Copiar um snapshot do Amazon EBS. - Amazon EBS
Pré-requisitosConsideraçõesDefinição de preçoCópias incrementais de snapshotsCópia de snapshot e criptografiaCopiar um snapshot

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Copiar um snapshot do Amazon EBS.

Com o Amazon EBS, você pode criar point-in-time snapshots de volumes, que armazenamos para você no Amazon S3. Depois de criar um snapshot e terminar de ser copiado para o Amazon S3 (quando o status do snapshot completed for), você poderá copiá-lo de AWS uma região para outra ou dentro da mesma região. A criptografia do lado do servidor do Amazon S3 (AES de 256 bits) protege os dados de um snapshot em trânsito durante uma operação de cópia. A cópia do snapshot recebe um ID diferente do ID do snapshot original.

Para copiar instantâneos de vários volumes para outra AWS região, recupere os instantâneos usando a tag que você aplicou ao conjunto de instantâneos de vários volumes ao criá-lo. Depois, copie cada snapshot para outra região.

Se você quiser que outra conta possa copiar seu instantâneo, você deve modificar as permissões do instantâneo para permitir o acesso a essa conta ou tornar o instantâneo público para que todas as AWS contas possam copiá-lo. Para ter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Para obter informações sobre como copiar um snapshot do Amazon RDS, consulte Cópia de um DB Snapshot no Guia do usuário da Amazon RDS.

Casos de uso

  • Expansão geográfica: inicie seus aplicativos em uma nova AWS região.

  • Migração: mova uma aplicação para uma nova região, de forma a permitir melhor disponibilidade e minimizar os custos.

  • Recuperação de desastres: faça backup dos seus dados e logs em locais geográficos diferentes e intervalos regulares. Em caso de desastre, você pode restaurar seus aplicativos usando point-in-time backups armazenados na região secundária. Isso minimiza a perda de dados e o tempo de recuperação.

  • Criptografia: criptografe um snapshot não criptografado previamente, altere a chave com a qual o snapshot foi criptografado ou crie uma cópia de sua propriedade para criar um volume a partir dela (para snapshots criptografados que foram compartilhados com você).

  • Retenção de dados e requisitos de auditoria: copie seus snapshots do EBS criptografados de uma conta da AWS para outra para preservar os logs de dados ou outros arquivos para auditoria ou retenção de dados. Usar uma conta diferente ajuda a evitar exclusões acidentais de instantâneos e protege você se sua AWS conta principal for comprometida.

Pré-requisitos

  • É possível copiar todos os snapshots acessíveis que tenham o status completed, incluindo snapshots compartilhados e snapshots que você criou.

  • Você pode copiar instantâneos AWS Marketplace, VM Import/Export e Storage Gateway, mas deve verificar se o instantâneo é suportado na região de destino.

  • Para copiar um snapshot criptografado, o usuário deve ter as permissões para usar a criptografia do Amazon EBS a seguir.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Para copiar um instantâneo criptografado compartilhado de outra AWS conta, você deve ter permissões para usar a chave gerenciada pelo cliente que foi usada para criptografar o instantâneo. Para ter mais informações, consulte Compartilhar uma chave do KMS.

Considerações

  • Existe um limite de solicitações de cópia de 20 snapshots simultâneos por região de destino. Se você exceder essa cota, você receberá um erro ResourceLimitExceeded. Se você receber esse erro, aguarde até que uma ou mais solicitações de cópia sejam concluídas antes de fazer uma nova solicitação de cópia do snapshot.

  • Tags definidas pelo usuário não são copiadas do snapshot de origem para o novo snapshot. É possível adicionar tags definidas pelo usuário durante ou depois da operação de cópia.

  • Os snapshots criados por uma operação de cópia de snapshots têm um ID arbitrário de volume, como vol-ffff ou vol-ffffffff. Esses IDs arbitrários de volume não devem ser usados para qualquer outra finalidade.

  • As permissões de nível de recurso especificadas para a operação de cópia de snapshot se aplicam somente ao novo snapshot. Você não pode especificar permissões no nível do recurso para o snapshot de origem. Para ver um exemplo, consulte Exemplo: copiar snapshots.

Definição de preço

  • Para obter informações sobre preços sobre a cópia de snapshots entre AWS regiões e contas, consulte os preços do Amazon EBS.

  • Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.

  • Se você copiar um snapshot para uma nova região, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

  • A primeira cópia instantânea de um instantâneo na mesma conta e na mesma região usando a mesma chave gerenciada pelo cliente será uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

  • Se você usar transferências de dados externas ou entre regiões, cobranças adicionais de transferência de dados do EC2 serão aplicadas. Além disso, se você excluir algum snapshot após a inicialização, ainda receberá cobrança pelos dados que já foram transferidos.

Cópias incrementais de snapshots

A determinação de se uma cópia do snapshot deve ser incremental é feita pela cópia do snapshot concluída mais recentemente. Ao copiar um snapshot entre regiões ou contas, a cópia será uma cópia incremental se as seguintes condições forem atendidas:

  • O snapshot foi copiado anteriormente na conta ou região de destino.

  • A cópia mais recente do snapshot ainda existe na conta ou região de destino.

  • A cópia instantânea mais recente não foi arquivada.

  • Todas as cópias do snapshot na conta ou região de destino foram feitas sem criptografia ou foram criptografadas usando a mesma chave do KMS.

Se a cópia mais recente do snapshot tiver sido excluída, a próxima cópia será um cópia completa, não uma cópia incremental. Se uma cópia ainda estiver pendente quando outra cópia for iniciada, esta será iniciada somente após a primeira cópia ser concluída.

As operações de cópia instantânea em uma única conta e na mesma região usando uma chave gerenciada pelo cliente gerarão uma cópia completa (não incremental). Cópias subsequentes do mesmo snapshot são incrementais.

A cópia de snapshots incrementais reduz o tempo necessário para copiar snapshots e economiza em custos de transferência de dados e armazenamento por não duplicar os dados.

Recomendamos marcar seus snapshots com o ID do volume e a hora da criação para que você possa manter o controle da cópia do snapshot mais recente de um volume na conta ou região de destino.

Para ver se suas cópias de snapshot são incrementais, verifique o evento CopySnapshot. CloudWatch

Cópia de snapshot e criptografia

Quando você copiar um snapshot, poderá criptografar a cópia ou especificar uma chave do KMS diferente da original, e o snapshot copiado resultante usará a nova chave do KMS. Contudo, a alteração do status de criptografia de um snapshot durante uma operação de cópia pode resultar em uma cópia completa (não incremental), o que pode aumentar os custos de transferência e armazenamento de dados. Para ter mais informações, consulte Cópias incrementais de snapshots.

Para copiar um instantâneo criptografado compartilhado de outra AWS conta, você deve ter permissões para usar o instantâneo e a chave gerenciada pelo cliente (CMK) que foi usada para criptografar o instantâneo. Ao usar um snapshot criptografado que foi compartilhado com você, recomendamos que você refaça a criptografia do snapshot copiando-o por meio de uma chave do KMS própria. Isso protegerá você se a chave do KMS original estiver comprometida ou se o proprietário revogá-la, o que poderá fazer com que você perca o acesso aos volumes criptografados criados usando o snapshot. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Você aplica a criptografia a cópias de snapshots do EBS definindo o parâmetro Encrypted como true. (O parâmetro Encrypted é opcional se a opção encryption by default (criptografia por padrão) estiver ativada).

Opcionalmente, é possível usar KmsKeyId para especificar uma chave personalizada para criptografar a cópia do snapshot. (O parâmetro Encrypted também deve ser definido como true, mesmo que a criptografia por padrão esteja ativada.) Se o parâmetro KmsKeyId não for especificado, a chave usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade.

A tabela a seguir descreve os resultados da criptografia para cada combinação possível de configurações ao copiar snapshots que você possui e aos snapshots compartilhados com você.

Tópicos
    Criptografia por padrão O parâmetro Encrypted está definido? Status de criptografia do snapshot de origem Padrão (nenhuma chave do KMS especificada) Personalizado (chave do KMS especificada)
    Desabilitado Não Não criptografado Não criptografado N/D
    Criptografado Criptografado por Chave gerenciada pela AWS
    Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**
    Criptografado Criptografado pela chave do KMS padrão
    Enabled Não Não criptografado Criptografado pela chave do KMS padrão N/D
    Criptografado Criptografado pela chave do KMS padrão
    Sim Não criptografado Criptografado pela chave do KMS padrão Criptografado pela chave do KMS especificada**
    Criptografado Criptografado pela chave do KMS padrão

    ** Essa é a chave do KMS especificada na ação de cópia do instantâneo. Essa chave do KMS é usada em vez da chave gerenciada pelo cliente padrão para a conta e a região.

    Copiar um snapshot

    Para copiar um snapshot, use um dos métodos a seguir.

    Console
    Para copiar um snapshot usando o console

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, selecione Snapshots.

    3. Selecione o snapshot a ser copiado e escolha Actions (Ações), Copy snapshot (Copiar snapshot).

    4. Em Description (Descrição), insira uma breve descrição do snapshot.

      Por padrão, a descrição inclui informações sobre o snapshot de origem, de forma que você possa diferenciar uma cópia do original. É possível alterar essa descrição conforme necessário.

    5. Em Destination Region (Região de destino), selecione a região na qual criar a cópia do snapshot.

    6. Especifique o status de criptografia da cópia do snapshot.

      Se o snapshot de origem for criptografado ou se sua conta for habilitada para criptografia por padrão, a criptografia será habilitada automaticamente e você não poderá desabilitá-la.

      Se o snapshot de origem não for criptografado e se sua conta não for habilitada para criptografia por padrão, a criptografia será opcional. Para criptografar a cópia do snapshot, em Encryption (Criptografia), selecione Encrypt this snapshot (Criptografar este snapshot). Depois, para KMS key (Chave do KMS), selecione a chave do KMS a ser usada para criptografar o snapshot na região de destino.

    7. Escolha Copy snapshot (Copiar snapshot).

    AWS CLI
    Para copiar um instantâneo usando o AWS CLI

    Use o comando copy-snapshot (Copiar snapshot).

    Tools for Windows PowerShell
    Para copiar um instantâneo usando as Ferramentas para Windows PowerShell

    Use o comando Copy-EC2Snapshot.
    Para verificar se há falhas

    Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, a operação falhará silenciosamente. O estado de erro não é exibido no console até você atualizar a página. Também é possível verificar o estado do snapshot a partir da linha de comando, conforme o exemplo a seguir.

    aws ec2 describe-snapshots --snapshot-id snap-0123abcd

    Se a cópia falhar devido a permissões de chave insuficientes, você verá a seguinte mensagem: "StateMessage“: “A ID da chave fornecida não está acessível”.

    Para copiar um snapshot criptografado, é necessário ter as permissões DescribeKey no CMK padrão. Negar explicitamente essas permissões resulta em falha da cópia. Para obter mais informações sobre gerenciamento de chaves do CMK, consulte Autenticação e controle de acesso para o AWS KMS.