Copiar um snapshot do Amazon EBS.

Com o Amazon EBS, é possível criar snapshots de pontos no tempo dos volumes, que nós armazenamos para você em Amazon S3. Depois que um snapshot é criado e copiado para o Amazon S3 (quando o status do snapshot é completed), é possível copiá-lo de uma região da AWS para outra ou dentro da mesma região. A criptografia do lado do servidor do Amazon S3 (AES de 256 bits) protege os dados de um snapshot em trânsito durante uma operação de cópia. A cópia do snapshot recebe um ID diferente do ID do snapshot original.

Para copiar snapshots de vários volumes para outra região da AWS, recupere os snapshots usando a etiqueta aplicada ao conjunto de snapshots de vários volumes quando você o criou. Depois, copie cada snapshot para outra região.

Caso queira que outra conta consiga copiar seu snapshot, modifique as permissões do snapshot para permitir acesso a essa conta ou tornar o snapshot público para que todas as contas da AWS possam copiá-lo. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Para obter informações sobre como copiar um snapshot do Amazon RDS, consulte Cópia de um DB Snapshot no Guia do usuário da Amazon RDS.

Casos de uso

• Expansão geográfica: execute suas aplicações em uma nova região da AWS.

• Migração: mova uma aplicação para uma nova região, de forma a permitir melhor disponibilidade e minimizar os custos.

• Recuperação de desastres: faça backup dos seus dados e logs em locais geográficos diferentes e intervalos regulares. Em caso de desastre, é possível restaurar suas aplicações usando backups de ponto no tempo armazenados na região secundária. Isso minimiza a perda de dados e o tempo de recuperação.

• Criptografia: criptografe um snapshot não criptografado previamente, altere a chave com a qual o snapshot foi criptografado ou crie uma cópia de sua propriedade para criar um volume a partir dela (para snapshots criptografados que foram compartilhados com você).

• Retenção de dados e requisitos de auditoria: copie seus snapshots do EBS criptografados de uma conta da AWS para outra para preservar os logs de dados ou outros arquivos para auditoria ou retenção de dados. Usar uma conta diferente ajuda a evitar exclusões acidentais de snapshots e protege você se sua conta principal da AWS estiver comprometida.

Pré-requisitos

• É possível copiar todos os snapshots acessíveis que tenham o status completed, incluindo snapshots compartilhados e snapshots que você criou.

• Você pode copiar snapshots do AWS Marketplace, do VM Import/Export e do Storage Gateway, mas deve verificar se o snapshot é compatível com a região de destino.

• Para copiar um snapshot criptografado, o usuário deve ter as permissões para usar a criptografia do Amazon EBS a seguir.

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:ReEncrypt

  • kms:Decrypt

• Para copiar um snapshot criptografado que foi compartilhado de outra conta da AWS, você deve ter permissões para a chave gerenciada pelo cliente usada para criptografar o snapshot. Para obter mais informações, consulte Compartilhar uma chave do KMS.

Considerações

• Existe um limite de solicitações de cópia de 20 snapshots simultâneos por região de destino. Se você exceder essa cota, você receberá um erro ResourceLimitExceeded. Se você receber esse erro, aguarde até que uma ou mais solicitações de cópia sejam concluídas antes de fazer uma nova solicitação de cópia do snapshot.

• Tags definidas pelo usuário não são copiadas do snapshot de origem para o novo snapshot. É possível adicionar tags definidas pelo usuário durante ou depois da operação de cópia. Para obter mais informações, consulte Marcar com tag os recursos do Amazon EC2.

• Os snapshots criados por uma operação de cópia de snapshots têm um ID arbitrário de volume, como vol-ffff ou vol-ffffffff. Esses IDs arbitrários de volume não devem ser usados para qualquer outra finalidade.

• As permissões de nível de recurso especificadas para a operação de cópia de snapshot se aplicam somente ao novo snapshot. Você não pode especificar permissões no nível do recurso para o snapshot de origem. Para ver um exemplo, consulte Exemplo: Copiar snapshots.

Preços

• Para obter informações sobre definição de preços para cópias de snapshots entre regiões e contas da AWS, consulte Definição de preço do Amazon EBS.

• Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.

• Se você copiar um snapshot para uma nova região, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

• A primeira cópia instantânea de um instantâneo na mesma conta e na mesma região usando a mesma chave gerenciada pelo cliente será uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

Cópias incrementais de snapshot

A determinação de se uma cópia do snapshot deve ser incremental é feita pela cópia do snapshot concluída mais recentemente. Ao copiar um snapshot entre regiões ou contas, a cópia será uma cópia incremental se as seguintes condições forem atendidas:

• O snapshot foi copiado anteriormente na conta ou região de destino.

• A cópia mais recente do snapshot ainda existe na conta ou região de destino.

• Todas as cópias do snapshot na conta ou região de destino foram feitas sem criptografia ou foram criptografadas usando a mesma chave do KMS.

Se a cópia mais recente do snapshot tiver sido excluída, a próxima cópia será um cópia completa, não uma cópia incremental. Se uma cópia ainda estiver pendente quando outra cópia for iniciada, esta será iniciada somente após a primeira cópia ser concluída.

As operações de cópia instantânea em uma única conta e na mesma região usando uma chave gerenciada pelo cliente gerarão uma cópia completa (não incremental). Cópias subsequentes do mesmo snapshot são incrementais.

A cópia de snapshots incrementais reduz o tempo necessário para copiar snapshots e economiza em custos de transferência de dados e armazenamento por não duplicar os dados.

Recomendamos marcar seus snapshots com o ID do volume e a hora da criação para que você possa manter o controle da cópia do snapshot mais recente de um volume na conta ou região de destino.

Para ver se as cópias dos snapshots são incrementais, verifique o evento copySnapshot do CloudWatch

Cópia de snapshot e criptografia

Quando você copiar um snapshot, poderá criptografar a cópia ou especificar uma chave do KMS diferente da original, e o snapshot copiado resultante usará a nova chave do KMS. Contudo, a alteração do status de criptografia de um snapshot durante uma operação de cópia pode resultar em uma cópia completa (não incremental), o que pode aumentar os custos de transferência e armazenamento de dados. Para obter mais informações, consulte Cópias incrementais de snapshot.

Para copiar um snapshot criptografado compartilhado de outra conta da AWS, é necessário ter permissões para usar o snapshot e a chave gerenciada pelo cliente (CMK) que foi usada para criptografar o snapshot. Ao usar um snapshot criptografado que foi compartilhado com você, recomendamos que você refaça a criptografia do snapshot copiando-o por meio de uma chave do KMS própria. Isso protegerá você se a chave do KMS original estiver comprometida ou se o proprietário revogá-la, o que poderá fazer com que você perca o acesso aos volumes criptografados criados usando o snapshot. Para obter mais informações, consulte Compartilhar um snapshot do Amazon EBS.

Você aplica a criptografia a cópias de snapshots do EBS definindo o parâmetro Encrypted como true. (O parâmetro Encrypted é opcional se a opção encryption by default (criptografia por padrão) estiver ativada).

Opcionalmente, é possível usar KmsKeyId para especificar uma chave personalizada para criptografar a cópia do snapshot. (O parâmetro Encrypted também deve ser definido como true, mesmo que a criptografia por padrão esteja ativada.) Se o parâmetro KmsKeyId não for especificado, a chave usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade.

A tabela a seguir descreve os resultados da criptografia para cada combinação possível de configurações ao copiar snapshots que você possui e aos snapshots compartilhados com você.

Tópicos

Criptografia por padrão	O parâmetro Encrypted está definido?	Status de criptografia do snapshot de origem	Padrão (nenhuma chave do KMS especificada)	Personalizado (chave do KMS especificada)
Desabilitado	Não	Não criptografado	Não criptografado	N/D
		Criptografado	Criptografado por Chave gerenciada pela AWS
	Sim	Não criptografado	Criptografado pela chave do KMS padrão	Criptografado pela chave do KMS especificada**
		Criptografado	Criptografado pela chave do KMS padrão
Enabled	Não	Não criptografado	Criptografado pela chave do KMS padrão	N/D
		Criptografado	Criptografado pela chave do KMS padrão
	Sim	Não criptografado	Criptografado pela chave do KMS padrão	Criptografado pela chave do KMS especificada**
		Criptografado	Criptografado pela chave do KMS padrão

** Essa é a chave do KMS especificada na ação de cópia do instantâneo. Essa chave do KMS é usada em vez da chave gerenciada pelo cliente padrão para a conta e a região.

Copiar um snapshot

Para copiar um snapshot, use um dos métodos a seguir.

Console

Para copiar um snapshot usando o console

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

2. No painel de navegação, selecione Snapshots.

3. Selecione o snapshot a ser copiado e escolha Actions (Ações), Copy snapshot (Copiar snapshot).

4. Em Description (Descrição), insira uma breve descrição do snapshot.

   Por padrão, a descrição inclui informações sobre o snapshot de origem, de forma que você possa diferenciar uma cópia do original. É possível alterar essa descrição conforme necessário.

5. Em Destination Region (Região de destino), selecione a região na qual criar a cópia do snapshot.

6. Especifique o status de criptografia da cópia do snapshot.

   Se o snapshot de origem for criptografado ou se sua conta for habilitada para criptografia por padrão, a criptografia será habilitada automaticamente e você não poderá desabilitá-la.

   Se o snapshot de origem não for criptografado e se sua conta não for habilitada para criptografia por padrão, a criptografia será opcional. Para criptografar a cópia do snapshot, em Encryption (Criptografia), selecione Encrypt this snapshot (Criptografar este snapshot). Depois, para KMS key (Chave do KMS), selecione a chave do KMS a ser usada para criptografar o snapshot na região de destino.

7. Escolha Copy snapshot (Copiar snapshot).

AWS CLI

Para copiar um snapshot usando a linha de comando

É possível usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Acessar o Amazon EC2.

• copy-snapshot (AWS CLI)

• Copy-EC2Snapshot (AWS Tools for Windows PowerShell)

Para verificar se há falhas

Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, a operação falhará silenciosamente. O estado de erro não é exibido no console até você atualizar a página. Também é possível verificar o estado do snapshot a partir da linha de comando, conforme o exemplo a seguir.

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

Se uma cópia falhar por conta de permissões de chaves insuficientes, você verá a seguinte mensagem: "StateMessage": "O ID da chave apresentado não pode ser acessado".

Para copiar um snapshot criptografado, é necessário ter as permissões DescribeKey no CMK padrão. Negar explicitamente essas permissões resulta em falha da cópia. Para obter mais informações sobre gerenciamento de chaves do CMK, consulte Autenticação e controle de acesso para o AWS KMS.