Einen EBS Amazon-Snapshot kopieren - Amazon EBS
VoraussetzungenÜberlegungenPreisgestaltungInkrementelles Kopieren von SnapshotsVerschlüsselung und Kopieren von SnapshotsKopieren eines Snapshots

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen EBS Amazon-Snapshot kopieren

Mit Amazon EBS können Sie point-in-time Snapshots von Volumes erstellen, die wir für Sie in Amazon S3 speichern. Nachdem Sie einen Snapshot erstellt haben und der Kopiervorgang nach Amazon S3 abgeschlossen ist (wenn der Snapshot-Status lautetcompleted), können Sie ihn von einer AWS Region in eine andere oder innerhalb derselben Region kopieren. Die serverseitige Amazon S3 S3-Verschlüsselung (256-BitAES) schützt die Daten eines Snapshots, die während eines Kopiervorgangs übertragen werden. Die Snapshot-Kopie erhält eine ID, die sich von der ID des Original-Snapshots unterscheidet.

Um Snapshots mit mehreren Volumes in eine andere AWS Region zu kopieren, rufen Sie die Snapshots mit dem Tag ab, den Sie dem Snapshot-Set mit mehreren Volumes zugewiesen haben, als Sie ihn erstellt haben. Kopieren Sie Snapshots anschließend in eine andere Region.

Wenn Sie möchten, dass ein anderes Konto Ihren Snapshot kopieren kann, müssen Sie entweder die Snapshot-Berechtigungen ändern, um Zugriff auf dieses Konto zu gewähren, oder den Snapshot veröffentlichen, sodass alle AWS Konten ihn kopieren können. Weitere Informationen finden Sie unter Einen EBS Amazon-Snapshot teilen.

Informationen zum Kopieren eines RDS Amazon-Snapshots finden Sie unter Kopieren eines DB-Snapshots im RDSAmazon-Benutzerhandbuch.

Anwendungsfälle

  • Geografische Expansion: Starten Sie Ihre Anwendungen in einer neuen AWS Region.

  • Migration: Verschieben Sie eine Anwendung in eine neue Region zwecks Kostenminimierung und Gewährleistung einer verbesserten Verfügbarkeit.

  • Notfallwiederherstellung: Sichern Sie Ihre Daten und Protokolle in regelmäßigen Intervallen an verschiedenen geografischen Standorten. Im Notfall können Sie Ihre Anwendungen mithilfe von point-in-time Backups wiederherstellen, die in der sekundären Region gespeichert sind. Hierdurch werden Datenverluste und die Wiederherstellungszeit auf ein Minimum beschränkt.

  • Verschlüsselung: Verschlüsseln Sie einen zuvor unverschlüsselten Snapshot, ändern Sie den Schlüssel, mit dem der Snapshot verschlüsselt ist oder erstellen Sie eine Kopie, deren Eigentümer Sie sind, um daraus ein Volume zu erstellen (für verschlüsselte Snapshots, die für Sie freigegeben wurden).

  • Anforderungen an Datenaufbewahrung und Prüfung: Kopieren Sie Ihre verschlüsselten EBS Snapshots von einem AWS Konto auf ein anderes, um Datenprotokolle oder andere Dateien für die Prüfung oder Datenspeicherung aufzubewahren. Die Verwendung eines anderen Kontos verhindert das versehentliche Löschen von Snapshots und schützt Sie, falls Ihr AWS Hauptkonto kompromittiert wird.

Voraussetzungen

  • Sie können jeden verfügbaren Snapshot kopieren, der über den Status completed verfügt, z. B. auch freigegebene Snapshots und von Ihnen erstellte Snapshots.

  • Sie können Snapshots AWS Marketplace, VM Import/Export und Storage Gateway Gateway-Snapshots kopieren, müssen jedoch sicherstellen, dass der Snapshot in der Zielregion unterstützt wird.

  • Um einen verschlüsselten Snapshot zu kopieren, muss Ihr Benutzer über die folgenden Berechtigungen verfügen, um die EBS Amazon-Verschlüsselung verwenden zu können.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Um einen verschlüsselten Snapshot zu kopieren, der von einem anderen AWS Konto geteilt wurde, benötigen Sie die Berechtigung, den vom Kunden verwalteten Schlüssel zu verwenden, der zur Verschlüsselung des Snapshots verwendet wurde. Weitere Informationen finden Sie unter Einen Schlüssel teilen KMS.

Überlegungen

  • Es gibt eine Grenze von 20 gleichzeitige Snapshot-Kopieranfragen pro Zielregion. Wenn Sie diese Quote überschreiten, erhalten Sie einen ResourceLimitExceeded-Fehler. Wenn dieser Fehler angezeigt wird, warten Sie, bis eine oder mehrere der Kopieranfragen abgeschlossen sind, bevor Sie eine neue Snapshot-Kopieranforderung stellen.

  • Benutzerdefinierte Tags (Markierungen) werden nicht aus dem Quell-Snapshot in den neuen Snapshot kopiert. Sie können während oder nach dem Kopiervorgang benutzerdefinierte Tags (Markierungen) hinzufügen.

  • Snapshots, die durch einen Snapshot-Kopiervorgang erstellt werden, haben eine zufällige Volume-ID, wie z. B. vol-ffff oder vol-ffffffff. Diese beliebigen Volumes IDs sollten für keinen Zweck verwendet werden.

  • Die für den Snapshot-Kopiervorgang angegebenen Berechtigungen auf Ressourcenebene gelten nur für den neuen Snapshot. Sie können keine Berechtigungen auf Ressourcenebene für den Quell-Snapshot angeben. Ein Beispiel finden Sie unter Beispiel: Kopieren von Snapshots.

Preisgestaltung

  • Preisinformationen zum Kopieren von Snapshots zwischen AWS Regionen und Konten finden Sie unter EBSAmazon-Preise.

  • Wenn Sie einen Snapshot kopieren und ihn mit einem neuen KMS Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.

  • Wenn Sie einen Snapshot in eine neue Region kopieren, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten. Nachfolgende Kopien desselben Snapshots sind inkrementell.

  • Wenn Sie externe oder regionsübergreifende Datenübertragungen verwenden, fallen zusätzliche EC2Datenübertragungsgebühren an. Wenn Sie nach der Initiierung Snapshots löschen, werden Ihnen weiterhin die bereits übertragenen Daten in Rechnung gestellt.

Inkrementelles Kopieren von Snapshots

Ob eine Snapshot-Kopie inkrementell ist, wird durch die zuletzt erstellte Snapshot-Kopie bestimmt. Wenn Sie einen Snapshot über Regionen oder Konten hinweg kopieren, handelt es sich bei der Kopie um eine inkrementelle Kopie, wenn die folgenden Bedingungen erfüllt sind:

  • Der Snapshot wurde zuvor in die Zielregion oder das Konto kopiert.

  • Die aktuelle Snapshot-Kopie ist in der Zielregion oder im Konto noch vorhanden.

  • Die neueste Snapshot-Kopie wurde nicht archiviert.

  • Alle Kopien des Snapshots in der Zielregion oder im Zielkonto sind entweder unverschlüsselt oder wurden mit demselben KMS Schlüssel verschlüsselt.

Wenn die letzte Snapshot-Kopie gelöscht wurde, ist die nächste Kopie eine vollständige Kopie und keine inkrementelle Kopie. Wenn eine Kopie noch aussteht, wird beim Start einer anderen Kopie die zweite Kopie erst nach Abschluss der ersten Kopie gestartet.

Snapshot-Kopiervorgänge innerhalb desselben Kontos und derselben Region unter Verwendung desselben KMS Schlüssels führen zu einer inkrementellen Kopie.

Das inkrementelle Kopieren von Snapshots reduziert die zum Kopieren von Snapshots erforderliche Zeit und spart Datenübertragungs- und Speicherkosten, da keine Daten dupliziert werden.

Wir empfehlen Ihnen, Ihre Snapshots mit der Volumen-ID und dem Erstellungszeitpunkt zu markieren, damit Sie die aktuelle Snapshot-Kopie eines Datenträgers in der Zielregion oder im Konto verfolgen können.

Um zu sehen, ob es sich bei Ihren Snapshot-Kopien um inkrementelle Kopien handelt, überprüfen Sie das Ereignis copySnapshot CloudWatch .

Verschlüsselung und Kopieren von Snapshots

Wenn Sie einen Snapshot kopieren, können Sie die Kopie verschlüsseln oder einen anderen KMS Schlüssel als das Original angeben, sodass der resultierende kopierte Snapshot den neuen KMS Schlüssel verwendet. Das Ändern des Verschlüsselungsstatus eines Snapshots während eines Kopiervorgangs kann jedoch zu einer vollständigen (nicht inkrementellen) Kopie führen, wodurch möglicherweise höhere Datenübertragungs- und Speichergebühren anfallen. Weitere Informationen finden Sie unter Inkrementelles Kopieren von Snapshots.

Um einen verschlüsselten Snapshot zu kopieren, der von einem anderen AWS Konto gemeinsam genutzt wurde, benötigen Sie Berechtigungen zur Verwendung des Snapshots und des vom Kunden verwalteten Schlüssels (CMK), der zum Verschlüsseln des Snapshots verwendet wurde. Wenn Sie einen verschlüsselten Snapshot verwenden, der mit Ihnen geteilt wurde, empfehlen wir, den Snapshot erneut zu verschlüsseln, indem Sie ihn mit einem KMS Schlüssel kopieren, den Sie besitzen. Auf diese Weise sind Sie geschützt, falls der KMS Originalschlüssel kompromittiert wird oder wenn der Besitzer ihn widerruft, was dazu führen könnte, dass Sie den Zugriff auf alle verschlüsselten Volumes verlieren, die Sie mit dem Snapshot erstellt haben. Weitere Informationen finden Sie unter Einen EBS Amazon-Snapshot teilen.

Sie wenden die Verschlüsselung auf EBS Snapshot-Kopien an, indem Sie den Encrypted Parameter auf setzen. true (Der Encrypted-Parameter ist optional, wenn encryption by default (standardmäßige Verschlüsselung) aktiviert ist.)

Optional können Sie KmsKeyId verwenden, um einen benutzerdefinierten Schlüssel für die Verschlüsselung der Snapshot-Kopie anzugeben. (Der Encrypted-Parameter muss ebenfalls auf true festgelegt werden, auch wenn „encryption by default“ (standardmäßige Verschlüsselung) aktiviert ist.) Wenn KmsKeyId nicht angegeben ist, hängt der zur Verschlüsselung verwendete Schlüssel vom Verschlüsselungszustand des Quell-Snapshots und dessen Eigentümerschaft ab.

Die folgende Tabelle beschreibt die Verschlüsselungsergebnisse für jede mögliche Kombination von Einstellungen beim Kopieren von Snapshots, die Ihnen gehören, und Snapshots, die für Sie freigegeben sind.

Themen
    Standardmäßige Verschlüsselung Ist der Parameter Encrypted festgelegt? Verschlüsselungsstatus des Quell-Snapshots Standard (kein KMS Schlüssel angegeben) Benutzerdefiniert (KMSSchlüssel angegeben)
    Disabled Nein Unverschlüsselt Unverschlüsselt
    Encrypted Verschlüsselt von Von AWS verwalteter Schlüssel
    Ja Unverschlüsselt Mit dem KMS Standardschlüssel verschlüsselt Mit dem angegebenen KMS Schlüssel** verschlüsselt
    Encrypted Mit dem KMS Standardschlüssel verschlüsselt
    Aktiviert Nein Unverschlüsselt Mit dem KMS Standardschlüssel verschlüsselt N/A
    Encrypted Mit dem KMS Standardschlüssel verschlüsselt
    Ja Unverschlüsselt Mit dem KMS Standardschlüssel verschlüsselt Mit dem angegebenen KMS Schlüssel** verschlüsselt
    Encrypted Mit dem KMS Standardschlüssel verschlüsselt

    ** Dies ist der KMS Schlüssel, der in der Aktion „Snapshot kopieren“ angegeben wurde. Dieser KMS Schlüssel wird anstelle des KMS Standardschlüssels für das Konto und die Region verwendet.

    Kopieren eines Snapshots

    Verwenden Sie zum Kopieren eines Snapshots eine der folgenden Methoden.

    Console
    So kopieren Sie einen Snapshot mithilfe der Konsole

    1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

    2. Wählen Sie im Navigationsbereich die Option Snapshots.

    3. Wählen Sie den zu kopierenden Snapshot aus und wählen Sie dann Aktionen, Snapshot kopieren.

    4. Geben Sie für Beschreibung eine kurze Beschreibung für die Snapshot-Kopie ein.

      Standardmäßig enthält die Beschreibung Informationen zum Quell-Snapshot, damit Sie eine Kopie vom Original unterscheiden können. Sie können die Beschreibung bei Bedarf ändern.

    5. Wählen Sie für Zielregion die Region aus, in der die Snapshot-Kopie erstellt werden soll.

    6. Geben Sie den Verschlüsselungsstatus für die Snapshot-Kopie an.

      Wenn der Quell-Snapshot verschlüsselt ist oder Ihr Konto für die standardmäßige Verschlüsselung aktiviert ist, wird die Snapshot-Kopie automatisch verschlüsselt und Sie können ihren Verschlüsselungsstatus nicht ändern.

      Wenn der Quell-Snapshot unverschlüsselt ist und Ihr Konto standardmäßig nicht für die Verschlüsselung aktiviert ist, ist die Verschlüsselung optional. Um die Snapshot-Kopie zu verschlüsseln, wählen Sie für Verschlüsselung die Option Diesen Snapshot verschlüsseln. Wählen Sie dann unter KMSSchlüssel den KMS Schlüssel aus, mit dem der Snapshot in der Zielregion verschlüsselt werden soll.

    7. Wählen Sie Copy Snapshot (Snapshot kopieren) aus.

    AWS CLI
    Um einen Snapshot zu kopieren, verwenden Sie AWS CLI

    Verwenden Sie den Befehl copy-snapshot.

    Tools for Windows PowerShell
    Um einen Snapshot mit den Tools für Windows zu kopieren PowerShell

    Verwenden Sie den Copy-EC2SnapshotBefehl.
    So führen Sie eine Prüfung auf Fehler durch

    Wenn Sie versuchen, einen verschlüsselten Snapshot zu kopieren, ohne über die Berechtigung zur Verwendung des Verschlüsselungsschlüssels zu verfügen, schlägt der Vorgang unbemerkt fehl. Der Fehlerstatus wird erst dann in der Konsole angezeigt, wenn Sie die Seite aktualisiert haben. Sie können den Status des Snapshots auch über die Befehlszeile prüfen, wie im folgenden Beispiel dargestellt.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Wenn der Kopiervorgang aufgrund unzureichender Schlüsselberechtigungen fehlgeschlagen ist, wird die folgende Meldung angezeigt: "StateMessage„: „Auf die angegebene Schlüssel-ID kann nicht zugegriffen werden“.

    Wenn Sie einen verschlüsselten Snapshot kopieren, müssen Sie über die DescribeKey Standardberechtigungen verfügenCMK. Eine explizite Ablehnung dieser Berechtigungen führt zu einem Kopierfehler. Informationen zur Verwaltung von CMK Schlüsseln finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS.