Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisieren kontoübergreifender Snapshot-Kopien
Die Automatisierung kontoübergreifender Snapshot-Kopien ermöglicht es Ihnen, Ihre Amazon-EBS-Snapshots in bestimmte Regionen in einem isolierten Konto zu kopieren und diese Snapshots mit einem Verschlüsselungsschlüssel zu verschlüsseln. Auf diese Weise können Sie sich vor Datenverlust schützen, falls Ihr Konto kompromittiert wird.
Die Automatisierung von kontenübergreifenden Snapshots umfasst zwei Konten:
-
Source account (Quellkonto)—Das Quellkonto ist das Konto, das die Snapshots erstellt und mit dem Zielkonto teilt. In diesem Konto müssen Sie eine EBS-Snapshot-Richtlinie erstellen, die in festgelegten Intervallen Snapshots erstellt und diese dann mit anderen Konten teilt. AWS
-
Target account (Zielkonto)—Das Zielkonto ist das Konto mit dem Zielkonto, für das die Snapshots freigegeben werden, und es ist das Konto, das Kopien der freigegebenen Snapshots erstellt. In diesem Konto müssen Sie eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, die automatisch Snapshots kopiert, die von einem oder mehreren angegebenen Quellkonten mit ihm geteilt werden.
Kontoübergreifende Richtlinien für Snapshot-Kopierrichtlinien
Um die Quell- und Zielkonten für das kontoübergreifende Snapshot-Kopieren vorzubereiten, müssen Sie die folgenden Schritte ausführen:
Erstellen Sie im Quellkonto eine EBS-Snapshot-Richtlinie, die die Snapshots erstellt und mit den erforderlichen Zielkonten teilt.
Achten Sie bei der Erstellung der Richtlinie darauf, dass Sie die kontoübergreifende gemeinsame Nutzung aktivieren und dass Sie die AWS Zielkonten angeben, für die die Snapshots freigegeben werden sollen. Dies sind die Konten, mit denen die Snapshots geteilt werden sollen. Wenn Sie verschlüsselte Snapshots freigeben, müssen Sie den ausgewählten Zielkonten die Berechtigung erteilen, das zum Verschlüsseln des Quell-Volume verwendeten Verschlüsselung zu verwenden. Weitere Informationen finden Sie unter Schritt 2: Teilen Sie Kundenverwalteter Schlüssel (Quellkonto).
Sie können nur Snapshots freigeben, die unverschlüsselt oder mit einem Kundenverwalteter Schlüssel verschlüsselt sind. Sie können keine Snapshots freigeben, die mit dem standardmäßigen EBS-Verschlüsselungs-Verschlüsselung verschlüsselt sind. Wenn Sie verschlüsselte Snapshots teilen, müssen Sie auch den Verschlüsselung, der zum Verschlüsseln des Quell-Volumes verwendet wurde, mit den Zielkonten teilen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service -Entwicklerhandbuch.
Weitere Informationen zum Erstellen einer EBS-Snapshot-Richtlinie finden Sie unter Automatisieren des Snapshot-Lebenszyklus.
Verwenden Sie eine der folgenden Methoden, um die EBS-Snapshot-Richtlinie zu erstellen.
Wenn Sie verschlüsselte Snapshots freigeben, müssen Sie der IAM-Rolle und den Ziel- AWS
-Konten (die Sie im vorherigen Schritt ausgewählt haben) Berechtigungen erteilen, um den vom Kunden verwalteten Schlüssel zu verwenden, der zum Verschlüsseln des Quell-Volumes verwendet wurde.
Führen Sie diesen Schritt nur aus, wenn Sie verschlüsselte Snapshots freigeben. Wenn Sie unverschlüsselte Snapshots freigeben, überspringen Sie diesen Schritt.
- Console
-
-
Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.
-
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Wählen Sie im Navigationsbereich Customer managed key (Vom Kunden verwalteter Schlüssel) und dann den KMS-Schlüssel aus, den Sie für die Zielkonten freigeben müssen.
Notieren Sie sich den ARN des Verschlüsselung, den Sie später benötigen.
-
Scrollen Sie auf der Registerkarte Key policy (Schlüsselrichtlinie) nach unten zum Abschnitt Key users (Schlüsselbenutzer). Wählen Sie Hinzufügen, geben Sie den Namen der IAM-Rolle ein, die Sie im vorherigen Schritt ausgewählt haben, und wählen Sie dann Hinzufügen aus.
-
Scrollen Sie auf der Registerkarte Schlüsselrichtlinie nach unten zum Abschnitt Andere AWS -Konten. Wählen Sie Weitere AWS Konten hinzufügen und fügen Sie dann alle AWS Zielkonten hinzu, für die Sie die Snapshots im vorherigen Schritt freigegeben haben.
-
Wählen Sie Änderungen speichern aus.
- Command line
-
Verwenden Sie den get-key-policyBefehl, um die Schlüsselrichtlinie abzurufen, die derzeit mit dem KMS-Schlüssel verknüpft ist.
Der folgende Befehl ruft beispielsweise die Schlüsselrichtlinie für ein Verschlüsselung mit einer ID von 9d5e2b3d-e410-4a27-a958-19e220d83a1e ab und schreibt sie in eine Datei namens snapshotKey.json.
$ aws kms get-key-policy \
--policy-name default \
--key-id 9d5e2b3d-e410-4a27-a958-19e220d83a1e \
--query Policy \
--output text > snapshotKey.json
Öffnen Sie die Schlüsselrichtlinie mit Ihrem bevorzugten Texteditor. Fügen Sie den ARN der IAM-Rolle hinzu, die Sie beim Erstellen der Snapshot-Richtlinie angegeben haben, und die ARNs der Zielkonten, mit denen der Verschlüsselung geteilt werden soll.
In der folgenden Richtlinie haben wir beispielsweise den ARN der IAM-Standardrolle und den ARN des Root-Kontos für das Zielkonto 222222222222. hinzugefügt
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{
"Sid" : "Allow use of the key",
"Effect" : "Allow",
"Principal" : {
"AWS" : [
"arn:aws:iam::111111111111:role/service-role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::222222222222:root"
]
},
"Action" : [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource" : "*"
},
{
"Sid" : "Allow attachment of persistent resources",
"Effect" : "Allow",
"Principal" : {
"AWS" : [
"arn:aws:iam::111111111111:role/service-role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::222222222222:root"
]
},
"Action" : [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
}
}
}
Speichern und schließen Sie die Datei. Verwenden Sie dann den put-key-policyBefehl, um die aktualisierte Schlüsselrichtlinie an den KMS-Schlüssel anzuhängen.
$ aws kms put-key-policy \
--policy-name default \
--key-id 9d5e2b3d-e410-4a27-a958-19e220d83a1e \
--policy file://snapshotKey.json
Im Zielkonto müssen Sie eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, die automatisch Snapshots kopiert, die von den erforderlichen Quellkonten freigegeben werden.
Diese Richtlinie wird nur auf dem Zielkonto ausgeführt, wenn eines der angegebenen Quellkonten Snapshots mit dem Konto teilt.
Verwenden Sie eine der folgenden Methoden, um die Richtlinie für kontoübergreifende Kopierereignisse zu erstellen.
- Console
-
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Elastic Block Store und Lifecycle Manager aus. Wählen Sie dann Create lifecycle policy (Lebenszyklusrichtlinie erstellen) aus.
-
Wählen Sie auf dem Bildschirm Richtlinientyp auswählen die Option Ereignisrichtlinie für kontoübergreifendes Kopieren und dann Weiter aus.
-
Geben Sie unter Richtlinienbeschreibung eine kurze Beschreibung der Richtlinie ein.
-
Fügen Sie für Richtlinien-Tags die Tags hinzu, die auf die Lebenszyklusrichtlinie angewendet werden sollen. Sie können diese Tags (Markierungen) verwenden, um Ihre Richtlinien zu identifizieren und zu kategorisieren.
-
Definieren Sie im Abschnitt Ereigniseinstellungen das Snapshot-Freigabeereignis, das die Ausführung der Richtlinie bewirkt. Gehen Sie wie folgt vor:
-
Geben Sie für Sharing-Konten die AWS Quellkonten an, von denen Sie die geteilten Snapshots kopieren möchten. Wählen Sie Konto hinzufügen, geben Sie die 12-stellige AWS Konto-ID ein und wählen Sie dann Hinzufügen.
-
Geben Sie für Snapshot-Beschreibungsfilter die erforderliche Snapshot-Beschreibung mit einem regulären Ausdruck ein. Nur Snapshots, die von den angegebenen Quellkonten gemeinsam genutzt werden und Beschreibungen haben, die mit dem angegebenen Filter übereinstimmen, werden von der Richtlinie kopiert. Weitere Informationen finden Sie unter Festlegen von Snapshot-Beschreibungsfiltern.
-
Wählen Sie für die IAM-Rolle die IAM-Rolle aus, die über Berechtigungen zum Durchführen der Aktion zum Kopieren von Snapshots verfügt. Um die von Amazon Data Lifecycle Manager bereitgestellte Standardrolle zu verwenden, wählen Sie Standardrolle. Um alternativ eine benutzerdefinierte IAM-Rolle zu verwenden, die Sie zuvor erstellt haben, wählen Sie Andere Rolle auswählen und dann die zu verwendende Rolle aus.
Wenn Sie verschlüsselte Snapshots kopieren, müssen Sie der ausgewählten IAM-Rolle Berechtigungen zur Verwendung des zur Verschlüsselung des Quell-Volumes verwendeten Verschlüsselungs-Verschlüsselung erteilen. Wenn Sie den Snapshot in der Zielregion mit einem anderen Verschlüsselung verschlüsseln, müssen Sie der IAM-Rolle die Berechtigung zur Verwendung des Ziel-Verschlüsselung erteilen. Weitere Informationen finden Sie unter Schritt 4: Zulassen, dass IAM-Rolle die erforderlichen KMS-Schlüssel verwendet (Target Account (Zielkonto)).
-
Definieren Sie im Abschnitt Kopieraktion die Snapshot-Kopieraktionen, die die Richtlinie ausführen soll, wenn sie aktiviert wird. Die Richtlinie kann Snapshots in bis zu drei Regionen kopieren. Sie müssen für jede Zielregion eine separate Kopierregel angeben. Gehen Sie für jede hinzugefügte Regel wie folgt vor:
-
Geben Sie unter Name einen aussagekräftigen Namen für die Kopieraktion ein.
-
Wählen Sie für Target Region (Zielregion) die Region aus, in die Sie die Snapshots kopieren möchten.
-
Geben Sie unter Ablauf an, wie lange die Snapshot-Kopien nach der Erstellung in der Zielregion aufbewahrt werden sollen.
-
Um die Snapshot-Kopie zu verschlüsseln, wählen Sie für Verschlüsselung die Option Verschlüsselung aktivieren aus. Wenn der Quell-Snapshot verschlüsselt ist oder wenn die Verschlüsselung standardmäßig für Ihr Konto aktiviert ist, wird die Snapshot-Kopie immer verschlüsselt, selbst wenn Sie hier keine Verschlüsselung aktivieren. Wenn der Quell-Snapshot unverschlüsselt ist und die Verschlüsselung für Ihr Konto standardmäßig nicht aktiviert ist, können Sie die Verschlüsselung aktivieren oder deaktivieren. Wenn Sie die Verschlüsselung aktivieren, aber keinVerschlüsselung angeben, werden die Snapshots in jeder Zielregion mit dem Standardverschlüsselungs-Verschlüsselung verschlüsselt. Wenn Sie einenVerschlüsselung für die Zielregion angeben, müssen Sie Zugriff auf den Verschlüsselung haben.
-
Um zusätzliche Snapshot-Kopieraktionen hinzuzufügen, wählen Sie Neue Regionen hinzufügen.
-
Wählen Sie für Richtlinienstatus nach der Erstellung die Option Richtlinie aktivieren, um die Ausführungen der Richtlinie zum nächsten eingeplanten Zeitpunkt zu starten oder Richtlinie deaktivieren, um zu verhindern, dass die Richtlinie ausgeführt wird. Wenn Sie die Richtlinie jetzt nicht aktivieren, beginnt sie erst mit dem Kopieren von Snapshots, wenn Sie sie nach der Erstellung manuell aktivieren.
-
Wählen Sie Richtlinie erstellen aus.
- Command line
-
Verwenden Sie den create-lifecycle-policyBefehl, um eine Richtlinie zu erstellen. Um eine Richtlinie für kontoübergreifende Kopierereignisse PolicyType zu erstellen, geben Sie EVENT_BASED_POLICY an.
Mit dem folgenden Befehl wird beispielsweise eine Richtlinie für kontoübergreifende Kopierereignisse im Zielkonto 222222222222 erstellt. Die Richtlinie kopiert Snapshots, die vom Quellkonto 111111111111 freigegeben werden. Die Richtlinie kopiert Snapshots nach sa-east-1 und eu-west-2. Snapshots, die in sa-east-1 kopiert wurden, sind unverschlüsselt und werden 3 Tage lang aufbewahrt. Snapshots, die in eu-west-2 kopiert werden, werden mit Verschlüsselung 8af79514-350d-4c52-bac8-8985e84171c7 verschlüsselt und 1 Monat lang aufbewahrt. Die Richtlinie verwendet die Standard-IAM-Rolle.
$ aws dlm create-lifecycle-policy \
--description "Copy policy" \
--state ENABLED \
--execution-role-arn arn:aws:iam::222222222222:role/service-role/AWSDataLifecycleManagerDefaultRole \
--policy-details file://policyDetails.json
Im Folgenden werden die Inhalte der policyDetails.json-Datei angezeigt.
{
"PolicyType" : "EVENT_BASED_POLICY",
"EventSource" : {
"Type" : "MANAGED_CWE",
"Parameters": {
"EventType" : "shareSnapshot",
"SnapshotOwner": ["111111111111"]
}
},
"Actions" : [{
"Name" :"Copy Snapshot to Sao Paulo and London",
"CrossRegionCopy" : [{
"Target" : "sa-east-1",
"EncryptionConfiguration" : {
"Encrypted" : false
},
"RetainRule" : {
"Interval" : 3,
"IntervalUnit" : "DAYS"
}
},
{
"Target" : "eu-west-2",
"EncryptionConfiguration" : {
"Encrypted" : true,
"CmkArn" : "arn:aws:kms:eu-west-2:222222222222:key/8af79514-350d-4c52-bac8-8985e84171c7"
},
"RetainRule" : {
"Interval" : 1,
"IntervalUnit" : "MONTHS"
}
}]
}]
}
Wenn die Anforderung erfolgreich ist, gibt der Befehl die ID der neu erstellten Richtlinie zurück. Es folgt eine Beispielausgabe.
{
"PolicyId": "policy-9876543210abcdef0"
}
Wenn Sie verschlüsselte Snapshots kopieren, müssen Sie der IAM-Rolle (die Sie im vorherigen Schritt ausgewählt haben) Berechtigungen erteilen, den Kundenverwalteter Schlüssel zu verwenden, der zur Verschlüsselung des Quell-Volumes verwendet wurde.
Führen Sie diesen Schritt nur aus, wenn Sie verschlüsselte Snapshots kopieren. Wenn Sie unverschlüsselte Snapshots kopieren, überspringen Sie diesen Schritt.
Verwenden Sie eine der folgenden Methoden, um die erforderlichen Richtlinien zur IAM-Rolle hinzuzufügen.
- Console
-
-
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
-
Wählen Sie im Navigationsbereich die Option Roles (Rollen) aus. Suchen Sie nach der IAM-Rolle, die Sie beim Erstellen der Richtlinie für kontoübergreifende Kopierereignisse im vorherigen Schritt ausgewählt haben, und wählen Sie sie aus. Wenn Sie sich für die Verwendung der Standardrolle entschieden haben, wird die Rolle benannt AWSDataLifecycleManagerDefaultRole.
-
Wählen Sie Add inline policy (Inline-Richtlinie hinzufügen) und anschließend die Registerkarte JSON.
-
Ersetzen Sie die vorhandene Richtlinie durch die folgende und geben Sie den ARN des KMS-Schlüssels an, mit dem die Quell-Volumes verschlüsselt wurden und der vom Quellkonto in Schritt 2 für Sie freigegeben wurde.
Wenn Sie von mehreren Quellkonten kopieren, müssen Sie den entsprechenden KMS-Schlüssel-ARN jedes Quellkontos angeben.
Im folgenden Beispiel gewährt die Richtlinie der IAM-Rolle die Berechtigung, Verschlüsselung 1234abcd-12ab-34cd-56ef-1234567890ab zu verwenden, das vom Quellkonto 111111111111 freigegeben wurde, und Verschlüsselung 4567dcba-23ab-34cd-56ef-0987654321yz, das im Zielkonto 222222222222 vorhanden ist.
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource": [
"arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
]
}
]
}
-
Wählen Sie Review policy (Richtlinie überprüfen) aus.
-
Geben Sie unter Name einen beschreibenden Namen für die Richtlinie ein, und wählen Sie dann Create policy (Richtlinie erstellen).
- Command line
-
Erstellen Sie mit Ihrem bevorzugten Texteditor eine neue JSON-Datei mit dem Namen policyDetails.json. Fügen Sie die folgende Richtlinie hinzu und geben Sie den ARN des KMS-Schlüssels an, mit dem die Quell-Volumes verschlüsselt wurden und der vom Quellkonto in Schritt 2 für Sie freigegeben wurde.
Wenn Sie von mehreren Quellkonten kopieren, müssen Sie den entsprechenden KMS-Schlüssel-ARN jedes Quellkontos angeben.
Im folgenden Beispiel gewährt die Richtlinie der IAM-Rolle die Berechtigung, Verschlüsselung 1234abcd-12ab-34cd-56ef-1234567890ab zu verwenden, das vom Quellkonto 111111111111 freigegeben wurde, und Verschlüsselung 4567dcba-23ab-34cd-56ef-0987654321yz, das im Zielkonto 222222222222 vorhanden ist.
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource": [
"arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
]
}
]
}
Speichern und schließen Sie die Datei. Verwenden Sie dann den put-role-policyBefehl, um die Richtlinie zur IAM-Rolle hinzuzufügen.
Beispiel
$ aws iam put-role-policy \
--role-name AWSDataLifecycleManagerDefaultRole \
--policy-name CopyPolicy \
--policy-document file://AdminPolicy.json
Festlegen von Snapshot-Beschreibungsfiltern
Wenn Sie die Richtlinie für Snapshot-Kopien im Zielkonto erstellen, müssen Sie einen Snapshot-Beschreibungsfilter angeben. Mit dem Snapshot-Beschreibungsfilter können Sie eine zusätzliche Filterstufe angeben, mit der Sie steuern können, welche Snapshots von der Richtlinie kopiert werden. Dies bedeutet, dass ein Snapshot nur von der Richtlinie kopiert wird, wenn er von einem der angegebenen Quellkonten gemeinsam genutzt wird, und eine Snapshot-Beschreibung hat, die dem angegebenen Filter entspricht. Mit anderen Worten, wenn ein Snapshot von einem der angegebenen Kurskonten geteilt wird, aber keine Beschreibung hat, die dem angegebenen Filter entspricht, wird er nicht von der Richtlinie kopiert.
Die Beschreibung des Snapshot-Filters muss mit einem regulären Ausdruck angegeben werden. Dies ist ein Pflichtfeld beim Erstellen von Richtlinien für kontoübergreifende Kopierereignisse mit der Konsole und der Befehlszeile. Im Folgenden finden Sie reguläre Beispielausdrücke, die verwendet werden können:
-
.*—Dieser Filter entspricht allen Snapshot-Beschreibungen. Wenn Sie diesen Ausdruck verwenden, kopiert die Richtlinie alle Snapshots, die von einem der angegebenen Quellkonten gemeinsam genutzt werden.
-
Created for policy: policy-0123456789abcdef0.*—Dieser Filter stimmt nur mit Snapshots überein, die von einer Richtlinie mit der ID policy-0123456789abcdef0 erstellt wurden. Wenn Sie einen Ausdruck wie diesen verwenden, werden nur Snapshots, die von einem der angegebenen Quellkonten mit Ihrem Konto geteilt werden und die von einer Richtlinie mit der angegebenen ID erstellt wurden, von der Richtlinie kopiert.
-
.*production.*—Dieser Filter entspricht jedem Snapshot, der das Wort production irgendwo in seiner Beschreibung enthält. Wenn Sie diesen Ausdruck verwenden, kopiert die Richtlinie alle Snapshots, die von einem der angegebenen Quellkonten gemeinsam genutzt werden und die den angegebenen Text in ihrer Beschreibung enthalten.
Überlegungen zu Richtlinien für das kontoübergreifende Kopieren von Snapshots
Die folgenden Überlegungen gelten für Richtlinien für kontoübergreifende Kopierereignisse:
-
Sie können nur Snapshots kopieren, die unverschlüsselt oder mit einem Kundenverwalteter Schlüssel verschlüsselt sind.
-
Sie können eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, um Snapshots zu kopieren, die außerhalb von Amazon Data Lifecycle Manager freigegeben werden.
-
Wenn Sie Snapshots im Zielkonto verschlüsseln möchten, muss die IAM-Rolle, die für die Richtlinie für kontoübergreifende Kopierereignisse ausgewählt wurde, über die Berechtigung verfügen, den erforderlichen Verschlüsselung zu verwenden.
Weitere Ressourcen
Weitere Informationen finden Sie im Blog Automatisieren des Kopierens verschlüsselter Amazon EBS-Snapshots im gesamten AWSAWS Kontospeicher.
