Menyalin snapshot Amazon EBS - Amazon EBS
PrasyaratPertimbanganHargaMenyalin snapshot inkrementalEnkripsi dan penyalinan snapshotMenyalin snapshot

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyalin snapshot Amazon EBS

Dengan Amazon EBS, Anda dapat membuat point-in-time snapshot volume, yang kami simpan untuk Anda di Amazon S3. Setelah Anda membuat snapshot dan selesai menyalin ke Amazon S3 (saat status snapshot), Anda dapat completed menyalinnya dari AWS satu Wilayah ke Wilayah lain, atau dalam Wilayah yang sama. Enkripsi sisi server Amazon S3 (256-bit AES) melindungi data bergerak snapshot selama operasi penyalinan. Salinan snapshot menerima ID yang berbeda dari ID snapshot asli.

Untuk menyalin snapshot multi-volume ke AWS Wilayah lain, ambil snapshot menggunakan tag yang Anda terapkan ke kumpulan snapshot multi-volume saat Anda membuatnya. Kemudian secara terpisah salin snapshot ke Wilayah lainnya.

Jika Anda ingin akun lain dapat menyalin snapshot Anda, Anda harus mengubah izin snapshot untuk mengizinkan akses ke akun itu atau membuat snapshot publik sehingga semua AWS akun dapat menyalinnya. Untuk informasi selengkapnya, lihat Membagikan snapshot Amazon EBS.

Untuk informasi tentang menyalin snapshot Amazon RDS, lihat Menyalin Snapshot DB dalam Panduan Pengguna Amazon RDS.

Kasus penggunaan

  • Ekspansi geografis: Luncurkan aplikasi Anda di AWS Wilayah baru.

  • Migrasi: Pindahkan aplikasi ke Wilayah baru, untuk memungkinkan ketersediaan yang lebih baik dan untuk meminimalkan biaya.

  • Pemulihan bencana: Cadangkan data dan log Anda di berbagai lokasi geografis secara berkala. Jika terjadi bencana, Anda dapat memulihkan aplikasi Anda menggunakan point-in-time cadangan yang disimpan di Wilayah sekunder. Hal ini meminimalkan kehilangan data dan waktu pemulihan.

  • Enkripsi: Mengenkripsi snapshot yang sebelumnya tidak dienkripsi, mengubah kunci yang dienkripsi untuk snapshot, atau membuat salinan yang Anda miliki untuk membuat volume darinya (untuk snapshot terenkripsi yang telah dibagikan dengan Anda).

  • Persyaratan retensi data dan pengauditan: Salin snapshot EBS terenkripsi Anda dari satu akun AWS ke akun lainnya untuk menyimpan log data atau file lain untuk audit atau retensi data. Menggunakan akun yang berbeda membantu mencegah penghapusan snapshot yang tidak disengaja, dan melindungi Anda jika akun utama AWS Anda disusupi.

Prasyarat

  • Anda dapat menyalin snapshot apa pun yang dapat diakses yang memiliki status completed, termasuk snapshot bersama dan snapshot yang telah Anda buat.

  • Anda dapat menyalin AWS Marketplace, snapshot Impor/Ekspor VM, dan Storage Gateway, tetapi Anda harus memverifikasi bahwa snapshot didukung di Wilayah tujuan.

  • Untuk menyalin snapshot terenkripsi, pengguna Anda harus memiliki izin berikut untuk menggunakan enkripsi Amazon EBS.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Untuk menyalin snapshot terenkripsi yang dibagikan dari AWS akun lain, Anda harus memiliki izin untuk menggunakan kunci terkelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat Bagikan kunci KMS.

Pertimbangan

  • Ada batas permintaan sejumlah 20 salinan snapshot bersamaan per Wilayah tujuan. Jika melebihi kuota ini, Anda menerima ResourceLimitExceeded kesalahan. Jika Anda menerima kesalahan ini, tunggu satu atau beberapa permintaan salinan selesai sebelum membuat permintaan salinan snapshot baru.

  • Tanda yang ditentukan pengguna tidak disalin dari snapshot sumber ke snapshot baru. Anda dapat menambahkan tanda yang ditentukan pengguna selama atau setelah operasi penyalinan.

  • Snapshot yang dibuat oleh operasi penyalinan snapshot memiliki ID volume arbitrer, seperti vol-ffff atau vol-ffffffff. ID volume yang tidak boleh digunakan untuk tujuan apa pun.

  • Izin tingkat sumber daya yang ditentukan untuk operasi penyalinan berlaku hanya untuk snapshot baru. Anda tidak dapat menentukan izin tingkat sumber daya untuk snapshot sumber. Sebagai contoh, lihat Contoh: Menyalin snapshot.

Harga

  • Untuk informasi harga tentang menyalin snapshot di seluruh AWS Wilayah dan akun, lihat Harga Amazon EBS.

  • Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.

  • Jika Anda menyalin snapshot ke Wilayah baru, salinan lengkap (non-inkremental) akan dibuat. Hal ini menyebabkan biaya penyimpanan tambahan. Salinan berikutnya dari snapshot yang sama bersifat inkremental.

  • Jika Anda menggunakan transfer data eksternal atau lintas wilayah, biaya transfer data EC2 tambahan akan berlaku. Dan jika Anda menghapus snapshot apa pun setelah inisiasi, Anda tetap dikenai biaya untuk data yang telah ditransfer.

Menyalin snapshot inkremental

Jika salinan snapshot bersifat inkremental ditentukan oleh salinan snapshot yang baru saja diselesaikan. Saat Anda menyalin snapshot di seluruh Wilayah atau akun, salinan tersebut adalah salinan inkremental jika syarat berikut terpenuhi:

  • Snapshot disalin ke Wilayah atau akun tujuan sebelumnya.

  • Salinan snapshot terbaru masih ada di Wilayah atau akun tujuan.

  • Salinan snapshot terbaru belum diarsipkan.

  • Semua salinan snapshot di Wilayah atau akun tujuan tidak dienkripsi atau dienkripsi menggunakan kunci KMS yang sama.

Jika salinan snapshot terbaru dihapus, salinan berikutnya adalah salinan penuh, bukan salinan inkremental. Jika salinan masih tertunda saat Anda memulai salinan lain, salinan kedua dimulai hanya setelah salinan pertama selesai.

Operasi penyalinan snapshot dalam akun dan Wilayah yang sama menggunakan kunci KMS yang sama menghasilkan salinan tambahan.

Penyalinan snapshot bertahap mengurangi waktu yang diperlukan untuk menyalin snapshot dan menghemat biaya transfer data dan penyimpanan dengan tidak menggandakan data.

Kami sarankan Anda menandai snapshot dengan volume dan waktu pembuatan sehingga Anda dapat terus melacak salinan snapshot terbaru dari volume di Wilayah atau akun tujuan.

Untuk melihat apakah salinan snapshot Anda bersifat inkremental, periksa peristiwa CopySnapshot. CloudWatch

Enkripsi dan penyalinan snapshot

Saat menyalin snapshot, Anda dapat mengenkripsi salinan atau menentukan kunci KMS yang berbeda dari yang asli, dan snapshot salinan yang dihasilkan menggunakan kunci KMS baru. Namun, mengubah status enkripsi snapshot selama operasi penyalinan dapat menghasilkan salinan penuh (bukan inkremental), yang dapat menimbulkan biaya transfer dan penyimpanan data yang lebih besar. Untuk informasi selengkapnya, lihat Menyalin snapshot inkremental.

Untuk menyalin snapshot terenkripsi yang dibagikan dari AWS akun lain, Anda harus memiliki izin untuk menggunakan snapshot dan kunci terkelola pelanggan (CMK) yang digunakan untuk mengenkripsi snapshot. Saat menggunakan snapshot terenkripsi yang dibagikan dengan Anda, kami sarankan agar Anda mengenkripsi ulang snapshot dengan menyalinnya menggunakan kunci KMS yang Anda miliki. Langkah ini melindungi Anda jika kunci KMS asli diretas, atau jika pemilik mencabutnya, yang dapat menyebabkan Anda kehilangan akses ke volume terenkripsi apa pun yang Anda buat menggunakan snapshot. Untuk informasi selengkapnya, lihat Membagikan snapshot Amazon EBS.

Anda menerapkan enkripsi ke salinan snapshot EBS dengan menetapkan parameter Encrypted ke true. (Parameter Encrypted bersifat opsional jika enkripsi secara default diaktifkan).

Atau, Anda dapat menggunakan KmsKeyId untuk menentukan kunci kustom yang digunakan untuk mengenkripsi salinan snapshot. (Parameter Encrypted juga harus diatur ke true, bahkan jika enkripsi secara default diaktifkan.) Jika KmsKeyId tidak ditentukan, kunci yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya.

Tabel berikut menjelaskan hasil enkripsi untuk setiap kombinasi pengaturan saat menyalin snapshot yang Anda miliki dan snapshot yang dibagikan kepada Anda.

Topik
    Enkripsi secara default Adalah Encrypted parameter ditetapkan? Status enkripsi snapshot sumber Default (tidak ditentukan kunci KMS) Kustom (kunci KMS ditentukan)
    Nonaktif Tidak Tidak terenkripsi Tidak terenkripsi T/A
    Dienkripsi Dienkripsi oleh Kunci yang dikelola AWS
    Ya Tidak terenkripsi Dienkripsi dengan kunci KMS default Dienkripsi dengan kunci KMS yang ditentukan**
    Dienkripsi Dienkripsi dengan kunci KMS default
    Aktif Tidak Tidak terenkripsi Dienkripsi dengan kunci KMS default N/A
    Dienkripsi Dienkripsi dengan kunci KMS default
    Ya Tidak terenkripsi Dienkripsi dengan kunci KMS default Dienkripsi dengan kunci KMS yang ditentukan**
    Dienkripsi Dienkripsi dengan kunci KMS default

    ** Ini adalah kunci KMS yang ditentukan dalam tindakan penyalinan snapshot. Kunci KMS ini digunakan sebagai pengganti kunci KMS default untuk akun dan Wilayah.

    Menyalin snapshot

    Untuk menyalin snapshot, gunakan salah satu metode berikut.

    Console
    Untuk menyalin snapshot menggunakan konsol

    1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

    2. Di panel navigasi, pilih Snapshot.

    3. Pilih snapshot yang akan dihapus, lalu pilih Tindakan, Salin snapshot.

    4. (Opsional) Untuk Deskripsi, masukkan deskripsi singkat untuk salinan snapshot tersebut.

      Secara default, deskripsi mencakup informasi tentang snapshot sumber sehingga Anda dapat mengidentifikasi salinan dari versi asli. Anda dapat mengubah deskripsi ini sesuai kebutuhan.

    5. Untuk Wilayah Tujuan, pilih Wilayah tempat membuat salinan snapshot.

    6. Tentukan status enkripsi untuk salinan snapshot.

      Jika snapshot yang dipilih dienkripsi, atau jika akun Anda diaktifkan untuk enkripsi secara default, salinan snapshot secara otomatis dienkripsi dan Anda tidak dapat mengubah status enkripsinya.

      Jika snapshot sumber tidak dienkripsi dan akun Anda tidak diaktifkan untuk enkripsi secara default, enkripsi bersifat opsional. Untuk mengenkripsi salinan snapshot, untuk Enkripsi, pilih Enkripsi snapshot ini. Kemudian, untuk Kunci KMS, pilih kunci KMS yang akan digunakan untuk mengenkripsi snapshot di Wilayah tujuan.

    7. Pilih Salin Snapshot.

    AWS CLI
    Untuk menyalin snapshot menggunakan AWS CLI

    Gunakan perintah copy-snapshot.

    Tools for Windows PowerShell
    Untuk menyalin snapshot menggunakan Alat untuk Windows PowerShell

    Gunakan perintah Copy-EC2Snapshot.
    Untuk memeriksa kegagalan

    Jika Anda mencoba menyalin snapshot terenkripsi tanpa izin untuk menggunakan kunci enkripsi, operasi akan gagal secara diam-diam. Status kesalahan tidak ditampilkan di konsol hingga Anda menyegarkan halaman. Anda juga dapat memeriksa status snapshot dari baris perintah, seperti dalam contoh berikut.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Jika salinan gagal karena izin kunci yang tidak mencukupi, Anda melihat pesan berikut: "StateMessage“: “ID kunci yang diberikan tidak dapat diakses”.

    Saat menyalin snapshot terenkripsi, Anda harus memiliki izin DescribeKey pada CMK default. Secara tegas menolak izin ini akan menyebabkan kegagalan penyalinan. Untuk informasi tentang mengelola kunci CMK, lihat Autentikasi dan kontrol akses untuk AWS KMS.