翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBS スナップショットのコピー
Amazon EBS を使用すると、 point-in-time ボリュームのスナップショットを作成できます。このスナップショットは Amazon S3 に自動的に保存されます。スナップショットを作成し、Amazon S3 へのコピーが完了したら (スナップショットのステータスがの場合completed)、 AWS あるリージョンから別のリージョンに、または同じリージョン内にコピーできます。Amazon S3 のサーバー側の暗号化 (256 ビット AES) は、コピーオペレーション中に転送中のスナップショットのデータを保護します。スナップショットコピーは、元のスナップショットの ID とは異なる ID を受け取ります。
AWS マルチボリュームスナップショットを別のリージョンにコピーするには、作成時にマルチボリュームスナップショットセットに適用したタグを使用してスナップショットを取得します。次に、スナップショットを個別に別のリージョンにコピーします。
別のアカウントでスナップショットをコピーできるようにするには、そのアカウントへのアクセスを許可するようにスナップショットの権限を変更するか、 AWS スナップショットを公開してすべてのアカウントがコピーできるようにする必要があります。詳細については、「Amazon EBS スナップショットの共有」を参照してください。
Amazon RDS スナップショットのコピーについては、『Amazon RDS ユーザーガイド』のDB スナップショットのコピーを参照してください。
ユースケース
-
地域拡大: AWS 新しいリージョンでアプリケーションを起動します。
-
移行: アプリケーションを新しいリージョンに移動して、可用性を向上させ、コストを最小化します。
-
災害対策: 異なる地理的場所にまたがって定期的にデータをバックアップし、ログを記録します。災害時には、 point-in-time セカンダリリージョンに保存されているバックアップを使用してアプリケーションを復元できます。これにより、データ損失と復旧時間を最小限に抑えることができます。
-
暗号化: 以前に暗号化されたスナップショットを暗号化し、スナップショットの暗号化に使用されるキーを変更します。または (他のユーザーから共有された暗号化スナップショットの場合)、自分が所有するコピーを作成し、そのコピーからボリュームを作成できるようにします。
-
データ保持および監査要件: 暗号化された EBS スナップショットを AWS アカウント間でコピーし、監査およびデータ保持のためにデータログや他のファイルを保持します。別のアカウントを使用すると、スナップショットが誤って削除されるのを防ぎ、 AWS メインアカウントが不正アクセスされた場合にも保護されます。
前提条件
-
共有スナップショットや作成したスナップショットを含む 「
completed「 ステータスのアクセス可能な任意のスナップショットをコピーできます。 -
コピー AWS Marketplace、VM Import /エクスポート、および Storage Gateway のスナップショットは可能ですが、そのスナップショットがコピー先のリージョンでサポートされていることを確認する必要があります。
-
暗号されたスナップショットをコピーするには、ユーザーに Amazon EBS 暗号化を使用するための次のアクセス許可が必要です。
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt -
kms:Decrypt
-
-
AWS 別のアカウントから共有されている暗号化されたスナップショットをコピーするには、スナップショットの暗号化に使用されたカスタマー管理キーを使用する権限が必要です。詳細については、「KMS キーの共有」を参照してください。
考慮事項
-
宛先リージョンごとの
20同時スナップショットコピーリクエストには制限があります。このクォータを超えると、ResourceLimitExceededエラーが発生します。このエラーが発生した場合は、1 つ以上のコピー要求が完了するのを待ってから、新しいスナップショットコピー要求を作成してください。 -
ユーザー定義タグは元のスナップショットから新しいスナップショットにコピーされません。コピー操作中または操作後に、ユーザー定義タグを追加することができます。
-
スナップショットコピーオペレーションによって作成されたスナップショットには、
vol-ffffやvol-ffffffffなどの任意のボリューム ID が付されます。これらの任意のボリューム ID は、いかなる目的にも使用しないでください。 -
スナップショットコピーオペレーションのために指定されたリソースレベルのアクセス権限は、新しいスナップショットにのみ適用されます。ソーススナップショットには、リソースレベルのアクセス権限は指定できません。例については、「例: スナップショットのコピー」を参照してください。
料金
-
AWS リージョンやアカウント間でのスナップショットのコピーに関する料金情報については、「Amazon EBS
料金表」を参照してください。 -
スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
スナップショットを新しいリージョンにコピーすると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。
-
同じアカウントで同じリージョンの同じカスタマーマネージド型キーを使用するスナップショットからの最初のスナップショットコピーは、完全な (増分ではない) コピーになります。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。
-
外部またはリージョン間のデータ転送を使用する場合は、EC2 データ転送
の追加料金が適用されます。また、開始後にスナップショットを削除しても、転送済みのデータに対して料金が課されます。
増分スナップショットコピー
スナップショットコピーが増分かどうかは、最近完了したスナップショットコピーによって決定されます。リージョンまたはアカウントにわたってスナップショットをコピーする場合、次の条件に合致すればコピーは増分となります。
-
スナップショットがコピー先のリージョンまたはアカウントにコピーされたことがある。
-
最近のスナップショットコピーがコピー先のリージョンまたはアカウントにまだ存在する。
-
最新のスナップショットコピーはアーカイブされていません。
-
"コピー先" のリージョンまたはアカウントの全てのスナップショットのコピーが暗号化されていない、あるいは同じ KMS キーを使って暗号化されていた。
最近のスナップショットコピーが削除され、次のコピーがフルコピーである場合、増分コピーではありません。別のコピーを開始するときにコピーがまだ保留中の場合は、最初のコピーが終了した後にのみ 2 番目のコピーが開始されます。
1 つのアカウントで同じリージョンのカスタマーマネージド型キーを使用してスナップショットコピーオペレーションを行うと、完全な (増分ではない) コピーが生成されます。同じスナップショットの後続のコピーは増分です。
スナップショットの増分コピーでは、スナップショットのコピーに必要な時間が短縮され、データを複製しないことで、データ転送とストレージ料金が節約されます。
コピー先リージョンまたはアカウントで最近のボリュームのスナップショットコピーをトラッキングできるよう、スナップショットにボリューム ID と作成時刻をタグ付けすること推奨します。
スナップショットコピーがインクリメンタルかどうかを確認するには、 CloudWatch copySnapshot イベントをチェックします。
暗号化とスナップショットのコピー
スナップショットをコピーする場合、コピーを暗号化するか、元のものとは異なる KMS キーを指定して、コピーされたスナップショットで新しい KMS キーが使用されるようにもできます。ただし、コピーオペレーション中にスナップショットの暗号化状態を変更すると、完全コピー (増分ではない) が返され、より大規模なデータ転送およびストレージ料金が発生する可能性があります。詳細については、「増分スナップショットコピー」を参照してください。
AWS 別のアカウントから共有された暗号化されたスナップショットをコピーするには、そのスナップショットを使用する権限と、スナップショットの暗号化に使用されたカスタマー管理キー (CMK) が必要です。共有された暗号化されたスナップショットを使用する場合は、自分が所有する KMS キーを使用してスナップショットを再暗号化することをお勧めします。これにより、元の KMS キーが侵害された場合、または所有者が取り消した場合に保護され、スナップショットを使用して作成した暗号化されたボリュームへのアクセスが失われる可能性があります。詳細については、Amazon EBS スナップショットの共有を参照してください。
Encrypted パラメータを true に設定すると、EBS スナップショットコピーに暗号化を適用できます。([デフォルトで暗号化] が有効になっている場合、Encrypted パラメータはオプションです。)
必要に応じて KmsKeyId を使用して、スナップショットコピーの暗号化に使用するカスタムキーを指定できます。(暗号化がデフォルトで有効になっている場合でも、Encrypted パラメータを true に設定する必要があります。) KmsKeyId が指定されていない場合、暗号化に使用されるキーはソーススナップショットの暗号化状態とその所有権によって異なります。
ユーザーが所有するスナップショットおよび共有されたスナップショットをコピーする際の設定に関して、各組み合わせの暗号化結果は次の表のとおりです。
トピック
| デフォルトでの暗号化 | Encrypted パラメータが設定されているか |
ソーススナップショットの暗号化ステータス | デフォルト (KMS キーの指定なし) | カスタム (KMS キーの指定あり) |
|---|---|---|---|---|
| Disabled | いいえ | 暗号化されていない | 暗号化されていない | 該当なし |
| 暗号化された | によって暗号化されます。 AWS マネージドキー | |||
| はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
| 暗号化された | デフォルト KMS キーで暗号化 | |||
| 有効 | いいえ | 暗号化されていない | デフォルト KMS キーで暗号化 | 該当なし |
| 暗号化された | デフォルト KMS キーで暗号化 | |||
| はい | 暗号化されていない | デフォルト KMS キーで暗号化 | 指定した KMS キーで暗号化** | |
| 暗号化された | デフォルト KMS キーで暗号化 |
** これはコピースナップショットアクションで指定された KMS キーです。この KMS キーは、アカウントとリージョンで、デフォルトの KMS キーの代わりに使用されます。
スナップショットをコピーする
スナップショットをコピーするには、次のいずれかの方法を使用します。
エラーをチェックするには
暗号化キーを使用する権限なしで、暗号化されたスナップショットをコピーしようとすると、メッセージが表示されずに操作に失敗します。ページを更新するまでエラー状態はコンソールに表示されません。次の例のように、コマンドラインからスナップショットの状態を確認することもできます。
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
キーの権限が不十分なためにコピーに失敗した場合は、"StateMessage「:「指定されたキー ID にはアクセスできません」というメッセージが表示されます。
暗号化されたスナップショットをコピーするときに、デフォルト CMK の DescribeKey 権限が必要です。明示的にこれらのアクセス許可を拒否するとコピーの障害が発生します。CMK キーの管理については、「AWS KMSに対する認証とアクセス制御」を参照してください。
