스냅샷을 공유하기 전에 스냅샷 공유 KMS 키 공유 공유 스냅샷 보기 공유 스냅샷 사용 공유한 스냅샷의 사용 확인

Amazon EBS 스냅샷 공유

다른 AWS 계정과 스냅샷을 공유하려는 경우 스냅샷 권한을 수정할 수 있습니다. 다른 모든 AWS 계정과 스냅샷을 공개적으로 공유하거나 지정한 개별 AWS 계정과 비공개로 공유할 수 있습니다. 권한을 부여받은 사용자는 공유 스냅샷을 사용하여 자체 EBS 볼륨을 생성할 수 있습니다. 원본 스냅샷은 영향을 받지 않습니다.

중요

스냅샷을 공유하면 다른 사람들이 해당 스냅샷의 모든 데이터에 액세스할 수 있게 됩니다. 모든 스냅샷 데이터를 신뢰할 수 있는 사용자하고만 공유하세요.

다음은 스냅샷을 공유할 때 고려할 사항입니다.

스냅샷은 생성된 리전으로 제한됩니다. 스냅샷을 다른 리전과 공유하려면 스냅샷을 해당 리전에 복사한 다음 복사본을 공유합니다. 자세한 내용은 Amazon EBS 스냅샷 복사 섹션을 참조하세요.
기본 AWS 관리형 키로 암호화된 스냅샷은 공유할 수 없습니다. 고객 관리형 키로 암호화된 스냅샷만 공유할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 키 생성을 참조하세요.
암호화되지 않은 스냅샷만 공개적으로 공유할 수 있습니다.
암호화된 스냅샷을 공유할 때는 해당 스냅샷을 암호화하는 데 사용된 고객 관리형 키도 공유해야 합니다. 자세한 내용은 KMS 키 공유 섹션을 참조하세요.

섹션에 설명된 방법 중 하나를 사용하여 스냅샷을 공유할 수 있습니다.

Console

스냅샷을 공유하려면

https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.
탐색 창에서 [Snapshots]를 선택합니다.
공유할 스냅샷을 선택하고 작업(Actions), 권한 수정(Modify permissions)을 선택합니다.
스냅샷의 권한을 지정합니다. 현재 설정(Current setting)은 스냅샷의 현재 공유 권한을 나타냅니다.
- 모든 AWS 계정과 스냅샷을 공개적으로 공유하려면 퍼블릭(Public)을 선택합니다.
- 스냅샷을 특정 AWS 계정과 비공개로 공유하려면 프라이빗(Private)을 선택합니다. 그런 다음 계정 공유(Sharing accounts) 섹션에서 계정 추가(Add account)를 선택하고 공유할 계정의 12자리 계정 ID(하이픈 제외)를 입력합니다.
Save changes(변경 사항 저장)를 선택합니다.

AWS CLI

스냅샷에 대한 권한은 스냅샷의 createVolumePermission 속성을 사용하여 지정됩니다. 스냅샷을 퍼블릭으로 설정하려면 그룹을 all로 설정합니다. 특정 AWS 계정과 스냅샷을 공유하려면 사용자를 AWS 계정 ID로 설정합니다.

스냅샷을 공개적으로 공유하려면

다음 명령 중 하나를 사용합니다.

modify-snapshot-attribute(AWS CLI)

--attribute에 createVolumePermission을 지정합니다. --operation-type에 add을 지정합니다. --group-names에 all을 지정합니다.
```
$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
```
Edit-EC2SnapshotAttribute(AWS Tools for Windows PowerShell)

-Attribute에 CreateVolumePermission을 지정합니다. -OperationType에 Add을 지정합니다. -GroupName에 all을 지정합니다.
```
PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
```

스냅샷을 비공개로 공유하려면

다음 명령 중 하나를 사용합니다.

modify-snapshot-attribute(AWS CLI)

--attribute에 createVolumePermission을 지정합니다. --operation-type에 add을 지정합니다. --user-ids에 스냅샷을 공유하려는 AWS 계정의 12자리 ID를 지정합니다.
```
$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
```
Edit-EC2SnapshotAttribute(AWS Tools for Windows PowerShell)

-Attribute에 CreateVolumePermission을 지정합니다. -OperationType에 Add을 지정합니다. UserId에 스냅샷을 공유하려는 AWS 계정의 12자리 ID를 지정합니다.
```
PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012
```

암호화된 스냅샷을 공유할 때는 해당 스냅샷을 암호화하는 데 사용된 고객 관리형 키도 공유해야 합니다. 생성 당시에 또는 나중에 고객 관리형 키에 교차 계정 권한을 적용할 수 있습니다.

암호화된 스냅샷에 액세스하는 공유 고객 관리형 키의 사용자에게 키에 대해 다음 작업을 수행할 수 있는 권한을 부여해야 합니다.

kms:DescribeKey
kms:CreateGrant
kms:GenerateDataKey
kms:ReEncrypt
kms:Decrypt

작은 정보

최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신에 다음 예제에 표시된 대로 kms:GrantIsForAWSResource 조건 키를 사용하여 AWS 서비스에서 사용자를 대신하여 권한이 부여되는 경우에만 사용자가 KMS 키에 대한 권한을 부여할 수 있도록 허용합니다.

고객 관리형 키 액세스 제어에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 AWS KMS의 키 정책 사용을 참조하세요.

AWS KMS 콘솔을 사용하여 고객 관리형 키를 공유하려면

AWS KMS 콘솔(https://console.aws.amazon.com/kms)을 엽니다.
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.
별칭 열에서 스냅샷을 암호화하는 데 사용한 고객 관리형 키의 별칭(텍스트 링크)을 선택합니다. 키 세부 정보가 새 페이지에서 열립니다.
Key policy(키 정책) 섹션에는 정책 보기 또는 기본 보기가 표시됩니다. 정책 보기에는 주요 정책 문서가 표시됩니다. 기본 보기에는 키 관리자(Key administrators), 키 삭제(Key deletion), 키 사용(Key Use) 및 기타 AWS 계정(Other accounts)에 대한 섹션이 표시됩니다. 콘솔에서 정책을 생성하고 사용자 지정하지 않은 경우 기본 보기가 표시됩니다. 기본 보기를 사용할 수 없는 경우 정책 보기에서 정책을 수동으로 편집해야 합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 키 정책 보기(콘솔)을 참조하세요.

액세스할 수 있는 보기에 따라 정책 보기 또는 기본 보기를 사용하여 다음과 같이 하나 이상의 AWS 계정 ID를 정책에 추가합니다.
- (정책 보기) Edit(편집)를 선택합니다. AWS 및 "Allow use of the key" 명령문에 하나 이상의 "Allow attachment of persistent resources" 계정 ID를 추가합니다. [변경 사항 저장(Save changes)]을 선택합니다. 다음 예에서는 AWS 계정 ID 444455556666이 정책에 추가됩니다.
```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}    
```
- (기본 보기) 다른 AWS 계정(Other accounts)이 표시될 때까지 아래로 스크롤합니다. 다른 AWS 계정 추가(Add other accounts)를 선택하고 메시지가 표시되면 AWS 계정 ID를 입력합니다. 다른 계정을 추가하려면 다른 AWS 계정 추가(Add another account)를 선택하고 AWS 계정 ID를 입력합니다. AWS 계정을 모두 추가했으면 [변경 사항 저장(Save changes)]을 선택합니다.

공유 스냅샷 보기

다음 방법 중 하나를 사용하여 공유 스냅샷을 볼 수 있습니다.

공유 스냅샷 사용

암호화되지 않은 공유 스냅샷을 사용하려면

ID 또는 설명으로 공유 스냅샷을 찾습니다. 자세한 내용은 공유 스냅샷 보기 섹션을 참조하세요. 계정에 소유한 다른 스냅샷과 마찬가지로 이 스냅샷을 사용할 수 있습니다. 예를 들어 스냅샷에서 볼륨을 생성하거나 볼륨을 다른 리전으로 복사할 수 있습니다.

암호화된 공유 스냅샷을 사용하려면

ID 또는 설명으로 공유 스냅샷을 찾습니다. 자세한 내용은 공유 스냅샷 보기 섹션을 참조하세요. 계정에 공유 스냅샷의 복사본을 생성하고 소유한 KMS 키로 복사본을 암호화합니다. 그런 다음 복사본을 사용하여 볼륨을 생성하거나 다른 리전에 복사할 수 있습니다.

공유한 스냅샷의 사용 확인

AWS CloudTrail를 사용하여 다른 사용자와 공유한 스냅샷이 복사되거나 볼륨을 생성하는데 사용되는지를 모니터링할 수 있습니다. 다음 이벤트가 CloudTrail에 기록됩니다.

SharedSnapshotCopyInitiated — 공유 스냅샷이 복사되고 있습니다.
SharedSnapshotVolumeCreated — 공유 스냅샷이 볼륨을 생성하는 데 사용되고 있습니다.

CloudTrail 사용에 관한 자세한 내용은 AWS CloudTrail을 사용하여 Amazon EC2 및 Amazon EBS API 호출 로깅 섹션을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

스냅샷 정보 보기

휴지통에서 스냅샷 복구