Copie d'un instantané Amazon EBS - Amazon Elastic Compute Cloud

Copie d'un instantané Amazon EBS

Amazon EBS vous permet de créer des instantanés à un instant donné de volumes que nous stockons pour vous dans Amazon S3. Une fois que vous avez créé un instantané et que sa copie sur Amazon S3 est terminée (lorsque le statut de l'instantané est completed), vous pouvez le copier d'une région AWS vers une autre, ou au sein de la même région. Le chiffrement côté serveur Amazon S3 (AES 256 bits) protège les données en transit d'un instantané pendant une opération de copie. La copie de l'instantané reçoit un ID différent de celui de l'instantané d'origine.

Pour copier des instantanés multi-volumes vers une autre région AWS, récupérez les instantanés en utilisant la balise que vous avez appliquée au groupe d'instantanés multi-volumes lorsque vous l'avez créé. Ensuite, copiez individuellement les instantanés vers une autre région.

Pour plus d'informations sur la copie d'un instantané Amazon RDS, consultez Copie d'un instantané de base de données dans le Amazon RDS Guide de l'utilisateur.

Si vous souhaitez qu'un autre compte puisse copier votre instantané, vous devez modifier les autorisations d'instantané de façon à permettre l'accès à ce compte ou rendre l'instantané public afin que tous les comptes AWS puissent le copier. Pour plus d'informations, consultez Partage d'un instantané Amazon EBS.

Pour de plus amples informations sur la tarification de la copie d'instantanés entre régions AWS et comptes, veuillez consulter Tarification Amazon EBS. Notez que les opérations de copie d'instantané au sein d'un même compte et d'une même région ne copient aucune donnée réelle et sont donc gratuites aussi longtemps que le statut de chiffrement de la copie d'instantané ne change pas.

Note

Si vous copiez un instantané dans une nouvelle région, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Cas d'utilisation

  • Expansion géographique : lancez vos applications dans une nouvelle région AWS.

  • Migration : transférez une application vers une nouvelle région afin de permettre une disponibilité accrue et de réduire les coûts.

  • Reprise après sinistre : sauvegardez vos données et fichiers journaux dans différents emplacements géographiques à intervalles réguliers. En cas de sinistre, vous pouvez restaurer vos applications à l'aide des sauvegardes ponctuelles stockées dans la région secondaire. Cela permet de limiter les pertes de données et la durée de récupération.

  • Chiffrement : chiffrez un instantané qui n'a pas encore été chiffré, modifiez la clé de chiffrement de l'instantané ou créez une copie vous appartenant afin de restaurer un volume à partir de celle-ci (pour les instantanés chiffrés qui ont été partagés avec vous).

  • Rétention des données et exigences en matière d'audit : copiez vos instantanés EBS chiffrés d'un compte AWS vers un autre pour conserver les journaux de données ou d'autres fichiers aux fins d'audit ou de rétention des données. L'utilisation d'un autre compte permet d'éviter les suppressions accidentelles d'instantanés et vous protège si votre compte AWS principal est compromis.

Prérequis

  • Vous pouvez copier les instantanés accessibles ayant un statut completed, y compris les instantanés partagés et ceux que vous avez créés.

  • Vous pouvez copier les instantanés AWS Marketplace, VM Import/Export et AWS Storage Gateway, mais vous devez vérifier au préalable que l'instantané est pris en charge dans la région cible.

Restrictions

  • Chaque compte peut avoir jusqu'à vingt demandes de copie d'instantané simultanées vers une même région de destination.

  • Les balises définies par l'utilisateur ne sont pas copiées de l'instantané source vers le nouvel instantané. Vous pouvez ajouter des balises définies par l'utilisateur pendant ou après l'opération de copie. Pour plus d'informations, consultez Balisage de vos ressources Amazon EC2.

  • Les instantanés créés par l'action CopySnapshot ont un ID de volume arbitraire qui ne doit être utilisé en aucun cas.

Copie d'instantané incrémentielle

L'aspect incrémentiel d'une copie d'instantané est déterminé par la dernière copie d'instantané effectuée. Lorsque vous copiez un instantané entre des régions ou des comptes, la copie est une copie incrémentielle si les conditions suivantes sont remplies :

  • L'instantané a été préalablement copié dans la région ou le compte de destination.

  • La dernière copie d'instantané existe toujours dans la région ou le compte de destination.

  • Toutes les copies de l'instantané dans la région ou dans le compte de destination sont soit non chiffrées, soit chiffrées avec la même clé CMK.

Si la dernière copie d'instantané a été supprimée, la copie suivante est une copie complète, non une copie incrémentielle. Si une copie est toujours en attente lorsque vous démarrez une autre copie, la deuxième copie ne démarre qu'une fois la première copie terminée.

Nous vous recommandons de baliser vos instantanés avec l'ID de volume et l'heure de création afin de pouvoir conserver une trace de la dernière copie d'instantané d'un volume dans la région ou dans le compte de destination.

Pour savoir si vos copies d'instantané sont incrémentielles, consultez l'événement CloudWatch copySnapshot.

Chiffrement et copie d'instantanés

Lorsque vous copiez un instantané, vous pouvez chiffrer la copie ou vous pouvez spécifier une clé CMK différente de l'originale et l'instantané copié utilise cette nouvelle clé CMK. Toutefois, le changement de l'état de chiffrement d'un instantané au cours d'une opération de copie entraîne toujours une copie complète (non incrémentielle), ce qui peut impliquer des frais plus importants de transfert et de stockage de données.

Pour copier un instantané chiffré partagé à partir d'un autre compte AWS, vous devez disposer des autorisations d'utilisation de cet instantané et vous devez être autorisé à utiliser la clé principale client (CMK) qui a été utilisée pour chiffrer l'instantané d'origine. En cas d'utilisation d'un instantané chiffré qui a été partagé avec vous, nous vous recommandons de chiffrer à nouveau l'instantané en le copiant à l'aide d'un clé CMK en votre possession. Cela vous protège si la clé CMK d'origine est compromise ou si le propriétaire la révoque, ce qui pourrait vous faire perdre l'accès aux volumes chiffrés que vous avez créés en utilisant l'instantané. Pour plus d'informations, consultez Partage d'un instantané Amazon EBS.

Vous appliquez le chiffrement aux instantanés EBS en définissant le paramètre Encrypted avec la valeur true. (Le paramètre Encrypted est facultatif si le chiffrement par défaut est activé).

Vous pouvez aussi utiliser KmsKeyId pour spécifier une clé personnalisée pour chiffrer la copie de l'instantané. (Le paramètre Encrypted doit aussi être défini avec la valeur true, même si le chiffrement par défaut est activé.) Si KmsKeyId n'est pas spécifié, la clé utilisée pour le chiffrement dépend de l'état de chiffrement de l'instantané source et de son propriétaire.

Le tableau suivant décrit le résultat de chiffrement pour chaque combinaison possible de paramètres.

Résultats du chiffrement : copie d'un instantané
Le paramètre Encrypted est-il défini ? Le chiffrement est-il défini par défaut ? Instantané source Par défaut (aucun KmsKeyId spécifié) Personnalisé (KmsKeyId spécifié)
Non Non Instantané non chiffré que vous possédez Non chiffré S/O
Non Non Instantané chiffré que vous possédez Chiffré par la même clé
Non Non Instantané non chiffré qui est partagé avec vous Non chiffré
Non Non

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut*
Oui Non Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée**
Oui Non Instantané chiffré que vous possédez Chiffré par la même clé
Oui Non Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Non

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut
Non Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut S/O
Non Oui Instantané chiffré que vous possédez Chiffré par la même clé
Non Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Non Oui

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut
Oui Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée
Oui Oui Instantané chiffré que vous possédez Chiffré par la même clé
Oui Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Oui

Instantané chiffré qui est partagé avec vous

Chiffré par la clé CMK par défaut

*Clé CMK par défaut utilisée pour le chiffrement EBS pour le compte et la région AWS. Il s'agit par défaut d'une clé CMK unique gérée par AWS pour EBS, ou vous pouvez spécifier une clé CMK gérée par le client. Pour plus d'informations, consultez Clé par défaut pour le chiffrement EBS.

**Clé CMK gérée par le client, spécifiée pour l'action de copie. Cette clé CMK est utilisée à la place de la clé CMK par défaut pour le compte et la région AWS.

Copie d'un instantané

Utilisez la procédure suivante pour copier un instantané à l'aide de la console Amazon EC2.

Pour copier un instantané à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Sélectionnez l'instantané à copier, puis choisissez Copier dans la liste Actions.

  4. Dans la boîte de dialogue Copier un instantané, mettez à jour les informations suivantes si nécessaire :

    • Région de destination : sélectionnez la région vers laquelle vous souhaitez transférer la copie de l'instantané.

    • Description : par défaut, la description inclut des informations sur l'instantané source afin que vous puissiez identifier une copie à partir de l'original. Vous pouvez modifier cette description si nécessaire.

    • Chiffrement : si l'instantané source n'est pas chiffré, vous pouvez choisir de chiffrer la copie. Si vous avez activé le chiffrement par défaut, l'option Encryption (Chiffrement) est activée et ne peut pas être désactivée depuis la console de l'instantané. Si l'option Encryption (Chiffrement) est activée, vous pouvez choisir d'effectuer le chiffrement sous une clé CMK gérée par le client en sélectionnant celle-ci dans le champ, comme décrit ci-dessous.

      Vous ne pouvez pas supprimer le chiffrement d'un instantané chiffré.

      Note

      Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

    • Clé principale : il s'agit de la clé principale du client (CMK) qui sera utilisée pour chiffrer cet instantané. La clé par défaut pour votre compte est affichée au début. Toutefois, vous pouvez sélectionner l'une des clés principales dans votre compte ou saisir/coller l'ARN d'une clé issue d'un autre compte. Vous pouvez créer de nouvelles clés principales de chiffrement dans la console IAM https://console.aws.amazon.com/iam/.

  5. Choisissez Copy.

  6. Dans la boîte de dialogue de confirmation Copier un instantané, choisissez Instantanés afin d'accéder à la page Instantanés dans la région spécifiée, ou choisissez Fermer.

    Pour consulter l'évolution du processus de copie, basculez vers la région de destination, puis actualisez la page Instantanés. Les copies en cours sont répertoriées en haut de la page.

Pour déterminer la cause d'une erreur

Si vous essayez de copier un instantané chiffré sans disposer des autorisations d'utilisation de la clé de chiffrement, l'opération échoue silencieusement. L'état d'erreur ne s'affiche pas sur la console tant que vous n'avez pas actualisé la page. Vous pouvez également vérifier l'état de l'instantané à partir de la ligne de commande, comme dans l'exemple suivant.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Si la copie échoue en raison d'autorisations insuffisantes d'utilisation de la clé, vous verrez le message : "StateMessage": "Given key ID is not accessible".

Lors de la copie d'un instantané chiffré, vous devez disposer des autorisations DescribeKey sur la clé CMK par défaut. Le refus explicite de ces autorisations entraîne l'échec de la copie. Pour plus d'informations sur la gestion des clés CMK, consultez Contrôle de l'accès aux clés principales du client.

Pour copier un instantané à partir de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.