複製 Amazon EBS 快照

使用 Amazon EBS，您可以建立磁碟區 point-in-time 快照，我們會為您存放在 Amazon S3 中。建立快照並完成複製到 Amazon S3 後 (當快照狀態為時completed)，您可以將其從一個 AWS 區域複製到另一個區域，或在同一區域內複製該快照。Amazon S3 伺服器端加密 (256 位元 AES) 可在複製操作期間保護傳輸中的快照資料。快照複本會取得與原始快照不同的 ID。

若要將多磁碟區快照複製到另一個 AWS 區域，請使用您在建立多磁碟區快照集時套用至多磁碟區快照集的標記擷取快照。然後，個別地將快照複製到另一個區域。

如果您希望其他帳戶能夠複製您的快照，則必須修改快照權限以允許存取該帳戶，或將快照集設為公開，以便所有 AWS 帳戶都可以複製快照。如需詳細資訊，請參閱 共享 Amazon EBS 快照。

如需有關複製 Amazon RDS 快照的資訊，請參閱 Amazon RDS 使用者指南中的複製資料庫快照。

使用案例

• 地理擴展：在新的 AWS 區域中啟動您的應用程序。

• 遷移：將應用程式移往新的區域，藉此提升可用性並減少成本。

• 災難復原：定期跨地理位置備份您的資料與日誌。萬一發生災難，您可以使用儲存在次要區域的 point-in-time 備份來還原應用程式。如此可降低資料遺失及復原時間。

• 加密：加密之前未加密的快照、變更用於加密快照的金鑰或建立您擁有的複本以從其建立磁碟區 (針對已與您共享的加密快照)。

• 資料保留與稽核要求：將您的加密 EBS 快照從一個 AWS 帳戶複製到另一個帳戶，藉此保留資料日誌或其他檔案供稽核或資料保留使用。使用不同的帳戶有助於防止意外刪除快照，並在您的主 AWS 帳戶遭到入侵時為您提供保護。

必要條件

• 您可複製具有 completed 狀態的可存取快照，包括共享快照和您已建立的快照。

• 您可以複製 AWS Marketplace、虛擬機器匯入/匯出和 Storage Gateway 快照，但必須確認目的地區域支援快照。

• 若要複製加密快照，您的使用者必須具有下列許可，才能使用 Amazon EBS 加密。

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

• 若要複製另一個 AWS 帳戶共用的加密快照，您必須擁有使用用於加密快照的客戶管理金鑰的權限。如需詳細資訊，請參閱 共用 KMS 金鑰。

考量事項

• 每個目標區域均存在 20 個並行快照複製請求的限制。如果您超過此配額，您會收到 ResourceLimitExceeded 錯誤。如果收到此錯誤，請先等待一或多個複製請求完成，然後再發出新的快照複製請求。

• 使用者定義的標籤不會從來源快照複製到新的快照。在複製作業期間或之後，您都能新增使用者定義標籤。

• 快照複製操作建立的快照具有任意磁碟區 ID，例如 vol-ffff 或 vol-ffffffff。這些任意磁碟區 ID 不應用於任何用途。

• 為快照複製作業指定的資源層級許可僅適用於新快照。您無法指定來源快照的資源級權限。如需範例，請參閱範例：複製快照。

定價

• 如需跨 AWS 區域和帳戶複製快照的定價資訊，請參閱 Amazon EBS 定價。

• 如果複製快照並將其加密為新的 KMS 金鑰，則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

• 如果您將快照複製到新區域，則會建立完整 (非增量) 副本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。

• 如果您使用外部或跨區域資料傳輸，則需支付額外的 EC2 資料傳輸費用。此外，如果您在該過程啟動後刪除任何快照，仍需支付已傳輸資料的費用。

增量式快照複製

快照複本是否為增量式，這會由最近完成的快照複本決定。當您跨區域或帳戶複製快照時，如果符合下列條件，則該複本即為增量式複本：

• 之前已將快照複製到目的地區域或帳戶。

• 最近的快照複本仍存在於目的地區域或帳戶中。

• 最新的快照副本尚未封存。

• 目標區域或帳戶中快照的所有複本都未加密，或是已使用相同 CMK 進行加密。

如果刪除了最近的快照複本，下一個複本則會是完整複本，而不是增量式複本。當您啟動另一個複本時，如果某個複本仍處於待定狀態，則第二個複本只會在第一個複本完成後才會開始。

在相同帳戶和區域內使用相同 KMS 金鑰的快照複製作業會產生增量複製。

增量快照複製可減少複製快照所需的時間，由於不需複製資料，所以可節省資料傳輸和儲存成本。

建議您使用磁碟區 ID 和建立時間來標記快照，如此您就能追蹤目的地區域或帳戶中磁碟區的最近快照複本。

若要查看您的快照複本是否為累加式，請檢查 copy Snapshot 事 CloudWatch 件。

加密和快照複製

複製快照時，您可以加密複本，或指定不同於原始 KMS 金鑰的 KMS 金鑰，讓所複製的快照使用新的 KMS 金鑰。然而，在複製操作期間變更快照的加密狀態會導致完整 (非增量式) 複製，這可能會增加資料傳輸量及儲存費用。如需詳細資訊，請參閱 增量式快照複製。

若要複製從其他 AWS 帳戶共用的加密快照，您必須擁有使用快照集和用於加密快照的客戶管理金鑰 (CMK) 的權限。使用與您共用的加密快照時，建議使用您擁有的 KMS 金鑰來複製快照，以重新加密該快照。如此一來，若原始 KMS 金鑰受損，或擁有者撤銷該 CMK，您也不會喪失以該快照建立之任何加密磁碟區的存取權限。如需詳細資訊，請參閱 共享 Amazon EBS 快照。

您可以將加密套用至 EBS 快照複本，方法是將 Encrypted 參數設為 true。(如果已啟用Encrypted預設加密，則 參數為選用。)

或者，您也可以使用 KmsKeyId，指定用來加密快照複本的自訂金鑰。(Encrypted 參數也必須設定為 true，即使已啟用預設加密)。如果未指定 KmsKeyId，則用於加密的金鑰取決於來源快照的加密狀態及其擁有權。

下表描述了在複製您擁有的快照和與您共用的快照時，每種可能的設定組合的加密結果。

主題

預設加密	已設定 Encrypted 參數？	來源快照加密狀態	預設 (未指定 KMS 金鑰)	自訂 (指定 KMS 金鑰)
已停用	否	未加密	未加密	N/A
		Encrypted	加密方式 AWS 受管金鑰
	是	未加密	按預設 KMS 金鑰加密	按指定的 KMS 金鑰加密**
		Encrypted	按預設 KMS 金鑰加密
Enabled	否	未加密	按預設 KMS 金鑰加密	N/A
		Encrypted	按預設 KMS 金鑰加密
	是	未加密	按預設 KMS 金鑰加密	按指定的 KMS 金鑰加密**
		Encrypted	按預設 KMS 金鑰加密

** 這是複製快照動作中指定的 KMS 金鑰。對於該帳戶和區域，使用此 KMS 金鑰，而非預設 KMS 金鑰。

複製快照

若要複製快照，請使用下列其中一種方法。

Console

欲使用主控台複製除快照

1. 在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在導覽窗格中，選擇快照。

3. 選取要複製的快照，然後選取 Actions (動作)、Copy snapshot (複製快照)。

4. 對於 Description (描述)，輸入快照複本的簡短描述。

   根據預設，描述包括來源快照的資訊，讓您能夠辨識原始和複本內容。您可視需要變更此描述。

5. 對於 Destination Region (目的地區域)，選取要在其中建立快照複本的區域。

6. 指定快照複本的加密狀態。

   如果來源快照已加密，或者如果您的帳戶已啟用預設加密，則會自動加密快照複本，而且您無法變更其加密狀態。

   如果來源快照未加密，而且您的帳戶預設未啟用加密，則加密是選用的。若要加密快照複本，對於 Encryption (加密)，選取 Encrypt this snapshot (加密此快照)。然後，對於 KMS key (KMS 金鑰)，選取要用來在目的地區域中加密快照的 KMS 金鑰。

7. 選擇 Copy Snapshot (複製快照)。

AWS CLI

若要使用複製快照 AWS CLI

使用 copy-snapshot 命令。

Tools for Windows PowerShell

若要使用 Windows 的工具複製快照 PowerShell

使用 Copy-EC2Snapshot 命令。

欲檢查是否失敗

若您嘗試複製加密快照，但沒有使用該加密金鑰的許可，此操作會失敗也不會提示。錯誤狀態不會顯示於主控台，直到您重新整理該頁面。您亦可透過命令列來檢查快照狀態，如下列範例所示。

aws ec2 describe-snapshots --snapshot-id snap-0123abcd

如果複製因金鑰權限不足而失敗，您會看到下列訊息："StateMessage":「無法存取指定的金鑰 ID」。

複製加密快照時，您必須具有預設 CMK 的 DescribeKey 許可。這些許可權限若遭到明確拒絕，則複製會失敗。如需詳細資訊，請參閱 AWS KMS 的驗證和存取控制。