Copie d’un instantané de base de données Amazon RDS Custom for SQL Server - Amazon Relational Database Service
LimitationsChiffrementCopie entre régionsInstantanés d’instances de base de données créés avec des versions de moteur personnalisées (CEV)Autorisations requisesCopier un instantané de base de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copie d’un instantané de base de données Amazon RDS Custom for SQL Server

Avec RDS Custom for SQL Server, vous pouvez copier des sauvegardes automatisées et des instantanés de base de données manuels. Après avoir copié un instantané, la copie créée est un instantané manuel. Vous pouvez effectuer plusieurs copies d’une sauvegarde automatisée ou d’un instantané manuel, mais chaque copie doit avoir un identifiant unique.

Vous ne pouvez copier un instantané d'un même AWS compte que sur différents sites Régions AWS où RDS Custom for SQL Server est disponible. Les opérations suivantes ne sont actuellement pas prises en charge :

  • Copie d’instantanés de base de données dans la même Région AWS.

  • Copier des instantanés de base de données entre AWS comptes.

RDS Custom for SQL Server prend en charge la copie d’instantané incrémentielle. Pour plus d’informations, consultez Considérations relatives à la copie d’instantanés incrémentielle.

Limitations

Les limites suivantes s’appliquent à la copie d’un instantané de base de données pour RDS Custom for SQL Server :

  • Si vous supprimez un instantané source avant que l’instantané cible ne soit disponible, la copie d’instantané peut échouer. Vérifiez que l’instantané cible a le statut AVAILABLE avant de supprimer l’instantané source.

  • Vous ne pouvez pas spécifier un nom de groupe d’options ou copier un groupe d’options dans votre demande de copie d’instantané de base de données.

  • Si vous supprimez des AWS ressources dépendantes de l'instantané de base de données source avant ou pendant le processus de copie, votre demande de capture instantanée de copie peut échouer de manière asynchrone.

  • La copie d'instantanés de base de données au sein d'une même base de données n'Région AWSest actuellement pas prise en charge.

  • La copie d'instantanés de base de données entre AWS comptes n'est actuellement pas prise en charge.

Les limites de la copie d’un instantané de base de données pour Amazon RDS s’appliquent également à RDS Custom for SQL Server. Pour plus d’informations, consultez Limitations.

Gestion du chiffrement

Toutes les instances et tous les instantanés de base de données RDS Custom for SQL Server sont chiffrés à l’aide de clés KMS. Vous ne pouvez copier un instantané chiffré que sur un instantané chiffré. Vous devez donc spécifier une clé KMS valide dans la destination Région AWS pour votre demande de copie d'instantané de base de données.

L’instantané source reste chiffré pendant tout le processus de copie. Amazon RDS utilise le chiffrement d’enveloppe pour protéger les données pendant l’opération de copie avec la clé KMS de la Région AWS de destination spécifiée. Pour plus d’informations, consultez Chiffrement d’enveloppe dans le Guide du développeur AWS Key Management Service.

Copie entre régions

Vous pouvez copier les instantanés de base de données entre Régions AWS. Toutefois, il existe certaines contraintes et considérations en ce qui concerne la copie d’instantanés entre régions.

Autoriser RDS à communiquer entre eux pour la copie d'Régions AWSinstantanés

Après qu’une demande de copie d’instantané de base de données entre régions a été traitée avec succès, RDS démarre la copie. Une demande d’autorisation permettant à RDS d’accéder à l’instantané source est créée. Cette demande d’autorisation associe l’instantané de base de données source à l’instantané de base de données cible. Cela permet à RDS de ne copier que vers l’instantané cible spécifié.

RDS vérifie l’autorisation à l’aide de l’autorisation rds:CrossRegionCommunication dans le rôle IAM lié au service. Si la copie est autorisée, RDS peut communiquer avec la région source et terminer la copie.

RDS n'a pas accès aux instantanés de base de données qui n'étaient pas autorisés auparavant par une demande de copieDBSnapshot . L’autorisation est révoquée lorsque la copie est terminée.

RDS utilise le rôle lié au service afin de vérifier l’autorisation dans la région source. La copie échoue si vous supprimez le rôle lié au service pendant le processus de copie.

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur Gestion des identités et des accès AWS.

Utilisation des informations d’identification AWS Security Token Service

Les jetons de session provenant du point de terminaison global AWS Security Token Service (AWS STS) ne sont valides Régions AWS que s'ils sont activés par défaut (régions commerciales). Si vous utilisez les informations d'identification issues de l'opération d'assumeRoleAPI dansAWS STS, utilisez le point de terminaison régional si la région source est une région optionnelle. Sinon, la demande échoue. Vos informations d'identification doivent être valides dans les deux régions, ce qui n'est vrai pour les régions optionnelles que lorsque vous utilisez le point de AWS STS terminaison régional.

Pour utiliser le point de terminaison global, assurez-vous qu’il est activé dans les opérations pour les deux régions. Définissez le point de terminaison global sur « Valid in all » Régions AWS dans les paramètres du AWS STS compte.

Pour plus d’informations, consultez Gestion de AWS STS dans une Région AWS dans le Guide de l’utilisateur Gestion des identités et des accès AWS.

Instantanés d’instances de base de données créés avec des versions de moteur personnalisées (CEV)

Pour un instantané de base de données d’une instance de base de données utilisant une version de moteur personnalisée (CEV), RDS associe la CEV à l’instantané de base de données. Pour copier un instantané de base de données source associé à un CEVRégions AWS, RDS copie le CEV ainsi que le cliché de base de données source dans la région de destination.

Si vous copiez plusieurs instantanés de base de données associés à la même CEV vers la même région de destination, la première demande de copie copie la CEV associée. Le processus de copie des demandes suivantes trouve la CEV initialement copiée et l’associe aux copies d’instantanés de base de données suivantes. La copie de la CEV existante doit être à l’état AVAILABLE pour être associée aux copies d’instantanés de base de données.

Pour copier un instantané de base de données associé à une CEV, la politique IAM du demandeur doit disposer des autorisations nécessaires pour autoriser à la fois la copie de l’instantané de base de données et la copie de la CEV associée. Les autorisations suivantes sont nécessaires dans la politique IAM de votre demandeur pour autoriser la copie de la CEV associée :

  • rds:CopyCustomDBEngineVersion : le principal IAM de votre demandeur doit avoir l’autorisation de copier la CEV source dans la région cible avec l’instantané de base de données source. La demande de copie d’instantané échoue en raison d’erreurs d’autorisation si le principal IAM de votre demandeur n’est pas autorisé à copier la CEV source.

  • ec2:CreateTags‐ L' EC2 AMI sous-jacente du CEV source est copiée dans la région cible dans le cadre de la copie du CEV. RDS Custom tente de baliser l’AMI avec la balise AWSRDSCustom avant de copier l’AMI. Assurez-vous que le principal IAM du demandeur est autorisé à créer la balise par rapport à l’AMI sous-jacente à la CEV source dans la région source.

Pour plus d’informations sur les autorisations de copie de la CEV, consultez Accorder les autorisations requises à votre principal IAM.

Accorder les autorisations requises à votre principal IAM

Assurez-vous de disposer d’un accès suffisant pour copier un instantané de base de données RDS Custom for SQL Server. Le rôle ou l’utilisateur IAM (appelé principal IAM) chargé de copier un instantané de base de données à l’aide de la console ou de l’interface de ligne de commande doit disposer de l’une des politiques suivantes pour que la création d’instance de base de données réussisse :

  • La politique AdministratorAccess ou

  • La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :

    s3:CreateBucket
s3:GetBucketPolicy
s3:PutBucketPolicy
kms:CreateGrant
kms:DescribeKey
ec2:CreateTags

RDS Custom utilise ces autorisations lors de la copie d’instantanés entre plusieurs Régions AWS. Ces autorisations configurent les ressources de votre compte qui sont requises pour les opérations RDS Custom. Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez Gestion AWS KMS key.

L’exemple de politique JSON suivant accorde les autorisations requises en plus de la politique AmazonRDSFullAccess.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateS3BucketAndReadWriteBucketPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateEc2Tags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
Note

Assurez-vous que les autorisations répertoriées ne sont pas limitées par les politiques de contrôle des services (SCPs), les limites d'autorisation ou les politiques de session associées au principal IAM.

Si vous utilisez des conditions comportant des clés de contexte dans la politique IAM du demandeur, certaines conditions peuvent provoquer l’échec de la demande. Pour plus d’informations sur les pièges courants liés aux conditions de la politique IAM, consultez Demander une copie d'instantané de bases de données entre régions.

Copie d’un instantané de base de données

Procédez comme suit pour copier un instantané de base de données. Pour chaque AWS compte, vous pouvez copier jusqu'à 20 instantanés de base de données à la fois de l'un Région AWS à l'autre. Si vous copiez un instantané de base de données vers un autreRégion AWS, vous créez un instantané de base de données manuel qui y est conservéRégion AWS. La copie d'un instantané de base de données depuis la source Région AWS entraîne des frais de transfert de données Amazon RDS. Pour plus d’informations sur la tarification du transfert des données, consultez Tarification d’Amazon RDS.

Une fois que la copie instantanée de base de données a été créée dans le nouveauRégion AWS, elle se comporte de la même manière que tous les autres instantanés de base de données qu'elle contient. Région AWS

Vous pouvez copier un instantané de base de données à l'aide de AWS Management ConsoleAWS CLI, ou de l'API Amazon RDS.

Console

La procédure suivante copie un instantané de base de données RDS Custom for SQL Server à l’aide de la AWS Management Console.

  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.

  2. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

  3. Sélectionnez l’instantané de base de données RDS Custom for SQL Server que vous voulez copier.

  4. Dans le menu déroulant Actions, choisissez Copier un instantané.

    La page Copie d’instantanés dans la console Amazon RDS. Les paramètres sont chargés dans la page.

  5. Pour copier le snapshot de base de données vers un autreRégion AWS, définissez Destination Region sur la valeur requise.

    Note

    La destination Région AWS doit disposer de la même version de moteur de base de données disponible que la sourceRégion AWS.

  6. Pour Nouvel identifiant d’instantané de base de données, saisissez un nom unique pour l’instantané de base de données. Vous pouvez effectuer plusieurs copies d’une sauvegarde automatisée ou d’un instantané manuel, mais chaque copie doit avoir un identifiant unique.

  7. (Facultatif) Pour copier les balises et les valeurs de l'instantané vers la copie de cet instantané, choisissez Copier les balises.

  8. Pour Chiffrement, spécifiez l’identifiant de clé KMS à utiliser pour chiffrer la copie de l’instantané de base de données.

    Note

    RDS Custom for SQL Server chiffre tous les instantanés de base de données. Vous ne pouvez pas créer d’instantané de base de données non chiffré.

  9. Choisissez Copier un instantané.

RDS Custom for SQL Server crée une copie d’instantané de base de données de votre instance de base de données dans la Région AWS de votre choix.

AWS CLI

Vous pouvez copier un instantané de base de données RDS Custom pour SQL Server à l'aide de la AWS CLI commande copy-db-snapshot. Si vous copiez le cliché dans un nouveauRégion AWS, exécutez la commande dans le nouveauRégion AWS. Les options suivantes sont utilisées pour copier un instantané de base de données. Toutes les options ne sont pas requises pour tous les scénarios.

  • --source-db-snapshot-identifier : identifiant de l’instantané de base de données source.

    • Si l'instantané source se trouve dans un emplacement différent Région AWS de celui de la copie, spécifiez un ARN d'instantané de base de données valide. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • --target-db-snapshot-identifier : identifiant de la nouvelle copie de l’instantané de base de données.

  • --kms-key-id : identifiant de clé KMS pour un instantané de base de données chiffré. L’identifiant de clé KMS est l’ARN (Amazon Resource Name), l’identifiant de clé ou l’alias de clé pour la clé KMS.

    • Si vous copiez un instantané chiffré vers une autre Région AWS, vous devez spécifier une clé KMS pour la Région AWS de destination. Les clés KMS sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d’informations sur les clés KMS multi-régions, consultez Utilisation de clés multi-régions dans AWS KMS.

  • --copy-tags : inclut les balises et les valeurs de l’instantané source vers la copie de cet instantané.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS Custom for SQL Server :

  • --copy-option-group

  • --option-group-name

  • --pre-signed-url

  • --target-custom-availability-zone

L’exemple de code suivant copie un instantané de base de données chiffré à partir de la région USA Ouest (Oregon) vers la région USA Est (Virginie du Nord). Exécutez la commande dans la région de destination (us-east-1).

Pour Linux, macOS ou Unix :

aws rds copy-db-snapshot \
     --region us-east-1 \
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 \
    --target-db-snapshot-identifier mydbsnapshotcopy \
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6

Pour Windows :

aws rds copy-db-snapshot ^
     --region us-east-1 ^
    --source-db-snapshot-identifier arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678 ^
    --target-db-snapshot-identifier mydbsnapshotcopy ^
    --kms-key-id a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
RDS API

Vous pouvez copier un instantané de base de données personnalisé RDS pour SQL Server à l'aide de l'opération Copy de l'API Amazon RDS. DBSnapshot Si vous copiez l'instantané dans une nouvelle Région AWS, exécutez l'action dans cette nouvelle Région AWS. Les paramètres suivants sont utilisés pour copier un instantané de base de données. Tous les paramètres ne sont pas requis :

  • SourceDBSnapshotIdentifier : identifiant de l’instantané de base de données source.

    • Si l'instantané source se trouve dans un emplacement différent Région AWS de celui de la copie, spécifiez un ARN d'instantané de base de données valide. Par exemple, arn:aws:rds:us-west-2:123456789012:snapshot:instance1-snapshot-12345678.

  • TargetDBSnapshotIdentifier : identifiant de la nouvelle copie de l’instantané de base de données.

  • KmsKeyId : identifiant de clé KMS pour un instantané de base de données chiffré. L’identifiant de clé KMS est l’ARN (Amazon Resource Name), l’identifiant de clé ou l’alias de clé pour la clé KMS.

    • Si vous copiez un instantané chiffré vers une autre Région AWS, vous devez spécifier une clé KMS pour la Région AWS de destination. Les clés KMS sont spécifiques à l'endroit dans Région AWS lequel elles ont été créées et vous ne pouvez pas utiliser les clés de chiffrement les unes Région AWS des autres, Région AWS sauf si une clé multirégionale est utilisée. Pour plus d’informations sur les clés KMS multi-régions, consultez Utilisation de clés multi-régions dans AWS KMS.

  • CopyTags : affectez à ce paramètre la valeur true pour copier les balises et les valeurs de l’instantané source vers la copie de cet instantané. La valeur par défaut est false.

Les options suivantes ne sont pas prises en charge pour copier un instantané de base de données RDS Custom for SQL Server :

  • CopyOptionGroup

  • OptionGroupName

  • PreSignedUrl

  • TargetCustomAvailabilityZone

Le code suivant crée une copie d’instantané, avec le nouveau nom mydbsnapshotcopy, dans la région USA Est (Virginie du Nord).

https://rds.us-east-1.amazonaws.com/
    ?Action=CopyDBSnapshot
    &KmsKeyId=a1b2c3d4-1234-5678-wxyz-a1b2c3d4d5e6
    &SourceDBSnapshotIdentifier=arn%3Aaws%3Ards%3Aus-west-2%3A123456789012%3Asnapshot%3Ainstance1-snapshot-12345678
    &TargetDBSnapshotIdentifier=mydbsnapshotcopy
    &Version=2014-10-31
    &X-Amz-Algorithm=AWS4-HMAC-SHA256
    &X-Amz-Credential=AKIADQKE4SARGYLE/20161117/us-east-1/rds/aws4_request
    &X-Amz-Date=20161117T221704Z
    &X-Amz-SignedHeaders=content-type;host;user-agent;x-amz-content-sha256;x-amz-date
    &X-Amz-Signature=da4f2da66739d2e722c85fcfd225dc27bba7e2b8dbea8d8612434378e52adccf