Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

Copie d'un instantané Amazon EBS

Amazon EBS vous permet de créer des instantanés à un instant donné de volumes que nous stockons pour vous dans Amazon S3. Une fois que vous avez créé un instantané et que sa copie sur Amazon S3 est terminée (lorsque le statut de l'instantané est completed), vous pouvez le copier d'une région AWS vers une autre, ou au sein de la même région. Le chiffrement côté serveur Amazon S3 (AES 256 bits) protège les données en transit d'un instantané pendant une opération de copie. La copie de l'instantané reçoit un ID différent de celui de l'instantané d'origine.

Pour copier des instantanés multi-volumes vers une autre région AWS, récupérez les instantanés en utilisant la balise que vous avez appliquée au groupe d'instantanés multi-volumes lorsque vous l'avez créé. Ensuite, copiez individuellement les instantanés vers une autre région.

Pour plus d'informations sur la copie d'un instantané Amazon RDS, consultez Copie d'un instantané de base de données dans le Amazon RDS Guide de l'utilisateur.

Si vous souhaitez qu'un autre compte puisse copier votre instantané, vous devez modifier les autorisations d'instantané de façon à permettre l'accès à ce compte ou rendre l'instantané public afin que tous les comptes AWS puissent le copier. Pour plus d'informations, consultez Partage d'un instantané Amazon EBS.

Pour de plus amples informations sur la tarification de la copie d'instantanés entre régions AWS et comptes, veuillez consulter Tarification Amazon EBS. Notez que les opérations de copie d'instantané au sein d'un même compte et d'une même région ne copient aucune donnée réelle et sont donc gratuites aussi longtemps que le statut de chiffrement de la copie d'instantané ne change pas.

Note

Si vous copiez un instantané dans une nouvelle région, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Cas d'utilisation

  • Expansion géographique : lancez vos applications dans une nouvelle région AWS.

  • Migration : transférez une application vers une nouvelle région afin de permettre une disponibilité accrue et de réduire les coûts.

  • Reprise après sinistre : sauvegardez vos données et fichiers journaux dans différents emplacements géographiques à intervalles réguliers. En cas de sinistre, vous pouvez restaurer vos applications à l'aide des sauvegardes ponctuelles stockées dans la région secondaire. Cela permet de limiter les pertes de données et la durée de récupération.

  • Chiffrement : chiffrez un instantané précédemment non chiffré, modifiez la clé de chiffrement de l'instantané ou, pour les instantanés chiffrés qui ont été partagés avec vous, créez une copie vous appartenant afin de restaurer un volume à partir de celle-ci.

  • Rétention des données et exigences en matière d'audit : copiez vos instantanés EBS chiffrés d'un compte AWS vers un autre pour conserver les journaux de données ou d'autres fichiers aux fins d'audit ou de rétention des données. L'utilisation d'un autre compte permet d'éviter les suppressions accidentelles d'instantanés et vous protège si votre compte AWS principal est compromis.

Prérequis

  • Vous pouvez copier les instantanés accessibles ayant un statut completed, y compris les instantanés partagés et ceux que vous avez créés.

  • Vous pouvez copier les instantanés AWS Marketplace, VM Import/Export et AWS Storage Gateway, mais vous devez vérifier au préalable que l'instantané est pris en charge dans la région cible.

Restrictions

  • Chaque compte peut avoir jusqu'à cinq demandes de copie d'instantané simultanées vers une région de destination individuelle.

  • Les balises définies par l'utilisateur ne sont pas copiées de l'instantané source vers le nouvel instantané. Une fois la copie terminée, vous pouvez appliquer les balises définies par l'utilisateur au nouvel instantané. Pour plus d'informations, consultez Balisage de vos ressources Amazon EC2.

  • Les instantanés créés par l'action CopySnapshot ont un ID de volume arbitraire qui ne doit être utilisé en aucun cas.

Copie incrémentielle entre régions

La première copie d'instantané vers une autre région est toujours une copie complète. Pour les instantanés non chiffrés, chaque copie d'instantané suivante du même volume est incrémentielle, ce qui signifie qu'AWS copie uniquement les données qui ont été modifiées depuis votre dernière copie d'instantané vers la même région de destination. Cela permet une copie plus rapide et des coûts de stockage plus faibles.

Dans le cas d'instantanés chiffrés, vous devez chiffrer sur la même clé CMK que celle utilisée pour les précédentes copies afin d'obtenir des copies incrémentielles. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous copiez un instantané non chiffré de la région USA Est (Virginie du Nord) vers la région USA Ouest (Oregon), la première copie d'instantané est une copie complète et les copies d'instantané suivantes du même volume, transférées entre les mêmes régions, sont incrémentielles.

  • Si vous copiez un instantané chiffré de la région USA Est (Virginie du Nord) vers la région USA Ouest (Oregon), la première copie d'instantané du volume est une copie complète.

    • Si vous chiffrez sous la même clé CMK dans une nouvelle copie d'instantané pour le même volume entre les mêmes régions, la copie est incrémentielle.

    • Si vous chiffrez sous une clé CMK différente dans une nouvelle copie d'instantané pour le même volume entre les mêmes régions, la copie est une nouvelle copie complète de l'instantané.

Pour plus d'informations, consultez Rechiffrement d'un instantané chiffré.

Chiffrement et copie d'instantanés

Lorsque vous copiez un instantané, vous pouvez chiffrer la copie ou vous pouvez spécifier une clé CMK différente de l'originale et l'instantané copié utilise cette nouvelle clé CMK. Toutefois, le changement de l'état de chiffrement d'un instantané au cours d'une opération de copie entraîne toujours une copie complète (non incrémentielle), ce qui peut impliquer des frais plus importants de transfert et de stockage de données.

Pour copier un instantané chiffré partagé à partir d'un autre compte AWS, vous devez disposer des autorisations d'utilisation de cet instantané et vous devez être autorisé à utiliser la clé principale client (CMK) qui a été utilisée pour chiffrer l'instantané d'origine. En cas d'utilisation d'un instantané chiffré qui a été partagé avec vous, nous vous recommandons de chiffrer à nouveau l'instantané en le copiant à l'aide d'un clé CMK en votre possession. Cela vous protège si la clé CMK d'origine est compromise ou si le propriétaire la révoque, ce qui pourrait vous faire perdre l'accès aux volumes chiffrés que vous avez créés en utilisant l'instantané. Pour plus d'informations, consultez Partage d'un instantané Amazon EBS.

Vous appliquez le chiffrement aux instantanés EBS en définissant le paramètre Encrypted avec la valeur true. (Le paramètre Encrypted est facultatif si le chiffrement par défaut est activé).

Vous pouvez aussi utiliser KmsKeyId pour spécifier une clé personnalisée pour chiffrer la copie de l'instantané. (Le paramètre Encrypted doit aussi être défini avec la valeur true, même si le chiffrement par défaut est activé.) Si KmsKeyId n'est pas spécifié, la clé utilisée pour le chiffrement dépend de l'état de chiffrement de l'instantané source et de son propriétaire.

Le tableau suivant décrit le résultat de chiffrement pour chaque combinaison possible de paramètres.

Résultats du chiffrement : copie d'un instantané

Le paramètre Encrypted est-il défini ? Le chiffrement est-il défini par défaut ? Instantané source Par défaut (aucun KmsKeyId spécifié) Personnalisé (KmsKeyId spécifié)
Non Non Instantané non chiffré que vous possédez Non chiffré N/A
Non Non Instantané chiffré que vous possédez Chiffré par la même clé
Non Non Instantané non chiffré qui est partagé avec vous Non chiffré
Non Non

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut*
Oui Non Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée**
Oui Non Instantané chiffré que vous possédez Chiffré par la même clé
Oui Non Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Non

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut
Non Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut S/O
Non Oui Instantané chiffré que vous possédez Chiffré par la même clé
Non Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Non Oui

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut
Oui Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée
Oui Oui Instantané chiffré que vous possédez Chiffré par la même clé
Oui Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Oui

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut

*Clé CMK par défaut utilisée pour le chiffrement EBS pour le compte et la région AWS. Il s'agit par défaut d'une clé CMK unique gérée par AWS pour EBS, ou vous pouvez spécifier une clé CMK gérée par le client. Pour plus d'informations, consultez Clé par défaut pour le chiffrement EBS.

**Clé CMK gérée par le client, spécifiée pour l'action de copie. Cette clé CMK est utilisée à la place de la clé CMK par défaut pour le compte et la région AWS.

Copie d'un instantané

Utilisez la procédure suivante pour copier un instantané à l'aide de la console Amazon EC2.

Pour copier un instantané à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané à copier, puis choisissez Copier dans la liste Actions.

  4. Dans la boîte de dialogue Copier un instantané, mettez à jour les informations suivantes si nécessaire :

    • Région de destination : sélectionnez la région vers laquelle vous souhaitez transférer la copie de l'instantané.

    • Description : par défaut, la description inclut des informations sur l'instantané source afin que vous puissiez identifier une copie à partir de l'original. Vous pouvez modifier cette description si nécessaire.

    • Chiffrement : si l'instantané source n'est pas chiffré, vous pouvez choisir de chiffrer la copie. Si vous avez activé le chiffrement par défaut, l'option Encryption (Chiffrement) est activée et ne peut pas être désactivée depuis la console de l'instantané. Si l'option Encryption (Chiffrement) est activée, vous pouvez choisir d'effectuer le chiffrement sous une clé CMK gérée par le client en sélectionnant celle-ci dans le champ, comme décrit ci-dessous.

      Vous ne pouvez pas supprimer le chiffrement d'un instantané chiffré.

      Note

      Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

    • Clé principale : il s'agit de la clé principale du client (CMK) qui sera utilisée pour chiffrer cet instantané. La clé par défaut pour votre compte est affichée au début. Toutefois, vous pouvez sélectionner l'une des clés principales dans votre compte ou saisir/coller l'ARN d'une clé issue d'un autre compte. Vous pouvez créer de nouvelles clés principales de chiffrement dans la console IAM https://console.aws.amazon.com/iam/.

  5. Choisissez Copy.

  6. Dans la boîte de dialogue de confirmation Copier un instantané, choisissez Instantanés afin d'accéder à la page Instantanés dans la région spécifiée, ou choisissez Fermer.

    Pour consulter l'évolution du processus de copie, basculez vers la région de destination, puis actualisez la page Instantanés. Les copies en cours sont répertoriées en haut de la page.

Pour déterminer la cause d'une erreur

Si vous essayez de copier un instantané chiffré sans disposer des autorisations d'utilisation de la clé de chiffrement, l'opération échoue silencieusement. L'état d'erreur ne s'affiche pas sur la console tant que vous n'avez pas actualisé la page. Vous pouvez également vérifier l'état de l'instantané à partir de la ligne de commande, comme dans l'exemple suivant.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copie échoue en raison d'autorisations insuffisantes d'utilisation de la clé, vous verrez le message : "StateMessage": "Given key ID is not accessible".

Lors de la copie d'un instantané chiffré, vous devez disposer des autorisations DescribeKey sur la clé CMK par défaut. Le refus explicite de ces autorisations entraîne l'échec de la copie. Pour plus d'informations sur la gestion des clés CMK, consultez Contrôle de l'accès aux clés principales du client.

Pour copier un instantané à partir de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.