Amazon EBS スナップショットのコピー
Amazon EBS を使用すると、Amazon S3 に格納するボリュームのポイントインタイムスナップショットを作成できます。スナップショットを作成し、Simple Storage Service (Amazon S3) へのコピーが完了した後 (スナップショットのステータスが completed
)、スナップショットを AWS リージョン間や同じリージョン内でコピーできます。Amazon S3 のサーバー側の暗号化 (256 ビット AES) は、コピーオペレーション中に転送中のスナップショットのデータを保護します。スナップショットコピーは、元のスナップショットの ID とは異なる ID を受け取ります。
マルチボリュームスナップショットを別の AWS リージョンにコピーするには、作成時にマルチボリュームスナップショットセットに適用したタグを使用してスナップショットを取得します。次に、スナップショットを個別に別のリージョンにコピーします。
他のアカウントがスナップショットをコピーできるようにするには、スナップショットのアクセス許可を変更してそのアカウントへのアクセスを許可するか、スナップショットを公開してすべての AWS アカウントがスナップショットをコピーできるようにする必要があります。詳細については、「Amazon EBS スナップショットの共有」を参照してください。
Amazon RDS スナップショットのコピーについては、『Amazon RDS ユーザーガイド』の「DB スナップショットのコピー」を参照してください。
ユースケース
-
地理的拡張: アプリケーションを新しい AWS リージョンで起動します。
-
移行: アプリケーションを新しいリージョンに移動して、可用性を向上させ、コストを最小化します。
-
災害対策: 異なる地理的場所にまたがって定期的にデータをバックアップし、ログを記録します。災害が発生した場合、二次的なリージョンに格納された特定の時点でのバックアップを使用してアプリケーションを復元できます。これにより、データ損失と復旧時間を最小限に抑えることができます。
-
暗号化: 以前に暗号化されたスナップショットを暗号化し、スナップショットの暗号化に使用されるキーを変更します。または (他のユーザーから共有された暗号化スナップショットの場合)、自分が所有するコピーを作成し、そのコピーからボリュームを作成できるようにします。
-
データ保持および監査要件: 暗号化された EBS スナップショットを AWS アカウント間でコピーし、監査およびデータ保持のためにデータログや他のファイルを保持します。別のアカウントを使用すると、スナップショットの誤った削除を防止でき、主要な AWS アカウントが侵害された場合に保護できます。
前提条件
-
共有スナップショットや作成したスナップショットを含む "
completed
" ステータスのアクセス可能な任意のスナップショットをコピーできます。 -
AWS Marketplace、VM Import/Export、Storage Gateway スナップショットをコピーできますが、そのスナップショットがコピー先リージョンでサポートされていることを確認する必要があります。
考慮事項
-
宛先リージョンごとの
20
同時スナップショットコピーリクエストには制限があります。このクォータを超えると、ResourceLimitExceeded
エラーが発生します。このエラーが発生した場合は、1 つ以上のコピー要求が完了するのを待ってから、新しいスナップショットコピー要求を作成してください。 -
ユーザー定義タグは元のスナップショットから新しいスナップショットにコピーされません。コピー操作中または操作後に、ユーザー定義タグを追加することができます。詳細については、「Amazon EC2 リソースのタグ付け」を参照してください。
-
スナップショットのコピーのオペレーションによって作成されたスナップショットの任意のボリューム ID はいずれの目的にも使用しないでください。
-
スナップショットコピーオペレーションのために指定されたリソースレベルのアクセス権限は、新しいスナップショットにのみ適用されます。ソーススナップショットには、リソースレベルのアクセス権限は指定できません。例については、「例: スナップショットのコピー」を参照してください。
料金
-
AWS リージョンおよびアカウント間におけるスナップショットのコピーの料金については、「Amazon EBS 料金
」を参照してください。 -
単一リージョンの単一アカウント内のスナップショットコピー操作では、スナップショットコピーの暗号化ステータスが変更しない限り、実際のデータはコピーされないため料金は発生しません。
-
スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
スナップショットを新しいリージョンにコピーすると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。
増分スナップショットコピー
スナップショットコピーが増分かどうかは、最近完了したスナップショットコピーによって決定されます。リージョンまたはアカウントにわたってスナップショットをコピーする場合、次の条件に合致すればコピーは増分となります。
-
スナップショットがコピー先のリージョンまたはアカウントにコピーされたことがある。
-
最近のスナップショットコピーがコピー先のリージョンまたはアカウントにまだ存在する。
-
"コピー先" のリージョンまたはアカウントの全てのスナップショットのコピーが暗号化されていない、あるいは同じ KMS キーを使って暗号化されていた。
最近のスナップショットコピーが削除され、次のコピーがフルコピーである場合、増分コピーではありません。別のコピーを開始するときにコピーがまだ保留中の場合は、最初のコピーが終了した後にのみ 2 番目のコピーが開始されます。
コピー先リージョンまたはアカウントで最近のボリュームのスナップショットコピーをトラッキングできるよう、スナップショットにボリューム ID と作成時刻をタグ付けすること推奨します。
スナップショットコピーが増分かどうか確認するには、copySnapshot CloudWatch イベントをチェックします。
暗号化とスナップショットのコピー
スナップショットをコピーする場合、コピーを暗号化するか、元のものとは異なる KMS キーを指定して、コピーされたスナップショットで新しい KMS キーが使用されるようにもできます。ただし、コピー操作中にスナップショットの暗号化状態を変更すると、より大規模なデータ転送およびストレージ料金が発生する可能性がある完全コピー (増分ではない) が返されます。
他の AWS アカウントから暗号化されたスナップショットをコピーするには、スナップショットの暗号化に使用されたスナップショットとカスタマーマスターキー (CMK) の使用権限が必要です。共有された暗号化されたスナップショットを使用する場合は、自分が所有する KMS キーを使用してスナップショットを再暗号化することをお勧めします。これにより、元の KMS キーが侵害された場合、または所有者が取り消した場合に保護され、スナップショットを使用して作成した暗号化されたボリュームへのアクセスが失われる可能性があります。詳細については、「Amazon EBS スナップショットの共有」を参照してください。
Encrypted
パラメータを true
に設定すると、EBS スナップショットコピーに暗号化を適用できます。([デフォルトで暗号化] が有効になっている場合、Encrypted
パラメータはオプションです。)
必要に応じて KmsKeyId
を使用して、スナップショットコピーの暗号化に使用するカスタムキーを指定できます。(暗号化がデフォルトで有効になっている場合でも、Encrypted
パラメータを true
に設定する必要があります。) KmsKeyId
が指定されていない場合、暗号化に使用されるキーはソーススナップショットの暗号化状態とその所有権によって異なります。
次の表に、設定可能な組み合わせごとの暗号化の結果を示します。
暗号化の成果: 所有しているスナップショットのコピー
デフォルトでの暗号化 | Encrypted パラメータが設定されているか |
ソーススナップショットの暗号化ステータス | デフォルト (KMS キーの指定なし) | カスタム (KMS キーの指定あり) |
---|---|---|---|---|
Disabled | いいえ | 暗号化されていない | 暗号化されていない | 該当なし |
暗号化された | AWS マネージドキー による暗号化 | |||
はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
暗号化された | デフォルト KMS キーで暗号化 | |||
有効 | いいえ | 暗号化されていない | デフォルト KMS キーで暗号化 | 該当なし |
暗号化された | デフォルト KMS キーで暗号化 | |||
はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
暗号化された | デフォルト KMS キーで暗号化 |
** これは、コピーアクションに指定されているカスタマーマネージド型キーです。このカスタマーマネージド型キーは、AWS アカウントとリージョンで、既定のカスタマーマネージド型キーの代わりに使用されます。
暗号化の成果: 共有されているスナップショットのコピー
デフォルトでの暗号化 | Encrypted パラメータが設定されているか |
ソーススナップショットの暗号化ステータス | デフォルト (KmsKeyId の指定なし) | カスタム (KmsKeyId の指定あり) |
---|---|---|---|---|
Disabled | いいえ | 暗号化されていない | 暗号化されていない | 該当なし |
暗号化された |
AWS マネージドキー による暗号化 | |||
はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
暗号化された |
デフォルト KMS キーで暗号化 | |||
有効 | いいえ | 暗号化されていない | デフォルト KMS キーで暗号化 | 該当なし |
暗号化された |
デフォルト KMS キーで暗号化 | |||
はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
暗号化された |
デフォルト KMS キーで暗号化 |
** これは、コピーアクションに指定されているカスタマーマネージド型キーです。このカスタマーマネージド型キーは、AWS アカウントとリージョンで、既定のカスタマーマネージド型キーの代わりに使用されます。
スナップショットをコピーする
スナップショットをコピーするには、次のいずれかの方法を使用します。
エラーをチェックするには
暗号化キーを使用する権限なしで、暗号化されたスナップショットをコピーしようとすると、メッセージが表示されずに操作に失敗します。ページを更新するまでエラー状態はコンソールに表示されません。次の例のように、コマンドラインからスナップショットの状態を確認することもできます。
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
キー権限が足りないためにコピーに失敗した場合は、以下のメッセージが表示されます。"StateMessage":「指定されたキー ID にアクセスできません」
暗号化されたスナップショットをコピーするときに、デフォルト CMK の DescribeKey
権限が必要です。明示的にこれらのアクセス許可を拒否するとコピーの障害が発生します。CMK キーの管理については、「カスタマーマスターキーへのアクセスを制御する」を参照してください。