Copiar um EBS snapshot da Amazon - Amazon EBS
Pré-requisitosConsideraçõesDefinição de preçoCópias incrementais de snapshotsCópia de snapshot e criptografiaCopiar um snapshot

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Copiar um EBS snapshot da Amazon

Com a AmazonEBS, você pode criar point-in-time instantâneos de volumes, que armazenamos para você no Amazon S3. Depois de criar um snapshot e terminar de ser copiado para o Amazon S3 (quando o status do snapshot completed for), você poderá copiá-lo de AWS uma região para outra ou dentro da mesma região. A criptografia do lado do servidor Amazon S3 (256 bitsAES) protege os dados de um snapshot em trânsito durante uma operação de cópia. A cópia do snapshot recebe um ID diferente do ID do snapshot original.

Para copiar instantâneos de vários volumes para outra AWS região, recupere os instantâneos usando a tag que você aplicou ao conjunto de instantâneos de vários volumes ao criá-lo. Depois, copie cada snapshot para outra região.

Se você quiser que outra conta possa copiar seu instantâneo, você deve modificar as permissões do instantâneo para permitir o acesso a essa conta ou tornar o instantâneo público para que todas as AWS contas possam copiá-lo. Para obter mais informações, consulte Compartilhe um EBS snapshot da Amazon.

Para obter informações sobre como copiar um RDS snapshot da Amazon, consulte Cópia de um DB snapshot no Guia RDS do usuário da Amazon.

Casos de uso

  • Expansão geográfica: inicie seus aplicativos em uma nova AWS região.

  • Migração: mova uma aplicação para uma nova região, de forma a permitir melhor disponibilidade e minimizar os custos.

  • Recuperação de desastres: faça backup dos seus dados e logs em locais geográficos diferentes e intervalos regulares. Em caso de desastre, você pode restaurar seus aplicativos usando point-in-time backups armazenados na região secundária. Isso minimiza a perda de dados e o tempo de recuperação.

  • Criptografia: criptografe um snapshot não criptografado previamente, altere a chave com a qual o snapshot foi criptografado ou crie uma cópia de sua propriedade para criar um volume a partir dela (para snapshots criptografados que foram compartilhados com você).

  • Requisitos de retenção e auditoria de dados: copie seus EBS instantâneos criptografados de uma AWS conta para outra para preservar registros de dados ou outros arquivos para auditoria ou retenção de dados. Usar uma conta diferente ajuda a evitar exclusões acidentais de instantâneos e protege você se sua AWS conta principal for comprometida.

Pré-requisitos

  • É possível copiar todos os snapshots acessíveis que tenham o status completed, incluindo snapshots compartilhados e snapshots que você criou.

  • Você pode copiar instantâneos AWS Marketplace, VM Import/Export e Storage Gateway, mas deve verificar se o instantâneo é suportado na região de destino.

  • Para copiar um snapshot criptografado, seu usuário deve ter as seguintes permissões para usar a EBS criptografia da Amazon.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Para copiar um instantâneo criptografado compartilhado de outra AWS conta, você deve ter permissões para usar a chave gerenciada pelo cliente que foi usada para criptografar o instantâneo. Para obter mais informações, consulte Compartilhe uma KMS chave.

Considerações

  • Existe um limite de solicitações de cópia de 20 snapshots simultâneos por região de destino. Se você exceder essa cota, você receberá um erro ResourceLimitExceeded. Se você receber esse erro, aguarde até que uma ou mais solicitações de cópia sejam concluídas antes de fazer uma nova solicitação de cópia do snapshot.

  • Tags definidas pelo usuário não são copiadas do snapshot de origem para o novo snapshot. É possível adicionar tags definidas pelo usuário durante ou depois da operação de cópia.

  • Os snapshots criados por uma operação de cópia de snapshots têm um ID arbitrário de volume, como vol-ffff ou vol-ffffffff. Esses volumes arbitrários não IDs devem ser usados para nenhuma finalidade.

  • As permissões de nível de recurso especificadas para a operação de cópia de snapshot se aplicam somente ao novo snapshot. Você não pode especificar permissões no nível do recurso para o snapshot de origem. Para ver um exemplo, consulte Exemplo: copiar snapshots.

Definição de preço

  • Para obter informações sobre preços sobre a cópia de snapshots entre AWS regiões e contas, consulte Amazon EBS Pricing.

  • Se você copiar um snapshot e criptografá-lo em uma nova KMS chave, uma cópia completa (não incremental) será criada. Isso resulta em custos adicionais de armazenamento.

  • Se você copiar um snapshot para uma nova região, uma cópia completa (não incremental) será criada. Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

  • Se você usar transferências de dados externas ou entre regiões, cobranças adicionais EC2de transferência de dados serão aplicadas. Além disso, se você excluir algum snapshot após a inicialização, ainda receberá cobrança pelos dados que já foram transferidos.

Cópias incrementais de snapshots

A determinação de se uma cópia do snapshot deve ser incremental é feita pela cópia do snapshot concluída mais recentemente. Ao copiar um snapshot entre regiões ou contas, a cópia será uma cópia incremental se as seguintes condições forem atendidas:

  • O snapshot foi copiado anteriormente na conta ou região de destino.

  • A cópia mais recente do snapshot ainda existe na conta ou região de destino.

  • A cópia instantânea mais recente não foi arquivada.

  • Todas as cópias do snapshot na região ou na conta de destino não estão criptografadas ou foram criptografadas usando a mesma KMS chave.

Se a cópia mais recente do snapshot tiver sido excluída, a próxima cópia será um cópia completa, não uma cópia incremental. Se uma cópia ainda estiver pendente quando outra cópia for iniciada, esta será iniciada somente após a primeira cópia ser concluída.

As operações de cópia instantânea na mesma conta e região usando a mesma KMS chave resultam em uma cópia incremental.

A cópia de snapshots incrementais reduz o tempo necessário para copiar snapshots e economiza em custos de transferência de dados e armazenamento por não duplicar os dados.

Recomendamos marcar seus snapshots com o ID do volume e a hora da criação para que você possa manter o controle da cópia do snapshot mais recente de um volume na conta ou região de destino.

Para ver se suas cópias de snapshot são incrementais, verifique o copySnapshot CloudWatch evento.

Cópia de snapshot e criptografia

Ao copiar um instantâneo, você pode criptografar a cópia ou especificar uma KMS chave diferente da original, e o instantâneo copiado resultante usa a nova chave. KMS Contudo, a alteração do status de criptografia de um snapshot durante uma operação de cópia pode resultar em uma cópia completa (não incremental), o que pode aumentar os custos de transferência e armazenamento de dados. Para obter mais informações, consulte Cópias incrementais de snapshots.

Para copiar um instantâneo criptografado compartilhado de outra AWS conta, você deve ter permissões para usar o instantâneo e a chave gerenciada pelo cliente (CMK) que foi usada para criptografar o instantâneo. Ao usar um instantâneo criptografado que foi compartilhado com você, recomendamos que você recriptografe o instantâneo copiando-o usando uma KMS chave de sua propriedade. Isso protege você se a KMS chave original for comprometida ou se o proprietário a revogar, o que pode fazer com que você perca o acesso a todos os volumes criptografados que você criou usando o snapshot. Para obter mais informações, consulte Compartilhe um EBS snapshot da Amazon.

Você aplica criptografia às cópias de EBS instantâneos definindo o Encrypted parâmetro como. true (O parâmetro Encrypted é opcional se a opção encryption by default (criptografia por padrão) estiver ativada).

Opcionalmente, é possível usar KmsKeyId para especificar uma chave personalizada para criptografar a cópia do snapshot. (O parâmetro Encrypted também deve ser definido como true, mesmo que a criptografia por padrão esteja ativada.) Se o parâmetro KmsKeyId não for especificado, a chave usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade.

A tabela a seguir descreve os resultados da criptografia para cada combinação possível de configurações ao copiar snapshots que você possui e aos snapshots compartilhados com você.

Tópicos
    Criptografia por padrão O parâmetro Encrypted está definido? Status de criptografia do snapshot de origem Padrão (nenhuma KMS chave especificada) Personalizado (KMSchave especificada)
    Desabilitado Não Não criptografado Não criptografado N/D
    Criptografado Criptografado por Chave gerenciada pela AWS
    Sim Não criptografado Criptografado por KMS chave padrão Criptografado pela KMS chave especificada**
    Criptografado Criptografado por KMS chave padrão
    Enabled Não Não criptografado Criptografado por KMS chave padrão N/D
    Criptografado Criptografado por KMS chave padrão
    Sim Não criptografado Criptografado por KMS chave padrão Criptografado pela KMS chave especificada**
    Criptografado Criptografado por KMS chave padrão

    ** Essa é a KMS chave especificada na ação de copiar instantâneo. Essa KMS chave é usada em vez da KMS chave padrão para a conta e a região.

    Copiar um snapshot

    Para copiar um snapshot, use um dos métodos a seguir.

    Console
    Para copiar um snapshot usando o console

    1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, escolha Snapshots.

    3. Selecione o snapshot a ser copiado e escolha Actions (Ações), Copy snapshot (Copiar snapshot).

    4. Em Description (Descrição), insira uma breve descrição do snapshot.

      Por padrão, a descrição inclui informações sobre o snapshot de origem, de forma que você possa diferenciar uma cópia do original. É possível alterar essa descrição conforme necessário.

    5. Em Destination Region (Região de destino), selecione a região na qual criar a cópia do snapshot.

    6. Especifique o status de criptografia da cópia do snapshot.

      Se o snapshot de origem for criptografado ou se sua conta for habilitada para criptografia por padrão, a criptografia será habilitada automaticamente e você não poderá desabilitá-la.

      Se o snapshot de origem não for criptografado e se sua conta não for habilitada para criptografia por padrão, a criptografia será opcional. Para criptografar a cópia do snapshot, em Encryption (Criptografia), selecione Encrypt this snapshot (Criptografar este snapshot). Em seguida, em KMSchave, selecione a KMS chave a ser usada para criptografar o instantâneo na região de destino.

    7. Escolha Copy snapshot (Copiar snapshot).

    AWS CLI
    Para copiar um instantâneo usando o AWS CLI

    Use o comando copy-snapshot (Copiar snapshot).

    Tools for Windows PowerShell
    Para copiar um instantâneo usando as Ferramentas para Windows PowerShell

    Use o Copy-EC2Snapshotcomando.
    Para verificar se há falhas

    Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, a operação falhará silenciosamente. O estado de erro não é exibido no console até você atualizar a página. Também é possível verificar o estado do snapshot a partir da linha de comando, conforme o exemplo a seguir.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Se a cópia falhar devido a permissões de chave insuficientes, você verá a seguinte mensagem: "StateMessage“: “A ID da chave fornecida não está acessível”.

    Ao copiar um instantâneo criptografado, você deve ter DescribeKey permissões no padrãoCMK. Negar explicitamente essas permissões resulta em falha da cópia. Para obter informações sobre o gerenciamento de CMK chaves, consulte Autenticação e controle de acesso para AWS KMS.