Comparte una EBS instantánea de Amazon - Amazon EBS
Antes de compartir una instantáneaCompartir una instantáneaComparta una clave KMSVer las instantáneas compartidas con ustedUsar las instantáneas compartidas con ustedDeterminar el uso de instantáneas que comparte

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comparte una EBS instantánea de Amazon

Puede modificar los permisos de una instantánea si desea compartirla con otras cuentas de AWS . Puede compartir las instantáneas públicamente con todas las demás AWS cuentas o puede compartirlas de forma privada con AWS las cuentas individuales que especifique. Los usuarios que haya autorizado pueden usar las instantáneas que comparta para crear sus propios EBS volúmenes, mientras que la instantánea original no se verá afectada.

importante

Cuando comparte una instantánea, concede a otras personas acceso a todos los datos de la instantánea. Comparta instantáneas solo con aquellas personas en las que confiaría todos los datos que contienen las instantáneas.

Para evitar que las instantáneas se compartan públicamente, puede activarlas. Bloqueo del acceso público de las instantáneas

Antes de compartir una instantánea

Las siguientes consideraciones se aplican al uso compartido de instantáneas:

  • Si la opción para bloquear el acceso público de las instantáneas está habilitada para la región, se bloquearán los intentos de compartir las instantáneas públicamente. Las instantáneas se pueden seguir compartiendo de forma privada.

  • Las instantáneas están restringidas a la región en la que se han creado. Para compartir una instantánea con otra región, copie la instantánea en dicha región y, luego, comparta la copia. Para obtener más información, consulte Copiar una EBS instantánea de Amazon.

  • No puede compartir instantáneas que estén cifradas con la Clave administrada de AWS predeterminada. Solo puede compartir instantáneas que estén cifradas con una clave administrada por el cliente. Para obtener más información, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service .

  • Solo puede compartir instantáneas sin cifrar de forma pública.

  • Cuando comparta una instantánea cifrada, también deberá compartir la clave administrada por el cliente usada para cifrar la instantánea. Para obtener más información, consulte Comparta una clave KMS.

Compartir una instantánea

Puede compartir una instantánea mediante alguno de los métodos descritos en la sección.

Console
Para compartir una instantánea

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Seleccione la instantánea que desea compartir y después elija Actions (Acciones), Modify Permissions (Modificar permisos).

  4. Especifique los permisos de la instantánea. Current setting (Configuración actual) indica los permisos de uso compartido actuales de la instantánea.

    • Para compartir la instantánea públicamente con todas AWS las cuentas, selecciona Pública.

    • Para compartir la instantánea de forma privada con AWS cuentas específicas, selecciona Privado. Luego, en la sección Sharing accounts (Cuentas para uso compartido), elija Add account (Agregar cuentas) e ingrese el ID de cuenta de 12 dígitos (sin guiones) de la cuenta con la que desea compartir.

  5. Elija Guardar cambios.

AWS CLI

Los permisos para una instantánea se especifican mediante el atributo createVolumePermission de la instantánea. Para convertir una instantánea en pública, establezca el grupo en all. Para compartir una instantánea con una AWS cuenta específica, configura el ID de la AWS cuenta para el usuario.

Para compartir una instantánea de forma pública

Usa el modify-snapshot-attributecomando.

En --attribute, especifique createVolumePermission. En --operation-type, especifique add. En --group-names, especifique all.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Para compartir una instantánea de forma privada

Usa el modify-snapshot-attributecomando.

En --attribute, especifique createVolumePermission. En --operation-type, especifique add. Para--user-ids, especifique los 12 dígitos IDs de las AWS cuentas con las que desea compartir las instantáneas.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

Los permisos para una instantánea se especifican mediante el atributo createVolumePermission de la instantánea. Para convertir una instantánea en pública, establezca el grupo en all. Para compartir una instantánea con una AWS cuenta específica, configure el ID de la cuenta para el usuario. AWS

Para compartir una instantánea de forma pública

Usa el Edit-EC2SnapshotAttributecomando.

En -Attribute, especifique CreateVolumePermission. En -OperationType, especifique Add. En -GroupName, especifique all.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Para compartir una instantánea de forma privada

Usa el Edit-EC2SnapshotAttributecomando.

En -Attribute, especifique CreateVolumePermission. En -OperationType, especifique Add. ParaUserId, especifique los 12 dígitos IDs de las AWS cuentas con las que desea compartir las instantáneas.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Comparta una clave KMS

Cuando comparta una instantánea cifrada, también deberá compartir la clave administrada por el cliente usada para cifrar la instantánea. Puede aplicar permisos entre cuentas a una clave administrada por el cliente en el momento de crearla o en un momento posterior.

Los usuarios de la clave administrada por el cliente compartida que tienen acceso a las instantáneas cifradas deben contar con los permisos para realizar las siguientes acciones sobre la clave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

sugerencia

Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, utilice la clave kms:GrantIsForAWSResource condicionada para permitir al usuario crear concesiones en la KMS clave solo cuando un AWS servicio cree la concesión en nombre del usuario.

Para obtener más información acerca del control del acceso a una clave administrada por el cliente, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Para compartir la clave gestionada por el cliente mediante la AWS KMS consola

  1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. Elija Customer managed keys (Claves administradas por el cliente) en el panel de navegación.

  4. En la columna Alias elija el alias (enlace de texto) de la clave administrada por el cliente que utilizó para cifrar la instantánea. Los detalles de clave se abren en una nueva página.

  5. En la sección Key policy (Política de claves), verá la vista de política o la vista predeterminada. La vista de política muestra el documento de políticas de claves. La vista predeterminada muestra secciones para Key administrators (Administradores de claves), Key deletion (Eliminación de claves), Key Use (Uso de claves) y Other AWS accounts (Otras cuentas de ). La vista predeterminada se muestra si creó la política en la consola y no la ha personalizado. Si la vista predeterminada no está disponible, deberá editar manualmente la política en la vista de políticas. Para obtener más información, consulte Visualización de una política de claves (consola) en la Guía para desarrolladores de AWS Key Management Service .

    Utilice la vista de políticas o la vista predeterminada, según la vista a la que pueda acceder, para añadir una o más AWS cuentas IDs a la política, de la siguiente manera:

    • (Vista de políticas) Elija Edit (Editar). Agregue una o más AWS cuentas IDs a los siguientes estados de cuenta: "Allow use of the key" y"Allow attachment of persistent resources". Elija Guardar cambios. En el siguiente ejemplo, el identificador de AWS cuenta 444455556666 se añade a la política.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Vista predeterminada) Desplázate hacia abajo hasta Otras AWS cuentas. Selecciona Añadir otras AWS cuentas e introduce el ID de la AWS cuenta según se te solicite. Para añadir otra cuenta, selecciona Añadir otra AWS cuenta e introduce el ID de la AWS cuenta. Cuando haya añadido todas las cuentas de AWS , elija Save changes (Guardar cambios).

Ver las instantáneas compartidas con usted

Puede ver las instantáneas compartidas con usted mediante alguno de los métodos siguientes.

Console
Para ver las instantáneas compartidas mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Filtre las instantáneas que aparecen en la lista. En la esquina superior izquierda de la pantalla, elija una de las siguientes opciones:

    • Private snapshots (Instantáneas privadas): para ver solo las instantáneas compartidas con usted de forma privada.

    • Public snapshots (Instantáneas públicas): para ver solo las instantáneas compartidas con usted de forma pública.

AWS CLI
Para ver los permisos de las instantáneas mediante la línea de comandos

Usa el describe-snapshot-attributecomando.

Tools for Windows PowerShell
Para ver los permisos de las instantáneas mediante la línea de comandos

Usa el Get-EC2SnapshotAttributecomando.

Usar las instantáneas compartidas con usted

Para usar una instantánea no cifrada compartida

Ubique la instantánea compartida por ID o descripción. Para obtener más información, consulte Ver las instantáneas compartidas con usted. Puede usar esta instantánea como lo haría con cualquier otra instantánea que posea en su cuenta. Por ejemplo, puede crear un volumen a partir de la instantánea o copiarla en una región diferente.

Para usar una instantánea no cifrada compartida

Ubique la instantánea compartida por ID o descripción. Para obtener más información, consulte Ver las instantáneas compartidas con usted. Cree una copia de la instantánea compartida en su cuenta y cifre la copia con una KMS clave de su propiedad. A continuación, puede utilizar la copia para crear volúmenes o puede copiarla en regiones diferentes.

Determinar el uso de instantáneas que comparte

Puede utilizarla AWS CloudTrail para controlar si una instantánea que ha compartido con otras personas se copia o se utiliza para crear un volumen. Se registran los siguientes eventos CloudTrail:

  • SharedSnapshotCopyInitiated— Se está copiando una instantánea compartida.

  • SharedSnapshotVolumeCreated— Se está utilizando una instantánea compartida para crear un volumen.

Para obtener más información sobre su uso CloudTrail, consulta Registrar EBS API llamadas de Amazon EC2 y Amazon con AWS CloudTrail.