Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Teilen eines Amazon EBS-Snapshots
Sie können die Berechtigungen eines Snapshots ändern, wenn Sie ihn für andere AWS -Konten freigeben möchten. Sie können Schnappschüsse öffentlich mit allen anderen AWS Konten teilen, oder Sie können sie privat mit einzelnen AWS Konten teilen, die Sie angeben. Benutzer, die Sie autorisiert haben, können die von Ihnen freigegebenen Snapshots zur Erstellung ihrer eigenen EBS-Volumes verwenden, während Ihr Original-Snapshot davon unberührt bleibt.
Wichtig
Wenn Sie einen Snapshot freigeben, erteilen Sie anderen Zugriff auf sämtliche Daten dieses Snapshots. Geben Sie Snapshots mit all Ihren Snapshot-Daten nur für Personen frei, denen Sie vertrauen.
Um zu verhindern, dass Snapshots öffentlich freigegeben werden, können Sie das Blockieren des öffentlichen Zugriffs auf Snapshots aktivieren. Weitere Informationen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihre AMIs.
Themen
Vor der Freigabe eines Snapshots
Für die Freigabe von Snapshots gelten die folgenden Dinge:
-
Wenn das Blockieren des öffentlichen Zugriffs auf Snapshots für die Region aktiviert ist, werden Versuche, Snapshots öffentlich freizugeben, blockiert. Snapshots können weiterhin privat freigegeben werden.
-
Snapshots sind auf die Region beschränkt, in der sie erstellt wurden. Um einen Snapshot in einer anderen Region freizugeben, kopieren Sie den Snapshot in die Region und geben dann die Kopie frei. Weitere Informationen finden Sie unter Kopieren Sie einen Amazon EBS-Snapshot.
-
Sie können keine Snapshots freigeben, die mit dem standardmäßigen Von AWS verwalteter Schlüssel verschlüsselt sind. Sie können nur Snapshots freigeben, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.
-
Sie können nur unverschlüsselte Snapshots öffentlich freigeben.
-
Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Weitere Informationen finden Sie unter Freigeben eines KMS-Schlüssels.
Teilen Sie einen Snapshot
Sie können einen Snapshot mit einer der im Abschnitt beschriebenen Methoden freigeben.
Freigeben eines KMS-Schlüssels
Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Sie können kontenübergreifende Berechtigungen auf einen vom Kunden verwalteten Schlüssel entweder bei dessen Erstellung oder zu einem späteren Zeitpunkt anwenden.
Benutzer Ihres freigegebenen vom Kunden verwalteten Schlüssels, die auf verschlüsselte Snapshots zugreifen, müssen Berechtigungen erhalten, um die folgenden Aktionen für den Schlüssel durchzuführen:
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
Tipp
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant
nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource
Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.
Weitere Informationen über die Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien in AWS KMS im AWS Key Management Service -Entwicklerhandbuch.
Um den vom Kunden verwalteten Schlüssel über die AWS KMS Konsole weiterzugeben
-
Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel).
-
Wählen Sie in der Spalte Alias den Alias (Textlink) des vom Kunden verwalteten Schlüssels aus, mit dem Sie den Snapshot verschlüsselt haben. Die Schlüsseldetails werden auf einer neuen Seite geöffnet.
-
Im Abschnitt Key policy (Schlüsselrichtlinie) wird entweder die Richtlinienansicht oder die Standardansicht angezeigt. In der Richtlinienansicht wird das wichtige Richtliniendokument angezeigt. In der Standardansicht werden Abschnitte für Key administrators (Schlüsseladministratoren), Key deletion (Schlüssellöschung), Key Use (Schlüsselverwendung) und Other AWS accounts angezeigt. Die Standardansicht wird angezeigt, wenn Sie die Richtlinie in der Konsole erstellt und nicht angepasst haben. Wenn die Standardansicht nicht verfügbar ist, müssen Sie die Richtlinie in der Richtlinienansicht manuell bearbeiten. Weitere Informationen finden Sie unter Anzeigen einer Schlüsselrichtlinie (Konsole) im AWS Key Management Service -Entwicklerhandbuch.
Verwenden Sie entweder die Richtlinienansicht oder die Standardansicht, je nachdem, auf welche Ansicht Sie zugreifen können, um der Richtlinie eine oder mehrere AWS Konto-IDs hinzuzufügen. Gehen Sie dabei wie folgt vor:
(Richtlinienansicht) Wählen Sie Edit (Bearbeiten) aus. Fügen Sie den folgenden Anweisungen eine oder mehrere AWS Konto-IDs hinzu:
"Allow use of the key"
und"Allow attachment of persistent resources"
. Wählen Sie Änderungen speichern aus. Im folgenden Beispiel444455556666
wird die AWS Konto-ID der Richtlinie hinzugefügt.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Standardansicht) Scrollen Sie nach unten zu Andere AWS Konten. Wählen Sie Weitere AWS Konten hinzufügen und geben Sie die AWS Konto-ID ein, wenn Sie dazu aufgefordert werden. Um ein weiteres Konto hinzuzufügen, wählen Sie Weiteres AWS Konto hinzufügen und geben Sie die AWS Konto-ID ein. Wenn Sie alle AWS -Konten hinzugefügt haben, wählen Sie Save Changes (Änderungen speichern) aus.
Anzeigen von Snapshots, die für Sie freigegeben wurden
Verwenden Sie zum Anzeigen von Snapshots, die für Sie freigegeben wurden, eine der folgenden Methoden.
Verwenden von Snapshots, die für Sie freigegeben wurden
So verwenden Sie einen freigegebenen, unverschlüsselten Snapshot:
Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Weitere Informationen finden Sie unter Anzeigen von Snapshots, die für Sie freigegeben wurden. Sie können diesen Snapshot so wie alle anderen Snapshots verwenden, deren Eigentümer Sie in Ihrem Konto sind. Sie können beispielsweise ein Volume aus dem Snapshot erstellen oder ihn in eine andere Region kopieren.
So verwenden Sie einen freigegebenen, verschlüsselten Snapshot:
Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Weitere Informationen finden Sie unter Anzeigen von Snapshots, die für Sie freigegeben wurden. Erstellen Sie eine Kopie des freigegebenen Snapshots in Ihrem Konto und verschlüsseln Sie die Kopie mit einem KMS-Schlüssel, dessen Eigentümer Sie sind. Anschließend können Sie die Kopie verwenden, um Volumes zu erstellen oder sie in andere Regionen kopieren.
Festlegen der Verwendung von Snapshots, die Sie freigeben
Sie können AWS CloudTrail damit überwachen, ob ein Snapshot, den Sie mit anderen geteilt haben, kopiert oder zur Erstellung eines Volumes verwendet wird. Die folgenden Ereignisse werden protokolliert CloudTrail:
-
SharedSnapshotCopyInitiated— Ein gemeinsam genutzter Snapshot wird kopiert.
-
SharedSnapshotVolumeCreated— Ein gemeinsam genutzter Snapshot wird verwendet, um ein Volume zu erstellen.
Weitere Informationen zur Verwendung CloudTrail finden Sie unter Protokollieren von Amazon EC2- und Amazon EBS-API-Aufrufen mit. AWS CloudTrail