Copiar una instantánea de Amazon EBS - Amazon Elastic Compute Cloud

Copiar una instantánea de Amazon EBS

Con Amazon EBS, puede crear instantáneas de volúmenes en un momento dado que se almacenan en Amazon S3. Después de crear una instantánea y de que se haya terminado de copiar en Amazon S3 (cuando el estado de la instantánea es completed), puede copiarla desde una región de AWS a otra, o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (AES de 256 bits) protege los datos en tránsito de la instantánea durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.

Para copiar instantáneas de varios volúmenes en otra región de AWS, recupere las instantáneas con la etiqueta que haya aplicado al conjunto de instantáneas de varios volúmenes al crearlo. A continuación, copie una a una las instantáneas en otra región.

Si quiere que otra cuenta pueda copiar su instantánea, debe modificar los permisos y permitir el acceso a la cuenta, o hacer la instantánea pública para que todas las cuentas de AWS puedan copiarla. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Para obtener información sobre cómo copiar una instantánea de Amazon RDS, consulte Copia de una instantánea de base de datos en la Guía del usuario de Amazon RDS.

Casos de uso

  • Expansión geográfica: lance las aplicaciones en una nueva región de AWS.

  • Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.

  • Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar las aplicaciones con las copias de seguridad creadas en un momento dado y almacenados en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.

  • Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).

  • Retención de datos y requisitos de auditoría: copie las instantáneas cifradas de EBS de una cuenta de AWS en otra para conservar los registros de datos u otros archivos para auditoría o retención de datos. El uso de cuentas distintas ayuda a evitar eliminaciones accidentales de instantáneas y le protege en caso de que la cuenta principal de AWS se ponga en peligro.

Prerequisites

  • Puede copiar cualquier instantánea accesible que tenga un estado completed, incluidas aquellas compartidas y las que haya creado.

  • Puede copiar instantáneas de AWS Marketplace , VM Import/Export y Storage Gateway, pero primero debe comprobar si se admiten en la región de destino.

Considerations

  • Cada cuenta puede tener hasta cinco solicitudes simultáneas de copia de instantánea en una única región de destino.

  • Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia. Para obtener más información, consulte Etiquetar los recursos de Amazon EC2.

  • Las instantáneas creadas mediante la operación de copia de instantánea tienen un ID de volumen arbitrario que no debe utilizarse para ningún fin.

  • Los permisos de nivel de recursos especificados para la operación de copia instantánea solo se aplican a la nueva instantánea. No puede especificar permisos de nivel de recursos para la instantánea de origen. Para ver un ejemplo, consulte Ejemplo: Copia de instantáneas.

Pricing

  • Para obtener información acerca de los precios de copiar instantáneas entre regiones y cuentas de AWS, consulte Precios de Amazon EBS.

  • Las operaciones de copia de instantáneas dentro de una única cuenta y región no copian datos reales, por lo que no cuestan nada siempre y cuando el estado de cifrado de la copia de instantáneas no cambie.

  • Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.

  • Si copia una instantánea en una nueva región, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales. Las copias posteriores de la misma instantánea son incrementales.

Copias de instantáneas incrementales

Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:

  • La instantánea se ha copiado previamente a la región o cuenta de destino.

  • La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.

  • Todas las copias de la instantánea en la región o cuenta de destino o bien no están cifradas o bien se han cifrado con la misma clave KMS.

Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.

Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.

Para ver si las copias de las instantáneas son incrementales, compruebe el evento de CloudWatch copySnapshot.

Cifrado y copia de la instantánea

Cuando copia una instantánea, puede cifrarla o puede especificar una clave KMS diferente de la original y la instantánea copiada resultante usa la nueva clave KMS. Sin embargo, si se cambia el estado de cifrado de una instantánea durante una operación de copia, podría dar como resultado una copia completa (no incremental), que puede entrañar mayores costos de almacenamiento y transferencia de datos.

Para copiar una instantánea cifrada compartida desde otra cuenta de AWS, debe tener permisos para usar la instantánea, así como para usar la clave maestra del cliente (CMK) que se utilizó para cifrar la instantánea. Cuando use una instantánea cifrada que se haya compartido con usted, es recomendable que la vuelva a cifrar copiándola con una clave KMS de su propiedad. Esta es una manera de protegerse en caso de que la clave KMS original corra peligro o si el propietario la revoca, lo que haría que perdiera el acceso a los volúmenes cifrados creados con la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Para aplicar el cifrado a las copias de instantáneas de EBS, establezca el parámetro Encrypted en true. (El parámetro Encrypted es opcional si encryption by default está habilitado).

De forma opcional, puede usar KmsKeyId para especificar una clave personalizada que se va a usar para cifrar la copia de la instantánea. (El parámetro Encrypted también debe establecerse en true, incluso si se ha habilitado el cifrado predeterminado). Si no se especifica el KmsKeyId, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.

En las tablas siguientes, se describe el resultado de cifrado para cada combinación posible de configuraciones.

Resultados de cifrado: copiar instantáneas de su propiedad

Cifrado de forma predeterminada ¿Se ha establecido el parámetro Encrypted? Estado de cifrado de la instantánea de origen Predeterminado (no se ha especificado ninguna clave de KMS) Personalizado (se ha especificado una clave de KMS)
Deshabilitado No Sin cifrar Sin cifrar N/A
Encrypted Cifrado por Clave administrada por AWS
Sin cifrar Cifrado con la clave de KMS predeterminada Cifrado con la clave de KMS especificada**
Encrypted Cifrado con la clave de KMS predeterminada
Habilitado No Sin cifrar Cifrado con la clave de KMS predeterminada N/A
Encrypted Cifrado con la clave de KMS predeterminada
Sin cifrar Cifrado con la clave de KMS predeterminada Cifrado con la clave de KMS especificada**
Encrypted Cifrado con la clave de KMS predeterminada

** Esta es una clave administrada por el cliente que se especifica para la acción de copia. Esta clave administrada por el cliente se utiliza en lugar de la clave administrada por el cliente predeterminada para la cuenta y la región de AWS.

Resultados de cifrado: copiar instantáneas compartidas con usted

Cifrado de forma predeterminada ¿Se ha establecido el parámetro Encrypted? Estado de cifrado de la instantánea de origen Valor predeterminado (no se ha especificado KmsKeyId) Personalizado (se especificó KmsKeyId)
Deshabilitado No Sin cifrar Sin cifrar N/A

Encrypted

Cifrado por Clave administrada por AWS
Sin cifrar Cifrado con la clave de KMS predeterminada Cifrado con la clave de KMS especificada**

Encrypted

Cifrado con la clave de KMS predeterminada
Habilitado No Sin cifrar Cifrado con la clave de KMS predeterminada N/A

Encrypted

Cifrado con la clave de KMS predeterminada
Sin cifrar Cifrado con la clave de KMS predeterminada Cifrado con la clave de KMS especificada**

Encrypted

Cifrado con la clave de KMS predeterminada

** Esta es una clave administrada por el cliente que se especifica para la acción de copia. Esta clave administrada por el cliente se utiliza en lugar de la clave administrada por el cliente predeterminada para la cuenta y la región de AWS.

Copia de una instantánea

Para copiar una instantánea, utilice alguno de los métodos siguientes.

Console

Para copiar una instantánea con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Seleccione la instantánea que va a copiar y después elija Copy (Copiar) en la lista Actions (Acciones).

  4. En el cuadro de diálogo Copy Snapshot (Copiar instantánea), actualice lo siguiente según sea necesario:

    • Destination region (Región de destino): seleccione la región donde quiere escribir la copia de la instantánea.

    • Description (Descripción): de forma predeterminada, la descripción incluye información acerca de la instantánea de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

    • Encryption (Cifrado): si la instantánea de origen no está cifrada, puede elegir cifrar la copia. Si ha habilitado el cifrado por defecto, se establece la opción Encryption (Cifrado) y no se puede anular de la consola de la instantánea. Si se ha establecido la opción Encryption (Cifrado), puede elegir cifrarla en una CMK administrada por el cliente al seleccionar una en el campo, como se describe a continuación.

      No se puede eliminar el cifrado de una instantánea cifrada.

    • Master Key (Clave maestra): la clave maestra del cliente (CMK) que se utilizará para cifrar esta instantánea. Inicialmente se muestra la clave predeterminada para su cuenta, pero puede seleccionar de manera opcional las claves maestras en su cuenta o escribir/pegar el ARN de una clave desde una cuenta diferente. Puede crear nuevas claves de cifrado maestras en la consola de AWS KMS.

  5. Elija Copy.

  6. En el cuadro de diálogo de confirmación Copy Snapshot (Copiar instantánea), elija Snapshots (Instantáneas) para ir a la página Snapshots (Instantáneas) de la región especificada o elija Close (Cerrar).

    Para ver el progreso del proceso de copia, cambie a la región de destino y después actualice la página Snapshots (Instantáneas). Las copias en progreso se muestran en la parte superior de la página.

AWS CLI

Para copiar una instantánea mediante la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceder a Amazon EC2.

Para comprobar errores

Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copia da error porque no dispone de permisos suficientes para la clave, verá el mensaje siguiente: "StateMessage": "Given key ID is not accessible".

Cuando copie una instantánea cifrada, debe tener permisos DescribeKey en la CMK predeterminada. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener información sobre la administración de claves CMK, consulte Control del acceso a las claves maestras del cliente.