从S3上导出的快照创建RDS实例
提问于 2021-03-03 18:53:12
我想给实习生一张我的RDS (MySQL)的快照,这样他就可以四处游玩,并对副本做一些分析。他在我的AWS帐户上有一个有效的IAM用户。
我不想使用read副本;我希望它是我的DB的独立副本。
我在想可能是:
- 创建RDS的快照并将其导出到S3桶
- 让他访问S3桶
- 无论如何,允许他创建自己的(孤立的) RDS实例,但不能查看或修改我的RDS实例(生产)。
- 这样,他就可以根据S3桶中的快照创建一个新的RDS。
我认为这是一个可行的事件序列(如果我错了,请纠正我!)但是,我模糊的地方是最后两个步骤,给他足够的RDS访问权限(不确定权限/ACL将是什么)来创建自己的RDS实例,以及如何从存储在S3上的导出快照创建这些实例。这里有人有什么想法吗?理想情况下,我也可以限制他可以创建的RDS实例的大小,或者以其他方式限制它们,这样他就不能通过屋顶发送账单。
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-03-03 23:12:29
- 你不能有条件地允许实习生查看他们的数据库而不是你的数据库。有条件的上市策略在这里不适用。
- 您可以在RDS上设置标记,并将IAM策略设置为不修改/删除特定标记,反之亦然。参考文献
- 您可以始终跳过将快照导出到您的S3,并允许您的实习生从RDS仪表板上可用的快照创建DB。
- 可以通过为RDS可用的这里添加条件来设置实例类的限制。但是您将无法限制它们可能创建的DB的大小和数量。
为了安全和方便,如果这是一次性的工作,我建议您自己从生产快照中创建一次DB,并向实习生提供这个新DB的管理凭据。如果是重复的工作,创建一个aws cli bash脚本,使用最新的快照创建新的DB,如果存在以前的快照,则删除该脚本,该脚本将由您执行。
但是,如果您选择提供AWS访问:
- 不要提供任何删除访问。
- 提供条件创建,修改基于
aws:ResourceTag/${TagKey},rds:DatabaseClass的访问。 - 提供有限的列表,阅读访问。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/66467905
复制
![[C# 开发技巧]如何防止程序多次运行](https://ask.qcloudimg.com/http-save/yehe-1033696/g9tx5hdg1u.gif)
腾讯云开发者
