Copiar una instantánea de Amazon EBS - Amazon Elastic Compute Cloud

Copiar una instantánea de Amazon EBS

Con Amazon EBS, puede crear instantáneas de volúmenes en un momento dado que se almacenan en Amazon S3. Después de crear una instantánea y de que se haya terminado de copiar en Amazon S3 (cuando el estado de la instantánea sea completed), puede copiarla desde una región de AWS a otra o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (AES de 256 bits) protege los datos en tránsito de la instantánea durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.

Para copiar instantáneas de varios volúmenes en otra región de AWS, recupere las instantáneas con la etiqueta que haya aplicado al grupo de instantáneas de varios volúmenes al crearlo. A continuación, copie una a una las instantáneas en otra región.

Para obtener información sobre cómo copiar una instantánea de Amazon RDS, consulte Copia de una instantánea de base de datos en la Guía del usuario de Amazon RDS.

Si quiere que otra cuenta pueda copiar su instantánea, debe modificar los permisos y permitir el acceso a la cuenta, o hacer la instantánea pública para que todas las cuentas de AWS puedan copiarla. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Para obtener información sobre los precios de copiar instantáneas entre cuentas y regiones de AWS distintas, consulte Precios de Amazon EBS.

nota

Las operaciones de copia de instantáneas dentro de una única cuenta y región no copian datos reales, por lo que no tienen costo siempre y cuando el estado de cifrado de la copia de instantáneas no cambie.

nota

Si copia una instantánea en una nueva región, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

nota

Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

Casos de uso

  • Expansión geográfica: lance las aplicaciones en una nueva región de AWS.

  • Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.

  • Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar las aplicaciones con las copias de seguridad creadas en un momento dado y almacenados en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.

  • Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).

  • Retención de datos y requisitos de auditoría: copie las instantáneas cifradas de EBS de una cuenta de AWS en otra para conservar los registros de datos u otros archivos para auditoría o retención de datos. El uso de cuentas distintas ayuda a evitar eliminaciones accidentales de instantáneas y le protege en caso de que la cuenta principal de AWS se ponga en peligro.

Requisitos previos

  • Puede copiar cualquier instantánea accesible que tenga un estado completed, incluidas aquellas compartidas y las que haya creado.

  • Puede copiar instantáneas de AWS Marketplace, VM Import/Export y AWS Storage Gateway, pero debe comprobar primero si se admiten en la región de destino.

Límites

  • Cada cuenta puede tener hasta cinco solicitudes simultáneas de copia de instantánea en una única región de destino.

  • Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia. Para obtener más información, consulte Etiquetar los recursos de Amazon EC2.

  • Las instantáneas creadas mediante la acción CopySnapshot tienen un ID de volumen arbitrario que no debe utilizarse para ningún fin.

Copias de instantáneas incrementales

Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:

  • La instantánea se ha copiado previamente a la región o cuenta de destino.

  • La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.

  • Todas las copias de la instantánea en la región o cuenta de destino o bien no están cifradas o bien se han cifrado con la misma CMK.

Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.

Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.

Para ver si las copias de las instantáneas son incrementales, compruebe el evento de CloudWatch copySnapshot.

Cifrado y copia de la instantánea

Cuando copia una instantánea, puede cifrarla o puede especificar una CMK diferente de la original y la instantánea copiada resultante usa la nueva CMK. Sin embargo, si se cambia el estado de cifrado de una instantánea durante una operación de copia, podría dar como resultado una copia completa (no incremental), que puede entrañar mayores costos de almacenamiento y transferencia de datos.

Para copiar una instantánea cifrada compartida desde otra cuenta de AWS, debe tener permisos para usar la instantánea, así como para usar la clave maestra del cliente (CMK) que se utilizó para cifrar la instantánea. Cuando use una instantánea cifrada que se haya compartido con usted, es recomendable que la vuelva a cifrar copiándola con una CMK de su propiedad. Esta es una manera de protegerse en caso de que la CMK original corra peligro o si el propietario la revoca, lo que haría que perdiera el acceso a los volúmenes cifrados creados con la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Aplique el cifrado a las copias de instantáneas de EBS configurando el parámetro Encrypted en true. (El parámetro Encrypted es opcional si está activado el cifrado de forma predeterminada).

También puede utilizar KmsKeyId para especificar una clave personalizada que se utilizará para cifrar la copia de la instantánea. (El parámetro Encrypted también debe establecerse en true, aunque esté activado el cifrado de forma predeterminada). Si no se especifica KmsKeyId, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.

En la tabla siguiente se describe el resultado del cifrado para cada posible combinación de configuraciones.

Resultados de cifrado: copia de una instantánea
¿Se ha establecido el parámetro Encrypted? ¿Está configurado el cifrado de forma predeterminada? Instantánea de origen Predeterminado (no se especifica KmsKeyId) Personalizado (no se especifica KmsKeyId)
No No Instantánea no cifrada que posea Sin cifrar N/A
No No Instantánea cifrada que posea Cifrada con la misma clave
No No Instantánea no cifrada compartida con usted Sin cifrar
No No

Instantánea cifrada compartida con usted

Cifrada con la CMK predeterminada*
No Instantánea no cifrada que posea Cifrada con la CMK predeterminada Cifrada con una CMK especificada**
No Instantánea cifrada que posea Cifrada con la misma clave
No Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada
No

Instantánea cifrada compartida con usted

Cifrada con la CMK predeterminada
No Instantánea no cifrada que posea Cifrada con la CMK predeterminada N/A
No Instantánea cifrada que posea Cifrada con la misma clave
No Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada
No

Instantánea cifrada compartida con usted

Cifrada con la CMK predeterminada
Instantánea no cifrada que posea Cifrada con la CMK predeterminada Cifrada con una CMK especificada
Instantánea cifrada que posea Cifrada con la misma clave
Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada

Instantánea cifrada compartida con usted

Cifrada con la CMK predeterminada

* Es la CMK predeterminada usada para cifrado EBS para la cuenta y la región de AWS. De forma predeterminada, esta es una CMK administrada por AWS única para EBS o puede especificar una CMK administrada por el cliente. Para obtener más información, consulte Clave predeterminada para el cifrado de EBS.

** Es una CMK administrada por el cliente especificada para la acción de copia. Esta CMK se utiliza en lugar de la CMK predeterminada de la cuenta y la región de AWS.

Copia de una instantánea

Utilice el siguiente procedimiento para copiar instantáneas con la consola de Amazon EC2.

Para copiar una instantánea con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Seleccione la instantánea que va a copiar y después elija Copy (Copiar) en la lista Actions (Acciones).

  4. En el cuadro de diálogo Copy Snapshot (Copiar instantánea), actualice lo siguiente según sea necesario:

    • Destination region (Región de destino): seleccione la región donde quiere escribir la copia de la instantánea.

    • Description (Descripción): de forma predeterminada, la descripción incluye información acerca de la instantánea de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

    • Encryption (Cifrado): si la instantánea de origen no está cifrada, puede elegir cifrar la copia. Si ha habilitado el cifrado por defecto, se establece la opción Encryption (Cifrado) y no se puede anular de la consola de la instantánea. Si se ha establecido la opción Encryption (Cifrado), puede elegir cifrarla en una CMK administrada por el cliente al seleccionar una en el campo, como se describe a continuación.

      No se puede eliminar el cifrado de una instantánea cifrada.

      nota

      Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

    • Master Key (Clave maestra): la clave maestra del cliente (CMK) que se utilizará para cifrar esta instantánea. Inicialmente se muestra la clave predeterminada para su cuenta, pero puede seleccionar de manera opcional las claves maestras en su cuenta o escribir/pegar el ARN de una clave desde una cuenta diferente. Puede crear nuevas claves de cifrado maestras en la consola IAM de https://console.aws.amazon.com/iam/.

  5. Elija Copy.

  6. En el cuadro de diálogo de confirmación Copy Snapshot (Copiar instantánea), elija Snapshots (Instantáneas) para ir a la página Snapshots (Instantáneas) de la región especificada o elija Close (Cerrar).

    Para ver el progreso del proceso de copia, cambie a la región de destino y después actualice la página Snapshots (Instantáneas). Las copias en progreso se muestran en la parte superior de la página.

Para comprobar errores

Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copia da error porque no dispone de permisos suficientes para la clave, verá el mensaje siguiente: "StateMessage": "Given key ID is not accessible".

Cuando copie una instantánea cifrada, debe tener permisos DescribeKey en la CMK predeterminada. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener información sobre la administración de claves CMK, consulte Control del acceso a las claves maestras del cliente.

Para copiar una instantánea mediante la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceder a Amazon EC2.