Copier un instantané Amazon EBS - Amazon EBS
PrérequisConsidérationsTarificationCopie d’instantané incrémentielleChiffrement et copie d’instantanésCopie d’un instantané

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copier un instantané Amazon EBS

Avec Amazon EBS, vous pouvez créer des point-in-time instantanés de volumes, que nous stockons pour vous dans Amazon S3. Une fois que vous avez créé un instantané et que sa copie sur Amazon S3 est terminée (lorsque le statut de l'instantané est completed défini), vous pouvez le copier d'une AWS région à l'autre, ou au sein de la même région. Le chiffrement côté serveur Amazon S3 (AES 256 bits) protège les données d’un instantané en transit pendant une opération de copie. La copie de l’instantané reçoit un ID différent de celui de l’instantané d’origine.

Pour copier des instantanés multivolumes vers une autre AWS région, récupérez-les à l'aide de la balise que vous avez appliquée à l'ensemble d'instantanés multivolumes lorsque vous l'avez créé. Ensuite, copiez individuellement les instantanés vers une autre région.

Si vous souhaitez qu'un autre compte puisse copier votre instantané, vous devez soit modifier les autorisations pour autoriser l'accès à ce compte, soit rendre l'instantané public afin que tous les AWS comptes puissent le copier. Pour plus d’informations, consultez Partager un instantané Amazon EBS.

Pour plus d’informations sur la copie d’un instantané Amazon RDS, consultez Copie d’un instantané de base de données dans le Amazon RDS Guide de l’utilisateur.

Cas d’utilisation

  • Expansion géographique : lancez vos applications dans une nouvelle AWS région.

  • Migration : transférez une application vers une nouvelle région afin de permettre une disponibilité accrue et de réduire les coûts.

  • Reprise après sinistre : sauvegardez vos données et fichiers journaux dans différents emplacements géographiques à intervalles réguliers. En cas de sinistre, vous pouvez restaurer vos applications à l'aide de point-in-time sauvegardes stockées dans la région secondaire. Cela permet de limiter les pertes de données et la durée de récupération.

  • Chiffrement : chiffrez un instantané qui n’a pas encore été chiffré, modifiez la clé de chiffrement de l’instantané ou créez une copie vous appartenant afin de restaurer un volume à partir de celle-ci (pour les instantanés chiffrés qui ont été partagés avec vous).

  • Rétention des données et exigences en matière d’audit : copiez vos instantanés EBS chiffrés d’un compte AWS vers un autre pour conserver les journaux de données ou d’autres fichiers aux fins d’audit ou de rétention des données. L'utilisation d'un autre compte permet d'éviter les suppressions accidentelles d'instantanés et vous protège en cas de compromission de votre AWS compte principal.

Prérequis

  • Vous pouvez copier les instantanés accessibles ayant un statut completed, y compris les instantanés partagés et ceux que vous avez créés.

  • Vous pouvez copier des instantanés AWS Marketplace, VM Import/Export et Storage Gateway, mais vous devez vérifier que le snapshot est pris en charge dans la région de destination.

  • Pour copier un instantané chiffré, votre utilisateur doit disposer des autorisations suivantes pour utiliser le chiffrement Amazon EBS.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Pour copier un instantané chiffré partagé depuis un autre AWS compte, vous devez être autorisé à utiliser la clé gérée par le client qui a été utilisée pour chiffrer l'instantané. Pour plus d’informations, consultez Partager une clé KMS.

Considérations

  • Il y a une limite de 20 demandes de copie d’instantanés simultanées par Région de destination. Si vous dépassez ce quota, vous recevez une erreur ResourceLimitExceeded. Si cette erreur s’affiche, attendez qu’une ou plusieurs des demandes de copie soient terminées avant d’effectuer une nouvelle demande de copie d’instantané.

  • Les balises définies par l’utilisateur ne sont pas copiées de l’instantané source vers le nouvel instantané. Vous pouvez ajouter des balises définies par l’utilisateur pendant ou après l’opération de copie.

  • Les instantanés créés par une opération de copie d’instantané ont un ID de volume arbitraire, tel que vol-ffff ou vol-ffffffff. Ces ID de volume arbitraires ne doivent être utilisés en aucun cas.

  • Les autorisations de niveau ressource spécifiées pour la copie d’instantané s’appliquent uniquement au nouvel instantané. Vous ne pouvez pas spécifier d’autorisations au niveau des ressources pour l’instantané source. Pour un exemple, voir Exemple : copie d'instantanés.

Tarification

  • Pour obtenir des informations sur les tarifs relatifs à la copie d'instantanés entre AWS régions et comptes, consultez la section Tarification d'Amazon EBS.

  • Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.

  • Si vous copiez un instantané dans une nouvelle région, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires. Les copies suivantes du même instantané sont incrémentielles.

  • La première copie instantanée à partir d’un instantané du même compte et de la même région utilisant la même clé gérée par le client sera une copie complète (non incrémentielle). Cela entraîne des coûts de stockage supplémentaires. Les copies suivantes du même instantané sont incrémentielles.

  • Si vous utilisez des transferts de données externes ou entre régions, des frais de transfert de données EC2 supplémentaires s’appliqueront. Et si vous supprimez des instantanés après le lancement, les données déjà transférées vous seront toujours facturées.

Copie d’instantané incrémentielle

L’aspect incrémentiel d’une copie d’instantané est déterminé par la dernière copie d’instantané effectuée. Lorsque vous copiez un instantané entre des régions ou des comptes, la copie est une copie incrémentielle si les conditions suivantes sont remplies :

  • L’instantané a été préalablement copié dans la région ou le compte de destination.

  • La dernière copie d’instantané existe toujours dans la région ou le compte de destination.

  • La copie instantanée la plus récente n'a pas été archivée.

  • Toutes les copies de l’instantané dans la région ou dans le compte de destination sont soit non chiffrées, soit chiffrées avec la même clé KMS.

Si la dernière copie d’instantané a été supprimée, la copie suivante est une copie complète, non une copie incrémentielle. Si une copie est toujours en attente lorsque vous démarrez une autre copie, la deuxième copie ne démarre qu’une fois la première copie terminée.

Les opérations de copie instantanée au sein d’un seul compte et de la même région à l’aide d’une clé gérée par le client généreront une copie complète (non incrémentielle). Les copies suivantes du même instantané sont incrémentielles.

La copie incrémentielle d’instantanés réduit le temps nécessaire à la copie d’instantanés et permet d’économiser sur les coûts de transfert et de stockage des données en ne dupliquant pas les données.

Nous vous recommandons de baliser vos instantanés avec l’ID de volume et l’heure de création afin de pouvoir conserver une trace de la dernière copie d’instantané d’un volume dans la région ou dans le compte de destination.

Pour savoir si vos copies instantanées sont incrémentielles, consultez l'événement CloudWatch CopySnapshot.

Chiffrement et copie d’instantanés

Lorsque vous copiez un instantané, vous pouvez chiffrer la copie ou vous pouvez spécifier une clé KMS différente de l’originale. Le cas échéant, l’instantané copié utilise cette nouvelle clé KMS. Toutefois, le changement de l’état de chiffrement d’un instantané au cours d’une opération de copie pourrait entraîner une copie complète (non incrémentielle), ce qui peut impliquer des frais plus importants de transfert et de stockage de données. Pour plus d’informations, consultez Copie d’instantané incrémentielle.

Pour copier un instantané chiffré partagé depuis un autre AWS compte, vous devez être autorisé à utiliser l'instantané et la clé gérée par le client (CMK) qui a été utilisée pour chiffrer l'instantané. En cas d’utilisation d’un instantané chiffré qui a été partagé avec vous, nous vous recommandons de chiffrer à nouveau l’instantané en le copiant à l’aide d’un clé KMS en votre possession. Cela vous protège si la clé KMS d’origine est compromise ou si le propriétaire la révoque, ce qui pourrait vous faire perdre l’accès aux volumes chiffrés que vous avez créés en utilisant l’instantané. Pour plus d’informations, consultez Partager un instantané Amazon EBS.

Vous appliquez le chiffrement aux copies d’instantanés EBS en définissant le paramètre Encrypted sur true. (Le paramètre Encrypted est facultatif si le chiffrement par défaut est activé.)

Vous pouvez également utiliser KmsKeyId pour spécifier une clé personnalisée à utiliser pour chiffrer la copie de l’instantané. (Le paramètre Encrypted doit également être défini sur true, même si le chiffrement par défaut est activé.) Si vous ne spécifiez pas KmsKeyId, la clé utilisée pour le chiffrement dépend de l’état de chiffrement de l’instantané source et de son propriétaire.

Le tableau suivant décrit les résultats du chiffrement pour chaque combinaison possible de paramètres lors de la copie d’instantanés que vous possédez et d’instantanés qui sont partagés avec vous.

Rubriques
    Chiffrement par défaut Le paramètre Encrypted est-il défini ? État du chiffrement des instantanés source Valeur par défaut (aucune clé KMS spécifiée) Personnalisé (clé KMS spécifiée)
    Désactivé Non Non chiffré Non chiffré N/A
    Chiffré Chiffré par Clé gérée par AWS
    Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**
    Encrypted Chiffré par clé KMS par défaut
    Activé Non Non chiffré Chiffré par clé KMS par défaut N/A
    Encrypted Chiffré par clé KMS par défaut
    Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**
    Encrypted Chiffré par clé KMS par défaut

    ** Il s’agit de la clé KMS spécifiée dans l’action de copie instantanée. Cette clé KMS est utilisée à la place de la clé KMS par défaut pour le compte et la région.

    Copie d’un instantané

    Pour copier un instantané, utilisez l’une des méthodes suivantes.

    Console
    Pour copier un instantané à l’aide de la console

    1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

    2. Dans le panneau de navigation, choisissez Snapshots.

    3. Sélectionnez l’instantané à copier, puis choisissez Actions, Copy snapshot (Copier l’instantané).

    4. Pour Description, saisissez une brève description de la copie de l’instantané.

      Par défaut, la description inclut des informations sur l’instantané source afin que vous puissiez distinguer une copie de l’original. Vous pouvez modifier cette description si nécessaire.

    5. Pour Destination Region (Région de destination), sélectionnez la région dans laquelle créer la copie d’instantané.

    6. Spécifiez l’état du chiffrement pour la copie d’instantané.

      Si l’instantané source est chiffré, ou si votre compte est activé pour le chiffrement par défaut, alors la copie de l’instantané est automatiquement chiffrée et vous ne pouvez pas modifier son statut de chiffrement.

      Si l’instantané source n’est pas chiffré et que le chiffrement par défaut n’est pas activé pour votre compte, le chiffrement est facultatif. Pour chiffrer la copie d’instantané, pour Encryption (Chiffrement), sélectionnez Encrypt this snapshot (Chiffrer cet instantané). Ensuite, pour KMS Key (Clé KMS), sélectionnez la clé KMS à utiliser pour chiffrer l’instantané dans la région de destination.

    7. Choisissez Copy snapshot (Copier un instantané).

    AWS CLI
    Pour copier un instantané à l'aide du AWS CLI

    Utilisez la commande copy-snapshot.

    Tools for Windows PowerShell
    Pour copier un instantané à l'aide des Outils pour Windows PowerShell

    Utilisez la commande Copy-EC2Snapshot.
    Pour déterminer la cause d’une erreur

    Si vous essayez de copier un instantané chiffré sans disposer des autorisations d’utilisation de la clé de chiffrement, l’opération échoue silencieusement. L’état d’erreur ne s’affiche pas sur la console tant que vous n’avez pas actualisé la page. Vous pouvez également vérifier l’état de l’instantané à partir de la ligne de commande, comme dans l’exemple suivant.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Si la copie a échoué en raison d'autorisations de clé insuffisantes, le message suivant s'affiche : "StateMessage« : « L'ID de clé donné n'est pas accessible ».

    Lors de la copie d’un instantané chiffré, vous devez disposer des autorisations DescribeKey sur la clé CMK par défaut. Le refus explicite de ces autorisations entraîne l’échec de la copie. Pour plus d’informations sur la gestion des clés CMK, consultez Authentification et contrôle d’accès pour AWS KMS (français non garanti).