Uso compartido de una instantánea de Amazon EBS - Amazon Elastic Compute Cloud

Uso compartido de una instantánea de Amazon EBS

Puede compartir una instantánea con las cuentas de AWS que especifique modificando los permisos de la instantánea. Los usuarios que autorice pueden usar las instantáneas que comparte como punto de partida para crear sus propios volúmenes de EBS, mientras que la instantánea original no resulta afectada.

Si así lo decide, puede poner las instantáneas no cifradas a disposición del público para todos los usuarios de AWS. No puede poner sus instantáneas cifradas a disposición del público.

Cuando comparta una instantánea cifrada, también debe compartir la CMK administrada por el cliente usada para cifrar la instantánea. Puede aplicar permisos entre cuentas a una CMK administrada por el cliente bien cuando se crea, bien en un momento posterior.

importante

Cuando comparte una instantánea, concede a otras personas acceso a todos los datos de la instantánea. Comparta las instantáneas solo con aquellas personas con las que desea compartir todos los datos que contienen.

Consideraciones

Las siguientes consideraciones se aplican al uso compartido de instantáneas:

  • Las instantáneas están restringidas a la región en la que se han creado. Para compartir una instantánea con otra región, copie la instantánea en dicha región. Para obtener más información, consulte Copia de una instantánea de Amazon EBS.

  • AWS impide que se compartan instantáneas que se cifraron con la CMK predeterminada. Las instantáneas que se intentan compartir deben estar cifradas con una CMK administrada por el cliente. Para obtener más información, consulte Creating Keys en la AWS Key Management Service Developer Guide.

  • Los usuarios de la CMK compartida que tienen acceso a las instantáneas cifradas deben disfrutar de los permisos para realizar las siguientes acciones sobre la clave: kms:DescribeKey, kms:CreateGrant, GenerateDataKey y kms:ReEncrypt. Para obtener más información, consulte Control del acceso a las claves maestras del cliente en la AWS Key Management Service Developer Guide.

Uso compartido de una instantánea sin cifrar con la consola

Para compartir una instantánea con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Snapshots (Instantáneas) en el panel de navegación.

  3. Seleccione la instantánea y después elija Actions (Acciones), Modify Permissions (Modificar permisos).

  4. Elija si la instantánea será pública o si la compartirá con cuentas de AWS específicas tal como se indica a continuación:

    • Para hacerla pública, elija Public (Pública).

      Esta opción no es válida para las instantáneas cifradas o para aquellas que tengan un código de producto de AWS Marketplace.

    • Para compartir la instantánea con una o varias cuentas de AWS, elija Private (Privada), introduzca el ID de la cuenta de AWS (sin guiones) en AWS Account Number (Número de cuenta de &AWS;) y elija Add Permission (Añadir permiso). Repita la operación para todas las demás cuentas de AWS.

  5. Seleccione Save.

Para usar una instantánea sin cifrar que se compartió de forma privada con usted

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Snapshots (Instantáneas) en el panel de navegación.

  3. Elija el filtro Private Snapshots (Instantáneas privadas).

  4. Busque la instantánea por ID o descripción. Puede usar esta instantánea como cualquier otra; por ejemplo, puede crear un volumen a partir de la instantánea o copiar la instantánea en una región diferente.

Uso compartido de una instantánea cifrada con la consola

Para compartir una instantánea cifrada con la consola

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la región AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. Elija Customer managed keys (Claves administradas por el cliente) en el panel de navegación.

  4. En la columna Alias elija el alias (enlace de texto) de la clave administrada por el cliente que utilizó para cifrar la instantánea. Los detalles de clave se abren en una nueva página.

  5. En la sección Key policy (Política de claves), verá la vista de política o la vista predeterminada. La vista de política muestra el documento de políticas de claves. La vista predeterminada muestra secciones para Key administrators (Administradores de claves), Key deletion (Eliminación de claves), Key Use (Uso de claves) y Other AWS accounts (Otras cuentas de AWS). La vista predeterminada se muestra si creó la política en la consola y no la ha personalizado. Si la vista predeterminada no está disponible, deberá editar manualmente la política en la vista de políticas. Para obtener más información, consulte Visualización de una política de claves (Consola) en la AWS Key Management Service Developer Guide.

    Utilice la vista de políticas o la vista predeterminada, en función de la vista a la que pueda acceder, para agregar uno o varios ID de cuenta de AWS a la política, como se indica a continuación:

    • (Vista de políticas) Elija Edit (Editar). Agregue uno o varios ID de cuenta de AWS a las instrucciones siguientes: "Allow use of the key" y "Allow attachment of persistent resources". Elija Save changes. En el siguiente ejemplo, el ID de cuenta de AWS 444455556666 se agrega a la política.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Vista predeterminada) Desplácese hasta Other AWS accounts (Otras cuentas de AWS). Elija Add other AWS accounts (Añadir otras cuentas de AWS) y escriba el ID de cuenta de AWS tal como se le solicita. Para añadir otra cuenta, elija Add another AWS account (Añadir otra cuenta de AWS) y escriba el ID de cuenta de AWS. Cuando haya añadido todas las cuentas de AWS, elija Save changes (Guardar cambios).

  6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  7. Elija Snapshots (Instantáneas) en el panel de navegación.

  8. Seleccione la instantánea y después elija Actions (Acciones), Modify Permissions (Modificar permisos).

  9. Para cada cuenta de AWS, introduzca el ID de la cuenta de AWS en AWS Account Number (Número de cuenta de &AWS;) y elija Add Permission (Añadir permiso). Cuando haya añadido todas las cuentas de AWS, elija Save (Guardar).

Para usar una instantánea cifrada compartida con usted

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Snapshots (Instantáneas) en el panel de navegación.

  3. Elija el filtro Private Snapshots (Instantáneas privadas). Si lo desea, añada el filtro Encrypted (Cifradas).

  4. Busque la instantánea por ID o descripción.

  5. Seleccione la instantánea y elija Actions (Acciones), Copy (Copiar).

  6. (Opcional) Seleccione una región de destino.

  7. La copia de la instantánea se cifra mediante la clave que se muestra en Master Key (Clave maestra). De manera predeterminada, la clave seleccionada es la CMK predeterminada de su cuenta. Para seleccionar una CMK administrada por el cliente, haga clic dentro del cuadro de entrada para ver una lista de las claves disponibles.

  8. Elija Copy.

Uso compartido de una instantánea con la línea de comandos

Los permisos para una instantánea se especifican mediante el atributo createVolumePermission de la instantánea. Para convertir una instantánea en pública, establezca el grupo en all. Para compartir una instantánea con una cuenta determinada de AWS, establezca el usuario en el ID de la cuenta de AWS.

Para modificar los permisos de las instantáneas mediante la línea de comandos

Utilice uno de los siguientes comandos:

Para ver los permisos de las instantáneas mediante la línea de comandos

Utilice uno de los siguientes comandos:

Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceso a Amazon EC2.

Determinar el uso de instantáneas compartidas

Puede utilizar AWS CloudTrail para monitorear si una instantánea que ha compartido con otros se copia o se utiliza para crear un volumen. Los siguientes eventos se han registrado en CloudTrail:

  • SharedSnapshotCopyInitiated: se está copiando una instantánea compartida.

  • SharedSnapshotVolumeCreated: se está utilizando una instantánea compartida para crear un volumen.

Para obtener más información acerca del uso de CloudTrail, consulte Registro de llamadas a la API de Amazon EC2 y de Amazon EBS con AWS CloudTrail.