Kopieren eines Amazon EBS-Snapshots - Amazon Elastic Compute Cloud

Kopieren eines Amazon EBS-Snapshots

Mit Amazon EBS können Sie zeitpunktbezogene Snapshots von Volumes erstellen, die wir für Sie in Amazon S3 speichern. Nachdem Sie einen Snapshot erstellt haben und dieser vollständig nach Amazon S3 kopiert wurde (wenn der Snapshot-Status completed lautet), können Sie ihn von einer AWS-Region in eine andere Region bzw. innerhalb derselben Region kopieren. Die serverseitige Verschlüsselung von Amazon S3 (256 Bit AES) schützt die übertragenen Daten eines Snapshots während eines Kopiervorgangs. Die Snapshot-Kopie erhält eine ID, die sich von der ID des Original-Snapshots unterscheidet.

Um Multi-Volume-Snapshots in eine andere AWS-Region zu kopieren, rufen Sie mithilfe des Tags, das Sie beim Erstellen der Multi-Volume-Snapshot-Gruppe angewendet haben, die Snapshots ab. Kopieren Sie Snapshots anschließend in eine andere Region.

Weitere Informationen zum Kopieren von Amazon RDS-Snapshots erhalten Sie unter Kopieren eines DB-Snapshots im Amazon RDS-Benutzerhandbuch.

Wenn Sie möchten, dass ein anderes Konto Ihren Snapshot kopieren kann, müssen Sie entweder die Snapshot-Berechtigungen ändern, um den Zugriff auf dieses Konto zu gewähren, oder den Snapshot veröffentlichen, damit ihn alle AWS-Konten kopieren können. Weitere Informationen finden Sie unter Freigeben eines Amazon EBS-Snapshots.

Informationen zu Preisen für das AWS-regions- und kontoübergreifende Kopieren von Snapshots erhalten Sie unter Amazon EBS – Preise. Beachten Sie, dass bei den Kopiervorgängen von Snapshots innerhalb eines einzelnen Kontos und einer einzelnen Region keine aktuellen Daten kopiert werden und diese daher kostenlos sind, solange sich der Verschlüsselungsstatus der Snapshot-Kopie nicht ändert.

Anmerkung

Wenn Sie einen Snapshot in eine neue Region kopieren, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Anwendungsfälle

  • Geografische Expansion: Starten Sie Ihre Anwendungen in einer neuen AWS-Region.

  • Migration: Verschieben Sie eine Anwendung in eine neue Region zwecks Kostenminimierung und Gewährleistung einer verbesserten Verfügbarkeit.

  • Notfallwiederherstellung: Sichern Sie Ihre Daten und Protokolle in regelmäßigen Intervallen an verschiedenen geografischen Standorten. Im Notfall können Sie Ihre Anwendungen mithilfe von zeitpunktbezogenen Sicherungen wiederherstellen, die in der sekundären Region gespeichert sind. Hierdurch werden Datenverluste und die Wiederherstellungszeit auf ein Minimum beschränkt.

  • Verschlüsselung: Verschlüsseln Sie einen zuvor unverschlüsselten Snapshot, ändern Sie den Schlüssel, mit dem der Snapshot verschlüsselt ist, oder erstellen Sie eine Kopie, deren Eigentümer Sie sind, um daraus ein Volume zu erstellen (für verschlüsselte Snapshots, die für Sie freigegeben wurden).

  • Datenaufbewahrung und Auditing-Anforderungen: Kopieren Sie Ihre verschlüsselten EBS-Snapshots aus einem AWS-Konto in ein anderes Konto, um Datenprotokolle oder andere Dateien für Auditing-Zwecke oder zur Datenaufbewahrung beizubehalten. Die Verwendung eines anderen Kontos ist zur Verhinderung von versehentlichen Snapshot-Löschungen hilfreich und dient als Schutz, wenn Ihr AWS-Hauptkonto kompromittiert wurde.

Voraussetzungen

  • Sie können jeden verfügbaren Snapshot kopieren, der über den Status completed verfügt, z. B. auch freigegebene Snapshots und von Ihnen erstellte Snapshots.

  • Sie können Snapshots vom AWS Marketplace, aus VM Import/Export und vom AWS Storage Gateway kopieren, aber Sie müssen sicherstellen, dass der Snapshot in der Zielregion unterstützt wird.

Einschränkungen

  • Für jedes Konto sind maximal zwanzig gleichzeitige Snapshot-Kopieranforderungen in eine einzelne Zielregion möglich.

  • Benutzerdefinierte Tags werden nicht aus dem Quell-Snapshot in den neuen Snapshot kopiert. Sie können während oder nach dem Kopiervorgang benutzerdefinierte Tags hinzufügen. Weitere Informationen finden Sie unter Markieren Ihrer Amazon EC2-Ressourcen.

  • Snapshots, die mit der Aktion CopySnapshot erstellt wurden, verfügen über eine zufällige Volume-ID, die nicht für andere Zwecke verwendet werden sollte.

Inkrementelles Kopieren von Snapshots

Ob eine Snapshot-Kopie inkrementell ist, wird durch die zuletzt erstellte Snapshot-Kopie bestimmt. Wenn Sie einen Snapshot über Regionen oder Konten hinweg kopieren, handelt es sich bei der Kopie um eine inkrementelle Kopie, wenn die folgenden Bedingungen erfüllt sind:

  • Der Snapshot wurde zuvor in die Zielregion oder das Konto kopiert.

  • Die aktuelle Snapshot-Kopie ist in der Zielregion oder im Konto noch vorhanden.

  • Alle Kopien des Snapshots in der Zielregion oder im Konto sind entweder unverschlüsselt oder wurden mit demselben CMK verschlüsselt.

Wenn die letzte Snapshot-Kopie gelöscht wurde, ist die nächste Kopie eine vollständige Kopie und keine inkrementelle Kopie. Wenn eine Kopie noch aussteht, wenn Sie eine andere Kopie starten, wird die zweite Kopie erst nach Abschluss der ersten Kopie gestartet.

Wir empfehlen Ihnen, Ihre Snapshots mit der Volumen-ID und dem Erstellungszeitpunkt zu versehen, damit Sie die aktuelle Snapshot-Kopie eines Datenträgers in der Zielregion oder im Konto verfolgen können.

Um zu sehen, ob Ihre Snapshot-Kopien inkrementell sind, überprüfen Sie das Ereignis copySnapshot CloudWatch.

Verschlüsselung und Kopieren von Snapshots

Wenn Sie einen Snapshot kopieren, können Sie die Kopie verschlüsseln oder einen anderen CMK als den Original-CMK angeben, damit für die resultierende Snapshot-Kopie der neue CMK verwendet wird. Wird bei einem Kopiervorgang der Verschlüsselungsstatus eines Snapshots geändert, führt dies immer zu einer vollständigen (keiner inkrementellen) Kopie, sodass sich höhere Datenübertragungs- und Speicherkosten ergeben können.

Um einen verschlüsselten Snapshot zu verschlüsseln, der von einem anderen AWS-Konto freigegeben wurde, müssen Sie über die Berechtigungen zum Verwenden des Snapshots und des Kundenmasterschlüssels (Customer Master Key, CMK) verfügen, der zum Verschlüsseln des Original-Snapshots verwendet wurde. Wenn Sie einen für Sie freigegebenen, verschlüsselten Snapshot verwenden, sollten Sie den Snapshot neu verschlüsseln, indem Sie ihn unter Verwendung eines Ihrer CMKs kopieren. Dies schützt Sie, wenn der ursprüngliche CMK kompromittiert wurde oder der Eigentümer diesen widerruft, wodurch Sie möglicherweise den Zugriff auf verschlüsselte Volumes verlieren, die Sie unter Verwendung des Snapshots erstellt haben. Weitere Informationen finden Sie unter Freigeben eines Amazon EBS-Snapshots.

Sie wenden die Verschlüsselung auf EBS-Snapshot-Exemplare an, indem Sie den Parameter Encrypted auf true einstellen. (Der Parameter Encrypted ist optional, wenn die standardmäßige Verschlüsselung aktiviert ist).

Optional können Sie mit KmsKeyId einen benutzerdefinierten Schlüssel angeben, mit dem das Snapshot-Exemplar verschlüsselt werden soll. (Der Parameter Encrypted muss ebenfalls auf true eingestellt sein, selbst dann, wenn die Verschlüsselung standardmäßig aktiviert ist.) Wenn KmsKeyId nicht angegeben wird, ist vom Verschlüsselungszustand des Quell-Snapshots und dessen Eigentümerschaft abhängig, welcher Schlüssel verwendet wird.

Die folgende Tabelle beschreibt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.

Ergebnisse der Verschlüsselung: Kopieren eines Snaphots
Ist der Parameter Encrypted festgelegt? Ist standardmäßig eine Verschlüsselung festgelegt? Quell-Snaphot Standard (keine KmsKeyId angegeben) Benutzerdefiniert (KmsKeyId angegeben)
Nein Nein Unverschlüsselter eigener Snapshot Unverschlüsselt N/A
Nein Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Unverschlüsselt
Nein Nein

Verschlüsselter Snapshot, der mit Ihnen geteilt wird

Verschlüsselt mit Standard-CMK*
Ja Nein Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK**
Ja Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Nein

Verschlüsselter Snapshot, der mit Ihnen geteilt wird

Verschlüsselt mit Standard-CMK
Nein Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK N/A
Nein Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Nein Ja

Verschlüsselter Snapshot, der mit Ihnen geteilt wird

Verschlüsselt mit Standard-CMK
Ja Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK
Ja Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Ja

Verschlüsselter Snapshot, der mit Ihnen geteilt wird

Verschlüsselt mit Standard-CMK

* Dies ist der Standard-CMK zur EBS-Verschlüsselung für das AWS-Konto und die AWS-Region. Standardmäßig ist dies ein eindeutiger von AWS verwalteter CMK für EBS; Sie können auch einen vom Kunden verwalteten CMK angeben. Weitere Informationen finden Sie unter Standardschlüssel für die EBS-Verschlüsselung.

** Dies ist ein kundenverwalteter CMK, der für die Kopieraktion angegeben wird. Dieser CMK wird anstelle des Standard-CMK für das AWS-Konto und die Region verwendet.

Kopieren eines Snapshots

Gehen Sie wie unten beschrieben vor, um einen Snapshot mithilfe der Amazon EC2-Konsole zu kopieren.

So kopieren Sie einen Snapshot mithilfe der Konsole

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den zu kopierenden Snapshot und in der Liste Actions (Aktionen) anschließend die Option Copy(Kopieren) aus.

  4. Aktualisieren Sie im Dialogfeld Copy Snapshot die folgenden Angaben je nach Bedarf:

    • Destination region (Zielregion): Wählen Sie die Region aus, in die Sie die Kopie des Snapshots schreiben möchten.

    • Description (Beschreibung): Standardmäßig enthält die Beschreibung Informationen zum Quell-Snapshot, damit Sie eine Kopie vom Original unterscheiden können. Sie können die Beschreibung bei Bedarf ändern.

    • Encryption (Verschlüsselung): Wenn der Quell-Snapshot nicht verschlüsselt ist, können Sie auswählen, ob Sie die Kopie verschlüsseln möchten. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, wird die Option Encryption (Verschlüsselung) festgelegt und kann über die Snapshot-Konsole nicht aufgehoben werden. Wenn die Option Encryption (Verschlüsselung) festgelegt ist, können Sie eine Verschlüsselung mit einem kundenverwalteten CMK vornehmen, indem Sie einen in dem Feld auswählen, wie unten beschrieben.

      Sie können die Verschlüsselung nicht von einem verschlüsselten Snapshot entfernen.

      Anmerkung

      Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

    • Master Key (Masterschlüssel): Der für die Verschlüsselung dieses Snapshots zu verwendende Kundenmasterschlüssel (Customer Master Key, CMK). Der Standardschlüssel für Ihr Konto wird anfänglich angezeigt, aber Sie können optional aus den Masterschlüsseln in Ihrem Konto auswählen oder den ARN eines Schlüssels aus einem anderen Konto eingeben/einfügen. Sie können einen neuen Master-Verschlüsselungsschlüssel in der IAM-Konsole erstellen https://console.aws.amazon.com/iam/.

  5. Wählen Sie die Option Copy aus.

  6. Wählen Sie im Bestätigungsdialogfeld Copy Snapshot (Snapshot kopieren) die Option Snapshots aus, um auf die Seite Snapshots in der angegebenen Region zu wechseln, oder wählen Sie Close (Schließen) aus.

    Wechseln Sie zur Zielregion, um den Kopierfortschritt anzuzeigen, und aktualisieren Sie anschließend die Seite Snapshots. Laufende Kopiervorgänge werden oben auf der Seite angezeigt.

So führen Sie eine Prüfung auf Fehler durch

Wenn Sie versuchen, einen verschlüsselten Snapshot zu kopieren, ohne über die Berechtigung zur Verwendung des Verschlüsselungsschlüssels zu verfügen, schlägt der Vorgang unbemerkt fehl. Der Fehlerstatus wird erst dann in der Konsole angezeigt, wenn Sie die Seite aktualisiert haben. Sie können den Status des Snapshots auch über die Befehlszeile prüfen, wie im folgenden Beispiel dargestellt.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Wenn der Kopiervorgang aufgrund von nicht ausreichenden Schlüsselberechtigungen fehlgeschlagen ist, wird folgende Nachricht angezeigt: „StateMessage“: „Given key ID is not accessible“.

Wenn Sie einen verschlüsselten Snapshot kopieren möchten, müssen Sie über die DescribeKey-Berechtigungen für den Standard-CMK verfügen. Eine explizite Ablehnung dieser Berechtigungen führt zu einem Kopierfehler. Weitere Informationen zum Verwalten von CMK-Schlüsseln erhalten Sie unter Steuern des Zugriffs auf Customer Master Keys (CMKs).

So kopieren Sie einen Snapshot mithilfe der Befehlszeile

Verwenden Sie einen der folgenden Befehle. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.