本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
共享 Amazon EBS 快照
您可以修改快照的許可,與其他 AWS 帳戶共用快照。您可以與所有其他 AWS 帳戶公開共享快照,也可以與您指定的個別 AWS 帳戶私下共用快照。您授權的使用者可使用您共用的快照,以建立他們自己的 EBS 磁碟區,同時原始快照仍然不受影響。
重要
當您共用快照時,即向其他人授予快照上所有資料的存取權。僅與您信任的人共用快照,共用所有快照資料。
若要阻止公開共用快照,您可以啟用快照的封鎖公開存取。如需詳細資訊,請參閱封鎖 AMI 的公開存取。
共用快照之前
共用快照時有下列考量:
-
如果針對特定區域啟用快照的封鎖公開存取功能,只要嘗試公開共用快照就會遭到封鎖。快照仍可供私下分享。
-
快照受限於其建立的區域。若要與另一個區域共用快照,請將該快照複製到該區域,然後共用。如需詳細資訊,請參閱 複製 Amazon EBS 快照。
-
您無法共用透過預設 AWS 受管金鑰加密的快照。您只能共用透過客戶受管金鑰加密的快照。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的 建立金鑰。
-
您只能公開共用未加密的快照。
-
當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。如需詳細資訊,請參閱 共用 KMS 金鑰。
共享快照
您可以使用本節中描述的其中一種方法來共用快照。
共用 KMS 金鑰
當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。您可以在建立客戶受管金鑰時,為其套用跨帳戶許可,或之後再套用。
存取加密快照的共用客戶受管金鑰使用者必須獲得許可,才可對金鑰執行下列動作:
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
提示
若要遵循最低權限原則人,請勿允許 kms:CreateGrant
的完整存取。而是使用kms:GrantIsForAWSResource
條件金鑰,只有在 AWS 服務代表使用者建立授權時,才允許使用者在 KMS 金鑰上建立授權。
如需控制客戶受管金鑰存取的詳細資訊,請參閱 AWS KMS開發人員指南中的在AWS Key Management Service 中使用金鑰政策。
使用 AWS KMS 主控台共用客戶管理金鑰
-
請在以下位置開啟 AWS KMS 主控台。
https://console.aws.amazon.com/kms -
若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。
-
選擇導覽窗格中的 Customer managed keys (客戶受管金鑰)。
-
在 (Alias) 別名資料欄中,選擇用來加密快照的客戶管理金鑰別名 (文字連結)。重要詳細資料會在新頁面開啟。
-
在 Key policy (金鑰政策) 區段中,您會看到 policy view (政策檢視) 或 default view (預設檢視)。原則檢視會顯示重要的政策文件。預設檢視會顯示 Key administrators (金鑰管理員)、Key deletion (金鑰刪除)、Key Use (金鑰使用) 和 Other AWS accounts (其他 AWS 帳戶) 的區段。如果已在主控台中建立政策,但尚未自訂政策,則會顯示預設檢視。如果無法使用預設檢視,則需要在政策檢視中手動編輯政策。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的 檢視金鑰政策 (主控台)。
使用策略檢視或預設檢視 (視您可存取的檢視而定) 將一或多個 AWS 帳號 ID 新增至策略,如下所示:
(政策檢視) 選擇 Edit (編輯)。將一或多個 AWS 帳號 ID 新增至下列陳述式:
"Allow use of the key"
和"Allow attachment of persistent resources"
。選擇儲存變更。在下列範例中, AWS 帳號 ID444455556666
會新增至策略。{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(預設檢視) 向下捲動至 [其他 AWS 帳戶]。選擇 [新增其他 AWS 帳戶],然後根據提示輸入 AWS 帳戶 ID。若要新增其他帳戶,請選擇 [新增其他 AWS 帳戶],然後輸入 AWS 帳號 ID。新增所有 AWS 帳戶之後,選擇 Save changes (儲存變更)。
檢視與您共用的快照
可以使用下列其中一種方法來檢視與您共用的快照。
檢視與您共用的快照
若要使用共用的未加密快照
依 ID 或描述來尋找共用快照。如需詳細資訊,請參閱 檢視與您共用的快照。您可以使用此快照,就像您在帳戶中擁有的任何其他快照一樣。例如,您可以從快照中建立磁碟區,或將其複製到不同區域。
若要使用共用的加密快照
依 ID 或描述來尋找共用快照。如需詳細資訊,請參閱 檢視與您共用的快照。在您的帳戶中建立共用快照的複本,並使用您擁有的 KMS 金鑰對複本加密。然後,可以使用該複本來建立磁碟區,或者將其複製到不同的區域。
決定使用您共用的快照
您可以用 AWS CloudTrail 來監視您與其他人共用的快照是否複製或使用來建立磁碟區。會記錄下列事件 CloudTrail:
-
SharedSnapshotCopyInitiated— 正在複製共用快照。
-
SharedSnapshotVolumeCreated— 正在使用共用快照建立磁碟區。
如需使用的詳細資訊 CloudTrail,請參閱使用日誌記錄亞馬 Amazon EC2 和 Amazon EBS API 呼叫。 AWS CloudTrail