developersIO
Amazon RDS の暗号化されたスナップショットをワンステップでクロスアカウント&クロスリージョンでコピーできるのか確認してみた

Amazon RDS の暗号化されたスナップショットをワンステップでクロスアカウント&クロスリージョンでコピーできるのか確認してみた

Amazon RDSAWS
FacebookHatena blogX
2025.11.06

いわさです。

Amazon RDS のデータベーススナップショットを他アカウントに共有&コピーすることよくあると思いますが、この時にさらに別アカウントの別リージョンにコピーしたい時がありました。
あまりやったことがなく、それって出来るのだろうか?と調べてみたところ公式ドキュメントに次のような記述が。

スナップショットが暗号化されていない場合、共有 DB スナップショットは、別の AWS リージョン にコピーできます。共有 DB スナップショットが暗号化されている場合は、同じリージョン内でのみコピーできます。

image.png
Amazon RDS の DB スナップショットのコピー - Amazon Relational Database Service より

なるほど。上記の仕様からすると、出来るのだけども、スナップショットが暗号化されている場合は一度共有先のアカウントで同一リージョン内にコピーし、そのあと別リージョンにコピーしなおす必要があるみたいです。
しかし、もう少し調べてみると、1ヶ月半ほど前に次のようなアップデートが出ていることにも気が付きました。

https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-rds-cross-region-cross-account-snapshot-copy/

Previously, customers that copied snapshots cross-Region and cross-account did so in a two step process that involved first copying the snapshot to a different Region and then to a different account or vice versa. Now, by performing this action in a single step, customers eliminate an intermediate snapshot copy, thereby meeting a high recovery point objective (RPO) as well as saving costs associated with the intermediate copy.

この内容からすると、どうやら暗号化されていてもワンステップでクロスアカウント&クロスリージョンのコピーが出来るっぽく読み取れます。

実際に先程の公式ドキュメントを英語版で確認してみると次の記述が追記されていました。

image.png
Copying a DB snapshot for Amazon RDS - Amazon Relational Database Service より

どうやら暗号化に使った KMS キーの共有さえできていれば、共有されたスナップショットをそのまま共有先のアカウント上からクロスリージョンでコピーできるみたいです。

1ヶ月以上前のことなので従来どうだったのかちょっと確認出来ませんが、このアナウンスどおりのことが可能なのか確認してみましたのでその様子を紹介します。

暗号化した RDS スナップショットを共有先でそのまま別リージョンにコピーできるか検証してみる

今回は暗号化していないスナップショットと暗号化しているスナップショットを用意しました。
事前に確認していたのですが、暗号化していないスナップショットは従来からの仕様どおり共有後に共有先アカウント上で別リージョンへそのままコピーすることが出来ました。

今回は以下の暗号化したスナップショットを使います。

B486B813-C08D-4559-8C55-F40C772B7322.png

暗号化したスナップショットをまずは別アカウントへ共有します。

0E93ED39-EFE8-4FF1-87EB-493B3725D857.png

そして共有元アカウントでは RDS スナップショットの暗号化に使った KMS のカスタマーマネージドキーをスナップショット共有先アカウントに共有します。
ちなみにここで共有していなかった場合は、共有先アカウント上に共有されたスナップショットは表示はされるのですが、コピー時にエラーが発生しました。

42A592DD-BD07-44E7-9035-CE2BF539C092.png

スナップショットと KMS キーが共有できたら、共有先アカウントでスナップショットのコピーをしてみます。

62F8CAEF-6900-4375-99B3-902374AAE562.png

スナップショットコピーの際の送信先リージョンはスナップショット共有元の東京リージョンではなく大阪リージョンを指定します。
この時、暗号化キーは共有先アカウント上にキーで OK です。

DAB42104-79E5-471F-9CC9-49BA25584521.png

無事大阪リージョンに外部アカウントから共有されたスナップショットをコピーすることが出来ました。

image.png

さいごに

本日は Amazon RDS の暗号化されたスナップショットをワンステップでクロスアカウント&クロスリージョンでコピーできるのか確認してみました。

日本語ドキュメントが古くてまだ制限事項上はクロスアカウントとクロスリージョンのスナップショットコピーが出来ないような記述になっていましたが、試してみた感じだとアップデートアナウンスのとおりワンステップで出来ましたね。
昨今のランサムウェアの件もあり、クロスリージョンだけでなくクロスアカウントのコピーも同時に求められることもあるので、このあたりの制限事項緩和が役立つ時もあるかもしれません。

この記事をシェアする

FacebookHatena blogX

関連記事

RDS の死活監視を CloudWatch メトリクスから行う方法について教えてください
すながわ
2025.11.05
RDS がフェイルオーバーしていないのに AZ が変更されているのはなぜですか?
すながわ
2025.10.29
Amazon RDS のレコメンデーションの通知内容が実施前にも関わらず表示から消えた原因について教えてください
takamura
2025.10.22
[アップデート] Amazon CloudWatch Database Insights のオンデマンド分析が RDS for SQL Server をサポートし、ほぼすべてのエンジンで利用可能になりました
いわさ
2025.10.22