기본 RDS 키로 암호화된 스냅샷 공유
개요
RDS의 스냅샷을 공유할 때, 디폴트 이외의 AWS KMS를 이용한 암호화라면, 문제 없게 실시할 수 있다.
AWS 공식 - 암호화된 Amazon RDS DB 스냅샷을 다른 계정과 공유하는 방법
다만, 디폴트의 암호화 키로 암호화된 스냅샷을 공유(위 그림의 Share) 할 수 없다.
예상이지만, 기본 암호화 키를 다른 계정에 공유할 수 없기 때문이라고 생각된다.
기본 AWS KMS 암호화 키를 사용하여 암호화된 스냅샷을 공유할 수 없습니다.
라고 AWS 공식도 무리라고 말하고 있습니다만, 이하의 순서로 공유가 가능했습니다.
DB 스냅샷 얻기
공유할 DB의 스냅샷을 만듭니다.
고객 관리형 키 만들기 및 공유
KMS 콘솔을 열고 고객 관리형 키를 만듭니다.
고객 관리형 키를 만들 때 다른 AWS 계정(공유 대상)을 지정합니다.
IAM 정책을 편집하지만 간략하게 설명합니다.
공유하려는 계정(B)에서 공유 계정(A)의 CMK를 참조할 수 있는 IAM 정책을 연결합니다.
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
자세한 것은 공식 문서에 맡깁니다.
AWS 공식 - 다른 계정의 사용자가 CMK를 사용할 수 있도록 허용
스냅샷 복사 with CMS
스냅샷을 복사할 때 암호화 키를 어떻게 바꿀 수 있습니다.
방금 만든 CMK를 '마스터 키'로 지정하십시오.
스냅샷 공유
CMK를 마스터 키로 한 스냅샷 사본은 공유할 수 있게 된다.
공유한 스냅샷의 복사본 복원
나와 공유 탭에 공유한 스냅샷이 있습니다.
그대로 복원할 수 없으므로 일단 자신의 계정에 복사합니다.
그 때 CMK를 이용해도 좋지만 (default) aws/rds의 기본 키에서도 복사할 수 있습니다.
아마, 내부의 동작으로서는, 「CKM로 복호⇒default 키로 암호화」하고 있다고 생각합니다.
따라서 CMK를 공유하지 않거나 권한이 없으면 오류가 발생합니다.
이상으로 간단한 설명을 마칩니다.
뭔가 부족이나 에러가 있으시면, 추기 정정 하므로 연락해 주십시오.
카베츠 @NetCabb - https://twitter.com/NetCabb
Reference
이 문제에 관하여(기본 RDS 키로 암호화된 스냅샷 공유), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/NetCabb/items/72cd362b3a6fab5d3e4b텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)