Amazon-Web-Services
如何在不失去數據的情況下更改 RDS KMS 密鑰?
我們有一個託管在 AWS RDS 上的 PostgreSQL 數據庫。當它使用 cloudformation 創建時,我將其設置為加密,但沒有設置加密密鑰。因此,它被設置為使用預設加密密鑰。
我被告知有一個公司標準,所有 RDS 實例都應該有自己的密鑰。
我已經使用 cloudformation 創建了新密鑰並將其與 RDS 實例相關聯,但是當我部署此模板時,它想要刪除並重新創建數據庫。
我不太熟悉這一切是如何工作的,而且我正在執行一個不會導致我們失去數據的程序。如果需要,一點停機時間不會傷害我們。
使用 RDS,這很容易。您將有一些停機時間,具體取決於數據量。小實例留出一小時,大實例留出一天。好的部分是,在您創建快照後,您可以獨立測試而不會影響您的實例。
一切都在 AWS RDS 控制台中執行。
創建您的 RDS 實例的快照。
選擇新的主密鑰複製快照。
恢復實例或從快照創建新實例。
注意:對於像這樣修改數據的項目,我更喜歡創建一個新的 RDS 實例。驗證一切,然後關閉舊實例。