複製 Amazon EBS快照 - Amazon EBS
複製快照的考量事項快照複本的目的地增量式快照複製加密和快照複製複製快照

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

複製 Amazon EBS快照

建立快照並到達 completed 狀態後,您可以將快照從一個 AWS 區域複製到另一個區域,或在同一區域中。快照複本是原始的確切複本,但是唯一的資源 ID。您可以複製您擁有的快照,以及私下或公開與您共用的快照。您可能需要複製下列使用案例的快照:

  • 地理擴展 — 您需要在新的區域中啟動應用程式。

  • 遷移:您需要將應用程式移至新區域,以便獲得更好的可用性或將成本降至最低。

  • 災難復原 — 您需要將資料和日誌備份至次要區域,以用於資料備援目的。

  • 加密:您需要加密先前未加密的快照,或使用不同的KMS金鑰重新加密加密的快照。

  • 複製共用快照 — 您需要複製與您共用的快照。

  • 資料保留和稽核需求:您需要將加密的快照從一個 AWS 帳戶複製到另一個帳戶,以保留資料進行稽核或資料保留。如果您的主要帳戶遭到入侵,使用不同的 AWS 帳戶可以保護您。

若要將多磁碟區快照複製到另一個 AWS 區域,請使用您在建立期間指派的標籤來識別該集中的所有快照,然後個別將快照複製到所需的區域。

如需有關複製 Amazon RDS快照的資訊,請參閱 Amazon RDS使用者指南 中的複製資料庫快照

定價

如需跨 AWS 區域和帳戶複製快照的定價資訊,請參閱 Amazon EBS Pricing

複製快照的考量事項

  • 您可以複製 AWS Marketplace、VM Import/Export 和 Storage Gateway 快照,但必須驗證目的地區域中是否支援快照。

  • 每個目標區域均存在 20 個並行快照複製請求的限制。如果您超過此配額,您會收到 ResourceLimitExceeded 錯誤。如果收到此錯誤,請先等待一或多個複製請求完成,然後再發出新的快照複製請求。

  • 使用者定義的標籤不會從來源快照複製到快照複本。在複製作業期間或之後,您都能新增使用者定義標籤。

  • 快照複製操作建立的快照具有任意磁碟區 ID,例如 vol-ffffvol-ffffffff。這些任意磁碟區IDs不應用於任何用途。

  • 為快照複製操作指定的資源層級許可僅適用於快照複製。您無法指定來源快照的資源層級許可。如需範例,請參閱範例:複製快照

  • 如果您複製快照並將其加密為新KMS金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

  • 如果您將快照複製到新區域,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。

  • 如果您使用外部或跨區域資料傳輸,將收取額外的EC2資料傳輸費用。如果您在啟動後刪除任何快照,您仍需支付已傳輸的資料費用。

快照複本的目的地

如果您的帳戶中有 AWS 前哨,您可以將快照複製到 AWS 區域和前哨站。允許的目的地取決於來源快照的位置。

  • 如果來源快照位於 區域,您可以在該區域內將其複製到另一個區域,或複製到與該區域相關聯的前哨站。

  • 如果來源快照位於 Outpost 上,則無法複製它。

增量式快照複製

使用相同KMS金鑰的相同帳戶和區域中的快照複製操作一律是增量複本。不過,如果您使用不同的KMS金鑰加密快照複本,則複本是完整複本。

當您跨區域或帳戶複製快照時,如果符合下列條件,則該複本即為增量式複本:

  • 之前已將快照複製到目的地區域或帳戶。

  • 最近的快照複本仍存在於目的地區域或帳戶中。

  • 最新的快照副本尚未封存。

  • 目的地區域或帳戶中快照的所有複本都未加密或使用相同的KMS金鑰加密。

提示

建議您使用磁碟區 ID 和建立時間標記快照複本,以便追蹤目的地區域或帳戶中磁碟區的最新快照複本。

若要查看快照複本是否為增量,請檢查copySnapshot CloudWatch 事件。

加密和快照複製

注意

Amazon S3 伺服器端加密 (256 位元AES) 可在複製操作期間保護快照傳輸中的資料。

您可以建立未加密的來源快照的加密快照複本。您也可以使用不同於來源快照的KMS金鑰來加密快照複本。不過,在複製操作期間變更快照複本的加密狀態可能會導致完整 (非增量) 複本,進而產生更高的資料傳輸和儲存費用。

提示

使用與您共用的加密快照時,建議您複製快照並使用您擁有的KMS金鑰重新加密快照。這可在原始KMS金鑰遭到入侵,或擁有者撤銷您的存取權時保護您,這可能會導致您失去快照的存取權,以及您從中建立的任何加密磁碟區。

複製加密快照的許可

若要複製加密快照,您的使用者必須具有下列許可才能使用 Amazon EBS加密。

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • 若要複製從另一個 AWS 帳戶共用的加密快照,您必須具有使用客戶受管金鑰的許可,該金鑰用於加密該快照。如需詳細資訊,請參閱共用用於加密共用 Amazon EBS快照的KMS金鑰

快照複本的加密結果

下表說明複製您擁有的快照和與您共用的快照時的加密結果。

目的地區域預設加密 來源快照 快照複製加密結果 注意
已停用 未加密 選用加密 如果您加密複本,您可以指定要使用的KMS金鑰。如果您加密複本但未指定KMS金鑰,則會使用 AWS 受管金鑰 (aws/ebs)。
已停用 Encrypted 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則會使用 AWS 受管金鑰 (aws/ebs)。
已啟用 未加密 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則預設會使用為加密指定的金鑰。
已啟用 Encrypted 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則預設會使用為加密指定的金鑰。

複製快照

若要複製快照,請使用下列其中一種方法。

Console
欲使用主控台複製除快照

  1. 在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選取要複製的快照,然後選取 Actions (動作)、Copy snapshot (複製快照)。

  4. 對於 Description (描述),輸入快照複本的簡短描述。

    根據預設,描述包括來源快照的資訊,讓您能夠辨識原始和複本內容。

  5. 對於 Destination Region (目的地區域),選取要在其中建立快照複本的區域。

  6. 僅限 Outpost 客戶 ) 若要在所選區域中的前哨建立快照複本,請在快照目的地選擇 AWS Outpost ,然後在目的地 Outpost ARN輸入要複製快照ARN的前哨的 。快照目的地欄位只會在所選區域中有前哨時出現。

  7. 指定快照複本的加密狀態。

    如果來源快照已加密,或您的帳戶預設已啟用加密,則快照複本會自動加密。如果來源快照未加密,而且您的帳戶預設未啟用加密,則加密是選用的。

  8. 選擇 Copy Snapshot (複製快照)

注意

若您嘗試複製加密快照,但沒有使用該加密金鑰的許可,此操作會失敗也不會提示。錯誤狀態不會顯示於主控台,直到您重新整理該頁面。

AWS CLI
使用 複製快照 AWS CLI

使用 copy-snapshot 命令。

使用 Tools for Windows 複製快照 PowerShell

使用 Copy-EC2Snapshot命令。

注意

如果您嘗試在沒有使用加密金鑰許可的情況下複製加密的快照,操作會無聲失敗,而且快照複本會收到「無法存取授與的金鑰 ID」狀態訊息。