Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condivisione di uno snapshot Amazon EBS
Modificando le autorizzazioni di uno snapshot, è possibile condividerlo con altri account AWS . Puoi condividere le istantanee pubblicamente con tutti gli altri AWS account oppure puoi condividerle privatamente con singoli AWS account da te specificati. Gli utenti autorizzati possono utilizzare lo snapshot condiviso per la creazione di propri volumi EBS, mentre lo snapshot originale rimane inalterato.
Importante
Condividendo uno snapshot, si garantisce ad altri utenti l'accesso a tutti i dati inclusi nello snapshot. Ti consigliamo di condividere gli snapshot solo con persone di cui ti fidi a condividere tutti i dati degli snapshot in questione.
Per impedire la condivisione pubblica degli snapshot, è possibile abilitare il blocco dell'accesso pubblico per gli snapshot. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico alle AMI.
Argomenti
Prima di condividere uno snapshot
Alla condivisione degli snapshot si applicano le seguenti considerazioni:
-
Se il blocco dell'accesso pubblico per gli snapshot è abilitato per la Regione, i tentativi di condividere pubblicamente gli snapshot verranno bloccati. Gli snapshot possono ancora essere condivisi privatamente.
-
Gli snapshot sono vincolati alla regione in cui sono stati creati. Per condividere uno snapshot con altre Regioni, copia lo snapshot nella regione desiderata. Per ulteriori informazioni, consulta Copia di uno snapshot Amazon EBS.
-
Non è possibile condividere snapshot crittografati con la Chiave gestita da AWS predefinita. Non è possibile condividere snapshot crittografati con una chiave gestita dal cliente. Per ulteriori informazioni, consulta Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .
-
È possibile condividere pubblicamente solo snapshot non crittografati.
-
Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. Per ulteriori informazioni, consulta Condividere una chiave KMS.
Condivisione di uno snapshot
È possibile condividere uno snapshot utilizzando uno dei metodi descritti nella sezione.
Condividere una chiave KMS
Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. È possibile applicare autorizzazioni valide su più account a una chiave gestita dal cliente al momento della creazione o in seguito.
Gli utenti della chiave gestita dal cliente condivisa che accedono agli snapshot crittografati devono disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave:
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
Suggerimento
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant
. Utilizza invece la chiave kms:GrantIsForAWSResource
condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio. AWS
Per ulteriori informazioni sul controllo dell'accesso a una chiave gestita dal cliente, consulta Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Per condividere la chiave gestita dal cliente utilizzando la console AWS KMS
-
Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Scegliere Customer managed keys (Chiavi gestite cliente) nel riquadro di navigazione.
-
Nella colonna Alias scegliere l'alias (collegamento testuale) della chiave gestita dal cliente utilizzata per crittografare lo snapshot. I dettagli della chiave si aprono in una nuova pagina.
-
Nella sezione Key policy (Policy della chiave), consultare la visualizzazione della policy oppure la visualizzazione predefinita. La visualizzazione della policy mostra il documento della policy della chiave. Nella visualizzazione predefinita vengono mostrate le sezioni per Amministratori della chiave, Eliminazione della chiave, Uso della chiave e Altri account AWS . La visualizzazione predefinita viene mostrata se la policy è stata creata nella console e non è stata personalizzata. Se la visualizzazione predefinita non è disponibile, sarà necessario modificare manualmente la policy nella visualizzazione della policy. Per ulteriori informazioni, consulta Visualizzazione di una policy della chiave (console) nella Guida per gli sviluppatori di AWS Key Management Service .
Utilizza la visualizzazione dei criteri o la visualizzazione predefinita, a seconda della visualizzazione a cui puoi accedere, per aggiungere uno o più ID di AWS account alla politica, come segue:
(Visualizzazione della policy) Scegliere Edit (Modifica). Aggiungi uno o più ID AWS account alle seguenti istruzioni:
"Allow use of the key"
e"Allow attachment of persistent resources"
. Seleziona Salvataggio delle modifiche. Nell'esempio seguente, l'ID AWS dell'account444455556666
viene aggiunto alla politica.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Visualizzazione predefinita) Scorri verso il basso fino a Altri AWS account. Scegli Aggiungi altri AWS account e inserisci l'ID AWS dell'account come richiesto. Per aggiungere un altro account, scegli Aggiungi un altro AWS account e inserisci l'ID dell' AWS account. Dopo aver aggiunto tutti gli account AWS , scegliere Salva modifiche.
Visualizzare gli snapshot condivisi con te
È possibile visualizzare gli snapshot condivisi con te utilizzando uno dei metodi descritti di seguito.
Utilizzare gli snapshot condivisi con te
Per utilizzare uno snapshot condiviso non crittografato
Individua lo snapshot condiviso tramite l'ID o la descrizione. Per ulteriori informazioni, consulta Visualizzare gli snapshot condivisi con te. È possibile utilizzare questo snapshot come qualsiasi altro snapshot che possiedi nel tuo account. Ad esempio, è possibile creare un volume a partire dallo snapshot o copiarlo in una Regione diversa.
Per utilizzare uno snapshot condiviso crittografato
Individua lo snapshot condiviso tramite l'ID o la descrizione. Per ulteriori informazioni, consulta Visualizzare gli snapshot condivisi con te. Crea una copia dello snapshot condiviso nell'account e crittografala con una chiave KMS di tua proprietà. Puoi quindi utilizzare la copia per creare volumi o copiarla in Regioni diverse.
Stabilire le modalità di utilizzo degli snapshot che condividi
Puoi usarlo AWS CloudTrail per controllare se un'istantanea che hai condiviso con altri viene copiata o utilizzata per creare un volume. Vengono registrati i seguenti eventi: CloudTrail
-
SharedSnapshotCopyInitiated— Viene copiata un'istantanea condivisa.
-
SharedSnapshotVolumeCreated— Un'istantanea condivisa viene utilizzata per creare un volume.
Per ulteriori informazioni sull'utilizzo CloudTrail, consulta Registra le chiamate API di Amazon EC2 e Amazon EBS con. AWS CloudTrail