Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyalin snapshot Amazon EBS
Dengan Amazon EBS, Anda dapat membuat point-in-time snapshot volume, yang kami simpan untuk Anda di Amazon S3. Setelah Anda membuat snapshot dan selesai menyalin ke Amazon S3 (saat status snapshot), Anda dapat completed
menyalinnya dari AWS satu Wilayah ke Wilayah lain, atau dalam Wilayah yang sama. Enkripsi sisi server Amazon S3 (256-bit AES) melindungi data bergerak snapshot selama operasi penyalinan. Salinan snapshot menerima ID yang berbeda dari ID snapshot asli.
Untuk menyalin snapshot multi-volume ke AWS Wilayah lain, ambil snapshot menggunakan tag yang Anda terapkan ke kumpulan snapshot multi-volume saat Anda membuatnya. Kemudian secara terpisah salin snapshot ke Wilayah lainnya.
Jika Anda ingin akun lain dapat menyalin snapshot Anda, Anda harus mengubah izin snapshot untuk mengizinkan akses ke akun itu atau membuat snapshot publik sehingga semua AWS akun dapat menyalinnya. Untuk informasi selengkapnya, lihat Membagikan snapshot Amazon EBS.
Untuk informasi tentang menyalin snapshot Amazon RDS, lihat Menyalin Snapshot DB dalam Panduan Pengguna Amazon RDS.
Kasus penggunaan
-
Ekspansi geografis: Luncurkan aplikasi Anda di AWS Wilayah baru.
-
Migrasi: Pindahkan aplikasi ke Wilayah baru, untuk memungkinkan ketersediaan yang lebih baik dan untuk meminimalkan biaya.
-
Pemulihan bencana: Cadangkan data dan log Anda di berbagai lokasi geografis secara berkala. Jika terjadi bencana, Anda dapat memulihkan aplikasi Anda menggunakan point-in-time cadangan yang disimpan di Wilayah sekunder. Hal ini meminimalkan kehilangan data dan waktu pemulihan.
-
Enkripsi: Mengenkripsi snapshot yang sebelumnya tidak dienkripsi, mengubah kunci yang dienkripsi untuk snapshot, atau membuat salinan yang Anda miliki untuk membuat volume darinya (untuk snapshot terenkripsi yang telah dibagikan dengan Anda).
-
Persyaratan retensi data dan pengauditan: Salin snapshot EBS terenkripsi Anda dari satu akun AWS ke akun lainnya untuk menyimpan log data atau file lain untuk audit atau retensi data. Menggunakan akun yang berbeda membantu mencegah penghapusan snapshot yang tidak disengaja, dan melindungi Anda jika akun utama AWS Anda disusupi.
Daftar Isi
Prasyarat
-
Anda dapat menyalin snapshot apa pun yang dapat diakses yang memiliki status
completed
, termasuk snapshot bersama dan snapshot yang telah Anda buat. -
Anda dapat menyalin AWS Marketplace, snapshot Impor/Ekspor VM, dan Storage Gateway, tetapi Anda harus memverifikasi bahwa snapshot didukung di Wilayah tujuan.
-
Untuk menyalin snapshot terenkripsi, pengguna Anda harus memiliki izin berikut untuk menggunakan enkripsi Amazon EBS.
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
-
-
Untuk menyalin snapshot terenkripsi yang dibagikan dari AWS akun lain, Anda harus memiliki izin untuk menggunakan kunci terkelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat Bagikan kunci KMS.
Pertimbangan
-
Ada batas permintaan sejumlah
20
salinan snapshot bersamaan per Wilayah tujuan. Jika melebihi kuota ini, Anda menerimaResourceLimitExceeded
kesalahan. Jika Anda menerima kesalahan ini, tunggu satu atau beberapa permintaan salinan selesai sebelum membuat permintaan salinan snapshot baru. -
Tanda yang ditentukan pengguna tidak disalin dari snapshot sumber ke snapshot baru. Anda dapat menambahkan tanda yang ditentukan pengguna selama atau setelah operasi penyalinan.
-
Snapshot yang dibuat oleh operasi penyalinan snapshot memiliki ID volume arbitrer, seperti
vol-ffff
atauvol-ffffffff
. ID volume yang tidak boleh digunakan untuk tujuan apa pun. -
Izin tingkat sumber daya yang ditentukan untuk operasi penyalinan berlaku hanya untuk snapshot baru. Anda tidak dapat menentukan izin tingkat sumber daya untuk snapshot sumber. Sebagai contoh, lihat Contoh: Menyalin snapshot.
Harga
-
Untuk informasi harga tentang menyalin snapshot di seluruh AWS Wilayah dan akun, lihat Harga Amazon EBS
. -
Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.
-
Jika Anda menyalin snapshot ke Wilayah baru, salinan lengkap (non-inkremental) akan dibuat. Hal ini menyebabkan biaya penyimpanan tambahan. Salinan berikutnya dari snapshot yang sama bersifat inkremental.
-
Jika Anda menggunakan transfer data eksternal atau lintas wilayah, biaya transfer data EC2
tambahan akan berlaku. Dan jika Anda menghapus snapshot apa pun setelah inisiasi, Anda tetap dikenai biaya untuk data yang telah ditransfer.
Menyalin snapshot inkremental
Jika salinan snapshot bersifat inkremental ditentukan oleh salinan snapshot yang baru saja diselesaikan. Saat Anda menyalin snapshot di seluruh Wilayah atau akun, salinan tersebut adalah salinan inkremental jika syarat berikut terpenuhi:
-
Snapshot disalin ke Wilayah atau akun tujuan sebelumnya.
-
Salinan snapshot terbaru masih ada di Wilayah atau akun tujuan.
-
Salinan snapshot terbaru belum diarsipkan.
-
Semua salinan snapshot di Wilayah atau akun tujuan tidak dienkripsi atau dienkripsi menggunakan kunci KMS yang sama.
Jika salinan snapshot terbaru dihapus, salinan berikutnya adalah salinan penuh, bukan salinan inkremental. Jika salinan masih tertunda saat Anda memulai salinan lain, salinan kedua dimulai hanya setelah salinan pertama selesai.
Operasi penyalinan snapshot dalam akun dan Wilayah yang sama menggunakan kunci KMS yang sama menghasilkan salinan tambahan.
Penyalinan snapshot bertahap mengurangi waktu yang diperlukan untuk menyalin snapshot dan menghemat biaya transfer data dan penyimpanan dengan tidak menggandakan data.
Kami sarankan Anda menandai snapshot dengan volume dan waktu pembuatan sehingga Anda dapat terus melacak salinan snapshot terbaru dari volume di Wilayah atau akun tujuan.
Untuk melihat apakah salinan snapshot Anda bersifat inkremental, periksa peristiwa CopySnapshot. CloudWatch
Enkripsi dan penyalinan snapshot
Saat menyalin snapshot, Anda dapat mengenkripsi salinan atau menentukan kunci KMS yang berbeda dari yang asli, dan snapshot salinan yang dihasilkan menggunakan kunci KMS baru. Namun, mengubah status enkripsi snapshot selama operasi penyalinan dapat menghasilkan salinan penuh (bukan inkremental), yang dapat menimbulkan biaya transfer dan penyimpanan data yang lebih besar. Untuk informasi selengkapnya, lihat Menyalin snapshot inkremental.
Untuk menyalin snapshot terenkripsi yang dibagikan dari AWS akun lain, Anda harus memiliki izin untuk menggunakan snapshot dan kunci terkelola pelanggan (CMK) yang digunakan untuk mengenkripsi snapshot. Saat menggunakan snapshot terenkripsi yang dibagikan dengan Anda, kami sarankan agar Anda mengenkripsi ulang snapshot dengan menyalinnya menggunakan kunci KMS yang Anda miliki. Langkah ini melindungi Anda jika kunci KMS asli diretas, atau jika pemilik mencabutnya, yang dapat menyebabkan Anda kehilangan akses ke volume terenkripsi apa pun yang Anda buat menggunakan snapshot. Untuk informasi selengkapnya, lihat Membagikan snapshot Amazon EBS.
Anda menerapkan enkripsi ke salinan snapshot EBS dengan menetapkan parameter Encrypted
ke true
. (Parameter Encrypted
bersifat opsional jika enkripsi secara default diaktifkan).
Atau, Anda dapat menggunakan KmsKeyId
untuk menentukan kunci kustom yang digunakan untuk mengenkripsi salinan snapshot. (Parameter Encrypted
juga harus diatur ke true
, bahkan jika enkripsi secara default diaktifkan.) Jika KmsKeyId
tidak ditentukan, kunci yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya.
Tabel berikut menjelaskan hasil enkripsi untuk setiap kombinasi pengaturan saat menyalin snapshot yang Anda miliki dan snapshot yang dibagikan kepada Anda.
Topik
Enkripsi secara default | Adalah Encrypted parameter ditetapkan? |
Status enkripsi snapshot sumber | Default (tidak ditentukan kunci KMS) | Kustom (kunci KMS ditentukan) |
---|---|---|---|---|
Nonaktif | Tidak | Tidak terenkripsi | Tidak terenkripsi | T/A |
Dienkripsi | Dienkripsi oleh Kunci yang dikelola AWS | |||
Ya | Tidak terenkripsi | Dienkripsi dengan kunci KMS default | Dienkripsi dengan kunci KMS yang ditentukan** | |
Dienkripsi | Dienkripsi dengan kunci KMS default | |||
Aktif | Tidak | Tidak terenkripsi | Dienkripsi dengan kunci KMS default | N/A |
Dienkripsi | Dienkripsi dengan kunci KMS default | |||
Ya | Tidak terenkripsi | Dienkripsi dengan kunci KMS default | Dienkripsi dengan kunci KMS yang ditentukan** | |
Dienkripsi | Dienkripsi dengan kunci KMS default |
** Ini adalah kunci KMS yang ditentukan dalam tindakan penyalinan snapshot. Kunci KMS ini digunakan sebagai pengganti kunci KMS default untuk akun dan Wilayah.
Menyalin snapshot
Untuk menyalin snapshot, gunakan salah satu metode berikut.
Untuk memeriksa kegagalan
Jika Anda mencoba menyalin snapshot terenkripsi tanpa izin untuk menggunakan kunci enkripsi, operasi akan gagal secara diam-diam. Status kesalahan tidak ditampilkan di konsol hingga Anda menyegarkan halaman. Anda juga dapat memeriksa status snapshot dari baris perintah, seperti dalam contoh berikut.
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
Jika salinan gagal karena izin kunci yang tidak mencukupi, Anda melihat pesan berikut: "StateMessage“: “ID kunci yang diberikan tidak dapat diakses”.
Saat menyalin snapshot terenkripsi, Anda harus memiliki izin DescribeKey
pada CMK default. Secara tegas menolak izin ini akan menyebabkan kegagalan penyalinan. Untuk informasi tentang mengelola kunci CMK, lihat Autentikasi dan kontrol akses untuk AWS KMS.