複製 Amazon EBS 快照 - Amazon Elastic Compute Cloud

複製 Amazon EBS 快照

您能夠透過 Amazon EBS 建立存放於 Amazon S3 的磁碟區時間點快照。建立快照並完成複製到 Amazon S3 之後 (快照狀態為 completed),可以將其從一個 AWS 區域複製至其他區域,或在相同區域內複製。Amazon S3 伺服器端加密 (256 位元 AES) 可在複製操作期間保護傳輸中的快照資料。快照副本會取得與原始快照不同的 ID。

若要將多磁碟區快照複製到另一個 AWS 區域,請使用您建立多磁碟區快照集時套用的標籤,來擷取快照。然後,個別地將快照複製到另一個區域。

若您希望另一個帳戶也能夠複製快照,您必須修改快照的許可權限來允取該帳戶的存取,或者公開該快照讓所有 AWS 帳戶都能夠將其複製。如需更多詳細資訊,請參閱 共享 Amazon EBS 快照

如需有關複製 Amazon RDS 快照的資訊,請參閱 Amazon RDS 使用者指南中的複製資料庫快照

使用案例

  • 地理擴展:在新的 AWS 區域啟動您的應用程式。

  • 遷移:將應用程式移往新的區域,藉此提升可用性並減少成本。

  • 災難復原:定期跨地理位置備份您的資料與日誌。若發生災難,您可使用輔助區域內存放的時間點備份來還原您的應用程式。如此可降低資料遺失及復原時間。

  • 加密:加密之前未加密的快照、變更用於加密快照的金鑰或建立您擁有的副本以從其建立磁碟區 (針對已與您共享的加密快照)。

  • 資料保留與稽核要求:將您的加密 EBS 快照從一個 AWS 帳戶複製到另一個帳戶,藉此保留資料日誌或其他檔案供稽核或資料保留使用。使用不同的帳戶有助避免意外刪除快照,並在您的主要 AWS 帳戶遭到入侵時保護您。

Prerequisites

  • 您可複製具有 completed 狀態的可存取快照,包括共享快照和您已建立的快照。

  • 您可複製 AWS Marketplace、VM Import/Export 和 Storage Gateway 快照,但您必須確認目標區域支援該快照。

Considerations

  • 每一帳戶對於單一目的地區域至多可有二十個並行快照複製請求。

  • 使用者定義的標籤不會從來源快照複製到新的快照。在複製作業期間或之後,您都能新增使用者定義標籤。如需更多詳細資訊,請參閱 標記您的 Amazon EC2 資源

  • 快照複製作業建立的快照,具有一個不應用於任何用途的任意磁碟區 ID。

  • 為快照複製作業指定的資源層級許可僅適用於新快照。您無法指定來源快照的資源級權限。如需範例,請參閱 範例:複製快照

Pricing

  • 如需跨 AWS 區域和帳戶複製快照的定價資訊,請參閱 Amazon EBS 定價

  • 單一帳戶及區域內的快照複製操作實際上不會複製任何資料,因此只要快照副本的加密狀態未改變,即無須支付費用。

  • 如果複製快照並將其加密為新的 KMS 金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

  • 如果您將快照複製到新區域,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。

增量式快照複製

快照副本是否為增量式,這會由最近完成的快照副本決定。當您跨區域或帳戶複製快照時,如果符合下列條件,則該副本即為增量式副本:

  • 之前已將快照複製到目的地區域或帳戶。

  • 最近的快照副本仍存在於目的地區域或帳戶中。

  • 目標區域或帳戶中快照的所有複本都未加密,或是已使用相同 CMK 進行加密。

如果刪除了最近的快照副本,下一個副本則會是完整副本,而不是增量式副本。當您啟動另一個副本時,如果某個副本仍處於待定狀態,則第二個副本只會在第一個副本完成後才會開始。

建議您使用磁碟區 ID 和建立時間來標記快照,如此您就能追蹤目的地區域或帳戶中磁碟區的最近快照副本。

若要檢視您的快照副本是否為增量式,請檢查 copySnapshot CloudWatch 事件。

加密和快照複製

複製快照時,您可以加密複本,或指定不同於原始 KMS 金鑰的 KMS 金鑰,讓所複製的快照使用新的 KMS 金鑰。然而,在複製操作期間變更快照的加密狀態會導致完整 (非增量式) 複製,這可能會增加資料傳輸量及儲存費用。

若要複製另一個 AWS 帳戶共用的加密快照,您必須具備使用該快照及用於加密該快照之客戶主金鑰 (CMK) 的許可。使用與您共用的加密快照時,建議使用您擁有的 KMS 金鑰來複製快照,以重新加密該快照。如此一來,若原始 KMS 金鑰受損,或擁有者撤銷該 CMK,您也不會喪失以該快照建立之任何加密磁碟區的存取權限。如需更多詳細資訊,請參閱 共享 Amazon EBS 快照

您可以將加密套用至 EBS 快照複本,方法是將 Encrypted 參數設為 true。(如果已啟用Encrypted預設加密,則 參數為選用。)

或者,您也可以使用 KmsKeyId,指定用來加密快照複本的自訂金鑰。(Encrypted 參數也必須設定為 true,即使已啟用預設加密)。如果未指定 KmsKeyId,則用於加密的金鑰取決於來源快照的加密狀態及其擁有權。

下表說明每個可能設定組合的加密結果。

加密結果:複製您擁有的快照

預設加密 已設定 Encrypted 參數? 來源快照加密狀態 預設 (未指定 KMS 金鑰) 自訂 (指定 KMS 金鑰)
已停用 未加密 未加密 N/A
Encrypted 由 AWS 受管金鑰 加密
未加密 按預設 KMS 金鑰加密 按指定的 KMS 金鑰加密**
Encrypted 按預設 KMS 金鑰加密
Enabled 未加密 按預設 KMS 金鑰加密 N/A
Encrypted 按預設 KMS 金鑰加密
未加密 按預設 KMS 金鑰加密 按指定的 KMS 金鑰加密**
Encrypted 按預設 KMS 金鑰加密

** 這是針對複製動作指定的客戶受管金鑰。對於 AWS 帳戶和區域,使用此客戶受管金鑰,而非預設客戶受管金鑰。

加密結果:複製與您共用的快照

預設加密 已設定 Encrypted 參數? 來源快照加密狀態 預設 (未指定 KmsKeyId) 自訂 (指定 KmsKeyId)
已停用 未加密 未加密 N/A

Encrypted

由 AWS 受管金鑰 加密
未加密 按預設 KMS 金鑰加密 按指定的 KMS 金鑰加密**

Encrypted

按預設 KMS 金鑰加密
Enabled 未加密 按預設 KMS 金鑰加密 N/A

Encrypted

按預設 KMS 金鑰加密
未加密 按預設 KMS 金鑰加密 按指定的 KMS 金鑰加密**

Encrypted

按預設 KMS 金鑰加密

** 這是針對複製動作指定的客戶受管金鑰。對於 AWS 帳戶和區域,使用此客戶受管金鑰,而非預設客戶受管金鑰。

複製快照

若要複製快照,請使用下列其中一種方法。

Console

欲使用主控台複製除快照

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Snapshots (快照)

  3. 選取欲複製的快照,然後從 Actions (動作) 清單中選擇 Copy (複製)。

  4. Copy Snapshot (複製快照) 對話方塊中,視需要更新下列項目:

    • Destination region (目的地區域):選取欲將快照副本寫入的區域。

    • Description (描述):根據預設,描述包括來源快照的資訊,讓您能夠辨識原始和副本內容。您可視需要變更此描述。

    • Encryption (加密):若來源快照未加密,您可選擇加密副本。如果您已啟用預設加密,則會設定 Encryption (加密) 選項,而且無法從快照主控台取消設定。如果設定 Encryption (加密) 選項,您可以在欄位中選擇客戶受管 CMK 來加密加照,如下所述。

      您無法剔除加密快照的加密。

    • Master Key (主金鑰):欲用來加密此快照的客戶主金鑰 (CMK)。最初會顯示您的帳戶的預設金鑰,但您可以選擇性從您的帳戶中選取主金鑰,或輸入/貼上來自不同帳戶的金鑰的 ARN。您可以在 AWS KMS 主控台中建立新的主加密金鑰。

  5. 請選擇 Copy (複製)

  6. Copy Snapshot (複製快照) 確認對話方塊中,選擇 Snapshots (快照) 前往指定區域的 Snapshots (快照) 頁面,或選擇 Close (關閉)

    欲檢視複製程序進度,請切換至目的地區域,然後重新整理 Snapshots (快照) 頁面。進行中的複製將列於該頁面的頂端。

AWS CLI

欲使用命令列複製快照

您可以使用下列其中一個命令。如需關於這些命令列介面的詳細資訊,請參閱 存取 Amazon EC2

欲檢查是否失敗

若您嘗試複製加密快照,但沒有使用該加密金鑰的許可,此操作會失敗也不會提示。錯誤狀態不會顯示於主控台,直到您重新整理該頁面。您亦可透過命令列來檢查快照狀態,如下列範例所示。

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

若由於金鑰許可權限不足而導致複製失敗,您將看到下列訊息:"StateMessage": "Given key ID is not accessible" (輸入的金鑰 ID 無法存取)。

複製加密快照時,您必須具有預設 CMK 的 DescribeKey 許可。這些許可權限若遭到明確拒絕,則複製會失敗。如需管理 CMK 金鑰的資訊,請參閱客戶主金鑰的存取控制相關文章。