Teilen eines Amazon EBS-Snapshots - Amazon EBS
Vor der Freigabe eines SnapshotsTeilen Sie einen SnapshotFreigeben eines KMS-SchlüsselsAnzeigen von Snapshots, die für Sie freigegeben wurdenVerwenden von Snapshots, die für Sie freigegeben wurdenFestlegen der Verwendung von Snapshots, die Sie freigeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Teilen eines Amazon EBS-Snapshots

Sie können die Berechtigungen eines Snapshots ändern, wenn Sie ihn für andere AWS -Konten freigeben möchten. Sie können Schnappschüsse öffentlich mit allen anderen AWS Konten teilen, oder Sie können sie privat mit einzelnen AWS Konten teilen, die Sie angeben. Benutzer, die Sie autorisiert haben, können die von Ihnen freigegebenen Snapshots zur Erstellung ihrer eigenen EBS-Volumes verwenden, während Ihr Original-Snapshot davon unberührt bleibt.

Wichtig

Wenn Sie einen Snapshot freigeben, erteilen Sie anderen Zugriff auf sämtliche Daten dieses Snapshots. Geben Sie Snapshots mit all Ihren Snapshot-Daten nur für Personen frei, denen Sie vertrauen.

Um zu verhindern, dass Snapshots öffentlich freigegeben werden, können Sie das Blockieren des öffentlichen Zugriffs auf Snapshots aktivieren. Weitere Informationen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihre AMIs.

Vor der Freigabe eines Snapshots

Für die Freigabe von Snapshots gelten die folgenden Dinge:

  • Wenn das Blockieren des öffentlichen Zugriffs auf Snapshots für die Region aktiviert ist, werden Versuche, Snapshots öffentlich freizugeben, blockiert. Snapshots können weiterhin privat freigegeben werden.

  • Snapshots sind auf die Region beschränkt, in der sie erstellt wurden. Um einen Snapshot in einer anderen Region freizugeben, kopieren Sie den Snapshot in die Region und geben dann die Kopie frei. Weitere Informationen finden Sie unter Kopieren Sie einen Amazon EBS-Snapshot.

  • Sie können keine Snapshots freigeben, die mit dem standardmäßigen Von AWS verwalteter Schlüssel verschlüsselt sind. Sie können nur Snapshots freigeben, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

  • Sie können nur unverschlüsselte Snapshots öffentlich freigeben.

  • Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Weitere Informationen finden Sie unter Freigeben eines KMS-Schlüssels.

Teilen Sie einen Snapshot

Sie können einen Snapshot mit einer der im Abschnitt beschriebenen Methoden freigeben.

Console
So geben Sie einen Snapshot frei:

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Wählen Sie den freizugebenden Snapshot aus und wählen Sie dann Aktionen, Berechtigungen ändern.

  4. Legen Sie die Berechtigungen für den Snapshot fest. Aktuelle Einstellung gibt die aktuellen Freigabeberechtigungen des Snapshots an.

    • Um den Snapshot öffentlich mit allen AWS Konten zu teilen, wählen Sie Öffentlich.

    • Um den Snapshot privat mit bestimmten AWS Konten zu teilen, wählen Sie Privat. Wählen Sie dann im Abschnitt Konten teilen die Option Konto hinzufügen aus und geben Sie die 12-stellige ID (ohne Bindestriche) des Kontos ein, für das Sie den Snapshot freigeben möchten.

  5. Wählen Sie Änderungen speichern aus.

AWS CLI

Die Berechtigungen für einen Snapshot angegeben sind mit dem createVolumePermission-Attribut des Snapshots. Wenn Sie einen Snapshot öffentlich zu machen, legen Sie die Gruppe all an. Um einen Snapshot mit einem bestimmten AWS Konto zu teilen, geben Sie dem Benutzer die ID des AWS Kontos an.

So geben Sie einen Snapshot öffentlich frei:

Verwenden Sie den modify-snapshot-attribute-Befehl.

Legen Sie für --attribute die Option createVolumePermission fest. Legen Sie für --operation-type die Option add fest. Legen Sie für --group-names die Option all fest.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
So geben Sie einen Snapshot privat frei:

Verwenden Sie den modify-snapshot-attribute-Befehl.

Legen Sie für --attribute die Option createVolumePermission fest. Legen Sie für --operation-type die Option add fest. Geben Sie für --user-ids die 12-stelligen IDs der AWS Konten an, mit denen Sie die Snapshots teilen möchten.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

Die Berechtigungen für einen Snapshot angegeben sind mit dem createVolumePermission-Attribut des Snapshots. Wenn Sie einen Snapshot öffentlich zu machen, legen Sie die Gruppe all an. Um einen Snapshot mit einem bestimmten AWS Konto zu teilen, geben Sie dem Benutzer die ID des AWS Kontos an.

So geben Sie einen Snapshot öffentlich frei:

Verwenden Sie den Edit-EC2SnapshotAttribute-Befehl.

Legen Sie für -Attribute die Option CreateVolumePermission fest. Legen Sie für -OperationType die Option Add fest. Legen Sie für -GroupName die Option all fest.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
So geben Sie einen Snapshot privat frei:

Verwenden Sie den Edit-EC2SnapshotAttribute-Befehl.

Legen Sie für -Attribute die Option CreateVolumePermission fest. Legen Sie für -OperationType die Option Add fest. Geben Sie für UserId die 12-stelligen IDs der AWS Konten an, mit denen Sie die Snapshots teilen möchten.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Freigeben eines KMS-Schlüssels

Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Sie können kontenübergreifende Berechtigungen auf einen vom Kunden verwalteten Schlüssel entweder bei dessen Erstellung oder zu einem späteren Zeitpunkt anwenden.

Benutzer Ihres freigegebenen vom Kunden verwalteten Schlüssels, die auf verschlüsselte Snapshots zugreifen, müssen Berechtigungen erhalten, um die folgenden Aktionen für den Schlüssel durchzuführen:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.

Weitere Informationen über die Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien in AWS KMS im AWS Key Management Service -Entwicklerhandbuch.

Um den vom Kunden verwalteten Schlüssel über die AWS KMS Konsole weiterzugeben

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel).

  4. Wählen Sie in der Spalte Alias den Alias (Textlink) des vom Kunden verwalteten Schlüssels aus, mit dem Sie den Snapshot verschlüsselt haben. Die Schlüsseldetails werden auf einer neuen Seite geöffnet.

  5. Im Abschnitt Key policy (Schlüsselrichtlinie) wird entweder die Richtlinienansicht oder die Standardansicht angezeigt. In der Richtlinienansicht wird das wichtige Richtliniendokument angezeigt. In der Standardansicht werden Abschnitte für Key administrators (Schlüsseladministratoren), Key deletion (Schlüssellöschung), Key Use (Schlüsselverwendung) und Other AWS accounts angezeigt. Die Standardansicht wird angezeigt, wenn Sie die Richtlinie in der Konsole erstellt und nicht angepasst haben. Wenn die Standardansicht nicht verfügbar ist, müssen Sie die Richtlinie in der Richtlinienansicht manuell bearbeiten. Weitere Informationen finden Sie unter Anzeigen einer Schlüsselrichtlinie (Konsole) im AWS Key Management Service -Entwicklerhandbuch.

    Verwenden Sie entweder die Richtlinienansicht oder die Standardansicht, je nachdem, auf welche Ansicht Sie zugreifen können, um der Richtlinie eine oder mehrere AWS Konto-IDs hinzuzufügen. Gehen Sie dabei wie folgt vor:

    • (Richtlinienansicht) Wählen Sie Edit (Bearbeiten) aus. Fügen Sie den folgenden Anweisungen eine oder mehrere AWS Konto-IDs hinzu: "Allow use of the key" und"Allow attachment of persistent resources". Wählen Sie Änderungen speichern aus. Im folgenden Beispiel 444455556666 wird die AWS Konto-ID der Richtlinie hinzugefügt.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Standardansicht) Scrollen Sie nach unten zu Andere AWS Konten. Wählen Sie Weitere AWS Konten hinzufügen und geben Sie die AWS Konto-ID ein, wenn Sie dazu aufgefordert werden. Um ein weiteres Konto hinzuzufügen, wählen Sie Weiteres AWS Konto hinzufügen und geben Sie die AWS Konto-ID ein. Wenn Sie alle AWS -Konten hinzugefügt haben, wählen Sie Save Changes (Änderungen speichern) aus.

Anzeigen von Snapshots, die für Sie freigegeben wurden

Verwenden Sie zum Anzeigen von Snapshots, die für Sie freigegeben wurden, eine der folgenden Methoden.

Console
So zeigen Sie freigegebene Snapshots mit der Konsole an:

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Snapshots.

  3. Filtern Sie die aufgelisteten Snapshots. Wählen Sie in der linken oberen Ecke des Bildschirms eine der folgenden Optionen aus:

    • Private snapshots (Private Snapshots) – Damit zeigen Sie nur Snapshots an, die privat für Sie freigegeben wurden.

    • Public snapshots (Öffentliche Snapshots) – Damit zeigen Sie nur Snapshots an, die öffentlich für Sie freigegeben wurden.

AWS CLI
So zeigen Sie Snapshot-Berechtigungen mithilfe der Befehlszeile an

Verwenden Sie den describe-snapshot-attribute-Befehl.

Tools for Windows PowerShell
So zeigen Sie Snapshot-Berechtigungen mithilfe der Befehlszeile an

Verwenden Sie den Get-EC2SnapshotAttribute-Befehl.

Verwenden von Snapshots, die für Sie freigegeben wurden

So verwenden Sie einen freigegebenen, unverschlüsselten Snapshot:

Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Weitere Informationen finden Sie unter Anzeigen von Snapshots, die für Sie freigegeben wurden. Sie können diesen Snapshot so wie alle anderen Snapshots verwenden, deren Eigentümer Sie in Ihrem Konto sind. Sie können beispielsweise ein Volume aus dem Snapshot erstellen oder ihn in eine andere Region kopieren.

So verwenden Sie einen freigegebenen, verschlüsselten Snapshot:

Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Weitere Informationen finden Sie unter Anzeigen von Snapshots, die für Sie freigegeben wurden. Erstellen Sie eine Kopie des freigegebenen Snapshots in Ihrem Konto und verschlüsseln Sie die Kopie mit einem KMS-Schlüssel, dessen Eigentümer Sie sind. Anschließend können Sie die Kopie verwenden, um Volumes zu erstellen oder sie in andere Regionen kopieren.

Festlegen der Verwendung von Snapshots, die Sie freigeben

Sie können AWS CloudTrail damit überwachen, ob ein Snapshot, den Sie mit anderen geteilt haben, kopiert oder zur Erstellung eines Volumes verwendet wird. Die folgenden Ereignisse werden protokolliert CloudTrail:

  • SharedSnapshotCopyInitiated— Ein gemeinsam genutzter Snapshot wird kopiert.

  • SharedSnapshotVolumeCreated— Ein gemeinsam genutzter Snapshot wird verwendet, um ein Volume zu erstellen.

Weitere Informationen zur Verwendung CloudTrail finden Sie unter Protokollieren von Amazon EC2- und Amazon EBS-API-Aufrufen mit. AWS CloudTrail