Amazon EBS スナップショットのコピー
Amazon EBS を使用すると、Amazon S3 に格納するボリュームのポイントインタイムスナップショットを作成できます。スナップショットを作成し、Amazon
S3 へのコピーを完了すると (スナップショットの状態は [completed])、1 つの AWS リージョンから別のリージョン、または同じリージョン内にスナップショットをコピーできます。Amazon S3 サーバー側暗号化 (256 ビット
AES) により、スナップショットの送信中データがコピー操作中に保護されます。スナップショットコピーは、元のスナップショットの ID とは異なる ID を受け取ります。
マルチボリュームスナップショットを別の AWS リージョンにコピーするには、作成時にマルチボリュームスナップショットグループに適用したタグを使用してスナップショットを取得します。次に、スナップショットを個別に別のリージョンにコピーします。
他のアカウントがスナップショットをコピーできるようにするには、スナップショットのアクセス許可を変更してそのアカウントへのアクセスを許可するか、スナップショットを公開してすべての AWS アカウントがスナップショットをコピーできるようにする必要があります。詳細については、「Amazon EBS スナップショットの共有」を参照してください。
Amazon RDS スナップショットのコピーについては、『Amazon RDS ユーザーガイド』の「DB スナップショットのコピー」を参照してください。
ユースケース
-
地理的拡張: アプリケーションを新しい AWS リージョンで起動します。
-
移行: アプリケーションを新しいリージョンに移動して、可用性を向上させ、コストを最小化します。
-
災害対策: 異なる地理的場所にまたがって定期的にデータをバックアップし、ログを記録します。災害が発生した場合、二次的なリージョンに格納された特定の時点でのバックアップを使用してアプリケーションを復元できます。これにより、データ損失と復旧時間を最小限に抑えることができます。
-
暗号化: 以前に暗号化されたスナップショットを暗号化し、スナップショットの暗号化に使用されるキーを変更します。または (他のユーザーから共有された暗号化スナップショットの場合)、自分が所有するコピーを作成し、そのコピーからボリュームを作成できるようにします。
-
データ保持および監査要件: 暗号化された EBS スナップショットを AWS アカウント間でコピーし、監査およびデータ保持のためにデータログや他のファイルを保持します。別のアカウントを使用すると、スナップショットの誤った削除を防止でき、主要な AWS アカウントが侵害された場合に保護できます。
前提条件
-
共有スナップショットや作成したスナップショットを含む "
completed" ステータスのアクセス可能な任意のスナップショットをコピーできます。 -
また、AWS Marketplace、VM Import/Export、および AWS Storage Gateway のスナップショットをコピーできます。ただし、そのスナップショットがコピー先のリージョンでサポートされていることを確認する必要があります。
考慮事項
-
各アカウントは、1 つのコピー先のリージョンに対して最大で 20 の現行スナップショットコピーリクエストを行うことができます。
-
ユーザー定義タグは元のスナップショットから新しいスナップショットにコピーされません。コピー操作中または操作後に、ユーザー定義タグを追加することができます。詳細については、「Amazon EC2 リソースのタグ付け」を参照してください。
-
スナップショットのコピーのオペレーションによって作成されたスナップショットの任意のボリューム ID はいずれの目的にも使用しないでください。
-
スナップショットコピーオペレーションのために指定されたリソースレベルのアクセス権限は、新しいスナップショットにのみ適用されます。ソーススナップショットには、リソースレベルのアクセス権限は指定できません。例については、「例: スナップショットのコピー」を参照してください。
料金
-
AWS リージョンおよびアカウント間におけるスナップショットのコピーの料金については、Amazon EBS の料金
をご参照ください。 -
単一リージョンの単一アカウント内のスナップショットコピー操作では、スナップショットコピーの暗号化ステータスが変更しない限り、実際のデータはコピーされないため料金は発生します。
-
スナップショットをコピーして新しい KMS キーに暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
スナップショットを新しいリージョンにコピーすると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。
増分スナップショットコピー
スナップショットコピーが増分かどうかは、最近完了したスナップショットコピーによって決定されます。リージョンまたはアカウントにわたってスナップショットをコピーする場合、次の条件に合致すればコピーは増分となります。
-
スナップショットがコピー先のリージョンまたはアカウントにコピーされたことがある。
-
最近のスナップショットコピーがコピー先のリージョンまたはアカウントにまだ存在する。
-
コピー先リージョンまたはアカウントのスナップショットのコピーがすべて、暗号化されていないか、あるいは同じ KMS キーを使って暗号化されていた。
最近のスナップショットコピーが削除され、次のコピーがフルコピーである場合、増分コピーではありません。別のコピーを開始するときにコピーがまだ保留中の場合は、最初のコピーが終了した後にのみ 2 番目のコピーが開始されます。
コピー先リージョンまたはアカウントで最近のボリュームのスナップショットコピーをトラッキングできるよう、スナップショットにボリューム ID と作成時刻をタグ付けすること推奨します。
スナップショットコピーが増分かどうか確認するには、copySnapshotCloudWatchイベントをチェックします。
暗号化とスナップショットのコピー
スナップショットをコピーする場合、コピーを暗号化するか、元のものとは異なる KMS キーを指定して、コピーされたスナップショットで新しい KMS キーが使用されるようにもできます。ただし、コピー操作中にスナップショットの暗号化状態を変更すると、より大規模なデータ転送およびストレージ料金が発生する可能性がある完全コピー (増分ではない) が返されます。
他の AWS アカウントから暗号化されたスナップショットをコピーするには、スナップショットの暗号化に使用されたスナップショットとカスタマーマスターキー (CMK) の使用権限が必要です。共有された暗号化されたスナップショットを使用する場合は、自分が所有する KMS キーを使用してスナップショットを再暗号化することをお勧めします。これにより、元の KMS キーが侵害された場合、または所有者が取り消した場合に保護され、スナップショットを使用して作成した暗号化されたボリュームへのアクセスが失われる可能性があります。詳細については、「Amazon EBS スナップショットの共有」を参照してください。
Encrypted パラメータを true に設定して、EBS スナップショットに暗号化を適用します。(デフォルトで暗号化が有効になっている場合、Encrypted パラメータはオプションです)。
オプションで、KmsKeyId を使用してスナップショットのコピーの暗号化に使用するカスタムキーを指定できます。(デフォルトで暗号化が有効になっている場合でも、Encrypted パラメータも true に設定する必要があります)。 KmsKeyId が指定されていない場合、暗号化に使用されるキーはソーススナップショットの暗号化状態とその所有権によって異なります。
次の表では、考えられる設定の組み合わせごとの暗号化の結果について説明しています。
|
暗号化の結果: スナップショットのコピー
|
||||
|---|---|---|---|---|
Encrypted パラメータは設定されていますか?
|
暗号化はデフォルトで設定されていますか? | ソーススナップショット | デフォルト (KmsKeyId は指定されていません) | カスタム (KmsKeyId が指定されています) |
| いいえ | いいえ | 所有する暗号化されていないスナップショット | 暗号化されていない | 該当なし |
| いいえ | いいえ | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | いいえ | 自分と共有されている暗号化されていないスナップショット | 暗号化されていない | |
| いいえ | いいえ |
自分と共有されている暗号化されたスナップショット |
デフォルト CMK* で暗号化されている | |
| はい | いいえ | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | 指定された CMK** で暗号化されている |
| はい | いいえ | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | いいえ | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | いいえ |
自分と共有されている暗号化されたスナップショット |
デフォルト CMK で暗号化されている | |
| いいえ | はい | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | 該当なし |
| いいえ | はい | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| いいえ | はい | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| いいえ | はい |
自分と共有されている暗号化されたスナップショット |
デフォルト CMK で暗号化されている | |
| はい | はい | 所有する暗号化されていないスナップショット | デフォルト CMK で暗号化されている | 指定された CMK で暗号化されている |
| はい | はい | 所有する暗号化されたスナップショット | 同じキーで暗号化されている | |
| はい | はい | 自分と共有されている暗号化されていないスナップショット | デフォルト CMK で暗号化されている | |
| はい | はい |
自分と共有されている暗号化されたスナップショット |
デフォルト CMK で暗号化されている |
* これは、AWS アカウントおよびリージョンでの EBS 暗号化に使用されるデフォルトの CMK です。これはデフォルトでは、EBS 用の一意の AWS 管理の CMK です。または、カスタマー管理の CMK を指定できます。詳細については、「EBS 暗号化のデフォルトの KMS key」を参照してください。
** これは、コピーアクションに対して指定されたカスタマー管理の CMK です。この CMK は、AWS アカウントおよびリージョンのデフォルトの CMK の代わりに使用されます。
スナップショットをコピーする
Amazon EC2 コンソールを使用してスナップショットをコピーするには、次の手順を使用します。
コンソールを使用してスナップショットをコピーするには
-
https://console.aws.amazon.com/ec2/
で Amazon EC2 コンソールを開きます。 -
ナビゲーションペインで、[Snapshots] を選択します。
-
コピーするスナップショットを選択し、[Actions] リストから [Copy] を選択します。
-
[Copy Snapshot] ダイアログボックスで、必要に応じて次のものを更新します。
-
[Destination region (送信先リージョン)]: スナップショットのコピーを書き込むリージョンを選択します。
-
[Description]: デフォルトでは、スナップショットとコピーを見分けられるよう、元のスナップショットに関する情報が説明に含まれています。この説明は、必要に応じて変更できます。
-
暗号化: 元のスナップショットが暗号化されていない場合は、コピーを暗号化することもできます。デフォルトで暗号化を有効にしている場合は、[Encryption (暗号化)] オプションが設定され、この設定をスナップショットコンソールから解除することはできません。[Encryption (暗号化)] オプションが設定されている場合は、以下で説明するように、フィールドで選択してカスタム CMK に暗号化することを選択できます。
暗号化されたスナップショットから暗号化を取り除くことはできません。
-
[マスターキー]: このスナップショットの暗号化に使用されるカスタマーマスターキー (CMK)。アカウントのデフォルトキーが最初に表示されますが、必要に応じてアカウントのマスターキーから選択するか、別のアカウントのキーの ARN を入力するか貼り付けることができます。AWS KMS コンソール
で新規のマスター暗号化キーを作成することができます。
-
-
[Copy (コピー)] を選択します。
-
[Copy Snapshot (スナップショットのコピー)] 確認ダイアログボックスで、[Snapshots (スナップショット)] を選択して指定したリージョンの [Snapshots (スナップショット)] ページに移動するか、[Close (閉じる)] を選択します。
コピー処理の進行状況を表示するには、コピー先のリージョンに切り替えて、[Snapshots (スナップショット)] ページを更新します。進行中のコピーがページの上部に一覧表示されます。
エラーをチェックするには
暗号化キーを使用する権限なしで、暗号化されたスナップショットをコピーしようとすると、メッセージが表示されずに操作に失敗します。ページを更新するまでエラー状態はコンソールに表示されません。次の例のように、コマンドラインからスナップショットの状態を確認することもできます。
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
キー権限が足りないためにコピーに失敗した場合は、以下のメッセージが表示されます。"StateMessage":「指定されたキー ID にアクセスできません」
暗号化されたスナップショットをコピーするときに、デフォルト CMK の DescribeKey 権限が必要です。明示的にこれらのアクセス許可を拒否するとコピーの障害が発生します。CMK キーの管理については、「カスタマーマスターキーへのアクセスを制御する」を参照してください。
コマンドラインを使用してスナップショットをコピーするには
次のコマンドの 1 つを使用できます。これらのコマンドラインインターフェイスの詳細については、Amazon EC2 へのアクセス を参照してください。
-
copy-snapshot (AWS CLI)
-
Copy-EC2Snapshot (AWS Tools for Windows PowerShell)
