기본 RDS 키로 암호화된 스냅샷 공유

개요

RDS의 스냅샷을 공유할 때, 디폴트 이외의 AWS KMS를 이용한 암호화라면, 문제 없게 실시할 수 있다.
AWS 공식 - 암호화된 Amazon RDS DB 스냅샷을 다른 계정과 공유하는 방법



다만, 디폴트의 암호화 키로 암호화된 스냅샷을 공유(위 그림의 Share) 할 수 없다.
예상이지만, 기본 암호화 키를 다른 계정에 공유할 수 없기 때문이라고 생각된다.

기본 AWS KMS 암호화 키를 사용하여 암호화된 스냅샷을 공유할 수 없습니다.

라고 AWS 공식도 무리라고 말하고 있습니다만, 이하의 순서로 공유가 가능했습니다.

스냅샷 얻기.

KMS에서 고객 관리형 키(CMS)를 작성한다.

CMS 공유.

스냅샷을 CMS로 암호화하고 복사합니다.

스냅샷 사본을 공유합니다.

공유한 스냅샷을 복원합니다.

DB 스냅샷 얻기

공유할 DB의 스냅샷을 만듭니다.

고객 관리형 키 만들기 및 공유

KMS 콘솔을 열고 고객 관리형 키를 만듭니다.
고객 관리형 키를 만들 때 다른 AWS 계정(공유 대상)을 지정합니다.



IAM 정책을 편집하지만 간략하게 설명합니다.
공유하려는 계정(B)에서 공유 계정(A)의 CMK를 참조할 수 있는 IAM 정책을 연결합니다.

{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111111111111:root"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

자세한 것은 공식 문서에 맡깁니다.

AWS 공식 - 다른 계정의 사용자가 CMK를 사용할 수 있도록 허용

스냅샷 복사 with CMS

스냅샷을 복사할 때 암호화 키를 어떻게 바꿀 수 있습니다.
방금 만든 CMK를 '마스터 키'로 지정하십시오.

스냅샷 공유

CMK를 마스터 키로 한 스냅샷 사본은 공유할 수 있게 된다.

공유한 스냅샷의 복사본 복원

나와 공유 탭에 공유한 스냅샷이 있습니다.



그대로 복원할 수 없으므로 일단 자신의 계정에 복사합니다.
그 때 CMK를 이용해도 좋지만 (default) aws/rds의 기본 키에서도 복사할 수 있습니다.

아마, 내부의 동작으로서는, 「CKM로 복호⇒default 키로 암호화」하고 있다고 생각합니다.
따라서 CMK를 공유하지 않거나 권한이 없으면 오류가 발생합니다.

이상으로 간단한 설명을 마칩니다.
뭔가 부족이나 에러가 있으시면, 추기 정정 하므로 연락해 주십시오.
카베츠 @NetCabb - https://twitter.com/NetCabb