Copiar una EBS instantánea de Amazon - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Copiar una EBS instantánea de Amazon

Con AmazonEBS, puede crear point-in-time instantáneas de volúmenes, que almacenamos para usted en Amazon S3. Una vez que haya creado una instantánea y haya terminado de copiarse en Amazon S3 (si el estado de la instantánea escompleted), puede copiarla de una AWS región a otra o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (256 bitsAES) protege los datos de una instantánea en tránsito durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.

Para copiar instantáneas de varios volúmenes a otra AWS región, recupere las instantáneas con la etiqueta que aplicó al conjunto de instantáneas de varios volúmenes cuando lo creó. A continuación, copie una a una las instantáneas en otra región.

Si desea que otra cuenta pueda copiar su instantánea, debe modificar los permisos de la instantánea para permitir el acceso a esa cuenta o hacer que la instantánea sea pública para que todas AWS las cuentas puedan copiarla. Para obtener más información, consulte Comparte una EBS instantánea de Amazon.

Para obtener información sobre cómo copiar una RDS instantánea de Amazon, consulte Copiar una instantánea de base de datos en la Guía del RDS usuario de Amazon.

Casos de uso
  • Expansión geográfica: lance sus aplicaciones en una nueva AWS región.

  • Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.

  • Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar sus aplicaciones mediante las point-in-time copias de seguridad almacenadas en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.

  • Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).

  • Requisitos de conservación y auditoría de datos: copie las EBS instantáneas cifradas de una AWS cuenta a otra para conservar los registros de datos u otros archivos con fines de auditoría o retención de datos. El uso de una cuenta diferente ayuda a evitar la eliminación accidental de instantáneas y le protege en caso de que su AWS cuenta principal se vea comprometida.

Requisitos previos

  • Puede copiar cualquier instantánea accesible que tenga un estado completed, incluidas aquellas compartidas y las que haya creado.

  • Puede copiar AWS Marketplace instantáneas de VM Import/Export y Storage Gateway, pero debe comprobar que la instantánea es compatible con la región de destino.

  • Para copiar una instantánea cifrada, tu usuario debe tener los siguientes permisos para usar el EBS cifrado de Amazon.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para usar la clave administrada por el cliente que se utilizó para cifrar la instantánea. Para obtener más información, consulte Comparta una clave KMS.

Consideraciones

  • Hay un límite de 20 solicitudes de copia de instantáneas simultáneas por región de destino. Si supera esta cuota, recibe un error ResourceLimitExceeded. Si recibe este error, espere a que se completen una o varias solicitudes de copia antes de realizar una solicitud nueva de copia de instantánea.

  • Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia.

  • Las instantáneas creadas mediante la operación de copia de una instantánea tienen un ID de volumen arbitrario, como vol-ffff o vol-ffffffff. Este volumen arbitrario no IDs debe usarse para ningún propósito.

  • Los permisos de nivel de recursos especificados para la operación de copia instantánea solo se aplican a la nueva instantánea. No puede especificar permisos de nivel de recursos para la instantánea de origen. Para ver un ejemplo, consulte Ejemplo: copia de instantáneas.

Precios

  • Para obtener información sobre los precios de la copia de instantáneas entre AWS regiones y cuentas, consulta los EBSprecios de Amazon.

  • Si copia una instantánea y la cifra con una KMS clave nueva, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales.

  • Si copia una instantánea en una nueva región, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales. Las copias posteriores de la misma instantánea son incrementales.

  • Si utiliza transferencias de datos externas o entre regiones, se aplicarán cargos adicionales por transferencia de EC2 datos. Además, si elimina alguna instantánea después de iniciarla, se le seguirán cobrando los datos que ya se hayan transferido.

Copias de instantáneas incrementales

Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:

  • La instantánea se ha copiado previamente a la región o cuenta de destino.

  • La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.

  • La copia instantánea más reciente no se ha archivado.

  • Todas las copias de la instantánea en la región o cuenta de destino no están cifradas o se cifraron con la misma KMS clave.

Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.

Las operaciones de copia instantánea dentro de la misma cuenta y región con la misma KMS clave dan como resultado una copia incremental.

La copia de instantáneas progresivas reduce el tiempo necesario para copiar instantáneas y ahorra costos de almacenamiento y transferencia de datos, ya que no se duplican los datos.

Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.

Para comprobar si las copias instantáneas son incrementales, compruebe el copySnapshot CloudWatch evento.

Cifrado y copia de la instantánea

Al copiar una instantánea, puede cifrarla o especificar una KMS clave diferente a la original, y la instantánea copiada resultante utilizará la nueva KMS clave. Sin embargo, cambiar el estado de cifrado de una instantánea durante una operación de copia podría dar como resultado una copia completa (no progresiva), lo que puede entrañar mayores cargos de almacenamiento y transferencia de datos. Para obtener más información, consulte Copias de instantáneas incrementales.

Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para usar la instantánea y la clave administrada por el cliente (CMK) que se utilizó para cifrar la instantánea. Si utiliza una instantánea cifrada que se compartió con usted, le recomendamos que vuelva a cifrar la instantánea copiándola con una KMS clave de su propiedad. Esto lo protege si la KMS clave original está comprometida o si el propietario la revoca, lo que podría provocar que pierda el acceso a los volúmenes cifrados que haya creado con la instantánea. Para obtener más información, consulte Comparte una EBS instantánea de Amazon.

Para aplicar el cifrado a las copias EBS instantáneas, defina true el Encrypted parámetro en. (El parámetro Encrypted es opcional si encryption by default está habilitado).

De forma opcional, puede utilizar KmsKeyId para especificar una clave personalizada que se utilizará para cifrar la copia de la instantánea. (El parámetro Encrypted también debe establecerse en true, incluso si se ha habilitado el cifrado predeterminado). Si no se especifica el KmsKeyId, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.

En la siguiente tabla, se describen los resultados de cifrado para cada combinación posible de configuraciones al momento de copiar las instantáneas que posee y las que se comparten con usted.

Temas
    Cifrado de forma predeterminada ¿Se ha establecido el parámetro Encrypted? Estado de cifrado de la instantánea de origen Predeterminado (no se especificó ninguna KMS clave) Personalizado (KMSclave especificada)
    Deshabilitad No Sin cifrar Sin cifrar N/A
    Encrypted Cifrado por Clave administrada de AWS
    Sin cifrar Cifrado por KMS clave predeterminada Cifrado por la KMS clave especificada**
    Encriptado Cifrado por clave predeterminada KMS
    Habilitado No Sin cifrar Cifrado por KMS clave predeterminada N/A
    Encrypted Cifrado por KMS clave predeterminada
    Sin cifrar Cifrado por KMS clave predeterminada Cifrado por la KMS clave especificada**
    Encriptado Cifrado por clave predeterminada KMS

    ** Esta es la KMS clave especificada en la acción de copiar la instantánea. Esta KMS clave se usa en lugar de la KMS clave predeterminada para la cuenta y la región.

    Copia de una instantánea

    Para copiar una instantánea, utilice alguno de los métodos siguientes.

    Console
    Para copiar una instantánea con la consola
    1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

    2. En el panel de navegación, elija Snapshots (Instantáneas).

    3. Seleccione la instantánea que va a copiar y después elija Actions (Acciones), Copy snapshot (Copiar instantánea).

    4. En Description (Descripción), ingrese una breve descripción para la copia de la instantánea.

      De forma predeterminada, la descripción incluye información acerca de la instantánea de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

    5. En Destination Region (Región de destino), seleccione la región en la que desea crear la copia de la instantánea.

    6. Especifique el estado de cifrado de la copia de la instantánea.

      Si la instantánea de origen está cifrada o si la cuenta está habilitada para cifrado de forma predeterminada, la copia de la instantánea se cifra automáticamente y no se puede cambiar el estado de cifrado.

      Si la instantánea de origen no está cifrada y la cuenta no está habilitada para el cifrado de forma predeterminada, el cifrado es opcional. Para cifrar la copia de la instantánea, en Encryption (Cifrado), seleccione Encrypt this snapshot (Cifrar esta instantánea). A continuación, para la KMSclave, seleccione la KMS clave que se utilizará para cifrar la instantánea en la región de destino.

    7. Elija Copy Snapshot (Copiar instantánea).

    AWS CLI
    Para copiar una instantánea mediante AWS CLI

    Utilice el comando copy-snapshot.

    Tools for Windows PowerShell
    Para copiar una instantánea mediante las herramientas de Windows PowerShell

    Utilice el Copy-EC2Snapshotcomando.

    Para comprobar errores

    Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Si la copia ha fallado debido a que los permisos de clave son insuficientes, aparecerá el siguiente mensaje: "StateMessage«No se puede acceder al identificador de clave dado».

    Al copiar una instantánea cifrada, debe tener DescribeKey los permisos predeterminadosCMK. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener información sobre la administración de CMK claves, consulte Autenticación y control de acceso para AWS KMS.