Copiar um EBS snapshot da Amazon - Amazon EBS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Copiar um EBS snapshot da Amazon

Depois de criar um snapshot e ele atingir o completed estado, você pode copiá-lo de uma AWS região para outra ou dentro da mesma região. A cópia instantânea é uma cópia exata do original, mas tem um ID de recurso exclusivo. Você pode copiar os snapshots que possui e os snapshots que foram compartilhados com você privada ou publicamente. Pode ser necessário copiar um snapshot para os seguintes casos de uso:

  • Expansão geográfica: você precisa iniciar suas aplicações em uma nova região.

  • Migração: você precisa mover uma aplicação para uma nova região, para aumentar a disponibilidade e minimizar os custos.

  • Recuperação de desastres: você precisa fazer backup de dados e logs em regiões secundárias para fins de redundância de dados.

  • Criptografia — Você precisa criptografar um instantâneo não criptografado anteriormente ou recriptografar um instantâneo criptografado usando uma chave diferente. KMS

  • Copiar um snapshot compartilhado: é necessário copiar um snapshot compartilhado com você.

  • Requisitos de retenção e auditoria de dados — você precisa copiar instantâneos criptografados de uma AWS conta para outra para preservar os dados para auditoria ou retenção de dados. Usar uma conta diferente protege você se sua AWS conta principal for comprometida.

Para copiar instantâneos de vários volumes para outra AWS região, identifique todos os instantâneos que fazem parte desse conjunto usando as tags que você atribuiu durante a criação e, em seguida, copie individualmente os instantâneos para a região necessária.

Para obter informações sobre como copiar um RDS snapshot da Amazon, consulte Cópia de um DB snapshot no Guia RDS do usuário da Amazon.

Preços

Para obter informações sobre preços sobre a cópia de snapshots entre AWS regiões e contas, consulte Amazon EBS Pricing.

Considerações sobre a cópia de snapshots

  • Você pode copiar AWS Marketplace instantâneos do VM Import/Export e do Storage Gateway, mas deve verificar se o instantâneo é suportado na região de destino.

  • Existe um limite de solicitações de cópia de 20 snapshots simultâneos por região de destino. Se você exceder essa cota, você receberá um erro ResourceLimitExceeded. Se você receber esse erro, aguarde até que uma ou mais solicitações de cópia sejam concluídas antes de fazer uma nova solicitação de cópia do snapshot.

  • Tags definidas pelo usuário não são copiadas do snapshot de origem para a cópia do snapshot. É possível adicionar tags definidas pelo usuário durante ou depois da operação de cópia.

  • Os snapshots criados por uma operação de cópia de snapshots têm um ID arbitrário de volume, como vol-ffff ou vol-ffffffff. Esses volumes arbitrários não IDs devem ser usados para nenhuma finalidade.

  • As permissões ao nível do recurso especificadas para a operação de cópia do snapshot só se aplicam à cópia do snapshot. Você não pode especificar permissões ao nível do recurso para o snapshot de origem. Para ver um exemplo, consulte Exemplo: copiar snapshots.

  • Se você copiar um snapshot habilitado para restauração rápida de snapshots, a cópia do snapshot não será habilitada automaticamente para restauração rápida de snapshots. Você deve habilitar explicitamente a restauração rápida de snapshots para a cópia do snapshot.

  • Se você copiar um snapshot e criptografá-lo em uma nova KMS chave, uma cópia completa (não incremental) será criada. Isso resulta em custos adicionais de armazenamento.

  • Se você copiar um snapshot para uma outra região, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. Cópias subsequentes do mesmo snapshot são incrementais.

  • Se você usar transferências de dados externas ou entre regiões, cobranças adicionais EC2de transferência de dados serão aplicadas. Se você excluir algum snapshot após a inicialização, os dados que já foram transferidos ainda serão cobrados.

Destinos para cópias de snapshots

Você pode copiar instantâneos para AWS regiões e AWS postos avançados, se tiver postos avançados em sua conta. Os destinos permitidos dependem da localização do snapshot de origem.

  • Se o snapshot de origem estiver em uma região, você poderá copiá-lo dentro dessa região, para outra região ou para um posto avançado associado a essa região.

  • Se o snapshot de origem estiver em um posto avançado, você não poderá copiá-lo.

Cópias incrementais de snapshots

As operações de cópia instantânea na mesma conta e região usando a mesma KMS chave são sempre cópias incrementais. No entanto, se você criptografar a cópia do snapshot usando uma KMS chave diferente, a cópia será uma cópia completa.

Ao copiar um snapshot entre regiões ou contas, a cópia será uma cópia incremental se as seguintes condições forem atendidas:

  • O snapshot foi copiado anteriormente na conta ou região de destino.

  • A cópia mais recente do snapshot ainda existe na conta ou região de destino.

  • A última cópia do snapshot não foi arquivada.

  • Todas as cópias do snapshot na região ou na conta de destino não estão criptografadas ou foram criptografadas usando a mesma KMS chave.

dica

Recomendamos que você marque os snapshots com o ID do volume e a hora da criação para poder saber qual é a cópia mais recente do snapshot de um volume na conta ou na região de destino.

Para ver se suas cópias de snapshot são incrementais, verifique o copySnapshot CloudWatch evento.

Cópia de snapshot e criptografia

nota

A criptografia do lado do servidor Amazon S3 (256 bitsAES) protege os dados de um snapshot em trânsito durante uma operação de cópia.

Você pode criar uma cópia criptografada de um snapshot de origem que não esteja criptografado. E você pode criptografar uma cópia do instantâneo com uma KMS chave diferente do instantâneo de origem. Porém, alterar o status de criptografia de uma cópia de snapshot durante uma operação de cópia pode resultar em uma cópia completa (não incremental), o que pode aumentar os custos de transferência e armazenamento de dados.

dica

Ao usar um instantâneo criptografado compartilhado com você, recomendamos que você recriptografe o instantâneo copiando-o e usando uma KMS chave de sua propriedade. Isso protege você se a KMS chave original for comprometida ou se o proprietário revogar seu acesso, o que pode fazer com que você perca o acesso ao snapshot e a todos os volumes criptografados que você criou a partir dele.

Permissões para copiar snapshots criptografados

Para copiar um snapshot criptografado, seu usuário deve ter as seguintes permissões para usar a EBS criptografia da Amazon.

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • Para copiar um instantâneo criptografado compartilhado de outra AWS conta, você deve ter permissões para usar a chave gerenciada pelo cliente que foi usada para criptografar esse instantâneo. Para obter mais informações, consulte Compartilhe a KMS chave usada para criptografar um snapshot compartilhado da Amazon EBS.

Resultados da criptografia para cópias de snapshot

A tabela a seguir descreve os resultados da criptografia ao copiar os snapshots que você possui e os snapshots compartilhados com você.

Criptografia por padrão para a região de destino Snapshot de origem Resultados da criptografia de cópias de snapshots Observação
Desabilitado Não criptografado Criptografia opcional Se você criptografar a cópia, poderá especificar a KMS chave a ser usada. Se você criptografar a cópia, mas não especificar uma KMS chave, o Chave gerenciada pela AWS (aws/ebs) será usado.
Desabilitado Criptografado Criptografado automaticamente Você pode especificar a KMS chave a ser usada. Se você não especificar uma KMS chave, o Chave gerenciada pela AWS (aws/ebs) será usado.
Habilitado Não criptografado Criptografado automaticamente Você pode especificar a KMS chave a ser usada. Se você não especificar uma KMS chave, a chave especificada para criptografia por padrão será usada.
Habilitado Criptografado Criptografado automaticamente Você pode especificar a KMS chave a ser usada. Se você não especificar uma KMS chave, a chave especificada para criptografia por padrão será usada.

Copiar um snapshot

Para copiar um snapshot, use um dos métodos a seguir.

Console
Para copiar um snapshot usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Snapshots.

  3. Selecione o snapshot a ser copiado e escolha Actions (Ações), Copy snapshot (Copiar snapshot).

  4. Em Description (Descrição), insira uma breve descrição do snapshot.

    Por padrão, a descrição inclui informações sobre o snapshot de origem, de forma que você possa diferenciar uma cópia do original.

  5. Em Destination Region (Região de destino), selecione a região na qual criar a cópia do snapshot.

  6. (Somente para clientes do Outpost) Para criar a cópia do snapshot em um posto avançado na região selecionada, em Destino do Snapshot, escolha AWS Outpost e, em Destino Outpost ARN, insira o ARN do posto avançado para o qual copiar o snapshot. O campo Destino do snapshot só será exibido se você tiver postos avançados na região selecionada.

  7. Especifique o status de criptografia da cópia do snapshot.

    Se o snapshot de origem for criptografado ou se sua conta for habilitada para criptografia por padrão, a cópia do snapshot será criptografada automaticamente. Se o snapshot de origem não for criptografado e se sua conta não for habilitada para criptografia por padrão, a criptografia será opcional.

  8. Escolha Copy snapshot (Copiar snapshot).

nota

Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, a operação falhará silenciosamente. O estado de erro não é exibido no console até você atualizar a página.

AWS CLI
Para copiar um instantâneo usando o AWS CLI

Use o comando copy-snapshot (Copiar snapshot).

Para copiar um instantâneo usando as Ferramentas para Windows PowerShell

Use o Copy-EC2Snapshotcomando.

nota

Se você tentar copiar um snapshot criptografado sem ter permissão para usar a chave de criptografia, haverá uma falha silenciosa na operação e a cópia do snapshot receberá a mensagem de status "O ID de chave fornecido não está acessível".