複製 Amazon EBS 快照
您能夠透過 Amazon EBS 建立存放於 Amazon S3 的磁碟區時間點快照。建立快照並完成複製到 Amazon S3 之後 (快照狀態為 completed),可以將其從一個 AWS 區域複製至其他區域,或在相同區域內複製。Amazon S3 伺服器端加密 (256 位元 AES) 可在複製操作期間保護傳輸中的快照資料。快照複本會取得與原始快照不同的 ID。
若要將多磁碟區快照複製到另一個 AWS 區域,請使用您建立多磁碟區快照集時套用的標籤,來擷取快照。然後,個別地將快照複製到另一個區域。
若您希望另一個帳戶也能夠複製快照,您必須修改快照的許可權限來允取該帳戶的存取,或者公開該快照讓所有 AWS 帳戶都能夠將其複製。如需詳細資訊,請參閱 共享 Amazon EBS 快照。
如需有關複製 Amazon RDS 快照的資訊,請參閱 Amazon RDS 使用者指南中的複製資料庫快照。
使用案例
-
地理擴展:在新的 AWS 區域啟動您的應用程式。
-
遷移:將應用程式移往新的區域,藉此提升可用性並減少成本。
-
災難復原:定期跨地理位置備份您的資料與日誌。若發生災難,您可使用輔助區域內存放的時間點備份來還原您的應用程式。如此可降低資料遺失及復原時間。
-
加密:加密之前未加密的快照、變更用於加密快照的金鑰或建立您擁有的複本以從其建立磁碟區 (針對已與您共享的加密快照)。
-
資料保留與稽核要求:將您的加密 EBS 快照從一個 AWS 帳戶複製到另一個帳戶,藉此保留資料日誌或其他檔案供稽核或資料保留使用。使用不同的帳戶有助避免意外刪除快照,並在您的主要 AWS 帳戶遭到入侵時保護您。
先決條件
-
您可複製具有
completed狀態的可存取快照,包括共享快照和您已建立的快照。 -
您可複製 AWS Marketplace、VM Import/Export 和 Storage Gateway 快照,但您必須確認目標區域支援該快照。
-
若要複製加密快照,您的使用者必須具有下列許可,才能使用 Amazon EBS 加密。
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:ReEncrypt -
kms:Decrypt
-
-
若要複製從另一個 AWS 帳戶共用的加密快照,您必須具有用來加密快照的客戶自管金鑰的使用許可。如需更多詳細資訊,請參閱 共用 KMS 金鑰。
考量事項
-
每個目標區域均存在
20個並行快照複製請求的限制。如果您超過此配額,您會收到ResourceLimitExceeded錯誤。如果收到此錯誤,請先等待一或多個複製請求完成,然後再發出新的快照複製請求。 -
使用者定義的標籤不會從來源快照複製到新的快照。在複製作業期間或之後,您都能新增使用者定義標籤。如需更多詳細資訊,請參閱 標記您的 Amazon EC2 資源。
-
快照複製操作建立的快照具有任意磁碟區 ID,例如
vol-ffff或vol-ffffffff。這些任意磁碟區 ID 不應用於任何用途。 -
為快照複製作業指定的資源層級許可僅適用於新快照。您無法指定來源快照的資源級權限。如需範例,請參閱 範例:複製快照。
定價
-
如需跨 AWS 區域和帳戶複製快照的定價資訊,請參閱 Amazon EBS 定價
。 -
如果複製快照並將其加密為新的 KMS 金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。
-
如果您將快照複製到新區域,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。
-
使用相同客戶受管金鑰的相同帳戶和區域中快照的第一個快照複製將是完整 (非增量) 複本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。
增量式快照複製
快照複本是否為增量式,這會由最近完成的快照複本決定。當您跨區域或帳戶複製快照時,如果符合下列條件,則該複本即為增量式複本:
-
之前已將快照複製到目的地區域或帳戶。
-
最近的快照複本仍存在於目的地區域或帳戶中。
-
目標區域或帳戶中快照的所有複本都未加密,或是已使用相同 CMK 進行加密。
如果刪除了最近的快照複本,下一個複本則會是完整複本,而不是增量式複本。當您啟動另一個複本時,如果某個複本仍處於待定狀態,則第二個複本只會在第一個複本完成後才會開始。
使用客戶受管金鑰在單一帳戶與相同區域內的快照複製操作將會產生完整 (非增量) 複本。相同快照的後續複本為增量複本。
增量快照複製可減少複製快照所需的時間,由於不需複製資料,所以可節省資料傳輸和儲存成本。
建議您使用磁碟區 ID 和建立時間來標記快照,如此您就能追蹤目的地區域或帳戶中磁碟區的最近快照複本。
若要檢視您的快照複本是否為增量式,請檢查 copySnapshot CloudWatch 事件。
加密和快照複製
複製快照時,您可以加密複本,或指定不同於原始 KMS 金鑰的 KMS 金鑰,讓所複製的快照使用新的 KMS 金鑰。然而,在複製操作期間變更快照的加密狀態會導致完整 (非增量式) 複製,這可能會增加資料傳輸量及儲存費用。如需更多詳細資訊,請參閱 增量式快照複製。
若要複製另一個 AWS 帳戶共用的加密快照,您必須獲得許可,有權使用該快照及用於加密該快照的客戶自管金鑰 (CMK)。使用與您共用的加密快照時,建議使用您擁有的 KMS 金鑰來複製快照,以重新加密該快照。如此一來,若原始 KMS 金鑰受損,或擁有者撤銷該 CMK,您也不會喪失以該快照建立之任何加密磁碟區的存取權限。如需詳細資訊,請參閱 共享 Amazon EBS 快照。
您可以將加密套用至 EBS 快照複本,方法是將 Encrypted 參數設為 true。(如果已啟用Encrypted預設加密,則 參數為選用。)
或者,您也可以使用 KmsKeyId,指定用來加密快照複本的自訂金鑰。(Encrypted 參數也必須設定為 true,即使已啟用預設加密)。如果未指定 KmsKeyId,則用於加密的金鑰取決於來源快照的加密狀態及其擁有權。
下表描述了在複製您擁有的快照和與您共用的快照時,每種可能的設定組合的加密結果。
主題
| 預設加密 | 已設定 Encrypted 參數? |
來源快照加密狀態 | 預設 (未指定 KMS 金鑰) | 自訂 (指定 KMS 金鑰) |
|---|---|---|---|---|
| 已停用 | 否 | 未加密 | 未加密 | N/A |
| Encrypted | 由 AWS 受管金鑰 加密 | |||
| 是 | 未加密 | 按預設 KMS 金鑰加密 | 按指定的 KMS 金鑰加密** | |
| Encrypted | 按預設 KMS 金鑰加密 | |||
| Enabled | 否 | 未加密 | 按預設 KMS 金鑰加密 | N/A |
| Encrypted | 按預設 KMS 金鑰加密 | |||
| 是 | 未加密 | 按預設 KMS 金鑰加密 | 按指定的 KMS 金鑰加密** | |
| Encrypted | 按預設 KMS 金鑰加密 |
** 這是複製快照動作中指定的 KMS 金鑰。對於該帳戶和區域,使用此 KMS 金鑰,而非預設 KMS 金鑰。
複製 快照
若要複製快照,請使用下列其中一種方法。
欲檢查是否失敗
若您嘗試複製加密快照,但沒有使用該加密金鑰的許可,此操作會失敗也不會提示。錯誤狀態不會顯示於主控台,直到您重新整理該頁面。您亦可透過命令列來檢查快照狀態,如下列範例所示。
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
若由於金鑰許可權限不足而導致複製失敗,您將看到下列訊息:"StateMessage": "Given key ID is not accessible" (輸入的金鑰 ID 無法存取)。
複製加密快照時,您必須具有預設 CMK 的 DescribeKey 許可。這些許可權限若遭到明確拒絕,則複製會失敗。如需詳細資訊,請參閱 AWS KMS 的驗證和存取控制。
