Copiar um snapshot do Amazon EBS. - Amazon Elastic Compute Cloud

Copiar um snapshot do Amazon EBS.

Com o Amazon EBS, você pode criar snapshots de pontos no tempo dos volumes, que nós armazenamos para você em Amazon S3. Depois que um snapshot é criado e copiado para o Amazon S3 (quando o status do snapshot é completed), você pode copiá-lo de uma região da AWS para outra ou dentro da mesma região. A criptografia do lado do servidor do Amazon S3 (AES de 256 bits) protege os dados de um snapshot em trânsito durante uma operação de cópia. A cópia do snapshot recebe um ID diferente do ID do snapshot original.

Para copiar snapshots de vários volumes para outra região da AWS, recupere os snapshots usando a etiqueta aplicada ao conjunto de snapshots de vários volumes quando você o criou. Depois, copie cada snapshot para outra região.

Caso queira que outra conta consiga copiar seu snapshot, você deve ao modificar as permissões do snapshot para permitir acesso a essa conta ou tornar o snapshot público para que todas as contas da AWS possam copiá-lo. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Para obter informações sobre como copiar um snapshot do Amazon RDS, consulte Cópia de um DB Snapshot no Guia do usuário da Amazon RDS.

Casos de uso

  • Expansão geográfica: execute suas aplicações em uma nova região da AWS.

  • Migração: mova uma aplicação para uma nova região, de forma a permitir melhor disponibilidade e minimizar os custos.

  • Recuperação de desastres: faça backup dos seus dados e logs em locais geográficos diferentes e intervalos regulares. Em caso de desastre, você pode restaurar suas aplicações usando backups de ponto no tempo armazenados na região secundária. Isso minimiza a perda de dados e o tempo de recuperação.

  • Criptografia: criptografe um snapshot não criptografado previamente, altere a chave com a qual o snapshot foi criptografado ou crie uma cópia de sua propriedade para criar um volume a partir dela (para snapshots criptografados que foram compartilhados com você).

  • Retenção de dados e requisitos de auditoria: copie seus snapshots do EBS criptografados de uma conta da AWS para outra para preservar os logs de dados ou outros arquivos para auditoria ou retenção de dados. Usar uma conta diferente ajuda a evitar exclusões acidentais de snapshots e protege você se sua conta principal da AWS estiver comprometida.

Pré-requisitos

  • Você pode copiar todos os snapshots acessíveis que tenham o status completed, incluindo snapshots compartilhados e snapshots que você criou.

  • Você pode copiar snapshots do AWS Marketplace, do VM Import/Export e do Storage Gateway, mas deve verificar se o snapshot é compatível com a região de destino.

Considerações

  • Cada conta pode ter até vinte solicitações simultâneas de cópia de snapshot para uma única região de destino.

  • Tags definidas pelo usuário não são copiadas do snapshot de origem para o novo snapshot. É possível adicionar tags definidas pelo usuário durante ou depois da operação de cópia. Para obter mais informações, consulte Marcar com tag os recursos do Amazon EC2.

  • Os snapshots criados por uma operação de cópia de snapshot têm um ID arbitrário de volume que não deve ser usado para qualquer outra finalidade.

  • As permissões de nível de recurso especificadas para a operação de cópia de snapshot se aplicam somente ao novo snapshot. Você não pode especificar permissões no nível do recurso para o snapshot de origem. Para ver um exemplo, consulte Exemplo: Copiar snapshots.

Preços

  • Para obter informações sobre definição de preços para cópias de snapshots entre regiões e contas da AWS, consulte Definição de preço do Amazon EBS.

  • Observe que as operações de cópia de snapshots em uma única conta e região não copiam dados reais e, portanto, são gratuitas, contanto que o status de criptografia da cópia do snapshot não seja alterado.

  • Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.

  • Se você copiar um snapshot para uma nova região, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

Cópias incrementais de snapshot

A determinação de se uma cópia do snapshot deve ser incremental é feita pela cópia do snapshot concluída mais recentemente. Ao copiar um snapshot entre regiões ou contas, a cópia será uma cópia incremental se as seguintes condições forem atendidas:

  • O snapshot foi copiado anteriormente na conta ou região de destino.

  • A cópia mais recente do snapshot ainda existe na conta ou região de destino.

  • Todas as cópias do snapshot na conta ou região de destino foram feitas sem criptografia ou foram criptografadas usando a mesma chave do KMS.

Se a cópia mais recente do snapshot tiver sido excluída, a próxima cópia será um cópia completa, não uma cópia incremental. Se uma cópia ainda estiver pendente quando outra cópia for iniciada, esta será iniciada somente após a primeira cópia ser concluída.

Recomendamos marcar seus snapshots com o ID do volume e a hora da criação para que você possa manter o controle da cópia do snapshot mais recente de um volume na conta ou região de destino.

Para ver se as cópias dos snapshots são incrementais, verifique o evento copySnapshot do CloudWatch

Cópia de snapshot e criptografia

Quando você copiar um snapshot, poderá criptografar a cópia ou especificar uma chave do KMS diferente da original, e o snapshot copiado resultante usará a nova chave do KMS. Contudo, a alteração do status de criptografia de um snapshot durante uma operação de cópia resulta em uma cópia (não incremental) completa, o que pode aumentar as cobranças de transferência e armazenamento de dados.

Para copiar um snapshot criptografado compartilhado de outra conta da AWS, você deve ter permissões para usar o snapshot e a chave mestra do cliente (CMK) que foi usada para criptografar o snapshot. Ao usar um snapshot criptografado que foi compartilhado com você, recomendamos que você refaça a criptografia do snapshot copiando-o por meio de uma chave do KMS própria. Isso protegerá você se a chave do KMS original estiver comprometida ou se o proprietário revogá-la, o que poderá fazer com que você perca o acesso aos volumes criptografados criados usando o snapshot. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Você aplica a criptografia a cópias de snapshots do EBS definindo o parâmetro Encrypted como true. (O parâmetro Encrypted é opcional se a opção encryption by default (criptografia por padrão) estiver ativada).

Opcionalmente, você pode usar KmsKeyId para especificar uma chave personalizada para criptografar a cópia do snapshot. (O parâmetro Encrypted também deve ser definido como true, mesmo que a criptografia por padrão esteja ativada.) Se o parâmetro KmsKeyId não for especificado, a chave usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade.

As tabelas a seguir descrevem o resultado da criptografia para cada combinação possível de configurações.

Resultados de criptografia: copiar snapshots de sua propriedade

Criptografia por padrão O parâmetro Encrypted está definido? Status de criptografia do snapshot de origem Padrão (nenhuma chave do KMS especificada) Personalizado (chave do KMS especificada)
Desabilitado Não Não criptografado Não criptografado N/D
Criptografado Criptografado por Chave gerenciada pela AWS
Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**
Criptografado Criptografado pela chave do KMS padrão
Enabled Não Não criptografado Criptografado pela chave do KMS padrão N/D
Criptografado Criptografado pela chave do KMS padrão
Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**
Criptografado Criptografado pela chave do KMS padrão

** Essa é uma chave gerenciada pelo cliente especificada para a ação de cópia. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a conta e a região da AWS.

Resultados de criptografia: copiar snapshots compartilhados com você

Criptografia por padrão O parâmetro Encrypted está definido? Status de criptografia do snapshot de origem Padrão (nenhum KmsKeyId especificado) Personalizado (KmsKeyId especificado)
Desabilitado Não Não criptografado Não criptografado N/D

Criptografado

Criptografado por Chave gerenciada pela AWS
Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**

Criptografado

Criptografado pela chave do KMS padrão
Enabled Não Não criptografado Criptografado pela chave do KMS padrão N/D

Criptografado

Criptografado pela chave do KMS padrão
Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**

Criptografado

Criptografado pela chave do KMS padrão

** Essa é uma chave gerenciada pelo cliente especificada para a ação de cópia. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a conta e a região da AWS.

Copiar um snapshot

Para copiar um snapshot, use um dos métodos a seguir.

New console

Para copiar um snapshot usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Snapshots.

  3. Selecione o snapshot a ser copiado e escolha Actions (Ações), Copy snapshot (Copiar snapshot).

  4. Em Description (Descrição), insira uma breve descrição do snapshot.

    Por padrão, a descrição inclui informações sobre o snapshot de origem, de forma que você possa diferenciar uma cópia do original. Você pode alterar essa descrição conforme necessário.

  5. Em Destination Region (Região de destino), selecione a região na qual criar a cópia do snapshot.

  6. Especifique o status de criptografia da cópia do snapshot.

    Se o snapshot de origem for criptografado ou se sua conta for habilitada para criptografia por padrão, a criptografia será habilitada automaticamente e você não poderá desabilitá-la.

    Se o snapshot de origem não for criptografado e se sua conta não for habilitada para criptografia por padrão, a criptografia será opcional. Para criptografar a cópia do snapshot, em Encryption (Criptografia), selecione Encrypt this snapshot (Criptografar este snapshot). Depois, para KMS key (Chave do KMS), selecione a chave do KMS a ser usada para criptografar o snapshot na região de destino.

  7. Selecione Copiar snapshot.

Old console

Para copiar um snapshot usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Snapshots.

  3. Selecione o snapshot a ser copiado e escolha em Copiar na lista Ações.

  4. Na caixa de diálogo Copiar snapshot, atualize o seguinte conforme necessário:

    • Região de destino: selecione a região onde você deseja gravar a cópia do snapshot.

    • Descrição: Por padrão, descrição inclui informações sobre o snapshot de origem, de forma que você possa identificar uma cópia do original. Você pode alterar essa descrição conforme necessário.

    • Criptografia: Se o snapshot de origem não for criptografado, você poderá optar por criptografar a cópia. Se você tiver habilitado a criptografia por padrão, a opção Encryption (Criptografia) será configurada e não poderá ser desconfigurada no console do snapshot. Se a opção Encryption (Criptografia) estiver configurada, você poderá escolher criptografá-la para uma CMK gerenciada pelo cliente ao selecionar uma no campo, conforme descrito abaixo.

      Você não pode remover a criptografia de um snapshot criptografado.

    • Master Key (Chave mestra): a chave mestra (CMK) do cliente que deve ser usada para criptografar esse snapshot. A chave padrão da sua conta é exibida inicialmente, mas você pode selecioná-la nas chaves mestras da sua conta ou digitar/colar o ARN de uma chave de uma conta diferente. Você pode criar novas chaves mestras de criptografia no console do AWS KMS.

  5. Escolha Copiar.

  6. Na caixa de diálogo de confirmação Copy Snapshot (Copiar snapshot), escolha Snapshots para acessar a página Snapshots na região especificada ou escolha Close (Fechar).

    Para visualizar o andamento do processo de cópia, troque para a região de destino e atualize a página Snapshots. As cópias em andamento estão listadas na parte superior da página.

AWS CLI

Para copiar um snapshot usando a linha de comando

Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Acessar o Amazon EC2.

Para verificar se há falhas

Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, a operação falhará silenciosamente. O estado de erro não é exibido no console até você atualizar a página. Você também pode verificar o estado do snapshot a partir da linha de comando, conforme o exemplo a seguir.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Se uma cópia falhar por conta de permissões de chaves insuficientes, você verá a seguinte mensagem: "StateMessage": "O ID da chave apresentado não pode ser acessado".

Para copiar um snapshot criptografado, você deve ter as permissões DescribeKey no CMK padrão. Negar explicitamente essas permissões resulta em falha da cópia. Para obter informações sobre o gerenciamento das chaves de CMK, consulte Controle de acesso às chaves mestras do cliente.