Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Partage des instantanés du cluster Amazon DocumentDB
À l'aide d'Amazon DocumentDB, vous pouvez partager un instantané de cluster manuel de la manière suivante :
+ Le partage manuel d'un instantané de cluster, qu'il soit chiffré ou non, permet aux AWS comptes autorisés de copier l'instantané.
+ Le partage manuel d'un instantané de cluster, qu'il soit chiffré ou non, permet aux AWS comptes autorisés de restaurer directement un cluster à partir de l'instantané au lieu d'en prendre une copie et de le restaurer à partir de celui-ci.
**Note**
Pour partager un instantané de cluster automatisé, créez un instantané de cluster manuel en copiant l'instantané automatique, puis partagez cette copie. Ce processus s'applique également aux ressources générées par AWS Backup.
Vous pouvez partager un instantané manuel avec un maximum de 20 autres personnes Comptes AWS. Vous pouvez également partager un instantané manuel non chiffré marqué comme public ; il est ainsi accessible à tous les comptes . Lors du partage d'un instantané marqué comme public, assurez-vous de n'inclure aucune information privée dans vos instantanés publics.
Lorsque vous partagez des instantanés manuels avec d'autres Comptes AWS utilisateurs et que vous restaurez un cluster à partir d'un instantané partagé à l' AWS CLI aide de l'API Amazon DocumentDB, vous devez spécifier le nom de ressource Amazon (ARN) du cliché partagé comme identifiant d'instantané.
## Partage d'un instantané chiffré
Les restrictions suivantes s’appliquent au partage d’instantanés chiffrés :
+ Vous ne pouvez pas partager des instantanés chiffrés marqués comme publics.
+ Vous ne pouvez pas partager un instantané chiffré à l'aide de la clé de AWS KMS chiffrement par défaut du compte qui a partagé l'instantané.
Suivez les étapes ci-après pour partager des instantanés chiffrés.
1. Partagez la clé de chiffrement AWS Key Management Service (AWS KMS) qui a été utilisée pour chiffrer l'instantané avec tous les comptes auxquels vous souhaitez accéder à l'instantané.
Vous pouvez partager des clés de AWS KMS chiffrement avec d'autres AWS comptes en ajoutant les autres comptes à la politique des AWS KMS clés. Pour plus de détails sur la mise à jour d'une politique clé, consultez la section [Utilisation des politiques clés dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du AWS Key Management Service développeur*. Pour obtenir un exemple de création d'une stratégie de clé, consultez [Création d'une politique IAM pour permettre la copie d'un instantané chiffré](#backup_restore-share_encrypted_snapshots-create_key_policy) plus loin dans cette rubrique.
1. Utilisez le AWS CLI, [comme indiqué ci-dessous](#backup_restore-share_snapshots), pour partager l'instantané chiffré avec les autres comptes.
### Autoriser l'accès à une clé AWS KMS de chiffrement
Pour Compte AWS qu'un autre puisse copier un instantané chiffré partagé depuis votre compte, le compte avec lequel vous partagez votre instantané doit avoir accès à la AWS KMS clé qui a chiffré l'instantané. Pour autoriser un autre compte à accéder à une AWS KMS clé, mettez à jour la politique de AWS KMS clé pour la clé avec l'ARN du compte que vous partagez en tant que principal dans la politique de AWS KMS clé. Autorisez ensuite l'action `kms:CreateGrant`.
Une fois que vous avez accordé à un compte l'accès à votre clé de AWS KMS chiffrement, pour copier votre instantané chiffré, ce compte doit créer un utilisateur Gestion des identités et des accès AWS (IAM) s'il n'en possède pas déjà un. En outre, ce compte doit également associer une politique IAM à cet utilisateur IAM lui permettant de copier un instantané chiffré à l'aide de votre AWS KMS clé. Le compte doit être un utilisateur IAM et ne peut pas être une Compte AWS identité root en raison de restrictions de AWS KMS sécurité.
Dans l'exemple de politique de clé suivant, l'utilisateur 123451234512 est le propriétaire de la clé de chiffrement. AWS KMS L'utilisateur 123456789012 est le compte avec lequel la clé est partagée. Cette politique clé mise à jour permet au compte d'accéder à la AWS KMS clé. Pour ce faire, il inclut l'ARN de l' Compte AWS identité racine de l'utilisateur 123456789012 en tant que principal de la politique et en autorisant l'action. `kms:CreateGrant`
------
#### [ JSON ]
****
```
{
"Id": "key-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::123451234512:user/KeyUser",
"arn:aws:iam::123456789012:root"
]},
"Action": [
"kms:CreateGrant",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::123451234512:user/KeyUser",
"arn:aws:iam::123456789012:root"
]},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}
]
}
```
------
### Création d'une politique IAM pour permettre la copie d'un instantané chiffré
Lorsque l'utilisateur externe Compte AWS a accès à votre AWS KMS clé, le propriétaire de ce compte peut créer une politique permettant à un utilisateur IAM créé pour le compte de copier un instantané chiffré avec cette AWS KMS clé.
L'exemple suivant montre une politique qui peut être attachée à un utilisateur IAM pour Compte AWS 123456789012. La politique permet à l'utilisateur IAM de copier un instantané partagé à partir du compte 123451234512 qui a été chiffré avec la clé AWS KMS dans `c989c1dd-a3f2-4a5d-8d96-e793d082ab26` la région us-west-2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": ["arn:aws:kms:us-west-2:123451234512:key/c989c1dd-a3f2-4a5d-8d96-e793d082ab26"],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Pour plus de détails sur la mise à jour d'une politique [clé, consultez la section Utilisation des politiques clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *guide du AWS Key Management Service développeur*.
## Partage d’un instantané
Vous pouvez partager un instantané de cluster manuel Amazon DocumentDB (ou une copie d'un instantané automatique) à l'aide du AWS Management Console ou du : AWS CLI
------
#### [ Using the AWS Management Console ]
Pour partager un instantané à l'aide du AWS Management Console, procédez comme suit :
1. [Connectez-vous à la AWS Management Console console Amazon DocumentDB et ouvrez-la à https://console.aws.amazon.com l'adresse /docdb.](https://console.aws.amazon.com/docdb)
1. Dans le panneau de navigation, choisissez **Snapshots**.
1. Sélectionnez l’instantané manuel que vous voulez partager.
1. Dans le menu déroulant **Actions**, choisissez Partager.
1. Choisissez l'une des options suivantes pour la **visibilité des instantanés** de base de données :
+ Si la source n'est pas chiffrée, choisissez **Public** pour autoriser tous les AWS comptes à restaurer un cluster à partir de votre instantané manuel. Vous pouvez également choisir **Privé** pour autoriser uniquement AWS les comptes que vous spécifiez à restaurer un cluster à partir de votre instantané manuel.
**Avertissement**
Si vous définissez la **visibilité des instantanés de base** de données sur **Public**, tous les AWS comptes peuvent restaurer un cluster à partir de votre instantané manuel et avoir accès à vos données. Ne partagez aucun instantané de cluster manuel contenant des informations privées en tant que **public**.
+ Si la source est chiffrée, la **Visibilité d’instantané de base de données** est définie sur **Privé**, car les instantanés chiffrés ne peuvent pas être partagés s’ils sont marqués comme étant publics.
**Note**
Les instantanés chiffrés avec la valeur par défaut ne AWS KMS key peuvent pas être partagés.
1. Pour **ID de AWS compte**, entrez l' AWS identifiant du compte que vous souhaitez autoriser à restaurer un cluster à partir de votre instantané manuel, puis choisissez **Ajouter**. Répétez l'opération pour inclure des identifiants de AWS compte supplémentaires, jusqu'à 20 AWS comptes.
Si vous commettez une erreur lors de l'ajout d'un identifiant de AWS compte à la liste des comptes autorisés, vous pouvez le supprimer de la liste en choisissant **Supprimer** à droite de l'identifiant de AWS compte incorrect.
![\[Schéma : partager les préférences relatives aux instantanés\]](http://docs.aws.amazon.com/fr_fr/documentdb/latest/developerguide/images/share-snapshot.png)
1. Après avoir ajouté des identifiants pour tous les AWS comptes que vous souhaitez autoriser à restaurer l'instantané manuel, choisissez **Enregistrer pour enregistrer** vos modifications.
------
#### [ Using the AWS CLI ]
Pour partager un instantané à l'aide de AWS CLI, utilisez l'opération Amazon DocumentDB. `modify-db-snapshot-attribute` Utilisez le `--values-to-add` paramètre pour ajouter une liste des IDs personnes Comptes AWS autorisées à restaurer le cliché manuel.
L'exemple suivant permet à deux Compte AWS identifiants, 123451234512 et 123456789012, de restaurer le cliché nommé. `manual-snapshot1` Il supprime également la valeur d'attribut `all` pour marquer l'instantané comme étant privé.
Pour Linux, macOS ou Unix :
```
aws docdb modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier sample-cluster-snapshot \
--attribute-name restore \
--values-to-add '["123451234512","123456789012"]'
```
Pour Windows :
```
aws docdb modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier sample-cluster-snapshot ^
--attribute-name restore ^
--values-to-add '["123451234512","123456789012"]'
```
Le résultat de cette opération ressemble à ceci.
```
{
"DBClusterSnapshotAttributesResult": {
"DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
"DBClusterSnapshotAttributes": [
{
"AttributeName": "restore",
"AttributeValues": [
"123451234512",
"123456789012"
]
}
]
}
}
```
Pour supprimer un Compte AWS identifiant de la liste, utilisez le `--values-to-remove` paramètre. L'exemple suivant empêche l' Compte AWS ID 123456789012 de restaurer le snapshot.
Pour Linux, macOS ou Unix :
```
aws docdb modify-db-cluster-snapshot-attribute \
--db-cluster-snapshot-identifier sample-cluster-snapshot \
--attribute-name restore \
--values-to-remove '["123456789012"]'
```
Pour Windows :
```
aws docdb modify-db-cluster-snapshot-attribute ^
--db-cluster-snapshot-identifier sample-cluster-snapshot ^
--attribute-name restore ^
--values-to-remove '["123456789012"]'
```
Le résultat de cette opération ressemble à ceci.
```
{
"DBClusterSnapshotAttributesResult": {
"DBClusterSnapshotIdentifier": "sample-cluster-snapshot",
"DBClusterSnapshotAttributes": [
{
"AttributeName": "restore",
"AttributeValues": [
"123451234512"
]
}
]
}
}
```
------