RDS 提供静态加密,但这与跨区域复制不兼容。文档指出:
由于 KMS 加密密钥特定于创建它们的区域,因此您无法将加密快照从一个区域复制到另一个区域,也无法跨区域复制加密的数据库实例。
然而,现在可以上传自定义 KMS 主密钥。如果我生成自己的主密钥并将其上传到 eu-west-1 和 eu-central-1,是否可以跨区域复制加密的 RDS 实例?
文档没有提到这种情况。从技术上来说,现在这种情况是可行的,但 API 不允许。
答案1
我在 AWS 论坛上问了这个问题,并得到了亚马逊某人的答复:
正如您所说,这在技术上是可行的,但 RDS API 尚不支持它。我们正在努力,但尚未宣布发布日期。敬请期待。
这是个好消息——很快我们就不必在两者之间做出选择了。