Partager un instantané Amazon EBS - Amazon EBS
Avant de partager un instantanéPartager un instantanéPartager une clé KMSAfficher les instantanés partagés avec vousUtiliser des instantanés qui sont partagés avec vousDéterminer l’utilisation des instantanés que vous partagez

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partager un instantané Amazon EBS

Vous pouvez modifier les autorisations d’un instantané si vous souhaitez partager celui-ci avec d’autres comptes AWS . Vous pouvez partager des instantanés publiquement avec tous les autres AWS comptes, ou vous pouvez les partager en privé avec des AWS comptes individuels que vous spécifiez. Les utilisateurs qui bénéficient de votre autorisation peuvent utiliser les instantanés que vous partagez pour créer leurs propres volumes EBS, tandis que votre instantané d’origine reste inchangé.

Important

Lorsque vous partagez un instantané, vous autorisez d’autres personnes à accéder à toutes les données de l’instantané. Partagez vos instantanés uniquement avec les personnes à qui vous faites confiance pour toutes vos données d’instantané.

Pour empêcher le partage public des instantanés, vous pouvez activer le blocage de l’accès public pour les instantanés. Pour plus d'informations, voir Bloquer l'accès public à vos AMI.

Avant de partager un instantané

Les considérations suivantes s’appliquent au partage des instantanés :

  • Si le blocage de l’accès public pour les instantanés est activé pour la région, les tentatives de partage public des instantanés seront bloquées. Les instantanés peuvent toujours être partagés en privé.

  • Les instantanés sont limités à la région dans laquelle ils ont été créés. Pour partager un instantané avec une autre région, copiez l’instantané dans cette région, puis partagez la copie. Pour de plus amples informations, veuillez consulter Copier un instantané Amazon EBS.

  • Vous ne pouvez pas partager d’instantanés chiffrés avec l’ Clé gérée par AWS par défaut. Vous ne pouvez pas partager d’instantanés chiffrés avec une clé gérée par le client. Pour plus d’informations, consultez Création des clés dans le Guide du développeur AWS Key Management Service .

  • Vous ne pouvez partager que des instantanés non chiffrés publiquement.

  • Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Pour plus d’informations, consultez Partager une clé KMS.

Partager un instantané

Vous pouvez partager un instantané à l’aide de l’une des méthodes décrites dans la section.

Console
Pour partager un instantané

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l’instantané à partager, puis choisissez Actions, Modify permissions (Modifier des autorisations).

  4. Spécifiez les autorisations de l’instantané. Current setting (Paramétrage actuel) indique les autorisations de partage actuelles de l’instantané.

    • Pour partager l'instantané publiquement avec tous les AWS comptes, choisissez Public.

    • Pour partager l'instantané en privé avec des AWS comptes spécifiques, choisissez Privé. Ensuite, dans la section Sharing accounts (Partage de comptes), choisissez Add account (Ajouter un compte), puis saisissez l’ID de compte à 12 chiffres (sans traits d’union) du compte avec lequel partager.

  5. Sélectionnez Enregistrer les modifications.

AWS CLI

Les autorisations pour un instantané sont spécifiées à l’aide de l’attribut createVolumePermission de l’instantané. Pour qu’un instantané devienne public, définissez le groupe sur all. Pour partager un instantané avec un AWS compte spécifique, attribuez à l'utilisateur l'ID du AWS compte.

Pour partager un instantané en mode public

Utilisez la commande modify-snapshot-attribute.

Pour --attribute, spécifiez createVolumePermission. Pour --operation-type, spécifiez add. Pour --group-names, spécifiez all.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Pour partager un instantané en mode privé

Utilisez la commande modify-snapshot-attribute.

Pour --attribute, spécifiez createVolumePermission. Pour --operation-type, spécifiez add. Pour--user-ids, spécifiez les identifiants à 12 chiffres des AWS comptes avec lesquels vous souhaitez partager les instantanés.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

Les autorisations pour un instantané sont spécifiées à l’aide de l’attribut createVolumePermission de l’instantané. Pour qu’un instantané devienne public, définissez le groupe sur all. Pour partager un instantané avec un AWS compte spécifique, attribuez à l'utilisateur l'ID du AWS compte.

Pour partager un instantané en mode public

Utilisez la commande Edit-EC2. SnapshotAttribute

Pour -Attribute, spécifiez CreateVolumePermission. Pour -OperationType, spécifiez Add. Pour -GroupName, spécifiez all.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Pour partager un instantané en mode privé

Utilisez la commande Edit-EC2. SnapshotAttribute

Pour -Attribute, spécifiez CreateVolumePermission. Pour -OperationType, spécifiez Add. PourUserId, spécifiez les identifiants à 12 chiffres des AWS comptes avec lesquels vous souhaitez partager les instantanés.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Partager une clé KMS

Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Vous pouvez appliquer des autorisations inter-comptes à une clé gérée par le client lors de sa création ou ultérieurement.

Les utilisateurs de votre clé gérée par le client partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d’exécuter les actions suivantes sur la clé :

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

Astuce

Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de kms:GrantIsForAWSResource condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service.

Pour en savoir plus sur le contrôle de l’accès à une clé gérée par le client, consultez Utilisation de stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .

Pour partager une clé gérée par le client à l'aide de la AWS KMS console

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Choisissez Customer managed keys (Clés gérées par le client) dans le volet de navigation.

  4. Dans la colonne Alias choisissez l’alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l’instantané. Les détails de la clé s’ouvrent dans une nouvelle page.

  5. Dans la section Key policy (Stratégie de clé) s’affiche soit la vue de la stratégie soit la vue par défaut. La vue de la politique affiche le document de la politique de clé. La vue par défaut affiche les sections Key administrators (Administrateurs de clé), Key deletion (Suppression de clé), Key Use (Utilisation de clé) et Other AWS accounts (Autres comptes). L’affichage par défaut s’affiche si vous avez créé la politique dans la console et que vous ne l’avez pas personnalisée. Si l’affichage par défaut n’est pas disponible, vous devez modifier manuellement la politique dans l’affichage de politique. Pour plus d’informations, consultez Affichage d’une stratégie de clé (console) dans le Guide du développeur AWS Key Management Service .

    Utilisez la vue des politiques ou la vue par défaut, selon la vue à laquelle vous pouvez accéder, pour ajouter un ou plusieurs identifiants de AWS compte à la politique, comme suit :

    • (Vue de la stratégie) Choisissez Edit (Modifier). Ajoutez un ou plusieurs identifiants de AWS compte aux relevés suivants : "Allow use of the key" et"Allow attachment of persistent resources". Sélectionnez Enregistrer les modifications. Dans l'exemple suivant, l'ID de AWS compte 444455556666 est ajouté à la politique.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Affichage par défaut) Faites défiler la page vers le bas jusqu'à Autres AWS comptes. Choisissez Ajouter d'autres AWS comptes et entrez l'identifiant du AWS compte comme demandé. Pour ajouter un autre compte, choisissez Ajouter un autre AWS compte et entrez l'identifiant du AWS compte. Une fois que vous avez ajouté tous les comptes AWS , choisissez Enregistrer les modifications.

Afficher les instantanés partagés avec vous

Vous pouvez afficher les instantanés que qui sont partagés avec vous à l’aide de l’une des méthodes suivantes.

Console
Pour afficher les instantanés partagés à l’aide de la console

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Filtrer les instantanés répertoriés. Dans le coin supérieur gauche de l’écran, choisissez l’une des options suivantes :

    • Instantanés privés — Pour afficher uniquement les instantanés partagés avec vous en mode privé.

    • Instantanés privés — Pour afficher uniquement les instantanés partagés avec vous en mode public.

AWS CLI
Pour afficher les autorisations d’instantané à l’aide de la ligne de commande

Utilisez la commande describe-snapshot-attribute.

Tools for Windows PowerShell
Pour afficher les autorisations d’instantané à l’aide de la ligne de commande

Utilisez la commande Get-EC2. SnapshotAttribute

Utiliser des instantanés qui sont partagés avec vous

Pour utiliser un instantané partagé non chiffré

Localisez l’instantané partagé par son ID ou sa description. Pour plus d’informations, consultez Afficher les instantanés partagés avec vous. Vous pouvez utiliser cet instantané comme n’importe quel autre instantané que vous possédez dans votre compte. Par exemple, vous pouvez créer un volume à partir de l’instantané ou le copier dans une autre région.

Pour utiliser un instantané chiffré partagé

Localisez l’instantané partagé par son ID ou sa description. Pour plus d’informations, consultez Afficher les instantanés partagés avec vous. Créez une copie de l’instantané partagé dans votre compte et chiffrez la copie à l’aide d’une clé KMS que vous possédez. Vous pouvez ensuite utiliser la copie pour créer des volumes ou la copier dans différentes régions.

Déterminer l’utilisation des instantanés que vous partagez

Vous pouvez l'utiliser AWS CloudTrail pour vérifier si un instantané que vous avez partagé avec d'autres est copié ou utilisé pour créer un volume. Les événements suivants sont enregistrés CloudTrail :

  • SharedSnapshotCopyInitiated— Un instantané partagé est en cours de copie.

  • SharedSnapshotVolumeCreated— Un instantané partagé est utilisé pour créer un volume.

Pour plus d'informations sur l'utilisation CloudTrail, consultez Enregistrer les appels d'API Amazon EC2 et Amazon EBS avec. AWS CloudTrail