Compartir una instantánea de Amazon EBS - Amazon Elastic Compute Cloud

Compartir una instantánea de Amazon EBS

Puede modificar los permisos de una instantánea si desea compartirla con otras cuentas de AWS. Puede compartir instantáneas públicamente con todas las demás cuentas de AWS o puede compartirlas de forma privada con las cuentas de AWS individuales que especifique. Los usuarios que ha autorizado podrán usar las instantáneas que comparta para crear sus propios volúmenes de EBS, mientras que la instantánea original se mantendrá sin cambios.

importante

Cuando comparte una instantánea, concede a otras personas acceso a todos los datos de la instantánea. Comparta instantáneas solo con aquellas personas en las que confiaría todos los datos que contienen las instantáneas.

Antes de compartir una instantánea

Las siguientes consideraciones se aplican al uso compartido de instantáneas:

  • Las instantáneas están restringidas a la región en la que se han creado. Para compartir una instantánea con otra región, copie la instantánea en dicha región y, luego, comparta la copia. Para obtener más información, consulte Copiar una instantánea de Amazon EBS.

  • No puede compartir instantáneas que estén cifradas con la Clave administrada por AWS predeterminada. Solo puede compartir instantáneas que estén cifradas con una clave administrada por el cliente. Para obtener más información, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

  • Solo puede compartir instantáneas sin cifrar de forma pública.

  • Cuando comparta una instantánea cifrada, también deberá compartir la clave administrada por el cliente usada para cifrar la instantánea. Para obtener más información, consulte Compartir una clave de KMS.

Compartir una instantánea

Puede compartir una instantánea mediante alguno de los métodos descritos en la sección.

Console

Para compartir una instantánea

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Snapshots (Instantáneas) en el panel de navegación.

  3. Seleccione la instantánea y después elija Actions (Acciones), Modify Permissions (Modificar permisos).

  4. Elija si la instantánea será pública o si la compartirá con cuentas de AWS específicas tal como se indica a continuación:

    • Para hacerla pública, elija Public (Pública).

    • Para compartir la instantánea con una o varias cuentas de AWS, elija Private (Privada), introduzca el ID de la cuenta de AWS (sin guiones) en AWS Account Number (Número de cuenta de AWS) y elija Add Permission (Añadir permiso). Repita la operación para todas las demás cuentas de AWS.

  5. Elija Save (Guardar).

AWS CLI

Los permisos para una instantánea se especifican mediante el atributo createVolumePermission de la instantánea. Para convertir una instantánea en pública, establezca el grupo en all. Para compartir una instantánea con una cuenta determinada de AWS, establezca el usuario en el ID de la cuenta de AWS.

Para compartir una instantánea de forma pública

Utilice uno de los siguientes comandos.

  • modify-snapshot-attribute (AWS CLI)

    En --attribute, especifique createVolumePermission. En --operation-type, especifique add. En --group-names, especifique all.

    $ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
  • Edit-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)

    En -Attribute, especifique CreateVolumePermission. En -OperationType, especifique Add. En -GroupName, especifique all.

    PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all

Para compartir una instantánea de forma privada

Utilice uno de los siguientes comandos.

  • modify-snapshot-attribute (AWS CLI)

    En --attribute, especifique createVolumePermission. En --operation-type, especifique add. En --user-ids, especifique los ID de 12 dígitos de las cuentas de AWS con las cuales va a compartir las instantáneas.

    $ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
  • Edit-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)

    En -Attribute, especifique CreateVolumePermission. En -OperationType, especifique Add. En UserId, especifique los ID de 12 dígitos de las cuentas de AWS con las cuales va a compartir las instantáneas.

    PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Compartir una clave de KMS

Cuando comparta una instantánea cifrada, también deberá compartir la clave administrada por el cliente usada para cifrar la instantánea. Puede aplicar permisos entre cuentas a una clave administrada por el cliente en el momento de crearla o en un momento posterior.

Los usuarios de la clave administrada por el cliente compartida que tienen acceso a las instantáneas cifradas deben contar con los permisos para realizar las siguientes acciones sobre la clave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:ReEncrypt

  • kms:Decrypt

Para obtener más información acerca del control del acceso a una clave administrada por el cliente, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Para compartir la clave administrada por el cliente con la consola de AWS KMS

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la región de AWS, utilice el Region selector (Selector de regiones) en la esquina superior derecha de la página.

  3. Elija Customer managed keys (Claves administradas por el cliente) en el panel de navegación.

  4. En la columna Alias elija el alias (enlace de texto) de la clave administrada por el cliente que utilizó para cifrar la instantánea. Los detalles de clave se abren en una nueva página.

  5. En la sección Key policy (Política de claves), verá la vista de política o la vista predeterminada. La vista de política muestra el documento de políticas de claves. La vista predeterminada muestra secciones para Key administrators (Administradores de claves), Key deletion (Eliminación de claves), Key Use (Uso de claves) y Other AWS accounts (Otras cuentas de AWS). La vista predeterminada se muestra si creó la política en la consola y no la ha personalizado. Si la vista predeterminada no está disponible, deberá editar manualmente la política en la vista de políticas. Para obtener más información, consulte Visualización de una política de claves (consola) en la Guía para desarrolladores de AWS Key Management Service.

    Utilice la vista de políticas o la vista predeterminada, en función de la vista a la que pueda acceder, para agregar uno o varios ID de cuenta de AWS a la política, como se indica a continuación:

    • (Vista de políticas) Elija Edit (Editar). Agregue uno o varios ID de cuenta de AWS a las instrucciones siguientes: "Allow use of the key" y "Allow attachment of persistent resources". Elija Save changes. En el siguiente ejemplo, el ID AWS de cuenta de 444455556666 se agrega a la política.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Vista predeterminada) Desplácese hasta Other AWS accounts (Otras cuentas de AWS). Elija Add other AWS accounts (Añadir otras cuentas de AWS) y escriba el ID de cuenta de AWS tal como se le solicita. Para añadir otra cuenta, elija Add another AWS account (Añadir otra cuenta de AWS) y escriba el ID de cuenta de AWS. Cuando haya añadido todas las cuentas de AWS, elija Save changes (Guardar cambios).

Ver las instantáneas compartidas con usted

Puede ver las instantáneas compartidas con usted mediante alguno de los métodos siguientes.

Console

Para ver las instantáneas compartidas mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Filtre las instantáneas que aparecen en la lista. En la esquina superior izquierda de la pantalla, elija una de las siguientes opciones:

    • Private snapshots (Instantáneas privadas): para ver solo las instantáneas compartidas con usted de forma privada.

    • Public snapshots (Instantáneas públicas): para ver solo las instantáneas compartidas con usted de forma pública.

AWS CLI

Para ver los permisos de las instantáneas mediante la línea de comandos

Utilice uno de los siguientes comandos:

Usar las instantáneas compartidas con usted

Para usar una instantánea no cifrada compartida

Ubique la instantánea compartida por ID o descripción. Para obtener más información, consulte Ver las instantáneas compartidas con usted. Puede usar esta instantánea como lo haría con cualquier otra instantánea que posea en su cuenta. Por ejemplo, puede crear un volumen a partir de la instantánea o copiarla en una región diferente.

Para usar una instantánea no cifrada compartida

Ubique la instantánea compartida por ID o descripción. Para obtener más información, consulte Ver las instantáneas compartidas con usted. Cree una copia de la instantánea compartida en su cuenta y cifre la copia con una clave de KMS de su propiedad. A continuación, puede utilizar la copia para crear volúmenes o puede copiarla en regiones diferentes.

Determinar el uso de instantáneas que comparte

Puede utilizar AWS CloudTrail para monitorear si una instantánea que ha compartido con otros se copia o se utiliza para crear un volumen. Los siguientes eventos se han registrado en CloudTrail:

  • SharedSnapshotCopyInitiated: se está copiando una instantánea compartida.

  • SharedSnapshotVolumeCreated: se está utilizando una instantánea compartida para crear un volumen.

Para obtener más información acerca del uso de CloudTrail, consulte Registrar llamadas a la API de Amazon EC2 y Amazon EBS con AWS CloudTrail.