Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Copia de una instantánea de Amazon EBS
Con Amazon EBS, puede crear point-in-time instantáneas de volúmenes, que almacenamos para usted en Amazon S3. Una vez que haya creado una instantánea y haya terminado de copiarse en Amazon S3 (si el estado de la instantánea escompleted
), puede copiarla de una AWS región a otra o dentro de la misma región. El cifrado del lado del servidor de Amazon S3 (AES de 256 bits) protege los datos en tránsito de la instantánea durante una operación de copia. La copia de la instantánea recibe un ID que es diferente del ID de la instantánea original.
Para copiar instantáneas de varios volúmenes a otra AWS región, recupere las instantáneas con la etiqueta que aplicó al conjunto de instantáneas de varios volúmenes cuando lo creó. A continuación, copie una a una las instantáneas en otra región.
Si desea que otra cuenta pueda copiar su instantánea, debe modificar los permisos de la instantánea para permitir el acceso a esa cuenta o hacer que la instantánea sea pública para que todas AWS las cuentas puedan copiarla. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.
Para obtener información sobre cómo copiar una instantánea de Amazon RDS, consulte Copia de una instantánea de base de datos en la Guía del usuario de Amazon RDS.
Casos de uso
-
Expansión geográfica: lance sus aplicaciones en una nueva AWS región.
-
Migración: mueva una aplicación a una región nueva para ofrecer más disponibilidad y minimizar costos.
-
Recuperación de desastres: haga una copia de seguridad de los datos y los registros de distintas ubicaciones geográficas a intervalos regulares. En caso de desastre, puede restaurar sus aplicaciones mediante las point-in-time copias de seguridad almacenadas en la región secundaria. Esto reduce al mínimo la pérdida de datos y el tiempo de recuperación.
-
Cifrado: cifre una instantánea que no está cifrada, cambie la clave con la que se cifra, cambiar la clave con la que se cifra la instantánea, o cree una copia de su propiedad para restaurar un volumen a partir de esta (para instantáneas cifradas que se han compartido con usted).
-
Retención de datos y requisitos de auditoría: copie las instantáneas cifradas de EBS de una cuenta de AWS en otra para conservar los registros de datos u otros archivos para auditoría o retención de datos. El uso de una cuenta diferente ayuda a evitar la eliminación accidental de instantáneas y le protege en caso de que su AWS cuenta principal se vea comprometida.
Contenido
Requisitos previos
-
Puede copiar cualquier instantánea accesible que tenga un estado
completed
, incluidas aquellas compartidas y las que haya creado. -
Puede copiar AWS Marketplace instantáneas de VM Import/Export y Storage Gateway, pero debe comprobar que la instantánea es compatible con la región de destino.
-
Para copiar una instantánea cifrada, el usuario debe tener los siguientes permisos para utilizar el cifrado de Amazon EBS.
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
-
-
Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para usar la clave administrada por el cliente que se utilizó para cifrar la instantánea. Para obtener más información, consulte Compartir una clave de KMS.
Consideraciones
-
Hay un límite de
20
solicitudes de copia de instantáneas simultáneas por región de destino. Si supera esta cuota, recibe un errorResourceLimitExceeded
. Si recibe este error, espere a que se completen una o varias solicitudes de copia antes de realizar una solicitud nueva de copia de instantánea. -
Las etiquetas definidas por el usuario no se copian desde la instantánea de origen a la instantánea nueva. Puede añadir etiquetas definidas por el usuario durante o después de la operación de copia.
-
Las instantáneas creadas mediante la operación de copia de una instantánea tienen un ID de volumen arbitrario, como
vol-ffff
ovol-ffffffff
. Estos ID de volumen arbitrarios no deben utilizarse para ningún fin. -
Los permisos de nivel de recursos especificados para la operación de copia instantánea solo se aplican a la nueva instantánea. No puede especificar permisos de nivel de recursos para la instantánea de origen. Para ver un ejemplo, consulte Ejemplo: copia de instantáneas.
Precios
-
Para obtener información sobre los precios de la copia de instantáneas entre AWS regiones y cuentas, consulte los precios de Amazon EBS
. -
Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.
-
Si copia una instantánea a una nueva región, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales. Las copias posteriores de la misma instantánea son incrementales.
-
Si usa transferencias de datos externas o entre regiones, se aplicarán cargos adicionales por la transferencia de datos de EC2
. Además, si elimina alguna instantánea después de iniciarla, se le seguirán cobrando los datos que ya se hayan transferido.
Copias de instantáneas incrementales
Si una copia de instantánea es incremental depende de la copia de la instantánea completada más recientemente. Al copiar una instantánea en las regiones o cuentas, la copia es incremental si se cumplen los siguientes criterios:
-
La instantánea se ha copiado previamente a la región o cuenta de destino.
-
La copia más reciente de la instantánea sigue presente en la región o cuenta de destino.
-
La copia instantánea más reciente no se ha archivado.
-
Todas las copias de la instantánea en la región o cuenta de destino o bien no están cifradas o bien se han cifrado con la misma clave KMS.
Si se ha borrado la copia más reciente de la instantánea, la siguiente copia será una copia completa, no una copia incremental. Si una copia sigue pendiente al iniciar otra copia, la segunda copia no se iniciará hasta que finalice la primera copia.
Las operaciones de copia de instantáneas dentro de la misma cuenta y región con la misma clave de KMS dan como resultado una copia incremental.
La copia de instantáneas progresivas reduce el tiempo necesario para copiar instantáneas y ahorra costos de almacenamiento y transferencia de datos, ya que no se duplican los datos.
Le recomendamos que marque las instantáneas con el ID de volumen y el tiempo de creación para poder realizar el seguimiento de la copia más reciente de la instantánea de un volumen en la región o cuenta de destino.
Para comprobar si las copias instantáneas son incrementales, compruebe el evento CopySnapshot CloudWatch .
Cifrado y copia de la instantánea
Cuando copia una instantánea, puede cifrarla o puede especificar una clave KMS diferente de la original y la instantánea copiada resultante usa la nueva clave KMS. Sin embargo, cambiar el estado de cifrado de una instantánea durante una operación de copia podría dar como resultado una copia completa (no progresiva), lo que puede entrañar mayores cargos de almacenamiento y transferencia de datos. Para obtener más información, consulte Copias de instantáneas incrementales.
Para copiar una instantánea cifrada compartida desde otra AWS cuenta, debe tener permisos para utilizarla y la clave gestionada por el cliente (CMK) que se utilizó para cifrarla. Cuando use una instantánea cifrada que se haya compartido con usted, es recomendable que la vuelva a cifrar copiándola con una clave KMS de su propiedad. Esta es una manera de protegerse en caso de que la clave KMS original corra peligro o si el propietario la revoca, lo que haría que perdiera el acceso a los volúmenes cifrados creados con la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.
Para aplicar el cifrado a las copias de instantáneas de EBS, establezca el parámetro Encrypted
en true
. (El parámetro Encrypted
es opcional si encryption by default está habilitado).
De forma opcional, puede utilizar KmsKeyId
para especificar una clave personalizada que se utilizará para cifrar la copia de la instantánea. (El parámetro Encrypted
también debe establecerse en true
, incluso si se ha habilitado el cifrado predeterminado). Si no se especifica el KmsKeyId
, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad.
En la siguiente tabla, se describen los resultados de cifrado para cada combinación posible de configuraciones al momento de copiar las instantáneas que posee y las que se comparten con usted.
Temas
Cifrado de forma predeterminada | ¿Se ha establecido el parámetro Encrypted ? |
Estado de cifrado de la instantánea de origen | Predeterminado (no se ha especificado ninguna clave de KMS) | Personalizado (se ha especificado una clave de KMS) |
---|---|---|---|---|
Deshabilitado | No | Sin cifrar | Sin cifrar | N/A |
Encrypted | Cifrado por Clave administrada de AWS | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted | Cifrado con la clave de KMS predeterminada | |||
Habilitado | No | Sin cifrar | Cifrado con la clave de KMS predeterminada | N/A |
Encrypted | Cifrado con la clave de KMS predeterminada | |||
Sí | Sin cifrar | Cifrado con la clave de KMS predeterminada | Cifrado con la clave de KMS especificada** | |
Encrypted | Cifrado con la clave de KMS predeterminada |
** Esta es la clave de KMS especificada en la acción de copia de instantánea. Esta clave de KMS se utiliza en lugar de la clave de KMS predeterminada para la cuenta y la región.
Copia de una instantánea
Para copiar una instantánea, utilice alguno de los métodos siguientes.
Para comprobar errores
Si intenta copiar una instantánea cifrada sin tener permiso para usar la clave de cifrado, la operación dará error silenciosamente. El estado del error no se muestra en la consola hasta que se actualiza la página. También puede comprobar el estado de la instantánea desde la línea de comandos, como en el siguiente ejemplo.
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
Si la copia ha fallado porque los permisos de clave son insuficientes, verá el siguiente mensaje: "StateMessage«: «El identificador de clave dado no es accesible»
.
Cuando copie una instantánea cifrada, debe tener permisos DescribeKey
en la CMK predeterminada. La denegación explícita de estos permisos da como resultado un error de copiado. Para obtener más información sobre la administración de claves de CMK, consulte Autenticación y control de acceso de AWS KMS Secrets Manager.