Partager un instantané Amazon EBS - Amazon Elastic Compute Cloud

Partager un instantané Amazon EBS

Vous pouvez modifier les autorisations d'un instantané si vous souhaitez partager celui-ci avec d'autres comptes AWS. Vous pouvez partager des instantanés publiquement avec tous les autres comptes AWS, ou vous pouvez les partager en privé avec des comptes AWS que vous spécifiez. Les utilisateurs qui bénéficient de votre autorisation peuvent utiliser les instantanés que vous partagez pour créer leurs propres volumes EBS, tandis que votre instantané d'origine reste inchangé.

Important

Lorsque vous partagez un instantané, vous autorisez d'autres personnes à accéder à toutes les données de l'instantané. Partagez vos instantanés uniquement avec les personnes à qui vous faites confiance pour toutes vos données d'instantané.

Avant de partager un instantané

Les considérations suivantes s'appliquent au partage des instantanés :

  • Les instantanés sont limités à la région dans laquelle ils ont été créés. Pour partager un instantané avec une autre région, copiez l'instantané dans cette région, puis partagez la copie. Pour de plus amples informations, veuillez consulter Copier un instantané Amazon EBS.

  • Vous ne pouvez pas partager d'instantanés chiffrés avec l' Clé gérée par AWS par défaut. Vous ne pouvez pas partager d'instantanés chiffrés avec une clé gérée par le client. Pour plus d'informations, consultez Création des clés dans le Guide du développeur AWS Key Management Service.

  • Vous ne pouvez partager que des instantanés non chiffrés publiquement.

  • Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l'instantané. Pour de plus amples informations, veuillez consulter Partager une clé KMS.

Partager un instantané

Vous pouvez partager un instantané à l'aide de l'une des méthodes décrites dans la section.

Console

Pour partager un instantané

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Choisissez Instantanés dans le panneau de navigation.

  3. Sélectionnez l'instantané, puis choisissez Actions, Modifier des autorisations.

  4. Rendez l'instantané public ou partagez-le avec des comptes AWS spécifiques comme suit :

    • Pour rendre l'instantané public, choisissez Public.

    • Pour partager l'instantané avec un ou plusieurs comptes AWS, choisissez Privé, entrez l'ID du compte AWS (sans traits d'union) dans Numéro de compte AWS, puis choisissez Ajouter autorisation. Répétez cette opération pour les éventuels comptes AWS supplémentaires.

  5. Choisissez Enregistrer.

AWS CLI

Les autorisations pour un instantané sont spécifiées à l'aide de l'attribut createVolumePermission de l'instantané. Pour qu'un instantané devienne public, définissez le groupe sur all. Pour partager un instantané avec un compte AWS spécifique, définissez l'utilisateur sur l'ID du compte AWS.

Pour partager un instantané en mode public

Utilisez l'une des commandes suivantes.

  • modify-snapshot-attribute (AWS CLI)

    Pour --attribute, spécifiez createVolumePermission. Pour --operation-type, spécifiez add. Pour --group-names, spécifiez all.

    $ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
  • Edit-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)

    Pour -Attribute, spécifiez CreateVolumePermission. Pour -OperationType, spécifiez Add. Pour -GroupName, spécifiez all.

    PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all

Pour partager un instantané en mode privé

Utilisez l'une des commandes suivantes.

  • modify-snapshot-attribute (AWS CLI)

    Pour --attribute, spécifiez createVolumePermission. Pour --operation-type, spécifiez add. Pour--user-ids, spécifiez les ID à 12 chiffres des comptes AWS avec lesquels partager les instantanés.

    $ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
  • Edit-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)

    Pour -Attribute, spécifiez CreateVolumePermission. Pour -OperationType, spécifiez Add. PourUserId, spécifiez les ID à 12 chiffres des comptes AWS avec lesquels partager les instantanés.

    PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Partager une clé KMS

Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l'instantané. Vous pouvez appliquer des autorisations inter-comptes à une clé gérée par le client lors de sa création ou ultérieurement.

Les utilisateurs de votre clé gérée par le client partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d'exécuter les actions suivantes sur la clé :

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:ReEncrypt

  • kms:Decrypt

Pour en savoir plus sur le contrôle de l'accès à une clé gérée par le client, veuillez consulter Utilisation de stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service.

Pour partager une clé gérée par le client à l'aide de la console AWS KMS

  1. Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de région AWS, utilisez le Region selector (Sélecteur de région) dans l’angle supérieur droit de la page.

  3. Choisissez Customer managed keys (Clés gérées par le client) dans le volet de navigation.

  4. Dans la colonne Alias choisissez l'alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l'instantané. Les détails de la clé s'ouvrent dans une nouvelle page.

  5. Dans la section Key policy (Stratégie de clé) s'affiche soit la vue de la stratégie soit la vue par défaut. La vue de la stratégie affiche le document de la stratégie de clé. La vue par défaut affiche les sections Key administrators (Administrateurs de clé), Key deletion (Suppression de clé), Key Use (Utilisation de clé) et Other AWS accounts (Autres comptes AWS). L'affichage par défaut s'affiche si vous avez créé la stratégie dans la console et que vous ne l'avez pas personnalisée. Si l'affichage par défaut n'est pas disponible, vous devez modifier manuellement la stratégie dans l'affichage de stratégie. Pour de plus amples informations, veuillez consulter Affichage d'une stratégie de clé (console) dans le Guide du développeur AWS Key Management Service.

    Utilisez la vue de la stratégie ou la vue par défaut, en fonction de l'affichage auquel vous pouvez accéder, pour ajouter un ou plusieurs ID de compte AWS à la stratégie, comme suit :

    • (Vue de la stratégie) Choisissez Edit (Modifier). Ajoutez un ou plusieurs ID de compte AWS aux instructions suivantes : "Allow use of the key" et "Allow attachment of persistent resources". Sélectionnez Save Changes. Dans l'exemple suivant, l'ID de compte AWS 444455556666 est ajouté à la stratégie.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Vue par défaut) Faites défiler la page jusqu'à Other AWS accounts (Autres comptes AWS). Choisissez Add other AWS accounts (Ajouter d'autres comptes AWS) et entrez l'ID du compte AWS à l'invite. Pour ajouter un autre compte, choisissez Add another AWS account (Ajouter un autre compte) et entre l'ID du compte AWS. Une fois que vous avez ajouté tous les comptes AWS, choisissez Enregistrer les modifications.

Afficher les instantanés partagés avec vous

Vous pouvez afficher les instantanés que qui sont partagés avec vous à l'aide de l'une des méthodes suivantes.

Console

Pour afficher les instantanés partagés à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Snapshots.

  3. Filtrer les instantanés répertoriés. Dans le coin supérieur gauche de l'écran, choisissez l'une des options suivantes :

    • Instantanés privés — Pour afficher uniquement les instantanés partagés avec vous en mode privé.

    • Instantanés privés — Pour afficher uniquement les instantanés partagés avec vous en mode public.

AWS CLI

Pour afficher les autorisations d'instantané à l'aide de la ligne de commande

Utilisez l'une des commandes suivantes :

Utiliser des instantanés qui sont partagés avec vous

Pour utiliser un instantané partagé non chiffré

Localisez l'instantané partagé par son ID ou sa description. Pour de plus amples informations, veuillez consulter Afficher les instantanés partagés avec vous. Vous pouvez utiliser cet instantané comme n'importe quel autre instantané que vous possédez dans votre compte. Par exemple, vous pouvez créer un volume à partir de l'instantané ou le copier dans une autre région.

Pour utiliser un instantané chiffré partagé

Localisez l'instantané partagé par son ID ou sa description. Pour de plus amples informations, veuillez consulter Afficher les instantanés partagés avec vous. Créez une copie de l'instantané partagé dans votre compte et chiffrez la copie à l'aide d'une clé KMS que vous possédez. Vous pouvez ensuite utiliser la copie pour créer des volumes ou la copier dans différentes régions.

Déterminer l'utilisation des instantanés que vous partagez

Vous pouvez utiliser AWS CloudTrail pour vérifier si un instantané que vous avez partagé avec d'autres utilisateurs est copié ou utilisé pour créer un volume. Les événements suivants sont connectés dans CloudTrail :

  • SharedSnapshotCopyInitiated — Un instantané partagé est en cours de copie.

  • SharedSnapshotVolumeCreated — Un instantané partagé est utilisé pour créer un volume.

Pour plus d'informations sur l'utilisation de CloudTrail, consultez Journaliser les appels d'API Amazon EC2 et Amazon EBS avec AWS CloudTrail.