual com até 20 outras AWS contas. Você também pode compartilhar um instantâneo manual não criptografado como público, o que torna o instantâneo disponível para todas as contas. AWS Ao fazer isso, tome cuidado para que suas informações privadas não estejam incluídas nos snapshots públicos.
**nota**
Ao restaurar um cluster de banco de dados a partir de um snapshot compartilhado usando a API AWS Command Line Interface (AWS CLI) ou Neptune, você deve especificar o Amazon Resource Name (ARN) do snapshot compartilhado como o identificador do snapshot.
**Topics**
+ [Compartilhar um snapshot de cluster de banco de dados criptografado](#backup-restore-share-snapshot-encrypted)
+ [Compartilhar um snapshot do cluster de banco de dados](#backup-restore-share-snapshot-sharing)
## Compartilhar um snapshot de cluster de banco de dados criptografado
Você pode compartilhar snapshots criptografados “em repouso” do cluster de banco de dados usando o algoritmo de criptografia AES-256. Para obter mais informações, consulte [Criptografar dados em repouso no banco de dados do Amazon Neptune](encrypt.md). Para fazer isso, você deve seguir as seguintes etapas:
1. Compartilhe a chave de criptografia AWS Key Management Service (AWS KMS) usada para criptografar o snapshot com todas as contas que você quiser que possam acessar o snapshot.
Você pode compartilhar chaves de AWS KMS criptografia com outra AWS conta adicionando a outra conta à política de chaves do KMS. Para obter mais detalhes sobre a atualização de uma política de chaves, consulte [Políticas de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *AWS KMS Guia do desenvolvedor do *. Para ver um exemplo de como criar uma política de chaves, consulte [Criação de uma política do IAM para permitir a cópia do snapshot criptografado](#backup-restore-share-snapshot-encrypted-key-iam), mais adiante neste tópico.
1. Use a API Console de gerenciamento da AWS AWS CLI, ou Neptune para compartilhar o instantâneo criptografado com as outras contas.
Estas restrições se aplicam ao compartilhamento de snapshots criptografados:
+ Não é possível compartilhar snapshots criptografados como públicos.
+ Você não pode compartilhar um instantâneo que tenha sido criptografado usando a chave de AWS KMS criptografia padrão da AWS conta que compartilhou o instantâneo.
### Permitindo acesso a uma chave AWS KMS de criptografia
Para que outra AWS conta copie um snapshot de cluster de banco de dados criptografado compartilhado da sua conta, a conta com a qual você compartilha seu snapshot deve ter acesso à chave KMS que criptografou o snapshot. Para permitir que outra AWS conta acesse uma AWS KMS chave, atualize a política de chaves da chave KMS com o ARN da conta com AWS a qual você está compartilhando conforme a política `Principal` de chaves do KMS. Então, permita a ação `kms:CreateGrant`. Consulte [Allowing users in other accounts to use a KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia do desenvolvedor do AWS Key Management Service * para obter instruções gerais.
Depois de conceder a uma AWS conta acesso à sua chave de criptografia KMS, para copiar seu snapshot criptografado, essa AWS conta deve criar um usuário do IAM, caso ainda não tenha um. As restrições de segurança do KMS não permitem o uso de uma identidade de AWS conta raiz para isso. A AWS conta também deve anexar uma política do IAM a esse usuário do IAM que permita que o usuário do IAM copie um snapshot de cluster de banco de dados criptografado usando sua chave KMS.
No exemplo de política de chaves a seguir, o usuário `111122223333` é o proprietário da chave de criptografia do KMS, e o usuário `444455556666` é a conta com a qual a chave está sendo compartilhada. Essa política de chaves atualizada dá à AWS conta acesso à chave KMS, incluindo o ARN para a identidade da conta AWS raiz `444455556666` do usuário como para `Principal` a política e permitindo `kms:CreateGrant` a ação.
------
#### [ JSON ]
****
```
{
"Id": "key-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
#### Criação de uma política do IAM para permitir a cópia do snapshot criptografado
Depois que a AWS conta externa tiver acesso à sua chave KMS, o proprietário dessa conta poderá criar uma política que permita que um usuário do IAM criado para a conta copie um snapshot criptografado com essa chave KMS.
O exemplo a seguir mostra uma política que pode ser associada a um usuário do IAM para a conta da AWS `444455556666`. Ela permite que o usuário do IAM copie um snapshot compartilhado da conta da AWS `111122223333` que foi criptografada com a chave do KMS `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` na região `us-west-2`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Para obter mais detalhes sobre a atualização de uma política de chaves, consulte [Políticas de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *AWS Key Management Service Guia do desenvolvedor do *.
## Compartilhar um snapshot do cluster de banco de dados
Você pode compartilhar um snapshot de cluster de banco de dados usando a Console de gerenciamento da AWS AWS CLI, a ou a API Neptune.
### Usar o console para compartilhar um snapshot de cluster de banco de dados
Usando o console do Neptune, é possível compartilhar um snapshot manual do cluster de banco de dados com até vinte contas da AWS . Você também pode interromper o compartilhamento de um snapshot manual com uma ou mais contas.
**Para compartilhar um snapshot de cluster de banco de dados manual**
1. [Faça login no AWS Management Console e abra o console do Amazon Neptune em casa. https://console.aws.amazon.com/neptune/](https://console.aws.amazon.com/neptune/home)
1. No painel de navegação, escolha **Snapshots**.
1. Escolha o snapshot manual que você deseja compartilhar.
1. Escolha **Actions (Ações)**, **Share Snapshot (Compartilhar snapshot)**.
1. Escolha uma das seguintes opções para **DB snapshot visibility** (Visibilidade do snapshot de banco de dados).
+ Se a origem não for criptografada, escolha **Público** para permitir que todas as contas da AWS restaurem um cluster de banco de dados pelo snapshot do cluster de banco de dados manual. Ou escolha **Privado** para permitir que somente AWS as contas que você especificar restaurem um cluster de banco de dados a partir do seu snapshot manual do cluster de banco de dados.
**Atenção**
Se você definir a **visibilidade do DB snapshot** como **Pública**, todas as AWS contas poderão restaurar um cluster de banco de dados a partir do seu snapshot manual do cluster de banco de dados e ter acesso aos seus dados. Não compartilhe nenhum snapshot de cluster de banco de dados manual que contenha informações privadas, como **Public** (Público).
+ Se a origem estiver criptografada, **DB snapshot visibility** (Visibilidade do snapshot de banco de dados) será definida como **Private** (Privada) porque os snapshots criptografados não podem ser compartilhados como públicos.
1. Em **ID da AWS conta**, insira o AWS identificador da conta que você deseja permitir para restaurar um cluster de banco de dados a partir do seu snapshot manual. Em seguida, escolha **Adicionar**. Repita o procedimento para incluir identificadores de AWS conta adicionais, até 20 AWS contas.
Se você cometer um erro ao adicionar um identificador de AWS conta à lista de contas permitidas, poderá excluí-lo da lista escolhendo **Excluir** à direita do identificador de AWS conta incorreto.
1. **Depois de adicionar identificadores para todas as AWS contas que você deseja permitir para restaurar o instantâneo manual, escolha Salvar.**
**Para parar de compartilhar um snapshot manual de cluster de banco de dados com uma conta AWS**
1. [Abra o console Amazon Neptune em casa. https://console.aws.amazon.com/neptune/](https://console.aws.amazon.com/neptune/home)
1. No painel de navegação, escolha **Snapshots**.
1. Escolha o snapshot manual que você deseja interromper o compartilhamento.
1. Escolha **Actions (Ações)** e, em seguida, escolha **Share Snapshot (Compartilhar snapshot)**.
1. Para remover a permissão de uma AWS conta, escolha **Excluir** para o AWS identificador dessa conta na lista de contas autorizadas.
1. Escolha **Salvar**.