Copier un instantané Amazon EBS - Amazon Elastic Compute Cloud

Copier un instantané Amazon EBS

Amazon EBS vous permet de créer des instantanés à un instant donné de volumes que nous stockons pour vous dans Amazon S3. Une fois que vous avez créé un instantané et qu'il a fini de copier sur Amazon S3 (lorsque l'état de l'instantané est completed), vous pouvez le copier à partir d'une région AWS vers une autre ou dans la même région. Le chiffrement côté serveur Amazon S3 (AES 256 bits) protège les données d'un instantané en transit pendant une opération de copie. La copie de l'instantané reçoit un ID différent de celui de l'instantané d'origine.

Pour copier des instantanés multi-volumes vers une autre région AWS, récupérez les instantanés en utilisant l'étiquette que vous avez appliquée à l'ensemble d'instantanés multi-volumes lorsque vous l'avez créé. Ensuite, copiez individuellement les instantanés vers une autre région.

Si vous souhaitez qu'un autre compte puisse copier votre instantané, vous devez modifier les autorisations d'instantané de façon à permettre l'accès à ce compte ou rendre l'instantané public afin que tous les comptes AWS puissent le copier. Pour de plus amples informations, veuillez consulter Partager un instantané Amazon EBS.

Pour plus d'informations sur la copie d'un instantané Amazon RDS, consultez Copie d'un instantané de base de données dans le Amazon RDS Guide de l'utilisateur.

Cas d'utilisation

  • Expansion géographique : lancez vos applications dans une nouvelle région AWS.

  • Migration : transférez une application vers une nouvelle région afin de permettre une disponibilité accrue et de réduire les coûts.

  • Reprise après sinistre : sauvegardez vos données et fichiers journaux dans différents emplacements géographiques à intervalles réguliers. En cas de sinistre, vous pouvez restaurer vos applications à l'aide des sauvegardes ponctuelles stockées dans la région secondaire. Cela permet de limiter les pertes de données et la durée de récupération.

  • Chiffrement : chiffrez un instantané qui n'a pas encore été chiffré, modifiez la clé de chiffrement de l'instantané ou créez une copie vous appartenant afin de restaurer un volume à partir de celle-ci (pour les instantanés chiffrés qui ont été partagés avec vous).

  • Rétention des données et exigences en matière d'audit : copiez vos instantanés EBS chiffrés d'un compte AWS vers un autre pour conserver les journaux de données ou d'autres fichiers aux fins d'audit ou de rétention des données. L'utilisation d'un autre compte permet d'éviter les suppressions accidentelles d'instantanés et vous protège si votre compte AWS principal est compromis.

Prerequisites

  • Vous pouvez copier les instantanés accessibles ayant un statut completed, y compris les instantanés partagés et ceux que vous avez créés.

  • Vous pouvez copier les instantanés AWS Marketplace , VM Import/Export et Storage Gateway, mais vous devez vérifier au préalable que l’instantané est pris en charge dans la Région cible.

Considerations

  • Chaque compte peut avoir jusqu'à vingt demandes de copie d'instantané simultanées vers une même région de destination.

  • Les balises définies par l'utilisateur ne sont pas copiées de l'instantané source vers le nouvel instantané. Vous pouvez ajouter des balises définies par l'utilisateur pendant ou après l'opération de copie. Pour de plus amples informations, veuillez consulter Baliser vos ressources Amazon EC2.

  • Les instantanés créés par copie ont un ID de volume arbitraire qui ne doit être utilisé en aucun cas.

  • Les autorisations de niveau ressource spécifiées pour la copie d'instantané s'appliquent uniquement au nouvel instantané. Vous ne pouvez pas spécifier d'autorisations au niveau des ressources pour l'instantané source. Pour voir un exemple, consultez Exemple : Copier des instantanés.

Pricing

  • Pour obtenir des informations de tarification pour la copie d'instantanés entre des régions et des comptes AWS, consultez la Tarification Amazon EBS.

  • Les opérations de copie d'instantané au sein d'un même compte et d'une même région ne copient aucune donnée réelle et sont donc gratuites aussi longtemps que le statut de chiffrement de la copie d'instantané ne change pas.

  • Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.

  • Si vous copiez un instantané dans une nouvelle région, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires. Les copies suivantes du même instantané sont incrémentielles.

Copie d'instantané incrémentielle

L'aspect incrémentiel d'une copie d'instantané est déterminé par la dernière copie d'instantané effectuée. Lorsque vous copiez un instantané entre des régions ou des comptes, la copie est une copie incrémentielle si les conditions suivantes sont remplies :

  • L'instantané a été préalablement copié dans la région ou le compte de destination.

  • La dernière copie d'instantané existe toujours dans la région ou le compte de destination.

  • Toutes les copies de l'instantané dans la région ou dans le compte de destination sont soit non chiffrées, soit chiffrées avec la même clé KMS.

Si la dernière copie d'instantané a été supprimée, la copie suivante est une copie complète, non une copie incrémentielle. Si une copie est toujours en attente lorsque vous démarrez une autre copie, la deuxième copie ne démarre qu'une fois la première copie terminée.

Nous vous recommandons de baliser vos instantanés avec l'ID de volume et l'heure de création afin de pouvoir conserver une trace de la dernière copie d'instantané d'un volume dans la région ou dans le compte de destination.

Pour savoir si vos copies d'instantané sont incrémentielles, consultez l'événement CloudWatch copySnapshot.

Chiffrement et copie d'instantanés

Lorsque vous copiez un instantané, vous pouvez chiffrer la copie ou vous pouvez spécifier une clé KMS différente de l'originale. Le cas échéant, l'instantané copié utilise cette nouvelle clé KMS. Toutefois, le changement de l'état de chiffrement d'un instantané au cours d'une opération de copie entraîne toujours une copie complète (non incrémentielle), ce qui peut impliquer des frais plus importants de transfert et de stockage de données.

Pour copier un instantané chiffré partagé à partir d'un autre compte AWS, vous devez disposer des autorisations d'utilisation de cet instantané et vous devez être autorisé à utiliser la clé principale client (CMK) qui a été utilisée pour chiffrer l'instantané d'origine. En cas d'utilisation d'un instantané chiffré qui a été partagé avec vous, nous vous recommandons de chiffrer à nouveau l'instantané en le copiant à l'aide d'un clé KMS en votre possession. Cela vous protège si la clé KMS d'origine est compromise ou si le propriétaire la révoque, ce qui pourrait vous faire perdre l'accès aux volumes chiffrés que vous avez créés en utilisant l'instantané. Pour de plus amples informations, veuillez consulter Partager un instantané Amazon EBS.

Vous appliquez le chiffrement aux copies d'instantanés EBS en définissant le paramètre Encrypted sur true. La paramètre Encrypted est facultatif si le chiffrement par défaut est activé.

Vous pouvez également utiliser KmsKeyId pour spécifier une clé personnalisée à utiliser pour chiffrer la copie de l'instantané. (Le paramètre Encrypted doit également être défini sur true, même si le chiffrement par défaut est activé.) Si vous ne spécifiez pas KmsKeyId, la clé utilisée pour le chiffrement dépend de l'état de chiffrement de l'instantané source et de son propriétaire.

Les tableaux suivants décrivent le résultat du chiffrement pour chaque combinaison possible de paramètres.

Résultats de chiffrement : Copie des instantanés que vous possédez

Chiffrement par défaut Le paramètre Encrypted est-il défini ? État du chiffrement des instantanés source Valeur par défaut (aucune clé KMS spécifiée) Personnalisé (clé KMS spécifiée)
Désactivé Non Non chiffré Non chiffré N/A
Encrypted Chiffré par Clé gérée par AWS
Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**
Encrypted Chiffré par clé KMS par défaut
Activé Non Non chiffré Chiffré par clé KMS par défaut N/A
Encrypted Chiffré par clé KMS par défaut
Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**
Encrypted Chiffré par clé KMS par défaut

** Il s'agit d'une clé gérée par le client spécifiée pour l'action de copie. Cette clé gérée par le client est utilisée à la place de la clé gérée par le client par défaut pour le compte et la région AWS.

Résultats du chiffrement : Copie des instantanés partagés avec vous

Chiffrement par défaut Le paramètre Encrypted est-il défini ? État du chiffrement des instantanés source Valeur par défaut (aucun KmsKeyId spécifié) Personnalisé (KmsKeyId spécifié)
Désactivé Non Non chiffré Non chiffré N/A

Encrypted

Chiffré par Clé gérée par AWS
Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**

Encrypted

Chiffré par clé KMS par défaut
Activé Non Non chiffré Chiffré par clé KMS par défaut N/A

Encrypted

Chiffré par clé KMS par défaut
Oui Non chiffré Chiffré par clé KMS par défaut Chiffré par clé KMS spécifiée**

Encrypted

Chiffré par clé KMS par défaut

** Il s'agit d'une clé gérée par le client spécifiée pour l'action de copie. Cette clé gérée par le client est utilisée à la place de la clé gérée par le client par défaut pour le compte et la région AWS.

Copie d'un instantané

Pour copier un instantané, utilisez l'une des méthodes suivantes.

Console

Pour copier un instantané à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané à copier, puis choisissez Copier dans la liste Actions.

  4. Dans la boîte de dialogue Copier un instantané, mettez à jour les informations suivantes si nécessaire :

    • Région de destination : sélectionnez la région vers laquelle vous souhaitez transférer la copie de l'instantané.

    • Description : par défaut, la description inclut des informations sur l'instantané source afin que vous puissiez identifier une copie à partir de l'original. Vous pouvez modifier cette description si nécessaire.

    • Chiffrement : si l'instantané source n'est pas chiffré, vous pouvez choisir de chiffrer la copie. Si vous avez activé le chiffrement par défaut, l'option Encryption (Chiffrement) est activée et ne peut pas être désactivée depuis la console de l'instantané. Si l'option Encryption (Chiffrement) est activée, vous pouvez choisir d'effectuer le chiffrement sous une clé CMK gérée par le client en sélectionnant celle-ci dans le champ, comme décrit ci-dessous.

      Vous ne pouvez pas supprimer le chiffrement d'un instantané chiffré.

    • Clé principale : il s'agit de la clé principale du client (CMK) qui sera utilisée pour chiffrer cet instantané. La clé par défaut pour votre compte est affichée au début. Toutefois, vous pouvez sélectionner l'une des clés principales dans votre compte ou saisir/coller l'ARN d'une clé issue d'un autre compte. Vous pouvez créer de nouvelles clés de chiffrement principales dans la console AWS KMS.

  5. Choisissez Copy.

  6. Dans la boîte de dialogue de confirmation Copier un instantané, choisissez Instantanés afin d'accéder à la page Instantanés dans la région spécifiée, ou choisissez Fermer.

    Pour consulter l'évolution du processus de copie, basculez vers la région de destination, puis actualisez la page Instantanés. Les copies en cours sont répertoriées en haut de la page.

AWS CLI

Pour copier un instantané à partir de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.

Pour déterminer la cause d'une erreur

Si vous essayez de copier un instantané chiffré sans disposer des autorisations d'utilisation de la clé de chiffrement, l'opération échoue silencieusement. L'état d'erreur ne s'affiche pas sur la console tant que vous n'avez pas actualisé la page. Vous pouvez également vérifier l'état de l'instantané à partir de la ligne de commande, comme dans l'exemple suivant.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copie échoue en raison d'autorisations insuffisantes d'utilisation de la clé, vous verrez le message : "StateMessage": "Given key ID is not accessible".

Lors de la copie d'un instantané chiffré, vous devez disposer des autorisations DescribeKey sur la clé CMK par défaut. Le refus explicite de ces autorisations entraîne l'échec de la copie. Pour plus d'informations sur la gestion des clés CMK, consultez Contrôle de l'accès aux clés principales du client.