Copiar una instantánea de Amazon EBS
Con Amazon EBS, puede crear instantáneas de volúmenes en un momento dado que se almacenan en Amazon S3. Después de crear una instantánea y de que se haya terminado de copiar en Simple Storage Service (Amazon S3) (cuando el estado de la instantánea es completed
), puede copiarla desde una región de AWS a otra, o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (AES de 256 bits) protege los datos en tránsito de la instantánea durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.
Para copiar instantáneas de varios volúmenes en otra región de AWS, recupere las instantáneas con la etiqueta que haya aplicado al conjunto de instantáneas de varios volúmenes al crearlo. A continuación, copie una a una las instantáneas en otra región.
Si quiere que otra cuenta pueda copiar su instantánea, debe modificar los permisos y permitir el acceso a la cuenta, o hacer la instantánea pública para que todas las cuentas de AWS puedan copiarla. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.
Para obtener información sobre cómo copiar una instantánea de Amazon RDS, consulte Copia de una instantánea de base de datos en la Guía del usuario de Amazon RDS.
Casos de uso
-
Expansión geográfica: lance las aplicaciones en una nueva región de AWS.
-
Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.
-
Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar las aplicaciones con las copias de seguridad creadas en un momento dado y almacenados en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.
-
Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).
-
Retención de datos y requisitos de auditoría: copie las instantáneas cifradas de EBS de una cuenta de AWS en otra para conservar los registros de datos u otros archivos para auditoría o retención de datos. El uso de cuentas distintas ayuda a evitar eliminaciones accidentales de instantáneas y le protege en caso de que la cuenta principal de AWS se ponga en peligro.
Requisitos previos
-
Puede copiar cualquier instantánea accesible que tenga un estado
completed
, incluidas aquellas compartidas y las que haya creado. -
Puede copiar instantáneas de AWS Marketplace, VM Import/Export y Storage Gateway, pero primero debe comprobar si se admiten en la región de destino.
Consideraciones
-
Hay un límite de
20
solicitudes de copia de instantáneas simultáneas por región de destino. Si supera esta cuota, recibe un errorResourceLimitExceeded
. Si recibe este error, espere a que se completen una o varias solicitudes de copia antes de realizar una solicitud nueva de copia de instantánea. -
Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia. Para obtener más información, consulte Etiquetar los recursos de Amazon EC2.
-
Las instantáneas creadas mediante la operación de copia de instantánea tienen un ID de volumen arbitrario que no debe utilizarse para ningún fin.
-
Los permisos de nivel de recursos especificados para la operación de copia instantánea solo se aplican a la nueva instantánea. No puede especificar permisos de nivel de recursos para la instantánea de origen. Para ver un ejemplo, consulte Ejemplo: Copia de instantáneas.
Precios
-
Para obtener información acerca de los precios de copiar instantáneas entre regiones y cuentas de AWS, consulte Precios de Amazon EBS
. -
Las operaciones de copia de instantáneas dentro de una única cuenta y región no copian datos reales, por lo que no cuestan nada siempre y cuando el estado de cifrado de la copia de instantáneas no cambie.
-
Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.
-
Si copia una instantánea en una nueva región, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales. Las copias posteriores de la misma instantánea son incrementales.
Copias de instantáneas incrementales
Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:
-
La instantánea se ha copiado previamente a la región o cuenta de destino.
-
La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.
-
Todas las copias de la instantánea en la región o cuenta de destino o bien no están cifradas o bien se han cifrado con la misma clave KMS.
Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.
Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.
Para ver si las copias de las instantáneas son incrementales, compruebe el evento de CloudWatch copySnapshot.
Cifrado y copia de la instantánea
Cuando copia una instantánea, puede cifrarla o puede especificar una clave KMS diferente de la original y la instantánea copiada resultante usa la nueva clave KMS. Sin embargo, si se cambia el estado de cifrado de una instantánea durante una operación de copia, podría dar como resultado una copia completa (no incremental), que puede entrañar mayores costos de almacenamiento y transferencia de datos.
Para copiar una instantánea cifrada compartida desde otra cuenta de AWS, debe tener permisos para usar la instantánea, así como para usar la clave maestra del cliente (CMK) que se utilizó para cifrar la instantánea. Cuando use una instantánea cifrada que se haya compartido con usted, es recomendable que la vuelva a cifrar copiándola con una clave KMS de su propiedad. Esta es una manera de protegerse en caso de que la clave KMS original corra peligro o si el propietario la revoca, lo que haría que perdiera el acceso a los volúmenes cifrados creados con la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.
Para aplicar el cifrado a las copias de instantáneas de EBS, establezca el parámetro Encrypted
en true
. (El parámetro Encrypted
es opcional si encryption by default está habilitado).
De forma opcional, puede utilizar KmsKeyId
para especificar una clave personalizada que se utilizará para cifrar la copia de la instantánea. (El parámetro Encrypted
también debe establecerse en true
, incluso si se ha habilitado el cifrado predeterminado). Si no se especifica el KmsKeyId
, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.
En las tablas siguientes, se describe el resultado de cifrado para cada combinación posible de configuraciones.
Temas
Resultados de cifrado: copiar instantáneas de su propiedad
Cifrado de forma predeterminada | ¿Se ha establecido el parámetro Encrypted ? |
Estado de cifrado de la instantánea de origen | Predeterminado (no se ha especificado ninguna clave de KMS) | Personalizado (se ha especificado una clave de KMS) |
---|---|---|---|---|
Deshabilitado | No | Sin cifrar | Sin cifrar | N/A |
Encrypted | Cifrado por Clave administrada por AWS | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted | Cifrado con la clave de KMS predeterminada | |||
Habilitado | No | Sin cifrar | Cifrado con la clave de KMS predeterminada | N/A |
Encrypted | Cifrado con la clave de KMS predeterminada | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted | Cifrado con la clave de KMS predeterminada |
** Esta es una clave administrada por el cliente que se especifica para la acción de copia. Esta clave administrada por el cliente se utiliza en lugar de la clave administrada por el cliente predeterminada para la cuenta y la región de AWS.
Resultados de cifrado: copiar instantáneas compartidas con usted
Cifrado de forma predeterminada | ¿Se ha establecido el parámetro Encrypted ? |
Estado de cifrado de la instantánea de origen | Valor predeterminado (no se ha especificado KmsKeyId) | Personalizado (se especificó KmsKeyId) |
---|---|---|---|---|
Deshabilitado | No | Sin cifrar | Sin cifrar | N/A |
Encrypted |
Cifrado por Clave administrada por AWS | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted |
Cifrado con la clave de KMS predeterminada | |||
Habilitado | No | Sin cifrar | Cifrado con la clave de KMS predeterminada | N/A |
Encrypted |
Cifrado con la clave de KMS predeterminada | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted |
Cifrado con la clave de KMS predeterminada |
** Esta es una clave administrada por el cliente que se especifica para la acción de copia. Esta clave administrada por el cliente se utiliza en lugar de la clave administrada por el cliente predeterminada para la cuenta y la región de AWS.
Copia de una instantánea
Para copiar una instantánea, utilice alguno de los métodos siguientes.
Para comprobar errores
Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
Si la copia da error porque no dispone de permisos suficientes para la clave, verá el mensaje siguiente: "StateMessage": "Given key ID is not accessible"
.
Cuando copie una instantánea cifrada, debe tener permisos DescribeKey
en la CMK predeterminada. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener información sobre la administración de claves CMK, consulte Control del acceso a las claves maestras del cliente.