Compartilhe um EBS snapshot da Amazon - Amazon EBS
Antes de compartilhar um snapshotCompartilhar um snapshotCompartilhe uma KMS chaveExibir snapshots que são compartilhados com vocêUsar snapshots que são compartilhados com vocêDeterminar o uso de snapshots compartilhados por você

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhe um EBS snapshot da Amazon

É possível modificar as permissões de um snapshot se você quiser compartilhá-lo com outras contas da AWS . Você pode compartilhar instantâneos publicamente com todas as outras AWS contas ou compartilhá-los de forma privada com AWS contas individuais que você especificar. Os usuários que você autorizou podem usar os snapshots que você compartilha para criar seus próprios EBS volumes, enquanto o snapshot original permanece inalterado.

Importante

Ao compartilhar um snapshot, você está oferecendo a outras pessoas o acesso a todos os dados no snapshot. Compartilhe snapshots somente com as pessoas de sua confiança com todos os dados do snapshot.

Para evitar o compartilhamento público de instantâneos, você pode ativarBloquear o acesso público aos snapshots.

Antes de compartilhar um snapshot

As seguintes considerações se aplicam ao compartilhamento de snapshots:

  • Se o bloqueio do acesso público aos snapshots estiver habilitado para a região, tentativas de compartilhar publicamente os snapshots serão bloqueadas. Os snapshots ainda podem ser compartilhados de modo privado.

  • Os snapshots são restritos à região na qual foram criados. Para compartilhar um snapshot com outra região, copie o snapshot nessa região e, em seguida, compartilhe a cópia. Para obter mais informações, consulte Copiar um EBS snapshot da Amazon.

  • Não é possível compartilhar snapshots criptografados com a Chave gerenciada pela AWS padrão. Você só pode compartilhar snapshots criptografados com uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criação de chaves no Guia do desenvolvedor AWS Key Management Service .

  • É possível compartilhar apenas snapshots não criptografados publicamente.

  • Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. Para obter mais informações, consulte Compartilhe uma KMS chave.

Compartilhar um snapshot

É possível compartilhar um snapshot usando um dos métodos descritos na seção.

Console
Para compartilhar um snapshot

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Snapshots.

  3. Selecione o snapshot a ser compartilhado e escolha Actions (Ações), Modify Permissions (Modificar permissões).

  4. Especifique as permissões do snapshot. A Current setting (Configuração atual) indica as permissões atuais de compartilhamento do snapshot.

    • Para compartilhar o instantâneo publicamente com todas as AWS contas, escolha Público.

    • Para compartilhar o instantâneo de forma privada com AWS contas específicas, escolha Privado. Na seção Sharing accounts (Contas de compartilhamento), selecione Add account (Adicionar conta) e insira o ID de 12 dígitos (sem hifens) da conta com a qual compartilhar.

  5. Escolha Salvar alterações.

AWS CLI

As permissões de um snapshot são especificadas usando o atributo createVolumePermission do snapshot. Para tornar um snapshot público, defina o grupo como all. Para compartilhar um instantâneo com uma AWS conta específica, defina o usuário como o ID da AWS conta.

Para compartilhar um snapshot publicamente

Use o modify-snapshot-attributecomando.

Para --attribute, especifique createVolumePermission. Para --operation-type, especifique add. Para --group-names, especifique all.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --group-names all
Para compartilhar um snapshot de forma privada

Use o modify-snapshot-attributecomando.

Para --attribute, especifique createVolumePermission. Para --operation-type, especifique add. Para--user-ids, especifique os 12 dígitos IDs das AWS contas com as quais compartilhar os instantâneos.

$  aws ec2 modify-snapshot-attribute --snapshot-id 1234567890abcdef0 --attribute createVolumePermission --operation-type add --user-ids 123456789012
Tools for Windows PowerShell

As permissões de um snapshot são especificadas usando o atributo createVolumePermission do snapshot. Para tornar um snapshot público, defina o grupo como all. Para compartilhar um instantâneo com uma AWS conta específica, defina o usuário como o ID da AWS conta.

Para compartilhar um snapshot publicamente

Use o Edit-EC2SnapshotAttributecomando.

Para -Attribute, especifique CreateVolumePermission. Para -OperationType, especifique Add. Para -GroupName, especifique all.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -GroupName all
Para compartilhar um snapshot de forma privada

Use o Edit-EC2SnapshotAttributecomando.

Para -Attribute, especifique CreateVolumePermission. Para -OperationType, especifique Add. ParaUserId, especifique os 12 dígitos IDs das AWS contas com as quais compartilhar os instantâneos.

PS C:\>  Edit-EC2SnapshotAttribute -SnapshotId 1234567890abcdef0 -Attribute CreateVolumePermission -OperationType Add -UserId 123456789012

Compartilhe uma KMS chave

Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. É possível aplicar permissões entre contas a uma chave gerenciada pelo cliente quando ela é criada ou posteriormente.

Os usuários da sua chave gerenciada pelo cliente compartilhada que estão acessando snapshots criptografados devem receber permissões para executar as seguintes ações na chave:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

dica

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de kms:GrantIsForAWSResource condição para permitir que o usuário crie concessões na KMS chave somente quando a concessão for criada em nome do usuário por um AWS serviço.

Para obter mais informações sobre como controlar o acesso a uma chave gerenciada pelo cliente, consulte Usar políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

Para compartilhar a chave gerenciada pelo cliente usando o AWS KMS console

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Na coluna Alias, escolha o alias (link de texto) da chave gerenciada pelo cliente usada para criptografar o snapshot. Os principais detalhes são abertos em uma nova página.

  5. Na seção Key policy (Política de chaves), você verá a exibição de política ou a exibição padrão. A exibição de política exibe o documento de política de chaves. A visualização padrão exibe seções para Administradores de chaveExclusão de chaveUso de chave e Outras contas da  AWS . A exibição padrão é exibida se você criou a política no console e não a personalizou. Se a exibição padrão não estiver disponível, será necessário editar manualmente a política na exibição de política. Para obter mais informações, consulte Exibição de uma política de chaves (console) no Guia do desenvolvedor do AWS Key Management Service .

    Use a visualização da política ou a visualização padrão, dependendo da visualização que você pode acessar, para adicionar uma ou mais AWS contas IDs à política, da seguinte forma:

    • (Exibição de política) Escolha Edit (Editar). Adicione uma ou mais AWS contas IDs às seguintes declarações: "Allow use of the key" "Allow attachment of persistent resources" e. Escolha Salvar alterações. No exemplo a seguir, o ID da AWS conta 444455556666 é adicionado à política.

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (Visualização padrão) Role para baixo até Outras AWS contas. Escolha Adicionar outras AWS contas e insira o ID da AWS conta conforme solicitado. Para adicionar outra conta, escolha Adicionar outra AWS conta e insira o ID da AWS conta. Depois de adicionar todas as contas da AWS , escolha Save changes (Salvar alterações).

Exibir snapshots que são compartilhados com você

Use um dos métodos a seguir para visualizar snapshots compartilhados com você.

Console
Para visualizar snapshots compartilhados usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Snapshots.

  3. Filtre os instantâneos listados. No canto superior esquerdo da tela, escolha uma das seguintes opções:

    • Snapshots privados: para visualizar somente snapshots compartilhados com você de forma privada.

    • Snapshots públicos: para visualizar somente snapshots compartilhados com você publicamente.

AWS CLI
Para visualizar permissões de snapshots usando a linha de comando

Use o describe-snapshot-attributecomando.

Tools for Windows PowerShell
Para visualizar permissões de snapshots usando a linha de comando

Use o Get-EC2SnapshotAttributecomando.

Usar snapshots que são compartilhados com você

Para usar um snapshot compartilhado não criptografado

Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. É possível usar esse instantâneo como faria com qualquer outro snapshot que você tenha na sua conta. Por exemplo, é possível criar um volume do snapshot ou copiá-lo para outra região.

Para usar um snapshot criptografado compartilhado

Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. Crie uma cópia do snapshot compartilhado em sua conta e criptografe a cópia com uma KMS chave de sua propriedade. Em seguida, é possível usar a cópia para criar volumes ou copiá-la para regiões diferentes.

Determinar o uso de snapshots compartilhados por você

Você pode usar AWS CloudTrail para monitorar se um instantâneo que você compartilhou com outras pessoas foi copiado ou usado para criar um volume. Os seguintes eventos estão registrados: CloudTrail

  • SharedSnapshotCopyInitiated— Um instantâneo compartilhado está sendo copiado.

  • SharedSnapshotVolumeCreated— Um instantâneo compartilhado está sendo usado para criar um volume.

Para obter mais informações sobre o uso CloudTrail, consulte Registrar EBS API chamadas da Amazon EC2 e da Amazon com AWS CloudTrail.