As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compartilhe um EBS snapshot da Amazon
É possível modificar as permissões de um snapshot se você quiser compartilhá-lo com outras contas da AWS . Você pode compartilhar instantâneos publicamente com todas as outras AWS contas ou compartilhá-los de forma privada com AWS contas individuais que você especificar. Os usuários que você autorizou podem usar os snapshots que você compartilha para criar seus próprios EBS volumes, enquanto o snapshot original permanece inalterado.
Importante
Ao compartilhar um snapshot, você está oferecendo a outras pessoas o acesso a todos os dados no snapshot. Compartilhe snapshots somente com as pessoas de sua confiança com todos os dados do snapshot.
Para evitar o compartilhamento público de instantâneos, você pode ativarBloquear o acesso público aos snapshots.
Tópicos
Antes de compartilhar um snapshot
As seguintes considerações se aplicam ao compartilhamento de snapshots:
-
Se o bloqueio do acesso público aos snapshots estiver habilitado para a região, tentativas de compartilhar publicamente os snapshots serão bloqueadas. Os snapshots ainda podem ser compartilhados de modo privado.
-
Os snapshots são restritos à região na qual foram criados. Para compartilhar um snapshot com outra região, copie o snapshot nessa região e, em seguida, compartilhe a cópia. Para obter mais informações, consulte Copiar um EBS snapshot da Amazon.
-
Não é possível compartilhar snapshots criptografados com a Chave gerenciada pela AWS padrão. Você só pode compartilhar snapshots criptografados com uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criação de chaves no Guia do desenvolvedor AWS Key Management Service .
-
É possível compartilhar apenas snapshots não criptografados publicamente.
-
Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. Para obter mais informações, consulte Compartilhe uma KMS chave.
Compartilhar um snapshot
É possível compartilhar um snapshot usando um dos métodos descritos na seção.
Compartilhe uma KMS chave
Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. É possível aplicar permissões entre contas a uma chave gerenciada pelo cliente quando ela é criada ou posteriormente.
Os usuários da sua chave gerenciada pelo cliente compartilhada que estão acessando snapshots criptografados devem receber permissões para executar as seguintes ações na chave:
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
dica
Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant
. Em vez disso, use a chave de kms:GrantIsForAWSResource
condição para permitir que o usuário crie concessões na KMS chave somente quando a concessão for criada em nome do usuário por um AWS serviço.
Para obter mais informações sobre como controlar o acesso a uma chave gerenciada pelo cliente, consulte Usar políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
Para compartilhar a chave gerenciada pelo cliente usando o AWS KMS console
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Na coluna Alias, escolha o alias (link de texto) da chave gerenciada pelo cliente usada para criptografar o snapshot. Os principais detalhes são abertos em uma nova página.
-
Na seção Key policy (Política de chaves), você verá a exibição de política ou a exibição padrão. A exibição de política exibe o documento de política de chaves. A visualização padrão exibe seções para Administradores de chave, Exclusão de chave, Uso de chave e Outras contas da AWS . A exibição padrão é exibida se você criou a política no console e não a personalizou. Se a exibição padrão não estiver disponível, será necessário editar manualmente a política na exibição de política. Para obter mais informações, consulte Exibição de uma política de chaves (console) no Guia do desenvolvedor do AWS Key Management Service .
Use a visualização da política ou a visualização padrão, dependendo da visualização que você pode acessar, para adicionar uma ou mais AWS contas IDs à política, da seguinte forma:
(Exibição de política) Escolha Edit (Editar). Adicione uma ou mais AWS contas IDs às seguintes declarações:
"Allow use of the key"
"Allow attachment of persistent resources"
e. Escolha Salvar alterações. No exemplo a seguir, o ID da AWS conta444455556666
é adicionado à política.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Visualização padrão) Role para baixo até Outras AWS contas. Escolha Adicionar outras AWS contas e insira o ID da AWS conta conforme solicitado. Para adicionar outra conta, escolha Adicionar outra AWS conta e insira o ID da AWS conta. Depois de adicionar todas as contas da AWS , escolha Save changes (Salvar alterações).
Exibir snapshots que são compartilhados com você
Use um dos métodos a seguir para visualizar snapshots compartilhados com você.
Usar snapshots que são compartilhados com você
Para usar um snapshot compartilhado não criptografado
Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. É possível usar esse instantâneo como faria com qualquer outro snapshot que você tenha na sua conta. Por exemplo, é possível criar um volume do snapshot ou copiá-lo para outra região.
Para usar um snapshot criptografado compartilhado
Localize o snapshot compartilhado pelo ID ou pela descrição. Para obter mais informações, consulte Exibir snapshots que são compartilhados com você. Crie uma cópia do snapshot compartilhado em sua conta e criptografe a cópia com uma KMS chave de sua propriedade. Em seguida, é possível usar a cópia para criar volumes ou copiá-la para regiões diferentes.
Determinar o uso de snapshots compartilhados por você
Você pode usar AWS CloudTrail para monitorar se um instantâneo que você compartilhou com outras pessoas foi copiado ou usado para criar um volume. Os seguintes eventos estão registrados: CloudTrail
-
SharedSnapshotCopyInitiated— Um instantâneo compartilhado está sendo copiado.
-
SharedSnapshotVolumeCreated— Um instantâneo compartilhado está sendo usado para criar um volume.
Para obter mais informações sobre o uso CloudTrail, consulte Registrar EBS API chamadas da Amazon EC2 e da Amazon com AWS CloudTrail.