Amazon EBS スナップショットの共有
スナップショットの権限を変更することで、指定した AWS アカウントとスナップショットを共有できます。許可を受けたユーザーは、共有するスナップショットを元の EBS ボリュームを作成するための基礎として使用できますが、元のスナップショットは影響を受けません。必要に応じて、暗号化されていないスナップショットをすべての AWS ユーザーに一般公開することもできます。暗号化されたスナップショットを公開することはできません。
暗号化されたスナップショットを共有する場合は、スナップショットの暗号化に使用するカスタマー管理の CMK も共有する必要があります。カスタマー管理の CMK を作成したときまたは後で CMK にクロスアカウント権限を適用することができます。
重要
スナップショットを共有すると、スナップショットのすべてのデータに他人がアクセスできるようになります。スナップショットの共有は、自分のスナップショットデータすべてを共有したい人とだけ行ってください。
考慮事項
スナップショットの共有には、次の考慮事項が適用されます。
-
スナップショットは、スナップショットが作成されたリージョンに制限されます。別のリージョンとスナップショットを共有するには、そのリージョンにスナップショットをコピーします。詳細については、「Amazon EBS スナップショットのコピー」を参照してください。
-
スナップショットで長いリソース ID 形式を使用している場合は、長い ID をサポートする別のアカウントとのみ、これを共有できます。詳細については、「リソース ID」を参照してください。
-
AWS では、デフォルト CMK を使用して暗号化されたスナップショットを共有することができません。共有する予定のスナップショットは、代わりにカスタマー管理の CMK を使用して暗号化する必要があります。詳細については、『AWS Key Management Service Developer Guide』の「キーの作成」を参照してください。
-
暗号化されたスナップショットにアクセスしている共有CMKのユーザーには、そのキーに対して
kms:DescribeKey、kms:CreateGrant、GenerateDataKey、およびkms:ReEncryptの操作を実行するためのアクセス許可が与えられている必要があります。詳細については、『AWS Key Management Service Developer Guide』の「カスタマーマスターキーへのアクセスを制御する」を参照してください。
コンソールを使用して暗号化されていないスナップショットを共有する
コンソールを使用してスナップショットを共有するには
-
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
-
ナビゲーションペインで、[Snapshots (スナップショット)] を選択します。
-
スナップショットを選択し、[アクション] リストから [Modify Permissions (権限の変更)] を選択します。
-
スナップショットを公開するか、次のように特定の AWS アカウントと共有します。
-
スナップショットを公開するには、[Public] を選択します。
このオプションは、暗号化されたスナップショットや AWS Marketplace 製品コードのスナップショットでは有効になりません。
-
1 つ以上の AWS アカウントでスナップショットを共有するには、[Private (プライベート)] を選択し、AWS アカウントの ID をハイフンなしで [AWS アカウント番号] フィールドに入力して、[Add Permission (アクセス許可の追加)] を選択します。追加の AWS アカウントでこの手順を繰り返します。
-
-
[Save (保存)] を選択します。
自分とプライベートに共有されている非暗号化されたスナップショットを使用するには
-
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
-
ナビゲーションペインで、[Snapshots (スナップショット)] を選択します。
-
[プライベートスナップショット] フィルタを選択します。
-
ID または説明でスナップショットを見つけます。このスナップショットは、他の方法と同様に使用できます。たとえば、スナップショットからボリュームを作成したり、スナップショットを別のリージョンにコピーしたりすることができます。
コンソールを使用して暗号化されているスナップショットを共有する
コンソールを使用して暗号化されたスナップショットを共有するには
-
AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。
-
AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマー管理型のキー] を選択します。
-
スナップショットの暗号化に使用したカスタマー管理のキーのエイリアスを選択します。
-
[別の AWS アカウントを追加] を選択し、プロンプトに従って AWS アカウント ID を入力します。別のアカウントを追加するには、[別の AWS アカウントを追加する] を選択し、AWS アカウント ID を入力します。すべての AWS アカウントを追加したら、[変更の保存] を選択します。
-
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
-
ナビゲーションペインで、[Snapshots (スナップショット)] を選択します。
-
スナップショットを選択し、[アクション] リストから [Modify Permissions (権限の変更)] を選択します。
-
AWS アカウントごとに、[AWS アカウント番号] に AWS アカウント ID を入力し、[Add Permission (アクセス許可の追加)] を選択します。すべての AWS アカウントを追加する場合は、[保存] を選択します。
自分と共有されている暗号化されたスナップショットを使用するには
-
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
-
ナビゲーションペインで、[Snapshots (スナップショット)] を選択します。
-
[プライベートスナップショット] フィルタを選択します。オプションで、[暗号化済み] フィルタを追加します。
-
ID または説明でスナップショットを見つけます。
-
スナップショットを選択して、[アクション]、[コピー] の順に選択します。
-
(オプション) 送信先リージョンを選択します。
-
スナップショットのコピーは、[Master Key (マスターキー)] フィールドに表示されているキーに暗号化されます。デフォルトでは、選択したキーはアカウントのデフォルトの CMK です。カスタマー管理の CMK を選択するには、入力ボックス内をクリックして利用可能なキーのリストを表示します。
-
[Copy (コピー)] を選択します。
コマンドラインを使用してスナップショットを共有する
スナップショットのアクセス許可は、スナップショットの createVolumePermission 属性を使用して指定します。スナップショットを公開するには、グループを all に設定します。スナップショットを特定の AWS アカウントと共有するには、そのユーザーを AWS アカウントの ID に設定します。
コマンドラインを使用して、スナップショットのアクセス許可を変更するには
以下のいずれかのコマンドを使用します。
-
modify-snapshot-attribute (AWS CLI)
-
Edit-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)
コマンドラインを使用してスナップショットに関するアクセス許可を表示するには
以下のいずれかのコマンドを使用します。
-
describe-snapshot-attribute (AWS CLI)
-
Get-EC2SnapshotAttribute (AWS Tools for Windows PowerShell)
これらのコマンドラインインターフェイスの詳細については、Amazon EC2 へのアクセス を参照してください。
