Membagikan snapshot Amazon EBS - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membagikan snapshot Amazon EBS

Anda dapat memodifikasi izin dari snapshot jika Anda ingin berbagi dengan akun AWS lainnya. Anda dapat berbagi snapshot secara publik dengan semua AWS akun lain, atau Anda dapat membagikannya secara pribadi dengan AWS akun individual yang Anda tentukan. Pengguna yang Anda beri wewenang dapat menggunakan snapshot yang Anda bagikan untuk membuat volume EBS mereka sendiri, sementara snapshot asli Anda tetap tidak terpengaruh.

penting

Saat Anda berbagi snapshot, Anda memberikan akses ke semua data di snapshot kepada orang lain. Bagikan snapshot hanya kepada individu yang Anda percayai dengan semua data snapshot Anda.

Untuk mencegah berbagi snapshot secara publik, Anda dapat mengaktifkan blokir akses publik untuk snapshot. Untuk informasi selengkapnya, lihat Memblokir akses publik ke AMI Anda.

Sebelum Anda berbagi snapshot

Hal-hal berikut berlaku saat berbagi snapshot:

  • Jika pemblokiran akses publik untuk snapshot diaktifkan untuk Wilayah, upaya guna membagikan snapshot secara publik akan diblokir. Snapshot masih dapat dibagikan secara privat.

  • Snapshot dibatasi untuk Wilayah tempatnya dibuat. Untuk berbagi snapshot dengan Wilayah lain, salin snapshot ke Wilayah tersebut, lalu bagikan salinannya. Untuk informasi selengkapnya, lihat Menyalin snapshot Amazon EBS.

  • Anda tidak dapat berbagi snapshot yang dienkripsi dengan Kunci yang dikelola AWS default. Anda hanya dapat berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Membuat Kunci di Panduan Developer AWS Key Management Service .

  • Anda hanya dapat berbagi snapshot yang tidak terenkripsi secara publik.

  • Saat Anda berbagi snapshot terenkripsi, Anda juga harus berbagi kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat Bagikan kunci KMS.

Membagikan snapshot

Anda dapat berbagi snapshot menggunakan salah satu metode yang dijelaskan di bagian ini.

Console
Untuk berbagi snapshot
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Snapshot.

  3. Pilih snapshot yang akan dibagikan, lalu pilih Tindakan, Ubah izin.

  4. Tentukan izin snapshot. Pengaturan saat ini menunjukkan izin berbagi snapshot saat ini.

    • Untuk membagikan snapshot secara publik dengan semua AWS akun, pilih Publik.

    • Untuk membagikan snapshot secara pribadi dengan AWS akun tertentu, pilih Pribadi. Kemudian, di bagian Berbagi akun, pilih Tambah akun, dan masukkan 12 digit ID akun (tanpa tanda hubung) yang akan dibagikan.

  5. Pilih Simpan perubahan.

AWS CLI

Izin untuk snapshot ditentukan menggunakan atribut createVolumePermission snapshot. Untuk membuat snapshot publik, atur grup ke all. Untuk berbagi snapshot dengan AWS akun tertentu, atur pengguna ke ID AWS akun.

Untuk berbagi snapshot secara publik

Gunakan perintah modify-snapshot-attribute.

Untuk --attribute, tentukan createVolumePermission. Untuk --operation-type, tentukan add. Untuk --group-names, tentukan all.

$ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Untuk berbagi snapshot secara privat

Gunakan perintah modify-snapshot-attribute.

Untuk --attribute, tentukan createVolumePermission. Untuk --operation-type, tentukan add. Untuk--user-ids, tentukan ID 12 digit AWS akun yang dapat digunakan untuk berbagi snapshot.

$ aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

Izin untuk snapshot ditentukan menggunakan atribut createVolumePermission snapshot. Untuk membuat snapshot publik, atur grup ke all. Untuk berbagi snapshot dengan AWS akun tertentu, atur pengguna ke ID AWS akun.

Untuk berbagi snapshot secara publik

Gunakan perintah Edit-EC2SnapshotAttribute.

Untuk -Attribute, tentukan CreateVolumePermission. Untuk -OperationType, tentukan Add. Untuk -GroupName, tentukan all.

PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Untuk berbagi snapshot secara privat

Gunakan perintah Edit-EC2SnapshotAttribute.

Untuk -Attribute, tentukan CreateVolumePermission. Untuk -OperationType, tentukan Add. UntukUserId, tentukan ID 12 digit AWS akun yang dapat digunakan untuk berbagi snapshot.

PS C:\> Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Bagikan kunci KMS

Saat Anda berbagi snapshot terenkripsi, Anda juga harus berbagi kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi snapshot. Anda dapat menerapkan izin lintas akun ke kunci yang dikelola pelanggan baik saat dibuat atau di lain waktu.

Pengguna kunci yang dikelola pelanggan bersama Anda yang mengakses snapshot terenkripsi harus diberikan izin untuk melakukan tindakan berikut pada kunci tersebut:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

Tip

Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh layanan. AWS

Untuk informasi selengkapnya tentang mengontrol akses ke kunci yang dikelola pelanggan, lihat Menggunakan kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .

Untuk berbagi kunci terkelola pelanggan menggunakan AWS KMS konsol
  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pilih Kunci yang dikelola pelanggan di panel navigasi.

  4. Di kolom Alias, pilih alias (tautan teks) dari kunci yang dikelola pelanggan yang Anda gunakan untuk mengenkripsi snapshot. Detail kunci terbuka di halaman baru.

  5. Di bagian Kebijakan kunci, Anda melihat tampilan kebijakan atau tampilan default. Tampilan kebijakan menampilkan dokumen kebijakan kunci. Tampilan default menampilkan bagian untuk Administrator kunci, Penghapusan kunci, Penggunaan Kunci, dan Akun AWS lainnya. Tampilan default ditampilkan jika Anda membuat kebijakan di konsol dan belum menyesuaikannya. Jika tampilan default tidak tersedia, Anda perlu mengedit kebijakan secara manual dalam tampilan kebijakan. Untuk informasi selengkapnya, lihat Melihat Kebijakan Kunci (Konsol) dalam AWS Key Management Service Panduan Developer.

    Gunakan tampilan kebijakan atau tampilan default, bergantung pada tampilan mana yang dapat Anda akses, untuk menambahkan satu atau beberapa ID AWS akun ke kebijakan, sebagai berikut:

    • (Tampilan kebijakan) Pilih Edit. Tambahkan satu atau beberapa ID AWS akun ke pernyataan berikut: "Allow use of the key" dan"Allow attachment of persistent resources". Pilih Simpan perubahan. Dalam contoh berikut, ID AWS akun 444455556666 ditambahkan ke kebijakan.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (Tampilan default) Gulir ke bawah ke AWS akun lain. Pilih Tambahkan AWS akun lain dan masukkan ID AWS akun seperti yang diminta. Untuk menambahkan akun lain, pilih Tambahkan AWS akun lain dan masukkan ID AWS akun. Setelah Anda menambahkan semua akun AWS , pilih Simpan perubahan.

Melihat snapshot yang dibagikan dengan Anda

Anda dapat melihat snapshot yang dibagikan dengan Anda menggunakan salah satu metode berikut.

Console
Untuk melihat snapshot yang dibagikan menggunakan konsol
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Snapshot.

  3. Filter snapshot yang tercantum. Di sudut kiri atas layar, pilih salah satu opsi berikut:

    • Snapshot privat — Untuk melihat hanya snapshot yang dibagikan dengan Anda secara privat.

    • Snapshot publik — Untuk melihat hanya snapshot yang dibagikan dengan Anda secara publik.

AWS CLI
Untuk melihat izin snapshot menggunakan baris perintah

Gunakan perintah describe-snapshot-attribute.

Tools for Windows PowerShell
Untuk melihat izin snapshot menggunakan baris perintah

Gunakan perintah Get-EC2SnapshotAttribute.

Menggunakan snapshot yang dibagikan dengan Anda

Untuk menggunakan snapshot yang dibagikan yang tidak dienkripsi

Cari snapshot yang dibagikan berdasarkan ID atau deskripsi. Untuk informasi selengkapnya, lihat Melihat snapshot yang dibagikan dengan Anda. Anda dapat menggunakan snapshot ini sebagaimana dengan snapshot lain yang Anda miliki di akun Anda. Misalnya, Anda dapat membuat volume dari snapshot atau menyalinnya ke Wilayah yang berbeda.

Untuk menggunakan snapshot yang dibagikan yang terenkripsi

Cari snapshot yang dibagikan berdasarkan ID atau deskripsi. Untuk informasi selengkapnya, lihat Melihat snapshot yang dibagikan dengan Anda. Buat salinan snapshot yang dibagikan di akun Anda, dan enkripsi salinannya dengan kunci KMS yang Anda miliki. Anda kemudian dapat menggunakan salinan untuk membuat volume atau Anda dapat menyalinnya ke Wilayah yang berbeda.

Menentukan penggunaan snapshot yang Anda bagikan

Anda dapat menggunakan AWS CloudTrail untuk memantau apakah snapshot yang telah Anda bagikan dengan orang lain disalin atau digunakan untuk membuat volume. Peristiwa berikut masuk CloudTrail:

  • SharedSnapshotCopyInitiated— Snapshot bersama sedang disalin.

  • SharedSnapshotVolumeCreated— Snapshot bersama sedang digunakan untuk membuat volume.

Untuk informasi selengkapnya tentang penggunaan CloudTrail, lihat Log panggilan Amazon EC2 dan Amazon EBS API dengan. AWS CloudTrail