Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partager un instantané Amazon EBS
Vous pouvez modifier les autorisations d’un instantané si vous souhaitez partager celui-ci avec d’autres comptes AWS . Vous pouvez partager des instantanés publiquement avec tous les autres AWS comptes, ou vous pouvez les partager en privé avec des AWS comptes individuels que vous spécifiez. Les utilisateurs qui bénéficient de votre autorisation peuvent utiliser les instantanés que vous partagez pour créer leurs propres volumes EBS, tandis que votre instantané d’origine reste inchangé.
Important
Lorsque vous partagez un instantané, vous autorisez d’autres personnes à accéder à toutes les données de l’instantané. Partagez vos instantanés uniquement avec les personnes à qui vous faites confiance pour toutes vos données d’instantané.
Pour empêcher le partage public des instantanés, vous pouvez activer le blocage de l’accès public pour les instantanés. Pour plus d'informations, voir Bloquer l'accès public à vos AMI.
Rubriques
Avant de partager un instantané
Les considérations suivantes s’appliquent au partage des instantanés :
-
Si le blocage de l’accès public pour les instantanés est activé pour la région, les tentatives de partage public des instantanés seront bloquées. Les instantanés peuvent toujours être partagés en privé.
-
Les instantanés sont limités à la région dans laquelle ils ont été créés. Pour partager un instantané avec une autre région, copiez l’instantané dans cette région, puis partagez la copie. Pour de plus amples informations, veuillez consulter Copier un instantané Amazon EBS.
-
Vous ne pouvez pas partager d’instantanés chiffrés avec l’ Clé gérée par AWS par défaut. Vous ne pouvez pas partager d’instantanés chiffrés avec une clé gérée par le client. Pour plus d’informations, consultez Création des clés dans le Guide du développeur AWS Key Management Service .
-
Vous ne pouvez partager que des instantanés non chiffrés publiquement.
-
Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Pour plus d’informations, consultez Partager une clé KMS.
Partager un instantané
Vous pouvez partager un instantané à l’aide de l’une des méthodes décrites dans la section.
Partager une clé KMS
Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Vous pouvez appliquer des autorisations inter-comptes à une clé gérée par le client lors de sa création ou ultérieurement.
Les utilisateurs de votre clé gérée par le client partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d’exécuter les actions suivantes sur la clé :
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant
. Utilisez plutôt la clé de kms:GrantIsForAWSResource
condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service.
Pour en savoir plus sur le contrôle de l’accès à une clé gérée par le client, consultez Utilisation de stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Pour partager une clé gérée par le client à l'aide de la AWS KMS console
-
Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms
. -
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Choisissez Customer managed keys (Clés gérées par le client) dans le volet de navigation.
-
Dans la colonne Alias choisissez l’alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l’instantané. Les détails de la clé s’ouvrent dans une nouvelle page.
-
Dans la section Key policy (Stratégie de clé) s’affiche soit la vue de la stratégie soit la vue par défaut. La vue de la politique affiche le document de la politique de clé. La vue par défaut affiche les sections Key administrators (Administrateurs de clé), Key deletion (Suppression de clé), Key Use (Utilisation de clé) et Other AWS accounts (Autres comptes). L’affichage par défaut s’affiche si vous avez créé la politique dans la console et que vous ne l’avez pas personnalisée. Si l’affichage par défaut n’est pas disponible, vous devez modifier manuellement la politique dans l’affichage de politique. Pour plus d’informations, consultez Affichage d’une stratégie de clé (console) dans le Guide du développeur AWS Key Management Service .
Utilisez la vue des politiques ou la vue par défaut, selon la vue à laquelle vous pouvez accéder, pour ajouter un ou plusieurs identifiants de AWS compte à la politique, comme suit :
(Vue de la stratégie) Choisissez Edit (Modifier). Ajoutez un ou plusieurs identifiants de AWS compte aux relevés suivants :
"Allow use of the key"
et"Allow attachment of persistent resources"
. Sélectionnez Enregistrer les modifications. Dans l'exemple suivant, l'ID de AWS compte444455556666
est ajouté à la politique.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Affichage par défaut) Faites défiler la page vers le bas jusqu'à Autres AWS comptes. Choisissez Ajouter d'autres AWS comptes et entrez l'identifiant du AWS compte comme demandé. Pour ajouter un autre compte, choisissez Ajouter un autre AWS compte et entrez l'identifiant du AWS compte. Une fois que vous avez ajouté tous les comptes AWS , choisissez Enregistrer les modifications.
Afficher les instantanés partagés avec vous
Vous pouvez afficher les instantanés que qui sont partagés avec vous à l’aide de l’une des méthodes suivantes.
Utiliser des instantanés qui sont partagés avec vous
Pour utiliser un instantané partagé non chiffré
Localisez l’instantané partagé par son ID ou sa description. Pour plus d’informations, consultez Afficher les instantanés partagés avec vous. Vous pouvez utiliser cet instantané comme n’importe quel autre instantané que vous possédez dans votre compte. Par exemple, vous pouvez créer un volume à partir de l’instantané ou le copier dans une autre région.
Pour utiliser un instantané chiffré partagé
Localisez l’instantané partagé par son ID ou sa description. Pour plus d’informations, consultez Afficher les instantanés partagés avec vous. Créez une copie de l’instantané partagé dans votre compte et chiffrez la copie à l’aide d’une clé KMS que vous possédez. Vous pouvez ensuite utiliser la copie pour créer des volumes ou la copier dans différentes régions.
Déterminer l’utilisation des instantanés que vous partagez
Vous pouvez l'utiliser AWS CloudTrail pour vérifier si un instantané que vous avez partagé avec d'autres est copié ou utilisé pour créer un volume. Les événements suivants sont enregistrés CloudTrail :
-
SharedSnapshotCopyInitiated— Un instantané partagé est en cours de copie.
-
SharedSnapshotVolumeCreated— Un instantané partagé est utilisé pour créer un volume.
Pour plus d'informations sur l'utilisation CloudTrail, consultez Enregistrer les appels d'API Amazon EC2 et Amazon EBS avec. AWS CloudTrail