翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBS スナップショットの共有
スナップショットの許可を変更することで、他の AWS アカウントとスナップショットを共有できます。スナップショットは、 AWS 他のすべてのアカウントと公開して共有することも、 AWS 指定した個々のアカウントと非公開で共有することもできます。許可を受けたユーザーは、共有するスナップショットを使用して自分の EBS ボリュームを作成できますが、元のスナップショットは影響を受けません。
重要
スナップショットを共有すると、スナップショットのすべてのデータに他人がアクセスできるようになります。スナップショットの共有は、自分のスナップショットデータすべてを委託できる人とだけ行ってください。
スナップショットがパブリックに共有されないようにするために、スナップショットのブロックパブリックアクセスを有効にします。詳細については「AMI へのパブリックアクセスをブロックする」を参照してください。
トピック
スナップショットを共有する前に
スナップショットの共有には、次の考慮事項が適用されます。
-
そのリージョンでスナップショットのブロックパブリックアクセスが有効になっている場合、スナップショットをパブリックに共有しようとする試みはブロックされます。スナップショットは引き続きプライベートに共有できます。
-
スナップショットは、スナップショットが作成されたリージョンに制限されます。別のリージョンとスナップショットを共有するには、そのリージョンにスナップショットをコピーして、そのコピーを共有します。詳細については、「Amazon EBS スナップショットのコピー」を参照してください。
-
デフォルトの AWS マネージドキーで暗号化されたスナップショットを共有することはできません。共有できるのは、カスタマーマネージド型キーを使用して暗号化されたスナップショットだけです。詳細については、AWS Key Management Service デベロッパーガイドのキーの作成を参照してください。
-
暗号化されていないスナップショットのみをパブリックに共有できます。
-
暗号化されたスナップショットを共有する場合は、スナップショットの暗号化に使用するカスタマーマネージド型キーも共有する必要があります。詳細については、KMS キーの共有を参照してください。
スナップショットの共有
スナップショットを共有するには、このセクションで説明されているいずれかの方法を使用します。
KMS キーの共有
暗号化されたスナップショットを共有する場合は、スナップショットの暗号化に使用するカスタマーマネージド型キーも共有する必要があります。カスタマーマネージド型キーを作成したとき、または後でカスタマーマネージド型キーにクロスアカウント権限を適用することができます。
暗号化されたスナップショットにアクセスしている共有のカスタマーマネージド型キーのユーザーには、そのキーに対して、次の操作を実行するためのアクセス許可が与えられている必要があります。
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
ヒント
最小権限のプリンシパルに従うには、kms:CreateGrant
へのフルアクセスを許可しないでください。代わりに、kms:GrantIsForAWSResource
条件キーを使用して、サービスによってユーザーに代わって権限が作成された場合にのみ、ユーザーが KMS キーで権限を作成できるようにします。 AWS
カスタマーマネージド型キーへのアクセスの制御方法については、AWS Key Management Service デベロッパーガイドのAWS KMSでのキーポリシーの使用を参照してください。
コンソールを使用してカスタマー管理キーを共有するには AWS KMS
-
https://console.aws.amazon.com/kms AWS KMS
でコンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマー管理型のキー] を選択します。
-
[エイリアス] 列で、スナップショットの暗号化に使用したカスタマーマネージド型キーのエイリアス (テキストリンク) を選択します。キーの詳細が新しいページで開きます。
-
[キーポリシー] セクションに、ポリシービューまたはデフォルトビューのいずれかが表示されます。ポリシービューは、キーポリシードキュメントを表示します。デフォルトビューは、[キー管理者]、[キーの削除]、[キーの使用]、[その他の AWS アカウント] の各セクションを表示します。デフォルトビューは、コンソールでポリシーを作成し、それをカスタマイズしていない場合に表示されます。デフォルトビューが使用できない場合は、ポリシービューでポリシーを手動で編集する必要があります。詳細については、AWS Key Management Service デベロッパーガイドのキーポリシーの表示 (コンソール)を参照してください。
アクセスできるビューに応じて、ポリシービューまたはデフォルトビューを使用して、次のように 1 AWS つ以上のアカウント ID をポリシーに追加します。
(ポリシービュー) [編集] を選択します。1 AWS つ以上のアカウント ID を次のステートメントに追加します:
"Allow use of the key"
と"Allow attachment of persistent resources"
。[変更を保存]をクリックします。次の例では、 AWS アカウント ID444455556666
がポリシーに追加されます。{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(デフォルトビュー) [ AWS その他のアカウント] まで下にスクロールします。[ AWS その他のアカウントを追加] を選択し、 AWS プロンプトに従ってアカウント ID を入力します。別のアカウントを追加するには、「 AWS 別のアカウントを追加」を選択し、 AWS アカウント ID を入力します。すべての AWS アカウントを追加したら、[Save changes] (変更の保存) を選択します。
自分と共有されているスナップショットを表示する
自分と共有されているスナップショットは、次のいずれかの方法で表示できます。
共有されているスナップショットを使用する
暗号化されていない共有スナップショットを使用するには
ID または説明で共有スナップショットを見つけます。詳細については、自分と共有されているスナップショットを表示するを参照してください。このスナップショットは、アカウント内で所有している、他のスナップショットと同じように使用できます。例えば、スナップショットからボリュームを作成したり、別のリージョンにコピーしたりすることができます。
暗号化された共有スナップショットを使用するには
ID または説明で共有スナップショットを見つけます。詳細については、自分と共有されているスナップショットを表示するを参照してください。アカウントに共有スナップショットのコピーを作成し、所有している KMS キーを使用して、そのコピーを暗号化します。その後、コピーを使用してボリュームを作成したり、別のリージョンにコピーしたりできます。
共有するスナップショットの使用方法を決定する
AWS CloudTrail を使用して、他のユーザーと共有したスナップショットがコピーされたのか、ボリュームの作成に使用されたのかを監視できます。以下のイベントが記録されます CloudTrail。
-
SharedSnapshotCopyInitiated— 共有スナップショットがコピーされている。
-
SharedSnapshotVolumeCreated— 共有スナップショットを使用してボリュームを作成しています。
の使用に関する詳細については CloudTrail、「Amazon EC2 と Amazon EBS API の呼び出しをを使用してログに記録する」を参照してください。 AWS CloudTrail