Amazon EBS 스냅샷 공유 - Amazon Elastic Compute Cloud

Amazon EBS 스냅샷 공유

스냅샷 권한을 수정하여 본인이 지정한 AWS 계정과 공유할 수 있습니다. 허가된 사용자는 원본 스냅샷에 아무런 영향을 주지 않으면서 공유된 스냅샷을 토대로 자체 EBS 볼륨을 생성할 수 있습니다.

원한다면 암호화되지 않은 스냅샷을 모든 AWS 사용자에게 공개할 수 있습니다. 암호화된 스냅샷은 공개적으로 사용 가능하게 만들 수 없습니다.

암호화된 스냅샷을 공유할 때는 해당 스냅샷을 암호화하는 데 사용된 고객 관리형 CMK도 공유해야 합니다. 생성 당시에 또는 나중에 고객 관리형 CMK에 교차 계정 권한을 적용할 수 있습니다.

중요

스냅샷을 공유하면 다른 사람들이 해당 스냅샷의 모든 데이터에 액세스할 수 있게 됩니다. 그러므로 스냅샷의 모든 데이터를 공유하려는 사용자하고만 스냅샷을 공유하십시오.

고려 사항

다음은 스냅샷을 공유할 때 고려할 사항입니다.

  • 스냅샷은 생성된 리전으로 제한됩니다. 스냅샷을 다른 리전과 공유하려면 스냅샷을 해당 리전에 복사합니다. 자세한 내용은 Amazon EBS 스냅샷 복사 단원을 참조하십시오.

  • AWS는 기본 CMK로 암호화된 스냅샷의 공유를 금지합니다. 그 대신, 고객 관리형 CMK로 공유하려는 스냅샷을 암호화해야 합니다. 자세한 내용은 AWS Key Management Service Developer Guide키 생성 단원을 참조하십시오.

  • 공유된 CMK 사용자가 암호화된 스냅샷에 액세스하는 경우, 키에 대해 kms:DescribeKey, kms:CreateGrant, GenerateDataKeykms:ReEncrypt 작업을 수행할 수 있는 권한을 부여해야 합니다. 자세한 내용은 AWS Key Management Service Developer Guide사용자 지정 마스터 키에 대한 액세스 제어를 참조하십시오.

콘솔을 사용하여 암호화되지 않은 스냅샷 공유

콘솔을 사용해 스냅샷을 공유하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 스냅샷을 선택합니다.

  3. 스냅샷을 선택한 다음 작업권한 수정을 선택합니다.

  4. 다음과 같이 스냅샷을 퍼블릭 스냅샷으로 만들거나 특정 AWS 계정과 공유합니다.

    • 스냅샷을 퍼블릭으로 설정하려면 퍼블릭을 선택합니다.

      암호화된 스냅샷 또는 AWS Marketplace 제품 코드가 있는 스냅샷에는 이 옵션을 사용할 수 없습니다.

    • 하나 이상의 AWS 계정과 스냅샷을 공유하려면 프라이빗을 선택하고 AWS 계정 번호에 AWS 계정 ID(하이픈 제외)를 입력한 다음 권한 추가를 선택합니다. 모든 추가 AWS 계정에 대해 반복합니다.

  5. Save를 선택합니다.

본인에게 개인적으로 공유해 준 암호화되지 않은 스냅샷을 사용하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 스냅샷을 선택합니다.

  3. 프라이빗 스냅샷 필터를 선택합니다.

  4. ID 또는 설명으로 해당 스냅샷을 찾습니다. 이 스냅샷도 다른 스냅샷처럼 사용할 수 있습니다. 예를 들어, 이 스냅샷으로 볼륨을 생성하거나 스냅샷을 다른 리전으로 복사할 수 있습니다.

콘솔을 사용하여 암호화된 스냅샷 공유

콘솔을 사용하여 암호화된 스냅샷을 공유하려면

  1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 Customer managed keys(고객 관리형 키)를 선택합니다.

  4. 별칭 열에서 스냅샷을 암호화하는 데 사용한 고객 관리형 키의 별칭(텍스트 링크)을 선택합니다. 키 세부 정보가 새 페이지에서 열립니다.

  5. Key policy(키 정책) 섹션에는 정책 보기 또는 기본 보기가 표시됩니다. 정책 보기에는 주요 정책 문서가 표시됩니다. 기본 보기에는 키 관리자, 키 삭제, 키 사용기타 AWS 계정에 대한 섹션에 표시됩니다. 콘솔에서 정책을 생성하고 사용자 지정하지 않은 경우 기본 보기가 표시됩니다. 기본 보기를 사용할 수 없는 경우 정책 보기에서 정책을 수동으로 편집해야 합니다. 자세한 내용은 AWS Key Management Service Developer Guide키 정책 보기(콘솔)를 참조하십시오.

    이용 가능한 보기에 따라 정책 보기 또는 기본 보기를 사용하여 다음과 같이 하나 이상의 AWS 계정 ID를 정책에 추가합니다.

    • (정책 보기) Edit(편집)를 선택합니다. "Allow use of the key""Allow attachment of persistent resources" 명령문에 하나 이상의 AWS 계정 ID를 추가합니다. [Save changes]를 선택합니다. 다음 예에서는 AWS 계정 ID 444455556666이 정책에 추가됩니다.

      { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
    • (기본 보기) 아래로 스크롤하여 Other AWS accounts(다른 AWS 계정)로 이동합니다. Add other AWS accounts(다른 AWS 계정 추가)를 선택하고 메시지가 표시되면 AWS 계정 ID를 입력합니다. 다른 계정을 추가하려면 Add another AWS account(다른 AWS 계정 추가)를 선택하고 AWS 계정 ID를 입력합니다. AWS 계정을 모두 추가했으면 변경 사항 저장을 선택합니다.

  6. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  7. 탐색 창에서 스냅샷을 선택합니다.

  8. 스냅샷을 선택한 다음 작업권한 수정을 선택합니다.

  9. 각각의 AWS 계정에 대해 AWS 계정 번호에 AWS 계정 ID를 입력하고 권한 추가를 선택합니다. AWS 계정을 모두 추가했으면 저장을 선택합니다.

본인에게 공유해 준 암호화된 스냅샷을 사용하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 스냅샷을 선택합니다.

  3. 프라이빗 스냅샷 필터를 선택합니다. 원한다면 암호화 필터도 추가합니다.

  4. ID 또는 설명으로 해당 스냅샷을 찾습니다.

  5. 스냅샷을 선택하고 작업복사를 선택합니다.

  6. (선택 사항) 대상 리전을 선택합니다.

  7. 스냅샷의 사본은 마스터 키에 표시된 키로 암호화됩니다. 기본적으로 선택한 키는 계정의 기본 CMK입니다. 고객 관리형 CMK를 선택하려면 입력 상자 안을 클릭하여 사용 가능한 키 목록을 조회합니다.

  8. 복사를 선택합니다.

명령줄을 사용하여 스냅샷 공유

스냅샷에 대한 권한은 스냅샷의 createVolumePermission 속성을 사용하여 지정됩니다. 스냅샷을 퍼블릭으로 설정하려면 그룹을 all로 설정합니다. 특정 AWS 계정과 스냅샷을 공유하려면 사용자를 AWS 계정 ID로 설정합니다.

명령줄을 이용하여 스냅샷 권한을 수정하려면

다음 명령 중 하나를 사용합니다.

명령줄을 사용하여 스냅샷 권한을 보려면

다음 명령 중 하나를 사용합니다.

명령줄 인터페이스에 대한 자세한 내용은 Amazon EC2에 액세스 단원을 참조하십시오.

공유 스냅샷 사용 확인

AWS CloudTrail를 사용하여 다른 사용자와 공유한 스냅샷이 복사되거나 볼륨을 생성하는데 사용되는지를 모니터링할 수 있습니다. 다음 이벤트가 CloudTrail에 기록됩니다.

  • SharedSnapshotCopyInitiated — 공유 스냅샷이 복사되고 있습니다.

  • SharedSnapshotVolumeCreated — 공유 스냅샷이 볼륨을 생성하는 데 사용되고 있습니다.

CloudTrail 사용에 관한 자세한 내용은 AWS CloudTrail을 사용하여 Amazon EC2 및 Amazon EBS API 호출 로깅 단원을 참조하십시오.