RDS在rest时提供encryption,但这与跨区域复制不兼容。 该文件指出:
由于KMSencryption密钥是特定于其所在的区域的,因此无法将encryption的快照从一个区域复制到另一个区域,或者跨区域复制encryption的数据库实例。
但是, 现在可以上传自定义的KMS主密钥 。 如果我生成自己的主密钥,并将其上传到eu-west-1和eu-central-1,是否可以跨区域复制encryption的RDS实例?
文档没有提到这种情况。 现在可能在技术上是可行的,但API不允许。
我在AWS论坛上问了这个问题 ,并从亚马逊的某个人那里得到了答案:
正如您所指出的,这在技术上是可行的,但RDS API尚不支持。 我们正在研究它,但还没有宣布发布date。 敬请关注。
这是一个很好的消息 – 很快我们就不必在其中select一个。