Copia de una instantánea de Amazon EBS

Con Amazon EBS, puede crear point-in-time instantáneas de volúmenes, que almacenamos para usted en Amazon S3. Una vez que haya creado una instantánea y haya terminado de copiarse en Amazon S3 (si el estado de la instantánea escompleted), puede copiarla de una AWS región a otra o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (AES de 256 bits) protege los datos en tránsito de la instantánea durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.

Para copiar instantáneas de varios volúmenes a otra AWS región, recupere las instantáneas con la etiqueta que aplicó al conjunto de instantáneas de varios volúmenes cuando lo creó. A continuación, copie una a una las instantáneas en otra región.

Si desea que otra cuenta pueda copiar su instantánea, debe modificar los permisos de la instantánea para permitir el acceso a esa cuenta o hacer que la instantánea sea pública para que todas AWS las cuentas puedan copiarla. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Para obtener información sobre cómo copiar una instantánea de Amazon RDS, consulte Copia de una instantánea de base de datos en la Guía del usuario de Amazon RDS.

Casos de uso

• Expansión geográfica: lance sus aplicaciones en una nueva AWS región.

• Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.

• Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar sus aplicaciones mediante las point-in-time copias de seguridad almacenadas en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.

• Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).

• Retención de datos y requisitos de auditoría: copie las instantáneas cifradas de EBS de una cuenta de AWS en otra para conservar los registros de datos u otros archivos para auditoría o retención de datos. El uso de una cuenta diferente ayuda a evitar la eliminación accidental de instantáneas y le protege en caso de que su AWS cuenta principal se vea comprometida.

Requisitos previos

• Puede copiar cualquier instantánea accesible que tenga un estado completed, incluidas aquellas compartidas y las que haya creado.

• Puede copiar AWS Marketplace instantáneas de VM Import/Export y Storage Gateway, pero debe comprobar que la instantánea es compatible con la región de destino.

• Para copiar una instantánea cifrada, el usuario debe tener los siguientes permisos para utilizar el cifrado de Amazon EBS.

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

• Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para usar la clave administrada por el cliente que se utilizó para cifrar la instantánea. Para obtener más información, consulte Compartir una clave de KMS.

Consideraciones

• Hay un límite de 20 solicitudes de copia de instantáneas simultáneas por región de destino. Si supera esta cuota, recibe un error ResourceLimitExceeded. Si recibe este error, espere a que se completen una o varias solicitudes de copia antes de realizar una solicitud nueva de copia de instantánea.

• Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia.

• Las instantáneas creadas mediante la operación de copia de una instantánea tienen un ID de volumen arbitrario, como vol-ffff o vol-ffffffff. Estos ID de volumen arbitrarios no deben utilizarse para ningún fin.

• Los permisos de nivel de recursos especificados para la operación de copia instantánea solo se aplican a la nueva instantánea. No puede especificar permisos de nivel de recursos para la instantánea de origen. Para ver un ejemplo, consulte Ejemplo: copia de instantáneas.

Precios

• Para obtener información sobre los precios de la copia de instantáneas entre AWS regiones y cuentas, consulte los precios de Amazon EBS.

• Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.

• Si copia una instantánea a una nueva región, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales. Las copias posteriores de la misma instantánea son incrementales.

• Si usa transferencias de datos externas o entre regiones, se aplicarán cargos adicionales por la transferencia de datos de EC2. Además, si elimina alguna instantánea después de iniciarla, se le seguirán cobrando los datos que ya se hayan transferido.

Copias de instantáneas incrementales

Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:

• La instantánea se ha copiado previamente a la región o cuenta de destino.

• La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.

• La copia instantánea más reciente no se ha archivado.

• Todas las copias de la instantánea en la región o cuenta de destino o bien no están cifradas o bien se han cifrado con la misma clave KMS.

Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.

Las operaciones de copia de instantáneas dentro de la misma cuenta y región con la misma clave de KMS dan como resultado una copia incremental.

La copia de instantáneas progresivas reduce el tiempo necesario para copiar instantáneas y ahorra costos de almacenamiento y transferencia de datos, ya que no se duplican los datos.

Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.

Para comprobar si las copias instantáneas son incrementales, compruebe el evento CopySnapshot CloudWatch .

Cifrado y copia de la instantánea

Cuando copia una instantánea, puede cifrarla o puede especificar una clave KMS diferente de la original y la instantánea copiada resultante usa la nueva clave KMS. Sin embargo, cambiar el estado de cifrado de una instantánea durante una operación de copia podría dar como resultado una copia completa (no progresiva), lo que puede entrañar mayores cargos de almacenamiento y transferencia de datos. Para obtener más información, consulte Copias de instantáneas incrementales.

Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para utilizarla y la clave gestionada por el cliente (CMK) que se utilizó para cifrarla. Cuando use una instantánea cifrada que se haya compartido con usted, es recomendable que la vuelva a cifrar copiándola con una clave KMS de su propiedad. Esta es una manera de protegerse en caso de que la clave KMS original corra peligro o si el propietario la revoca, lo que haría que perdiera el acceso a los volúmenes cifrados creados con la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

Para aplicar el cifrado a las copias de instantáneas de EBS, establezca el parámetro Encrypted en true. (El parámetro Encrypted es opcional si encryption by default está habilitado).

De forma opcional, puede utilizar KmsKeyId para especificar una clave personalizada que se utilizará para cifrar la copia de la instantánea. (El parámetro Encrypted también debe establecerse en true, incluso si se ha habilitado el cifrado predeterminado). Si no se especifica el KmsKeyId, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.

En la siguiente tabla, se describen los resultados de cifrado para cada combinación posible de configuraciones al momento de copiar las instantáneas que posee y las que se comparten con usted.

Temas

Cifrado de forma predeterminada	¿Se ha establecido el parámetro Encrypted?	Estado de cifrado de la instantánea de origen	Predeterminado (no se ha especificado ninguna clave de KMS)	Personalizado (se ha especificado una clave de KMS)
Deshabilitado	No	Sin cifrar	Sin cifrar	N/A
		Encrypted	Cifrado por Clave administrada de AWS
	Sí	Sin cifrar	Cifrado con la clave de KMS predeterminada	Cifrado con la clave de KMS especificada**
		Encrypted	Cifrado con la clave de KMS predeterminada
Habilitado	No	Sin cifrar	Cifrado con la clave de KMS predeterminada	N/A
		Encrypted	Cifrado con la clave de KMS predeterminada
	Sí	Sin cifrar	Cifrado con la clave de KMS predeterminada	Cifrado con la clave de KMS especificada**
		Encrypted	Cifrado con la clave de KMS predeterminada

** Esta es la clave de KMS especificada en la acción de copia de instantánea. Esta clave de KMS se utiliza en lugar de la clave de KMS predeterminada para la cuenta y la región.

Copia de una instantánea

Para copiar una instantánea, utilice alguno de los métodos siguientes.

Console

Para copiar una instantánea con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Instantáneas.

3. Seleccione la instantánea que va a copiar y después elija Actions (Acciones), Copy snapshot (Copiar instantánea).

4. En Description (Descripción), ingrese una breve descripción para la copia de la instantánea.

   De forma predeterminada, la descripción incluye información acerca de la instantánea de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

5. En Destination Region (Región de destino), seleccione la región en la que desea crear la copia de la instantánea.

6. Especifique el estado de cifrado de la copia de la instantánea.

   Si la instantánea de origen está cifrada o si la cuenta está habilitada para cifrado de forma predeterminada, la copia de la instantánea se cifra automáticamente y no se puede cambiar el estado de cifrado.

   Si la instantánea de origen no está cifrada y la cuenta no está habilitada para el cifrado de forma predeterminada, el cifrado es opcional. Para cifrar la copia de la instantánea, en Encryption (Cifrado), seleccione Encrypt this snapshot (Cifrar esta instantánea). Luego, en KMS key (Clave de KMS), seleccione la clave KMS que desea utilizar para cifrar la instantánea en la región de destino.

7. Elija Copy Snapshot (Copiar instantánea).

AWS CLI

Para copiar una instantánea mediante el AWS CLI

Utilice el comando copy-snapshot.

Tools for Windows PowerShell

Para copiar una instantánea mediante las herramientas de Windows PowerShell

Utilice el comando Copy-EC2Snapshot.

Para comprobar errores

Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copia ha fallado porque los permisos de clave son insuficientes, verá el siguiente mensaje: "StateMessage«: «El identificador de clave dado no es accesible».

Cuando copie una instantánea cifrada, debe tener permisos DescribeKey en la CMK predeterminada. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener más información sobre la administración de claves de CMK, consulte Autenticación y control de acceso de  AWS KMS Secrets Manager.