Partage d'un instantané Amazon EBS - Amazon Elastic Compute Cloud

Partage d'un instantané Amazon EBS

En modifiant les autorisations d'un instantané, vous pouvez le partager avec les comptes AWS que vous spécifiez. Les utilisateurs qui bénéficient de votre autorisation peuvent utiliser les instantanés que vous partagez comme base de création de leurs propres volumes EBS, pendant que votre instantané d'origine reste inchangé.

Vous pouvez choisir de rendre vos instantanés non chiffrés publiquement disponibles pour tous les utilisateurs d'AWS. Vous ne pouvez pas rendre vos instantanés chiffrés publiquement disponibles.

Lorsque vous partagez un instantané chiffré, vous devez également partager la clé CMK gérée par le client qui a servi à chiffrer l'instantané. Vous pouvez appliquer des autorisations entre comptes à une clé CMK gérée par le client lors de sa création ou ultérieurement.

Important

Lorsque vous partagez un instantané, vous autorisez d'autres personnes à accéder à toutes les données de l'instantané. Partagez vos instantanés uniquement avec les personnes avec lesquelles vous souhaitez partager toutes vos données d'instantané.

Considérations

Les considérations suivantes s'appliquent au partage des instantanés :

  • Les instantanés sont limités à la région dans laquelle ils ont été créés. Pour partager un instantané avec une autre région, copiez l'instantané dans cette région. Pour plus d'informations, consultez Copie d'un instantané Amazon EBS.

  • Si votre instantané utilise le format long d'ID de ressource, vous pouvez uniquement le partager avec un autre compte prenant également en charge les ID longs. Pour de plus amples informations, veuillez consulter ID de ressource.

  • AWS vous empêche de partager les instantanés qui ont été chiffrés avec votre clé CMK par défaut. Les instantanés que vous avez l'intention de partager doivent donc être chiffrés avec une clé CMK gérée par le client. Pour plus d'informations, consultez Création de clés dans le AWS Key Management Service Developer Guide.

  • Les utilisateurs de votre clé CMK partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d'exécuter les actions suivantes sur la clé : kms:DescribeKey, kms:CreateGrant, GenerateDataKey et kms:ReEncrypt. Pour plus d'informations, consultez Contrôle de l'accès aux clés principales du client dans le AWS Key Management Service Developer Guide.

Partage d'un instantané non chiffré à l'aide de la console

Pour partager un instantané à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Instantanés dans le panneau de navigation.

  3. Sélectionnez l'instantané, puis choisissez Actions, Modifier des autorisations.

  4. Rendez l'instantané public ou partagez-le avec des comptes AWS spécifiques comme suit :

    • Pour rendre l'instantané public, choisissez Public.

      Cette option n'est pas valide pour les instantanés chiffrés ou les instantanés avec un code produit AWS Marketplace.

    • Pour partager l'instantané avec un ou plusieurs comptes AWS, choisissez Privé, entrez l'ID du compte AWS (sans traits d'union) dans Numéro de compte AWS, puis choisissez Ajouter autorisation. Répétez cette opération pour les éventuels comptes AWS supplémentaires.

  5. Choisissez Save.

Pour utiliser un instantané non chiffré qui a été partagé en privé avec vous

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Instantanés dans le panneau de navigation.

  3. Choisissez le filtre Instantanés privés.

  4. Localisez l'instantané par son ID ou sa description. Vous pouvez utiliser cet instantané comme vous le feriez avec n'importe quel autre. Par exemple, vous pouvez créer un volume à partir de l'instantané ou le copier dans une autre région.

Partage d'un instantané chiffré à l'aide de la console

Pour partager un instantané chiffré en utilisant la console

  1. Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de région AWS, utilisez le sélecteur de région dans l’angle supérieur droit de la page.

  3. Choisissez Customer managed keys (Clés gérées par le client) dans le volet de navigation.

  4. Dans la colonne Alias choisissez l'alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l'instantané. Les détails de la clé s'ouvrent dans une nouvelle page.

  5. Dans la section Key policy (Stratégie de clé) s'affiche soit la vue de la stratégie soit la vue par défaut. La vue de la stratégie affiche le document de la stratégie de clé. La vue par défaut affiche les sections Key administrators (Administrateurs de clé), Key deletion (Suppression de clé), Key Use (Utilisation de clé) et Other AWS accounts (Autres comptes AWS). L'affichage par défaut s'affiche si vous avez créé la stratégie dans la console et que vous ne l'avez pas personnalisée. Si l'affichage par défaut n'est pas disponible, vous devez modifier manuellement la stratégie dans l'affichage de stratégie. Pour de plus amples informations, veuillez consulter Affichage d'une stratégie de clé (console) dans le AWS Key Management Service Developer Guide.

    Utilisez la vue de la stratégie ou la vue par défaut, en fonction de l'affichage auquel vous pouvez accéder, pour ajouter un ou plusieurs ID de compte AWS à la stratégie, comme suit :

    • (Vue de la stratégie) Choisissez Edit (Modifier). Ajoutez un ou plusieurs ID de compte AWS aux instructions suivantes : "Allow use of the key" et "Allow attachment of persistent resources". Sélectionnez Save Changes (Enregistrer les modifications). Dans l'exemple suivant, l'ID de compte AWS 444455556666 est ajouté à la stratégie.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Vue par défaut) Faites défiler la page jusqu'à Other AWS accounts (Autres comptes AWS). Choisissez Add other AWS accounts (Ajouter d’autres comptes AWS) et entrez l’ID du compte AWS à l’invite. Pour ajouter un autre compte, choisissez Add another AWS account (Ajouter un autre compte) et entre l’ID du compte AWS. Une fois que vous avez ajouté tous les comptes AWS, choisissez Enregistrer les modifications.

  6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  7. Choisissez Instantanés dans le panneau de navigation.

  8. Sélectionnez l'instantané, puis choisissez Actions, Modifier des autorisations.

  9. Pour chaque compte AWS, entrez l'ID du compte AWS dans Numéro de compte AWS, puis choisissez Ajouter autorisation. Une fois que vous avez ajouté tous les comptes AWS, choisissez Enregistrer.

Pour utiliser un instantané chiffré qui a été partagé avec vous

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Instantanés dans le panneau de navigation.

  3. Choisissez le filtre Instantanés privés. Vous pouvez éventuellement ajouter le filtre Chiffré.

  4. Localisez l'instantané par son ID ou sa description.

  5. Sélectionnez l'instantané, puis choisissez Actions, Copier.

  6. (Facultatif) Sélectionnez une région de destination.

  7. La copie de l'instantané est chiffrée avec la clé affichée dans le champ Clé principale. Par défaut, la clé sélectionnée est la clé CMK par défaut de votre compte. Pour sélectionner une clé CMK gérée par le client, cliquez dans le champ de saisie pour voir la liste des clés disponibles.

  8. Choisissez Copy.

Partage d'un instantané à l'aide de la ligne de commande

Les autorisations pour un instantané sont spécifiées à l'aide de l'attribut createVolumePermission de l'instantané. Pour qu'un instantané devienne public, définissez le groupe sur all. Pour partager un instantané avec un compte AWS spécifique, définissez l'utilisateur sur l'ID du compte AWS.

Pour modifier les autorisations d'instantané à l'aide de la ligne de commande

Utilisez l'une des commandes suivantes :

Pour afficher les autorisations d'instantané à l'aide de la ligne de commande

Utilisez l'une des commandes suivantes :

Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.

Détermination de l'utilisation des instantanés partagés

Vous pouvez utiliser AWS CloudTrail pour vérifier si un instantané que vous avez partagé avec d'autres utilisateurs est copié ou utilisé pour créer un volume. Les événements suivants sont connectés dans CloudTrail :

  • SharedSnapshotCopyInitiated — Un instantané partagé est en cours de copie.

  • SharedSnapshotVolumeCreated — Un instantané partagé est utilisé pour créer un volume.

Pour plus d'informations sur l'utilisation de CloudTrail, consultez Journalisation des appels d'API Amazon EC2 et Amazon EBS avec AWS CloudTrail.