Amazon Elastic Compute Cloud
Windows 实例用户指南

共享 Amazon EBS 快照

通过修改快照的权限,您可以与您指定的 AWS 账户共享快照。您已授权的用户可以使用您共享的快照作为基础来创建自己的 EBS 卷,同时您的原始快照不受影响。如选择,您可使您的未加密快照对所有 AWS 用户公开可用。您不能使加密快照公开可用。

共享加密快照时,还必须共享用于加密快照的自定义 CMK。您可以在创建自定义 CMK 时或以后的某个时间向自定义 CMK 应用跨账户权限。

重要

共享快照时,您可以让其他人访问快照上的所有数据。仅与您要与其分享所有快照数据的人分享快照。

注意事项

共享快照时需考虑以下事项:

  • 快照受限于在其中创建它们的区域。要与其他区域共享快照,请将快照复制到该区域。有关更多信息,请参阅 复制 Amazon EBS 快照

  • 如果您的快照使用较长资源 ID 格式,则只能将其与支持较长 ID 的账户共享。有关更多信息,请参阅资源 ID

  • AWS 会阻止您共享使用您的默认 CMK 加密的快照。您打算共享的快照必须使用自定义 CMK 加密。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥

  • 必须为正在访问加密快照的共享 CMK 用户授予对密钥执行以下操作的权限:kms:DescribeKeykms:CreateGrantGenerateDataKeykms:ReEncrypt。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的控制对客户主密钥的访问权限

  • 如果您拥有对共享加密快照的访问权限,并且您希望从该快照还原卷,则必须创建该快照的个人副本,然后使用该副本还原卷。我们建议您在复制过程中,使用您控制的其他密钥重新加密快照。这样,即使原始密钥遭到泄露或拥有者出于任何原因撤销了密钥,您也不会失去对卷的访问权限。

共享未加密快照

使用控制台共享快照

  1. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择快照,然后依次选择操作修改权限

  4. 使快照公开可用或与特定 AWS 账户共享快照,如下所示:

    • 要使快照公开可用,请选择 Public

      该选项不适用于加密快照或具有 AWS Marketplace 产品代码的快照。

    • 要与一个或多个 AWS 账户共享快照,请选择私有,在 AWS 账号中键入 AWS 账户 ID(无连字符),然后选择添加权限。对任何其他 AWS 账户重复此步骤。

  5. 选择 Save (保存)

使用与我共享的加密快照

  1. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择私有快照筛选条件。

  4. 按 ID 或描述查找快照。您可以像使用任何其他快照一样使用此快照;例如,您可以从快照创建卷或将快照复制到其他区域。

共享加密的快照

使用控制台共享加密快照

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择加密密钥

  3. 选择用于加密快照的自定义密钥的别名。

  4. 对于每个 AWS 账户,选择添加外部账户,并在出现提示时键入 AWS 账户 ID。添加完所有 AWS 账户时,选择保存更改

  5. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  6. 在导航窗格中,选择 Snapshots

  7. 选择快照,然后依次选择操作修改权限

  8. 对于每个 AWS 账户,在 AWS 账号中键入 AWS 账户 ID,然后选择添加权限。添加完所有 AWS 账户时,选择保存

使用与我共享的加密快照

  1. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择私有快照筛选条件。(可选)添加加密筛选条件。

  4. 按 ID 或描述查找快照。

  5. 建议您使用您拥有的其他密钥重新加密快照。这样,即使原始密钥泄露或拥有者撤销了密钥,您也不会失去对您从快照创建的加密卷的访问权限。

    1. 选择快照,然后依次选择操作复制

    2. (可选)选择一个目标区域。

    3. 选择您拥有的自定义 CMK。

    4. 选择 Copy

使用命令行工具共享快照

使用命令行查看和修改快照权限

要查看快照的 createVolumePermission 属性,您可以使用以下命令之一。有关这些命令行界面的更多信息,请参阅 访问 Amazon EC2

要修改快照的 createVolumePermission 属性,您可以使用以下命令之一。