Kopieren Sie einen Amazon EBS-Snapshot - Amazon Elastic Compute Cloud
Inkrementelles Kopieren von SnapshotsVerschlüsselung und Kopieren von SnapshotsKopieren eines Snapshots

Kopieren Sie einen Amazon EBS-Snapshot

Mit Amazon EBS können Sie zeitpunktbezogene Snapshots von Volumes erstellen, die wir für Sie in Amazon S3 speichern. Nachdem Sie einen Snapshot erstellt haben und das Kopieren in Amazon S3 abgeschlossen ist (wenn der Snapshot-Status completed lautet), können Sie ihn von einer AWS-Region in eine andere oder innerhalb derselben Region kopieren. Die serverseitige Verschlüsselung von Amazon S3 (256-Bit-AES) schützt die Daten eines Snapshots während der Übertragung bei einem Kopiervorgang. Die Snapshot-Kopie erhält eine ID, die sich von der ID des Original-Snapshots unterscheidet.

Um Multi-Volume-Snapshots in eine andere AWS-Region zu kopieren, rufen Sie mithilfe des Tags, das Sie beim Erstellen der Multi-Volume-Snapshot-Reihe angewendet haben, die Snapshots ab. Kopieren Sie Snapshots anschließend in eine andere Region.

Wenn Sie möchten, dass ein anderes Konto Ihren Snapshot kopieren kann, müssen Sie entweder die Snapshot-Berechtigungen ändern, um den Zugriff auf dieses Konto zu gewähren oder den Snapshot veröffentlichen, damit ihn alle AWS-Konten kopieren können. Weitere Informationen finden Sie unter Teilen eines Amazon EBS-Snapshots.

Weitere Informationen zum Kopieren von Amazon RDS-Snapshots erhalten Sie unter Kopieren eines DB-Snapshots im Amazon RDS-Benutzerhandbuch.

Anwendungsfälle

  • Geografische Expansion: Starten Sie Ihre Anwendungen in einer neuen AWS-Region.

  • Migration: Verschieben Sie eine Anwendung in eine neue Region zwecks Kostenminimierung und Gewährleistung einer verbesserten Verfügbarkeit.

  • Notfallwiederherstellung: Sichern Sie Ihre Daten und Protokolle in regelmäßigen Intervallen an verschiedenen geografischen Standorten. Im Notfall können Sie Ihre Anwendungen mithilfe von zeitpunktbezogenen Backups wiederherstellen, die in der sekundären Region gespeichert sind. Hierdurch werden Datenverluste und die Wiederherstellungszeit auf ein Minimum beschränkt.

  • Verschlüsselung: Verschlüsseln Sie einen zuvor unverschlüsselten Snapshot, ändern Sie den Schlüssel, mit dem der Snapshot verschlüsselt ist oder erstellen Sie eine Kopie, deren Eigentümer Sie sind, um daraus ein Volume zu erstellen (für verschlüsselte Snapshots, die für Sie freigegeben wurden).

  • Datenaufbewahrung und Auditing-Anforderungen: Kopieren Sie Ihre verschlüsselten EBS-Snapshots aus einem AWS-Konto in ein anderes Konto, um Datenprotokolle oder andere Dateien für Auditing-Zwecke oder zur Datenaufbewahrung beizubehalten. Die Verwendung eines anderen Kontos ist zur Verhinderung von versehentlichen Snapshot-Löschungen hilfreich und dient als Schutz, wenn Ihr AWS-Hauptkonto kompromittiert wurde.

Voraussetzungen

  • Sie können jeden verfügbaren Snapshot kopieren, der über den Status completed verfügt, z. B. auch freigegebene Snapshots und von Ihnen erstellte Snapshots.

  • Sie können AWS Marketplace, VM-Import/Export- und Storage Gateway-Snapshots kopieren, aber Sie müssen sicherstellen, dass der Snapshot in der Zielregion unterstützt wird.

Überlegungen

  • Es gibt eine Grenze von 20 gleichzeitige Snapshot-Kopieranfragen pro Zielregion. Wenn Sie diese Quote überschreiten, erhalten Sie einen ResourceLimitExceeded-Fehler. Wenn dieser Fehler angezeigt wird, warten Sie, bis eine oder mehrere der Kopieranfragen abgeschlossen sind, bevor Sie eine neue Snapshot-Kopieranforderung stellen.

  • Benutzerdefinierte Tags (Markierungen) werden nicht aus dem Quell-Snapshot in den neuen Snapshot kopiert. Sie können während oder nach dem Kopiervorgang benutzerdefinierte Tags (Markierungen) hinzufügen. Weitere Informationen finden Sie unter Markieren Ihrer Amazon-EC2-Ressourcen mit Tags (Markierungen).

  • Snapshots, die durch einen Snapshot-Kopiervorgang erstellt werden, haben eine zufällige Volume-ID, wie z. B. vol-ffff oder vol-ffffffff. Diese zufälligen Volume-IDs sollten nicht für andere Zwecke verwendet werden.

  • Die für den Snapshot-Kopiervorgang angegebenen Berechtigungen auf Ressourcenebene gelten nur für den neuen Snapshot. Sie können keine Berechtigungen auf Ressourcenebene für den Quell-Snapshot angeben. Ein Beispiel finden Sie unter Beispiel: Snapshots kopieren.

Preisgestaltung

  • Preisinformationen zum Kopieren von Snapshots für AWS-Regionen und -Konten finden Sie unter Amazon EBS-Preise.

  • Kopiervorgänge von Snapshots innerhalb eines einzelnen Kontos und einer einzelnen Region kopieren keine aktuellen Daten und sind daher kostenlos, solange sich der Verschlüsselungsstatus der Snapshot-Kopie nicht ändert.

  • Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.

  • Wenn Sie einen Snapshot in eine neue Region kopieren, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten. Nachfolgende Kopien desselben Snapshots sind inkrementell.

Inkrementelles Kopieren von Snapshots

Ob eine Snapshot-Kopie inkrementell ist, wird durch die zuletzt erstellte Snapshot-Kopie bestimmt. Wenn Sie einen Snapshot über Regionen oder Konten hinweg kopieren, handelt es sich bei der Kopie um eine inkrementelle Kopie, wenn die folgenden Bedingungen erfüllt sind:

  • Der Snapshot wurde zuvor in die Zielregion oder das Konto kopiert.

  • Die aktuelle Snapshot-Kopie ist in der Zielregion oder im Konto noch vorhanden.

  • Alle Kopien des Snapshots in der Zielregion oder im Konto sind entweder unverschlüsselt oder wurden mit demselben KMS-Schlüssel verschlüsselt.

Wenn die letzte Snapshot-Kopie gelöscht wurde, ist die nächste Kopie eine vollständige Kopie und keine inkrementelle Kopie. Wenn eine Kopie noch aussteht, wenn Sie eine andere Kopie starten, wird die zweite Kopie erst nach Abschluss der ersten Kopie gestartet.

Das inkrementelle Kopieren von Snapshots reduziert die zum Kopieren von Snapshots erforderliche Zeit und spart Datenübertragungs- und Speicherkosten, da keine Daten dupliziert werden.

Wir empfehlen Ihnen, Ihre Snapshots mit der Volumen-ID und dem Erstellungszeitpunkt zu markieren, damit Sie die aktuelle Snapshot-Kopie eines Datenträgers in der Zielregion oder im Konto verfolgen können.

Um zu sehen, ob Ihre Snapshot-Kopien inkrementell sind, überprüfen Sie das Ereignis copySnapshot CloudWatch.

Verschlüsselung und Kopieren von Snapshots

Wenn Sie einen Snapshot kopieren, können Sie die Kopie verschlüsseln oder einen anderen KMS-Schlüssel angeben, der sich vom Original unterscheidet, damit für die resultierende Snapshot-Kopie der neue Schlüssel verwendet wird. Das Ändern des Verschlüsselungsstatus eines Snapshots während eines Kopiervorgangs kann jedoch zu einer vollständigen (nicht inkrementellen) Kopie führen, wodurch möglicherweise höhere Datenübertragungs- und Speichergebühren anfallen. Weitere Informationen finden Sie unter Inkrementelles Kopieren von Snapshots.

Um einen verschlüsselten Snapshot zu verschlüsseln, der von einem anderen AWS-Konto freigegeben wurde, müssen Sie über die Berechtigungen zum Verwenden des Snapshots und des Kundenmasterschlüssels (Customer Master Key, CMK) verfügen, der zum Verschlüsseln des Original-Snapshots verwendet wurde. Wenn Sie einen für Sie freigegebenen, verschlüsselten Snapshot verwenden, sollten Sie den Snapshot neu verschlüsseln, indem Sie ihn unter Verwendung eines Ihrer KMS-Schlüssels kopieren. Dies schützt Sie, wenn der ursprüngliche KMS-Schlüssels kompromittiert wurde oder der Eigentümer diesen widerruft, wodurch Sie möglicherweise den Zugriff auf verschlüsselte Volumes verlieren, die Sie unter Verwendung des Snapshots erstellt haben. Weitere Informationen finden Sie unter Teilen eines Amazon EBS-Snapshots.

Sie wenden die Verschlüsselung auf EBS-Snapshot-Kopien an, indem Sie den Encrypted-Parameter auf true setzen. (Der Encrypted-Parameter ist optional, wenn encryption by default (standardmäßige Verschlüsselung) aktiviert ist.)

Optional können Sie KmsKeyId verwenden, um einen benutzerdefinierten Schlüssel für die Verschlüsselung der Snapshot-Kopie anzugeben. (Der Encrypted-Parameter muss ebenfalls auf true festgelegt werden, auch wenn „encryption by default“ (standardmäßige Verschlüsselung) aktiviert ist.) Wenn KmsKeyId nicht angegeben ist, hängt der zur Verschlüsselung verwendete Schlüssel vom Verschlüsselungszustand des Quell-Snapshots und dessen Eigentümerschaft ab.

Die folgende Tabelle beschreibt die Verschlüsselungsergebnisse für jede mögliche Kombination von Einstellungen beim Kopieren von Snapshots, die Ihnen gehören, und Snapshots, die für Sie freigegeben sind.

Themen
    Standardmäßige Verschlüsselung Ist der Parameter Encrypted festgelegt? Verschlüsselungsstatus des Quell-Snapshots Standard (kein KMS-Schlüssel angegeben) Benutzerdefiniert (KMS-Schlüssel angegeben)
    Disabled Nein Unverschlüsselt Unverschlüsselt
    Encrypted Verschlüsselt durch Von AWS verwalteter Schlüssel
    Ja Unverschlüsselt Verschlüsselt durch standardmäßigen KMS-Schlüssel Verschlüsselt durch angegebenen KMS-Schlüssel**
    Encrypted Verschlüsselt durch standardmäßigen KMS-Schlüssel
    Enabled Nein Unverschlüsselt Verschlüsselt durch standardmäßigen KMS-Schlüssel
    Encrypted Verschlüsselt durch standardmäßigen KMS-Schlüssel
    Ja Unverschlüsselt Verschlüsselt durch standardmäßigen KMS-Schlüssel Verschlüsselt durch angegebenen KMS-Schlüssel**
    Encrypted Verschlüsselt durch standardmäßigen KMS-Schlüssel

    ** Dies ist ein vom Kunden verwalteter Schlüssel, der für die Kopieraktion angegeben wurde. Dieser vom Kunden verwaltete Schlüssel wird anstelle des standardmäßigen vom Kunden verwalteten Schlüssels für das AWS-Konto und die zugehörige Region verwendet.

    Kopieren eines Snapshots

    Verwenden Sie zum Kopieren eines Snapshots eine der folgenden Methoden.

    Console
    So kopieren Sie einen Snapshot mithilfe der Konsole

    1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

    2. Wählen Sie im Navigationsbereich die Option Snapshots.

    3. Wählen Sie den zu kopierenden Snapshot aus und wählen Sie dann Aktionen, Snapshot kopieren.

    4. Geben Sie für Beschreibung eine kurze Beschreibung für die Snapshot-Kopie ein.

      Standardmäßig enthält die Beschreibung Informationen zum Quell-Snapshot, damit Sie eine Kopie vom Original unterscheiden können. Sie können die Beschreibung bei Bedarf ändern.

    5. Wählen Sie für Zielregion die Region aus, in der die Snapshot-Kopie erstellt werden soll.

    6. Geben Sie den Verschlüsselungsstatus für die Snapshot-Kopie an.

      Wenn der Quell-Snapshot verschlüsselt ist oder Ihr Konto für die standardmäßige Verschlüsselung aktiviert ist, wird die Snapshot-Kopie automatisch verschlüsselt und Sie können ihren Verschlüsselungsstatus nicht ändern.

      Wenn der Quell-Snapshot unverschlüsselt ist und Ihr Konto standardmäßig nicht für die Verschlüsselung aktiviert ist, ist die Verschlüsselung optional. Um die Snapshot-Kopie zu verschlüsseln, wählen Sie für Verschlüsselung die Option Diesen Snapshot verschlüsseln. Wählen Sie dann für KMS-Schlüssel den KMS-Schlüssel aus, der zum Verschlüsseln des Snapshots in der Zielregion verwendet werden soll.

    7. Wählen Sie Copy Snapshot (Snapshot kopieren) aus.

    AWS CLI
    So kopieren Sie einen Snapshot mithilfe der Befehlszeile

    Verwenden Sie einen der folgenden Befehle. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.
    So führen Sie eine Prüfung auf Fehler durch

    Wenn Sie versuchen, einen verschlüsselten Snapshot zu kopieren, ohne über die Berechtigung zur Verwendung des Verschlüsselungsschlüssels zu verfügen, schlägt der Vorgang unbemerkt fehl. Der Fehlerstatus wird erst dann in der Konsole angezeigt, wenn Sie die Seite aktualisiert haben. Sie können den Status des Snapshots auch über die Befehlszeile prüfen, wie im folgenden Beispiel dargestellt.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Wenn der Kopiervorgang aufgrund von nicht ausreichenden Schlüsselberechtigungen fehlgeschlagen ist, wird folgende Nachricht angezeigt: „StateMessage“: „Given key ID is not accessible“.

    Wenn Sie einen verschlüsselten Snapshot kopieren möchten, müssen Sie über die DescribeKey-Berechtigungen für den Standard-CMK verfügen. Eine explizite Ablehnung dieser Berechtigungen führt zu einem Kopierfehler. Weitere Informationen zum Verwalten von CMK-Schlüsseln erhalten Sie unter Steuern des Zugriffs auf Customer Master Keys (CMKs).