Amazon EBS 스냅샷 복사 - Amazon EBS

Amazon EBS 스냅샷 복사

Amazon EBS를 사용하면 볼륨의 특정 시점 스냅샷을 생성할 수 있으며 이 스냅샷은 Amazon S3에 저장됩니다. 스냅샷을 생성하고 Amazon S3로의 스냅샷 복사가 완료되면(스냅샷 상태가 completed) 한 AWS 리전에서 다른 리전으로 또는 동일한 리전 내에서 스냅샷을 복사할 수 있습니다. Amazon S3 서버 측 암호화(256비트 AES)는 복사 작업 중에 전송되는 스냅샷 데이터를 보호합니다. 스냅샷 복사본은 원본 스냅샷의 ID와 다른 ID를 받습니다.

다중 볼륨 스냅샷을 다른 AWS 리전에 복사하려면 스냅샷을 만들 때 다중 볼륨 스냅샷 세트에 적용한 태그를 사용하여 스냅샷을 검색합니다. 그런 다음 스냅샷을 다른 리전에 개별적으로 복사합니다.

다른 계정에서도 스냅샷을 복사할 수 있도록 하고 싶다면 해당 계정에 액세스할 수 있도록 스냅샷 권한을 변경하거나 모든 AWS 계정이 복사할 수 있도록 스냅샷을 퍼블릭으로 설정해야 합니다. 자세한 내용은 Amazon EBS 스냅샷 공유 섹션을 참조하세요.

Amazon RDS 스냅샷 복사에 대한 자세한 내용은 Amazon RDS 사용 설명서DB 스냅샷 복사를 참조하십시오.

사용 사례
  • 지리적 확장: 새 AWS 리전에서 애플리케이션 시작.

  • 마이그레이션: 새 리전으로 애플리케이션을 마이그레이션하여 가용성을 향상하고 비용을 최소화.

  • 재해 복구: 서로 다른 지리적 위치에 있는 데이터와 로그를 정기적인 시간 가격으로 백업. 재난 복구의 경우 보조 리전에 저장된 특정 시점 백업을 사용하여 애플리케이션을 복구할 수 있습니다. 이를 통해 데이터 손실 및 복구 시간이 최소화됩니다.

  • 암호화: 이전에 암호화되지 않은 스냅샷을 암호화하고 스냅샷 암호화 시 사용한 키를 변경하거나, 자신과 공유된 암호화된 스냅샷의 경우에는 자기 소유의 복사본에서 볼륨을 생성하기 위해 해당 복사본을 생성합니다.

  • 데이터 보존 및 감사 요구 사항: 한 AWS 계정에서 다른 계정으로 암호화된 EBS 스냅샷을 복사하여 데이터 로그나 감사 또는 데이터 보존을 위한 다른 파일을 보존합니다. 다른 계정을 사용하면 실수로 스냅샷을 삭제하는 것을 방지하고 기본 AWS 계정에 문제가 생길 경우 보호하는 데 도움이 됩니다.

필수 조건

  • 공유 스냅샷 및 사용자가 생성한 스냅샷 등 completed 상태인 액세스 가능 스냅샷을 복사할 수 있습니다.

  • AWS Marketplace, VM Import/Export 및 Storage Gateway 스냅샷을 복사할 수 있지만 대상 리전에서 해당 스냅샷이 지원되는지 확인해야 합니다.

  • 암호화된 스냅샷을 복사하려면 사용자에게 Amazon EBS 암호화 사용 권한이 있어야 합니다.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • 다른 AWS 계정에서 공유한 암호화된 스냅샷을 복사하려면 스냅샷을 암호화하는 데 사용되는 고객 관리형 키를 사용할 권한이 있어야 합니다. 자세한 내용은 KMS 키 공유 단원을 참조하십시오.

고려 사항

  • 대상 리전당 동시 스냅샷 복사 요청은 20개로 제한됩니다. 이 할당량을 초과하면 ResourceLimitExceeded 오류가 발생합니다. 이 오류가 발생하면 새 스냅샷 복사를 요청하기 전에 하나 이상의 복사 요청이 완료될 때까지 기다립니다.

  • 사용자 정의 태그는 원본 스냅샷에서 새로운 스냅샷으로 복사되지 않습니다. 복사 작업 도중이나 이후에 사용자 정의 태그를 추가할 수 있습니다.

  • 스냅샷 복사 작업을 통해 생성된 스냅샷에는 vol-ffff 또는 vol-ffffffff와 같은 임의 볼륨 ID가 있습니다. 어떠한 용도로도 사용되지 않는 임의 볼륨 ID입니다.

  • 스냅샷 복사 작업에 지정된 리소스 수준 권한은 새 스냅샷에만 적용됩니다. 소스 스냅샷에 대한 리소스 수준 권한은 지정할 수 없습니다. 예시는 예: 스냅샷 복사를 참조하세요.

요금

  • AWS 리전 및 계정 간의 스냅샷 복사에 대한 요금 정보는 Amazon EBS 요금을 참조하세요.

  • 스냅샷을 복사하고 새 KMS 키로 암호화하면 전체(비증분) 복사본이 생성됩니다. 이로 인해 추가 스토리지 비용이 발생합니다.

  • 스냅샷을 새 리전에 복사하면 전체(비증분) 복사본이 생성됩니다. 이로 인해 추가 스토리지 비용이 발생합니다. 동일한 스냅샷의 후속 복사본은 증분입니다.

  • 동일한 계정과 동일한 리전에서 동일한 고객 관리형 키를 사용하는 스냅샷으로부터 생성된 첫 번째 스냅샷 복사본은 전체(비증분) 복사본입니다. 이로 인해 추가 스토리지 비용이 발생합니다. 동일한 스냅샷의 후속 복사본은 증분입니다.

  • 외부 또는 리전 간 데이터 전송을 사용하는 경우 추가 EC2 데이터 전송 요금이 적용됩니다. 시작 후 스냅샷을 삭제해도 이미 전송된 데이터에 대한 요금이 계속 부과됩니다.

증분 스냅샷 복사

스냅샷 복사가 증분 복사인지 여부는 가장 최근 완료된 스냅샷 복사에 따라 결정됩니다. 리전 또는 계정 간에 스냅샷을 복사할 때 다음 조건이 충족되면 복사를 증분 복사입니다.

  • 이전에 스냅샷이 대상 리전 또는 계정에 복사되었습니다.

  • 가장 최근 스냅삿 복사는 여전히 대상 리전 또는 계정에 있습니다.

  • 대상 리전 또는 계정에 있는 스냅샷의 모든 복사는 암호화되지 않거나 동일한 KMS 키를 사용하여 암호화되었습니다.

가장 최근 스냅샷 복사본이 삭제된 경우 다음 복사본은 전체 복사이며, 증분 복사가 아닙니다. 다른 복사를 시작할 때 복사가 보류 중인 경우 첫 번째 복사가 완료된 후에만 두 번째 복사가 시작됩니다.

단일 계정 및 동일한 리전 내에서 고객 관리형 키를 사용하는 스냅샷 복사 작업은 전체(비증분) 복사본을 생성합니다. 동일한 스냅샷의 후속 복사본은 증분입니다.

증분 스냅샷 복사는 스냅샷을 복사하는 데 필요한 시간을 줄이며, 데이터를 복제하지 않아 데이터 전송 및 스토리지 비용을 절감합니다.

대상 리전 또는 계정에서 볼륨의 가장 최근 스냅샷 복사를 추적할 수 있도록 스냅샷에 볼륨 ID와 생성 시간을 표시하는 태그를 지정하는 것이 좋습니다.

스냅샷 복사가 증분인지 확인하려면 copySnapshot CloudWatch 이벤트를 점검하십시오.

암호화 및 스냅샷 복사

스냅샷을 복사할 때 복사본을 암호화하거나 원본과 다른 KMS 키를 지정할 수 있습니다. 그러면 복사된 스냅샷에 새 KMS 키가 사용합니다. 하지만 복사 작업 중 스냅샷의 암호화 상태를 변경하면 증분식이 아닌 전체 복사본이 생성되어 많은 양의 데이터가 전송되고 스토리지 요금이 많이 발생할 수 있습니다. 자세한 내용은 증분 스냅샷 복사 단원을 참조하십시오.

다른 AWS 계정에서 공유한 암호화된 스냅샷을 복사하려면 해당 스냅샷의 사용 권한과 함께 스냅샷 암호화에 사용된 고객 관리형 키(CMK) 사용 권한도 필요합니다. 자신에게 공유해 준 암호화된 스냅샷을 사용할 때는 자체 KMS 키로 스냅샷을 복사하여 다시 암호화하는 것이 좋습니다. 이렇게 하면 원본 KMS 키가 손상되거나 소유자가 키를 취소하는 바람에 자신이 스냅샷으로 만든 어떤 암호화된 볼륨에도 액세스하지 못하게 되는 상황을 피할 수 있습니다. 자세한 내용은 Amazon EBS 스냅샷 공유 섹션을 참조하세요.

Encrypted 파라미터를 true로 설정하여 EBS 스냅샷 복사본에 암호화를 적용합니다. (Encrypted 파라미터는 암호화 기본 제공이 사용되는 경우 선택 사항입니다.)

선택적으로 KmsKeyId를 사용하여 스냅샷 복사본을 암호화하는 데 사용할 사용자 지정 키를 지정할 수 있습니다. 기본 암호화가 설정되어 있어도 Encrypted 파라미터도 true로 설정해야 합니다. KmsKeyId가 지정되지 않은 경우 암호화에 사용되는 키는 소스 스냅샷 및 해당 소유권의 암호화 상태에 따라 달라집니다.

다음 표에서는 사용자가 소유한 스냅샷과 사용자와 공유된 스냅샷을 복사할 때 가능한 각 설정 조합에 대한 암호화 결과를 설명합니다.

주제
    암호화 기본 제공 파라미터 Encrypted 설정 여부 소스 스냅샷 암호화 상태 기본값(KMS 키가 지정되지 않음) 사용자 지정(KMS 키가 지정됨)
    비활성 아니요 암호화되지 않음 암호화되지 않음 해당 사항 없음
    Encrypted AWS 관리형 키로 암호화됨
    암호화되지 않음 기본 KMS 키로 암호화됨 지정된 KMS 키로 암호화됨**
    Encrypted 기본 KMS 키로 암호화됨
    활성 아니요 암호화되지 않음 기본 KMS 키로 암호화됨 해당 사항 없음
    Encrypted 기본 KMS 키로 암호화됨
    암호화되지 않음 기본 KMS 키로 암호화됨 지정된 KMS 키로 암호화됨**
    Encrypted 기본 KMS 키로 암호화됨

    ** 스냅샷 복사 작업에 지정된 KMS 키입니다. 이 KMS 키는 계정 및 리전에 대한 기본 KMS 키 대신 사용됩니다.

    스냅샷 복사

    스냅샷을 복사하려면 다음 방법 중 하나를 사용합니다.

    Console
    콘솔을 사용하여 스냅샷을 복사하려면,
    1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

    2. 탐색 창에서 [스냅샷(Snapshots)]을 선택합니다.

    3. 복사할 스냅샷을 선택한 다음 작업(Actions), 스냅샷 복사(Copy snapshot)를 선택합니다.

    4. 설명(Description)에 스냅샷 사본에 대한 간략한 설명을 입력합니다.

      기본적으로 설명에는 소스 스냅샷에 대한 정보가 포함되어 사용자는 원본과 사본을 구분할 수 있습니다. 필요에 따라 이 설명을 수정할 수 있습니다.

    5. 대상 리전(Destination Region)에서 스냅샷 사본을 생성할 리전을 선택합니다.

    6. 스냅샷 사본에 대한 암호화 상태를 지정합니다.

      소스 스냅샷이 암호화되거나 계정에 기본적으로 암호화가 활성화되어 있으면 스냅샷 사본이 자동으로 암호화되며 암호화 상태를 변경할 수 없습니다.

      소스 스냅샷이 암호화되지 않았으며 계정이 기본적으로 암호화를 사용하도록 설정되어 있지 않은 경우 암호화는 선택 사항입니다. 스냅샷 사본을 암호화하려면 암호화(Encryption)에서 이 스냅샷 암호화(Encrypt this snapshot)를 선택합니다. 그런 다음 KMS 키에서 사용할 KMS 키를 선택하여 대상 리전에서 스냅샷을 암호화할 수 있습니다.

    7. 스냅샷 복사(Copy Snapshot)를 선택합니다.

    AWS CLI
    AWS CLI를 사용하여 스냅샷 복사

    copy-snapshot 명령을 사용합니다.

    Tools for Windows PowerShell
    Windows PowerShell용 도구를 사용하여 스냅샷 복사

    Copy-EC2Snapshot 명령을 사용합니다.

    오류를 확인하려면

    암호화 키 사용 권한 없이 암호화된 스냅샷을 복사하려고 하면 작업이 자동으로 실패합니다. 페이지를 새로 고칠 때까지는 콘솔에 오류 상태가 표시되지 않습니다. 또한 다음 예와 같이 명령줄에서 스냅샷의 상태를 확인할 수 있습니다.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    키 권한 부족으로 복사에 실패한 경우에는 "StateMessage": "Given key ID is not accessible" 메시지가 표시됩니다.

    암호화된 스냅샷을 복사하려면 기본 CMK에 대한 DescribeKey 권한이 있어야 합니다. 이러한 권한을 명시적으로 거부하면 복사에 실패합니다. CMK 키 관리에 대한 자세한 내용은 AWS KMS에 대한 인증 및 액세스 제어를 참조하세요.