Condivisione di uno snapshot Amazon EBS - Amazon EBS
Prima di condividere uno snapshotCondivisione di uno snapshotCondividere una chiave KMSVisualizzare gli snapshot condivisi con teUtilizzare gli snapshot condivisi con teStabilire le modalità di utilizzo degli snapshot che condividi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione di uno snapshot Amazon EBS

Modificando le autorizzazioni di uno snapshot, è possibile condividerlo con altri account AWS . Puoi condividere le istantanee pubblicamente con tutti gli altri AWS account oppure puoi condividerle privatamente con singoli AWS account da te specificati. Gli utenti autorizzati possono utilizzare lo snapshot condiviso per la creazione di propri volumi EBS, mentre lo snapshot originale rimane inalterato.

Importante

Condividendo uno snapshot, si garantisce ad altri utenti l'accesso a tutti i dati inclusi nello snapshot. Ti consigliamo di condividere gli snapshot solo con persone di cui ti fidi a condividere tutti i dati degli snapshot in questione.

Per impedire la condivisione pubblica degli snapshot, è possibile abilitare il blocco dell'accesso pubblico per gli snapshot. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico alle AMI.

Prima di condividere uno snapshot

Alla condivisione degli snapshot si applicano le seguenti considerazioni:

  • Se il blocco dell'accesso pubblico per gli snapshot è abilitato per la Regione, i tentativi di condividere pubblicamente gli snapshot verranno bloccati. Gli snapshot possono ancora essere condivisi privatamente.

  • Gli snapshot sono vincolati alla regione in cui sono stati creati. Per condividere uno snapshot con altre Regioni, copia lo snapshot nella regione desiderata. Per ulteriori informazioni, consulta Copia di uno snapshot Amazon EBS.

  • Non è possibile condividere snapshot crittografati con la Chiave gestita da AWS predefinita. Non è possibile condividere snapshot crittografati con una chiave gestita dal cliente. Per ulteriori informazioni, consulta Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

  • È possibile condividere pubblicamente solo snapshot non crittografati.

  • Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. Per ulteriori informazioni, consulta Condividere una chiave KMS.

Condivisione di uno snapshot

È possibile condividere uno snapshot utilizzando uno dei metodi descritti nella sezione.

Console
Per condividere uno snapshot

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Snapshots (Snapshot).

  3. Selezionare lo snapshot da condividere, quindi scegliere Actions (Operazioni), Modify permissions (Modifica autorizzazioni).

  4. Specificare le autorizzazioni dello snapshot. Impostazione attuale indica le autorizzazioni di condivisione correnti dello snapshot.

    • Per condividere l'istantanea pubblicamente con tutti gli AWS account, scegli Pubblico.

    • Per condividere l'istantanea in privato con AWS account specifici, scegli Privato. Poi, nella sezione Sharing accounts (Condivisione degli account), scegliere Add account (Aggiungi account) e inserire l'ID account di 12 cifre (senza trattini) dell'account con cui condividere.

  5. Seleziona Salvataggio delle modifiche.

AWS CLI

Le autorizzazioni per uno snapshot vengono specificate utilizzando l'attributo createVolumePermission dello snapshot. Per rendere pubblico lo snapshot, impostare il gruppo su all. Per condividere un'istantanea con un AWS account specifico, imposta l'utente sull'ID dell'account. AWS

Per condividere uno snapshot pubblicamente

Utilizza il comando modify-snapshot-attribute.

Per --attribute, specificare createVolumePermission. Per --operation-type, specificare add. Per --group-names, specificare all.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Per condividere uno snapshot privatamente

Utilizza il comando modify-snapshot-attribute.

Per --attribute, specificare createVolumePermission. Per --operation-type, specificare add. Per--user-ids, specifica gli ID a 12 cifre degli AWS account con cui condividere le istantanee.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

Le autorizzazioni per uno snapshot vengono specificate utilizzando l'attributo createVolumePermission dello snapshot. Per rendere pubblico lo snapshot, impostare il gruppo su all. Per condividere un'istantanea con un AWS account specifico, imposta l'utente sull'ID dell'account. AWS

Per condividere uno snapshot pubblicamente

Utilizza il comando Edit-EC2SnapshotAttribute.

Per -Attribute, specificare CreateVolumePermission. Per -OperationType, specificare Add. Per -GroupName, specificare all.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Per condividere uno snapshot privatamente

Utilizza il comando Edit-EC2SnapshotAttribute.

Per -Attribute, specificare CreateVolumePermission. Per -OperationType, specificare Add. PerUserId, specifica gli ID a 12 cifre degli AWS account con cui condividere le istantanee.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Condividere una chiave KMS

Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. È possibile applicare autorizzazioni valide su più account a una chiave gestita dal cliente al momento della creazione o in seguito.

Gli utenti della chiave gestita dal cliente condivisa che accedono agli snapshot crittografati devono disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms:GrantIsForAWSResource condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio. AWS

Per ulteriori informazioni sul controllo dell'accesso a una chiave gestita dal cliente, consulta Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Per condividere la chiave gestita dal cliente utilizzando la console AWS KMS

  1. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Scegliere Customer managed keys (Chiavi gestite cliente) nel riquadro di navigazione.

  4. Nella colonna Alias scegliere l'alias (collegamento testuale) della chiave gestita dal cliente utilizzata per crittografare lo snapshot. I dettagli della chiave si aprono in una nuova pagina.

  5. Nella sezione Key policy (Policy della chiave), consultare la visualizzazione della policy oppure la visualizzazione predefinita. La visualizzazione della policy mostra il documento della policy della chiave. Nella visualizzazione predefinita vengono mostrate le sezioni per Amministratori della chiave, Eliminazione della chiave, Uso della chiave e Altri account AWS . La visualizzazione predefinita viene mostrata se la policy è stata creata nella console e non è stata personalizzata. Se la visualizzazione predefinita non è disponibile, sarà necessario modificare manualmente la policy nella visualizzazione della policy. Per ulteriori informazioni, consulta Visualizzazione di una policy della chiave (console) nella Guida per gli sviluppatori di AWS Key Management Service .

    Utilizza la visualizzazione dei criteri o la visualizzazione predefinita, a seconda della visualizzazione a cui puoi accedere, per aggiungere uno o più ID di AWS account alla politica, come segue:

    • (Visualizzazione della policy) Scegliere Edit (Modifica). Aggiungi uno o più ID AWS account alle seguenti istruzioni: "Allow use of the key" e"Allow attachment of persistent resources". Seleziona Salvataggio delle modifiche. Nell'esempio seguente, l'ID AWS dell'account 444455556666 viene aggiunto alla politica.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Visualizzazione predefinita) Scorri verso il basso fino a Altri AWS account. Scegli Aggiungi altri AWS account e inserisci l'ID AWS dell'account come richiesto. Per aggiungere un altro account, scegli Aggiungi un altro AWS account e inserisci l'ID dell' AWS account. Dopo aver aggiunto tutti gli account AWS , scegliere Salva modifiche.

Visualizzare gli snapshot condivisi con te

È possibile visualizzare gli snapshot condivisi con te utilizzando uno dei metodi descritti di seguito.

Console
Per visualizzare gli snapshot utilizzando la console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, selezionare Snapshots (Snapshot).

  3. Filtra gli snapshot elencati. Nell'angolo in alto a sinistra della schermata, scegli una delle seguenti opzioni:

    • Private snapshot: consente di visualizzare solo gli snapshot condivisi con te in privato.

    • Public snapshot: consente di visualizzare solo gli snapshot condivisi con te pubblicamente.

AWS CLI
Per visualizzare le autorizzazioni degli snapshot utilizzando la riga di comando

Utilizza il comando describe-snapshot-attribute.

Tools for Windows PowerShell
Per visualizzare le autorizzazioni degli snapshot utilizzando la riga di comando

Utilizza il comando Get-EC2SnapshotAttribute.

Utilizzare gli snapshot condivisi con te

Per utilizzare uno snapshot condiviso non crittografato

Individua lo snapshot condiviso tramite l'ID o la descrizione. Per ulteriori informazioni, consulta Visualizzare gli snapshot condivisi con te. È possibile utilizzare questo snapshot come qualsiasi altro snapshot che possiedi nel tuo account. Ad esempio, è possibile creare un volume a partire dallo snapshot o copiarlo in una Regione diversa.

Per utilizzare uno snapshot condiviso crittografato

Individua lo snapshot condiviso tramite l'ID o la descrizione. Per ulteriori informazioni, consulta Visualizzare gli snapshot condivisi con te. Crea una copia dello snapshot condiviso nell'account e crittografala con una chiave KMS di tua proprietà. Puoi quindi utilizzare la copia per creare volumi o copiarla in Regioni diverse.

Stabilire le modalità di utilizzo degli snapshot che condividi

Puoi usarlo AWS CloudTrail per controllare se un'istantanea che hai condiviso con altri viene copiata o utilizzata per creare un volume. Vengono registrati i seguenti eventi: CloudTrail

  • SharedSnapshotCopyInitiated— Viene copiata un'istantanea condivisa.

  • SharedSnapshotVolumeCreated— Un'istantanea condivisa viene utilizzata per creare un volume.

Per ulteriori informazioni sull'utilizzo CloudTrail, consulta Registra le chiamate API di Amazon EC2 e Amazon EBS con. AWS CloudTrail