【Cloud Automator】暗号化されたRDSのDBスナップショットをリージョン間でコピーできるようになりました

Cloud Automatorで提供していた「RDS: DBスナップショットをリージョン間でコピー」で従来はできなかった、暗号化されたスナップショットのコピーができるようになりました。

アップデートの概要

これまでCloud Automatorの「RDS: DBスナップショットをリージョン間でコピー」アクションでは暗号化されたスナップショットをリージョン間でコピーすることができませんでした。
そのため暗号化されたスナップショットをコピーする際にはAWS Backupや手動でのコピーが必要でした。

今回のアップデートでCloud Automatorを利用して暗号化されたRDSのスナップショットをリージョン間でコピーすることができるようになりました。

そのため、例えばCloud Automatorのジョブワークフロー機能を利用して、RDSインスタンスのスナップショットを作成し、その後作成したスナップショットを異なるリージョンにコピーするといった設定も可能となります。
DR（ディザスタリカバリ）対策等に是非ご活用ください。

※ これまでの暗号化されていないDBスナップショットのリージョン間コピーも引き続きサポートされます。
既存のDBスナップショットのリージョン間コピージョブについての設定変更は不要です。

ご利用方法

暗号化されたスナップショットをリージョン間でコピーするためには追加の権限が必要となります。

暗号化されたスナップショットを「RDS: DBスナップショットをリージョン間でコピー」するために必要な権限の追加方法

AWSマネジメントコンソールにサインインし、IAMコンソールにアクセスします。
「ロール」をクリックし、検索欄に「CloudAutomator」と入力します。
Cloud Automatorに登録しているIAMロールのロール名をクリックします。
許可ポリシーの「許可を追加」をクリックし、「インラインポリシー」を作成をクリックします。 ※すでに"kms-statement"が存在する場合は、作成不要です。
「JSON」タブをクリックして、以下の内容を追記します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

6. エラーが発生していないことを確認し「ポリシーの確認」をクリックします。
7. 名前に kms-statement を入力します。
8. 変更内容を確認し「ポリシーの作成」をクリックします。

以上で「RDS: DBスナップショットをリージョン間でコピー」アクションに必要な権限の追加が完了しました。

ジョブの作成方法

ジョブ新規作成画面にて「RDS: DBスナップショットをリージョン間でコピー」アクションを選択してください。
暗号化されたスナップショット、作成元のDBインスタンスを選択して「スナップショットが暗号化されている場合に使用するKMSキー」を選択してください。

アクションのマニュアルを用意しておりますのでこちらもご参考ください。

おわりに

今後のリリース計画については、ロードマップページにて公開しております。これからもCloud Automatorをよろしくお願いいたします。

Cloud Automator(クラウドオートメーター)とは、ノンプログラミングでAWS運用を自動化し、AWSの利用を最大限に引き出すサービスです。バックアップや災害対策、AWS費用の削減を実現する「ジョブ」と、AWSがガイドライン通りに運用されていることを継続的に確認する「構成レビュー」という2つの機能をご提供しております。