Compartilhar um snapshot do Amazon EBS - Amazon EBS
Antes de compartilhar um snapshotCompartilhar um snapshotCompartilhar uma chave do KMSExibir snapshots que são compartilhados com vocêUsar snapshots que são compartilhados com vocêDeterminar o uso de snapshots compartilhados por você

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhar um snapshot do Amazon EBS

É possível modificar as permissões de um snapshot se você quiser compartilhá-lo com outras contas da AWS . Você pode compartilhar instantâneos publicamente com todas as outras AWS contas ou compartilhá-los de forma privada com AWS contas individuais que você especificar. Os usuários autorizados podem usar os snapshots que você compartilhar para criar os próprios volumes do EBS, ao passo que seu snapshot original não será afetado.

Importante

Ao compartilhar um snapshot, você está oferecendo a outras pessoas o acesso a todos os dados no snapshot. Compartilhe snapshots somente com as pessoas de sua confiança com todos os dados do snapshot.

Para evitar o compartilhamento público dos snapshots, você pode habilitar o bloqueio do acesso público aos snapshots. Para obter mais informações, consulte Bloquear o acesso público a suas AMIs.

Antes de compartilhar um snapshot

As seguintes considerações se aplicam ao compartilhamento de snapshots:

  • Se o bloqueio do acesso público aos snapshots estiver habilitado para a região, tentativas de compartilhar publicamente os snapshots serão bloqueadas. Os snapshots ainda podem ser compartilhados de modo privado.

  • Os snapshots são restritos à região na qual foram criados. Para compartilhar um snapshot com outra região, copie o snapshot nessa região e, em seguida, compartilhe a cópia. Para ter mais informações, consulte Copiar um snapshot do Amazon EBS..

  • Não é possível compartilhar snapshots criptografados com a Chave gerenciada pela AWS padrão. Você só pode compartilhar snapshots criptografados com uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criação de chaves no Guia do desenvolvedor AWS Key Management Service .

  • É possível compartilhar apenas snapshots não criptografados publicamente.

  • Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. Para obter mais informações, consulte Compartilhar uma chave do KMS.

Compartilhar um snapshot

É possível compartilhar um snapshot usando um dos métodos descritos na seção.

Console
Para compartilhar um snapshot

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Snapshots.

  3. Selecione o snapshot a ser compartilhado e escolha Actions (Ações), Modify Permissions (Modificar permissões).

  4. Especifique as permissões do snapshot. A Current setting (Configuração atual) indica as permissões atuais de compartilhamento do snapshot.

    • Para compartilhar o instantâneo publicamente com todas as AWS contas, escolha Público.

    • Para compartilhar o instantâneo de forma privada com AWS contas específicas, escolha Privado. Na seção Sharing accounts (Contas de compartilhamento), selecione Add account (Adicionar conta) e insira o ID de 12 dígitos (sem hifens) da conta com a qual compartilhar.

  5. Escolha Salvar alterações.

AWS CLI

As permissões de um snapshot são especificadas usando o atributo createVolumePermission do snapshot. Para tornar um snapshot público, defina o grupo como all. Para compartilhar um instantâneo com uma AWS conta específica, defina o usuário como o ID da AWS conta.

Para compartilhar um snapshot publicamente

Use o comando modify-snapshot-attribute.

Para --attribute, especifique createVolumePermission. Para --operation-type, especifique add. Para --group-names, especifique all.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Para compartilhar um snapshot de forma privada

Use o comando modify-snapshot-attribute.

Para --attribute, especifique createVolumePermission. Para --operation-type, especifique add. Para--user-ids, especifique os IDs de 12 dígitos das AWS contas com as quais compartilhar os instantâneos.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

As permissões de um snapshot são especificadas usando o atributo createVolumePermission do snapshot. Para tornar um snapshot público, defina o grupo como all. Para compartilhar um instantâneo com uma AWS conta específica, defina o usuário como o ID da AWS conta.

Para compartilhar um snapshot publicamente

Use o comando Edit-EC2SnapshotAttribute.

Para -Attribute, especifique CreateVolumePermission. Para -OperationType, especifique Add. Para -GroupName, especifique all.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Para compartilhar um snapshot de forma privada

Use o comando Edit-EC2SnapshotAttribute.

Para -Attribute, especifique CreateVolumePermission. Para -OperationType, especifique Add. ParaUserId, especifique os IDs de 12 dígitos das AWS contas com as quais compartilhar os instantâneos.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Compartilhar uma chave do KMS

Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. É possível aplicar permissões entre contas a uma chave gerenciada pelo cliente quando ela é criada ou posteriormente.

Os usuários da sua chave gerenciada pelo cliente compartilhada que estão acessando snapshots criptografados devem receber permissões para executar as seguintes ações na chave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

dica

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de kms:GrantIsForAWSResource condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço.

Para obter mais informações sobre como controlar o acesso a uma chave gerenciada pelo cliente, consulte Usar políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

Para compartilhar a chave gerenciada pelo cliente usando o AWS KMS console

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Na coluna Alias, escolha o alias (link de texto) da chave gerenciada pelo cliente usada para criptografar o snapshot. Os principais detalhes são abertos em uma nova página.

  5. Na seção Key policy (Política de chaves), você verá a exibição de política ou a exibição padrão. A exibição de política exibe o documento de política de chaves. A visualização padrão exibe seções para Administradores de chaveExclusão de chaveUso de chave e Outras contas da  AWS . A exibição padrão é exibida se você criou a política no console e não a personalizou. Se a exibição padrão não estiver disponível, será necessário editar manualmente a política na exibição de política. Para obter mais informações, consulte Exibição de uma política de chaves (console) no Guia do desenvolvedor do AWS Key Management Service .

    Use a visualização da política ou a visualização padrão, dependendo da visualização que você pode acessar, para adicionar uma ou mais IDs de AWS conta à política, da seguinte forma:

    • (Exibição de política) Escolha Edit (Editar). Adicione uma ou mais IDs de AWS conta às seguintes declarações: "Allow use of the key" "Allow attachment of persistent resources" e. Escolha Salvar alterações. No exemplo a seguir, o ID da AWS conta 444455556666 é adicionado à política.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Visualização padrão) Role para baixo até Outras AWS contas. Escolha Adicionar outras AWS contas e insira o ID da AWS conta conforme solicitado. Para adicionar outra conta, escolha Adicionar outra AWS conta e insira o ID da AWS conta. Depois de adicionar todas as contas da AWS , escolha Save changes (Salvar alterações).

Exibir snapshots que são compartilhados com você

Use um dos métodos a seguir para visualizar snapshots compartilhados com você.

Console
Para visualizar snapshots compartilhados usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Snapshots.

  3. Filtre os instantâneos listados. No canto superior esquerdo da tela, escolha uma das seguintes opções:

    • Snapshots privados: para visualizar somente snapshots compartilhados com você de forma privada.

    • Snapshots públicos: para visualizar somente snapshots compartilhados com você publicamente.

AWS CLI
Para visualizar permissões de snapshots usando a linha de comando

Use o comando describe-snapshot-attribute.

Tools for Windows PowerShell
Para visualizar permissões de snapshots usando a linha de comando

Use o comando Get-EC2SnapshotAttribute.

Usar snapshots que são compartilhados com você

Para usar um snapshot compartilhado não criptografado

Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. É possível usar esse instantâneo como faria com qualquer outro snapshot que você tenha na sua conta. Por exemplo, é possível criar um volume do snapshot ou copiá-lo para outra região.

Para usar um snapshot criptografado compartilhado

Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. Crie uma cópia do snapshot compartilhado em sua conta e criptografe-a com uma chave do KMS de sua propriedade. Em seguida, é possível usar a cópia para criar volumes ou copiá-la para regiões diferentes.

Determinar o uso de snapshots compartilhados por você

Você pode usar AWS CloudTrail para monitorar se um instantâneo que você compartilhou com outras pessoas foi copiado ou usado para criar um volume. Os seguintes eventos estão registrados: CloudTrail

  • SharedSnapshotCopyInitiated— Um instantâneo compartilhado está sendo copiado.

  • SharedSnapshotVolumeCreated— Um instantâneo compartilhado está sendo usado para criar um volume.

Para obter mais informações sobre o uso CloudTrail, consulte Registrar chamadas de API do Amazon EC2 e do Amazon EBS com. AWS CloudTrail