Freigeben eines Amazon EBS-Snapshots - Amazon Elastic Compute Cloud

Freigeben eines Amazon EBS-Snapshots

Durch die Änderung der Berechtigungen eines Snapshots können Sie ihn für die von Ihnen angegebenen AWS-Konten freigeben. Benutzer, denen Sie die Genehmigung erteilt haben, können die Snapshots als Grundlage für das Erstellen ihrer eigenen EBS-Volumes verwenden, während Ihr Original-Snapshot davon unberührt bleibt.

Sie können gegebenenfalls Ihre unverschlüsselten Snapshots für alle AWS-Benutzer öffentlich zur Verfügung stellen. Es ist nicht möglich, Ihre verschlüsselten Snapshots öffentlich zur Verfügung zu stellen.

Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den kundenverwalteten CMK freigeben, mit dem der Snapshot verschlüsselt wurde. Sie können kontoübergreifende Berechtigungen auf einen kundenverwalteten CMK bei dessen Erstellung oder zu einem späteren Zeitpunkt anwenden.

Wichtig

Wenn Sie einen Snapshot freigeben, erteilen Sie anderen Zugriff auf sämtliche Daten dieses Snapshots. Geben Sie Snapshots nur für Personen frei, denen Sie Zugriff auf alle Daten Ihres Snapshots gewähren möchten.

Überlegungen

Für die Freigabe von Snapshots gelten die folgenden Dinge:

  • Snapshots sind auf die Region beschränkt, in der sie erstellt wurden. Um einen Snapshot in einer anderen Region freizugeben, müssen Sie den Snapshot in die entsprechende Region kopieren. Weitere Informationen finden Sie unter Kopieren eines Amazon EBS-Snapshots.

  • AWS verhindert, dass Sie Snapshots freigeben, die mit Ihrem Standard-CMK verschlüsselt wurden. Snapshots, die Sie freigeben möchten, müssen stattdessen mit einem kundenverwalteten CMK verschlüsselt sein. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service Developer Guide.

  • Benutzer Ihres freigegebenen CMK, die auf verschlüsselte Snapshots zugreifen, müssen über die Berechtigungen verfügen, die folgenden Aktionen für den Schlüssel durchzuführen: kms:DescribeKey, kms:CreateGrant, GenerateDataKey und kms:ReEncrypt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Kunden-Masterschlüssel im AWS Key Management Service Developer Guide.

Teilen eines unverschlüsselten Snapshots unter Verwendung der Konsole

Einen Snapshot unter Verwendung der Konsole freigeben

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den Snapshot aus und wählen Sie Actions (Aktionen), Modify Permissions (Berechtigungen ändern).

  4. Machen Sie den Snapshot öffentlich oder geben Sie ihn wie folgt für bestimmte AWS-Konten frei:

    • Wählen Sie Public (Öffentlich) aus, um den Snapshot zu veröffentlichen.

      Dies ist keine gültige Option für verschlüsselte Snapshots oder Snapshots mit AWS Marketplace-Produktcode.

    • Um den Snapshot für ein oder mehrere AWS-Konten freizugeben, wählen Sie die Option Private (Privat) aus, geben Sie im Feld AWS Account Number (Kontonummer) die ID des AWS-Kontos (ohne Bindestriche) ein und wählen Sie anschließend Add Permission (Berechtigung hinzufügen) aus. Wiederholen Sie diesen Vorgang für alle weiteren AWS-Konten.

  5. Wählen Sie Save (Speichern) aus.

So verwenden Sie einen unverschlüsselten Snapshot, der für Sie privat freigegeben wurde

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots aus.

  3. Wählen Sie den Filter Private Snapshots.

  4. Suchen Sie den Snapshot nach der ID oder der Beschreibung. Sie können diesen Snapshot wie jeden anderen verwenden; Sie können beispielsweise ein Volume aus dem Snapshot erstellen oder den Snapshot in eine andere Region kopieren.

Teilen eines verschlüsselten Snapshots unter Verwendung der Konsole

So geben Sie einen verschlüsselten Snapshot unter Verwendung der Konsole frei:

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

  2. Um die AWS-Region zu ändern, verwenden Sie die Regionenauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel).

  4. Wählen Sie in der Spalte Alias den Alias (Textlink) des vom Kunden verwalteten Schlüssels aus, mit dem Sie den Snapshot verschlüsselt haben. Die Schlüsseldetails werden auf einer neuen Seite geöffnet.

  5. Im Abschnitt Key policy (Schlüsselrichtlinie) wird entweder die Richtlinienansicht oder die Standardansicht angezeigt. In der Richtlinienansicht wird das wichtige Richtliniendokument angezeigt. In der Standardansicht werden Abschnitte für Key administrators (Schlüsseladministratoren), Key deletion (Schlüssellöschung), Key Use (Schlüsselverwendung) und Other AWS accounts (Andere AWS-Konten) angezeigt. Die Standardansicht wird angezeigt, wenn Sie die Richtlinie in der Konsole erstellt und nicht angepasst haben. Wenn die Standardansicht nicht verfügbar ist, müssen Sie die Richtlinie in der Richtlinienansicht manuell bearbeiten. Weitere Informationen finden Sie unter Anzeigen einer Schlüsselrichtlinie (Konsole) im AWS Key Management Service Developer Guide.

    Verwenden Sie entweder die Richtlinienansicht oder die Standardansicht, je nachdem, auf welche Ansicht Sie zugreifen können, um der Richtlinie mindestens eine AWS-Konto-ID hinzuzufügen:

    • (Richtlinienansicht) Wählen Sie Edit (Bearbeiten) aus. Fügen Sie den folgenden Anweisungen mindestens eine AWS-Konto-ID hinzu: "Allow use of the key" und "Allow attachment of persistent resources". Wählen Sie Save Changes. Im folgenden Beispiel wird der Richtlinie die AWS-Konto-ID 444455556666 hinzugefügt.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Standardansicht) Scrollen Sie nach unten zu Other AWS accounts (Andere AWS-Konten). Wählen Sie Add other AWS accounts (Weitere AWS-Konten hinzufügen) und geben Sie nach Aufforderung die AWS-Konto-ID ein. Um ein weiteres Konto hinzuzufügen, wählen Sie Add another AWS account (Ein weiteres AWS-Konto hinzufügen) und geben Sie die AWS-Konto-ID ein. Wenn Sie alle AWS-Konten hinzugefügt haben, wählen Sie Save Changes (Änderungen speichern) aus.

  6. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  7. Wählen Sie im Navigationsbereich die Option Snapshots aus.

  8. Wählen Sie den Snapshot und anschließend Actions (Aktionen), Modify Permissions (Berechtigungen ändern) aus.

  9. Geben Sie für jedes AWS-Konto die ID des AWS-Kontos in das Feld AWS Account Number (Kontonummer) ein und wählen Sie Add Permission (Berechtigung hinzufügen) aus. Wenn Sie alle AWS-Konten hinzugefügt haben, wählen Sie Save (Speichern) aus.

So verwenden Sie einen verschlüsselten Snapshot, der für Sie freigegeben wurde

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots aus.

  3. Wählen Sie den Filter Private Snapshots. Fügen Sie optional den Filter Encrypted (Verschlüsselt) hinzu.

  4. Suchen Sie den Snapshot nach der ID oder der Beschreibung.

  5. Wählen Sie den Snapshot und anschließend Actions (Aktionen), Copy AMI (AMI kopieren) aus.

  6. (Optional) Wählen Sie eine Zielregion aus.

  7. Die Snapshot-Kopie wird mit dem Schlüssel verschlüsselt, der im Feld Master Key (Masterschlüssel) angezeigt wird. Der ausgewählte Schlüssel ist standardmäßig der Standard-CMK Ihres Kontos. Zum Auswählen eines kundenverwalteten CMK klicken Sie in das Eingabefeld, um eine Liste verfügbarer Schlüssel anzuzeigen.

  8. Wählen Sie die Option Copy (Kopieren) aus.

Freigeben eines Snapshots unter Verwendung der Befehlszeile

Die Berechtigungen für einen Snapshot angegeben sind mit dem createVolumePermission-Attribut des Snapshots. Wenn Sie einen Snapshot öffentlich zu machen, legen Sie die Gruppe all an. Um den Snapshot in einem bestimmten AWS-Konto zu veröffentlichen, tragen Sie den Benutzer und ID dieses AWS-Konto ein.

So ändern Sie Snapshot-Berechtigungen mithilfe der Befehlszeile

Verwenden Sie einen der folgenden Befehle:

So zeigen Sie Snapshot-Berechtigungen mithilfe der Befehlszeile an

Verwenden Sie einen der folgenden Befehle:

Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.

Feststellen der Verwendung freigegebener Snapshots

Sie können mit AWS CloudTrail überwachen, ob ein Snapshot, den Sie für andere freigegeben haben, kopiert oder verwendet wird, um ein Volume zu erstellen. Die folgenden Ereignisse werden in CloudTrail protokolliert:

  • SharedSnapshotCopyInitiated — Ein freigegebener Snapshot wird kopiert.

  • SharedSnapshotVolumeCreated — Ein freigegebener Snapshot wird verwendet, um ein Volume zu erstellen.

Weitere Informationen zur Verwendung von CloudTrail finden Sie unter Protokollieren von Amazon EC2- und Amazon EBS-API-Aufrufen mit AWS CloudTrail.