기본 RDS 키로 암호화된 스냅샷 공유

3502 단어 RDSAWS

개요



RDS의 스냅샷을 공유할 때, 디폴트 이외의 AWS KMS를 이용한 암호화라면, 문제 없게 실시할 수 있다.
AWS 공식 - 암호화된 Amazon RDS DB 스냅샷을 다른 계정과 공유하는 방법



다만, 디폴트의 암호화 키로 암호화된 스냅샷을 공유(위 그림의 Share) 할 수 없다.
예상이지만, 기본 암호화 키를 다른 계정에 공유할 수 없기 때문이라고 생각된다.

기본 AWS KMS 암호화 키를 사용하여 암호화된 스냅샷을 공유할 수 없습니다.

라고 AWS 공식도 무리라고 말하고 있습니다만, 이하의 순서로 공유가 가능했습니다.
  • 스냅샷 얻기.
  • KMS에서 고객 관리형 키(CMS)를 작성한다.
  • CMS 공유.
  • 스냅샷을 CMS로 암호화하고 복사합니다.
  • 스냅샷 사본을 공유합니다.
  • 공유한 스냅샷을 복원합니다.



  • DB 스냅샷 얻기



    공유할 DB의 스냅샷을 만듭니다.


    고객 관리형 키 만들기 및 공유



    KMS 콘솔을 열고 고객 관리형 키를 만듭니다.
    고객 관리형 키를 만들 때 다른 AWS 계정(공유 대상)을 지정합니다.



    IAM 정책을 편집하지만 간략하게 설명합니다.
    공유하려는 계정(B)에서 공유 계정(A)의 CMK를 참조할 수 있는 IAM 정책을 연결합니다.
    {
        "Sid": "Allow use of the key",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111111111111:root"
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
        ],
        "Resource": "*"
    }
    

    자세한 것은 공식 문서에 맡깁니다.

    AWS 공식 - 다른 계정의 사용자가 CMK를 사용할 수 있도록 허용

    스냅샷 복사 with CMS



    스냅샷을 복사할 때 암호화 키를 어떻게 바꿀 수 있습니다.
    방금 만든 CMK를 '마스터 키'로 지정하십시오.



    스냅샷 공유



    CMK를 마스터 키로 한 스냅샷 사본은 공유할 수 있게 된다.



    공유한 스냅샷의 복사본 복원



    나와 공유 탭에 공유한 스냅샷이 있습니다.



    그대로 복원할 수 없으므로 일단 자신의 계정에 복사합니다.
    그 때 CMK를 이용해도 좋지만 (default) aws/rds의 기본 키에서도 복사할 수 있습니다.

    아마, 내부의 동작으로서는, 「CKM로 복호⇒default 키로 암호화」하고 있다고 생각합니다.
    따라서 CMK를 공유하지 않거나 권한이 없으면 오류가 발생합니다.

    이상으로 간단한 설명을 마칩니다.
    뭔가 부족이나 에러가 있으시면, 추기 정정 하므로 연락해 주십시오.
    카베츠 @NetCabb - https://twitter.com/NetCabb

    좋은 웹페이지 즐겨찾기