本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 共享資料庫叢集快照
使用 Neptune 時,您可以透過下列方式共用手動資料庫叢集快照:
+ 共用手動資料庫叢集快照,無論是加密或未加密,都可讓授權 AWS 帳戶複製快照。
+ 共用未加密的手動資料庫叢集快照可讓授權 AWS 帳戶直接從快照還原資料庫叢集,而不是複製資料庫叢集並從中還原。加密的快照無法直接還原;必須先複製,然後從複本還原。
**注意**
若要共用自動資料庫叢集快照,請複製該自動快照來建立手動資料庫叢集快照,然後共用該複本。
如需從資料庫叢集快照還原資料庫叢集的詳細資訊,請參閱[如何從快照進行還原](backup-restore-restore-snapshot.md#backup-restore-restore-snapshot-restoring)。
您可以與最多 20 個其他 AWS 帳戶共用手動快照。您也可以將未加密的手動快照共用為公有,讓所有 AWS 帳戶都能使用快照。將快照以公有形式共用時,請小心不要在任何公有快照中包含您的私人資訊。
**注意**
當您使用 AWS Command Line Interface (AWS CLI) 或 Neptune API 從共用快照還原資料庫叢集時,您必須指定共用快照的 Amazon Resource Name (ARN) 做為快照識別符。
**Topics**
+ [共用加密的資料庫叢集快照。](#backup-restore-share-snapshot-encrypted)
+ [共享資料庫叢集快照](#backup-restore-share-snapshot-sharing)
## 共用加密的資料庫叢集快照。
您可以共用已使用 AES-256 加密演算法「靜態」加密的資料庫叢集快照。如需詳細資訊,請參閱[加密 Amazon Neptune 資料庫中的靜態資料](encrypt.md)。若要這樣做,您必須採取下列步驟:
1. 與您想要能夠存取快照的任何帳戶共用用來加密快照的 AWS Key Management Service (AWS KMS) 加密金鑰。
您可以將其他 AWS 帳戶新增至 KMS 金鑰政策,以與其他帳戶共用 AWS KMS 加密金鑰。如需有關更新金鑰政策的詳細資訊,請參閱 [https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 開發人員指南*中的AWS KMS 金鑰政策*。有關建立金鑰政策的範例,請參閱本主題稍後的[建立 IAM 政策以允許複製加密快照](#backup-restore-share-snapshot-encrypted-key-iam)。
1. 使用 AWS CLI AWS 管理主控台或 Neptune API 與其他帳戶共用加密快照。
共用加密快照有下列限制:
+ 您無法將加密快照以公有形式共用。
+ 您無法共用已使用共用快照之 AWS 帳戶的預設 AWS KMS 加密金鑰進行加密的快照。
### 允許存取 AWS KMS 加密金鑰
若要讓另一個 AWS 帳戶複製從您的帳戶共用的加密資料庫叢集快照,您與之共用快照的帳戶必須能夠存取加密快照的 KMS 金鑰。若要允許另一個 AWS 帳戶存取 AWS KMS 金鑰,請將 KMS 金鑰的金鑰政策更新為您在 KMS 金鑰政策`Principal`中以 身分共用之 AWS 帳戶的 ARN。然後允許 `kms:CreateGrant` 動作。如需一般指示,請參閱《AWS Key Management Service 開發人員指南》**中的[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。
將 KMS 加密金鑰的存取權授予 AWS 帳戶之後,若要複製加密快照,如果該 AWS 帳戶還沒有 IAM 使用者,則必須建立該帳戶。KMS 安全限制不允許為此使用根 AWS 帳戶身分。 AWS 帳戶也必須將 IAM 政策連接至該 IAM 使用者,以允許 IAM 使用者使用您的 KMS 金鑰複製加密的資料庫叢集快照。
在以下金鑰政策範例中,使用者 `111122223333` 是 KMS 加密金鑰的擁有者,使用者 `444455556666` 是共用金鑰的帳戶。此更新的金鑰政策透過將使用者的根 AWS 帳戶身分 ARN 作為政策`Principal`的 `444455556666` ,以及允許 `kms:CreateGrant`動作,為 AWS 帳戶提供 KMS 金鑰的存取權。
------
#### [ JSON ]
****
```
{
"Id": "key-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KeyUser",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
#### 建立 IAM 政策以允許複製加密快照
在外部 AWS 帳戶可以存取您的 KMS 金鑰之後,該帳戶的擁有者可以建立政策,允許為帳戶建立的 IAM 使用者複製使用該 KMS 金鑰加密的加密快照。
下列範例顯示可以連接到 AWS 帳戶 `444455556666` 之 IAM 使用者的政策。它可讓 IAM 使用者從 AWS 帳戶 `111122223333` 複製共用快照,此帳戶已在 `us-west-2` 區域中以 KMS 金鑰 `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` 加密。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": ["arn:aws:kms:us-west-2:111122223333:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
如需有關更新金鑰政策的詳細資訊,請參閱 [https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 開發人員指南*中的AWS Key Management Service 金鑰政策*。
## 共享資料庫叢集快照
您可以使用 AWS CLI、 或 Neptune API AWS 管理主控台共用資料庫叢集快照。
### 使用主控台共享資料庫叢集快照
使用 Neptune 主控台,您可以將手動資料庫叢集快照與最多 20 個 AWS 帳戶共用。您也可以停止與一或多個帳戶共享手動快照。
**共享手動資料庫叢集快照**
1. 登入 AWS 管理主控台,並在 [https://console.aws.amazon.com/neptune/home](https://console.aws.amazon.com/neptune/home):// 開啟 Amazon Neptune 主控台。
1. 在導覽窗格中,選擇 **Snapshots** (快照)。
1. 選擇您要共享的手動快照。
1. 選擇 **Actions (動作)** 和 **Share Snapshot (共享快照)**。
1. 在 **DB snapshot visibility (資料庫快照可見度)** 中,選擇下列其中一個選項。
+ 如果來源未加密,請選擇**公有**,來允許所有 AWS 帳戶從您的手動資料庫叢集快照還原資料庫叢集。或者,選擇**私有**,僅允許您指定的 AWS 帳戶從手動資料庫叢集快照還原資料庫叢集。
**警告**
如果您將**資料庫快照可見**性設定為**公**有,則所有 AWS 帳戶都可以從手動資料庫叢集快照還原資料庫叢集,並有權存取您的資料。請勿將任何包含私人資訊的手動資料庫叢集快照以 **Public (公有)** 形式共用。
+ 如果來源資料庫叢集已加密,**DB snapshot visibility (資料庫快照可見度)** 會設為 **Private (私有)**,因為加密快照無法以公有形式共用。
1. 針對**AWS 帳戶 ID**,輸入您要允許 從手動快照還原資料庫叢集之帳戶 AWS 的帳戶識別符。接著選擇 **Add (新增)**。重複 以包含額外的 AWS 帳戶識別符,最多 20 個 AWS 帳戶。
如果您在將 AWS 帳戶識別符新增至允許的帳戶清單時發生錯誤,您可以選擇不正確 AWS 帳戶識別符右側的**刪除**,將其從清單中刪除。
1. 為要允許還原手動快照的所有 AWS 帳戶新增識別符後,請選擇**儲存**。
**停止與 AWS 帳戶共用手動資料庫叢集快照**
1. 在 [https://console.aws.amazon.com/neptune/home](https://console.aws.amazon.com/neptune/home) 開啟 Amazon Neptune 主控台。
1. 在導覽窗格中,選擇 **Snapshots** (快照)。
1. 選擇您希望停止共享的手動快照。
1. 選擇 **Actions** (動作),然後選擇 **Share Snapshot** (共享快照)。
1. 若要移除 AWS 帳戶的許可,請從授權**** AWS 帳戶清單中選擇刪除該帳戶的帳戶識別符。
1. 選擇**儲存**。