Automatisieren Sie kontenübergreifende Snapshot-Kopien mit Data Lifecycle Manager - Amazon EBS
Kontoübergreifende Richtlinien für Snapshot-KopierrichtlinienFestlegen von Snapshot-BeschreibungsfilternÜberlegungen zu Richtlinien für das kontoübergreifende Kopieren von SnapshotsWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren Sie kontenübergreifende Snapshot-Kopien mit Data Lifecycle Manager

Durch die Automatisierung von kontoübergreifenden Snapshot-Kopien können Sie Ihre EBS Amazon-Snapshots in bestimmte Regionen in einem isolierten Konto kopieren und diese Snapshots mit einem Verschlüsselungsschlüssel verschlüsseln. Auf diese Weise können Sie sich vor Datenverlust schützen, falls Ihr Konto kompromittiert wird.

Die Automatisierung von kontenübergreifenden Snapshots umfasst zwei Konten:

  • Source account (Quellkonto)—Das Quellkonto ist das Konto, das die Snapshots erstellt und mit dem Zielkonto teilt. In diesem Konto müssen Sie eine EBS Snapshot-Richtlinie erstellen, die in festgelegten Intervallen Snapshots erstellt und diese dann mit anderen Konten teilt. AWS

  • Target account (Zielkonto)—Das Zielkonto ist das Konto mit dem Zielkonto, für das die Snapshots freigegeben werden, und es ist das Konto, das Kopien der freigegebenen Snapshots erstellt. In diesem Konto müssen Sie eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, die automatisch Snapshots kopiert, die von einem oder mehreren angegebenen Quellkonten mit ihm geteilt werden.

Kontoübergreifende Richtlinien für Snapshot-Kopierrichtlinien

Um die Quell- und Zielkonten für das kontoübergreifende Snapshot-Kopieren vorzubereiten, müssen Sie die folgenden Schritte ausführen:

Themen

    Erstellen Sie im Quellkonto eine EBS Snapshot-Richtlinie, mit der die Snapshots erstellt und für die erforderlichen Zielkonten freigegeben werden.

    Achten Sie bei der Erstellung der Richtlinie darauf, dass Sie die kontoübergreifende gemeinsame Nutzung aktivieren und dass Sie die AWS Zielkonten angeben, für die die Snapshots freigegeben werden sollen. Dies sind die Konten, mit denen die Snapshots geteilt werden sollen. Wenn Sie verschlüsselte Snapshots teilen, müssen Sie den ausgewählten Zielkonten die Erlaubnis erteilen, den KMS Schlüssel zu verwenden, mit dem das Quellvolume verschlüsselt wurde. Weitere Informationen finden Sie unter Schritt 2: Teilen Sie Kundenverwalteter Schlüssel (Quellkonto).

    Anmerkung

    Sie können nur Snapshots freigeben, die unverschlüsselt oder mit einem Kundenverwalteter Schlüssel verschlüsselt sind. Sie können keine Snapshots teilen, die mit dem EBS Standard-Verschlüsselungsschlüssel verschlüsselt sind. KMS Wenn Sie verschlüsselte Snapshots teilen, müssen Sie auch den KMS Schlüssel, mit dem das Quellvolume verschlüsselt wurde, mit den Zielkonten teilen. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten.

    Weitere Informationen zum Erstellen einer EBS Snapshot-Richtlinie finden Sie unterBenutzerdefinierte Amazon Data Lifecycle Manager Manager-Richtlinie für EBS Snapshots erstellen.

    Verwenden Sie eine der folgenden Methoden, um die EBS Snapshot-Richtlinie zu erstellen.

    Wenn Sie verschlüsselte Snapshots teilen, müssen Sie der IAM Rolle und den AWS Zielkonten (die Sie im vorherigen Schritt ausgewählt haben) die Erlaubnis erteilen, den vom Kunden verwalteten Schlüssel zu verwenden, der zur Verschlüsselung des Quellvolumes verwendet wurde.

    Anmerkung

    Führen Sie diesen Schritt nur aus, wenn Sie verschlüsselte Snapshots freigeben. Wenn Sie unverschlüsselte Snapshots freigeben, überspringen Sie diesen Schritt.

    Console

    1. Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com

    2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

    3. Wählen Sie im Navigationsbereich die Option Vom Kunden verwalteter Schlüssel aus und wählen Sie dann den KMS Schlüssel aus, den Sie mit den Zielkonten teilen möchten.

      Notieren Sie sich den KMS SchlüsselARN, Sie benötigen ihn später.

    4. Scrollen Sie auf der Registerkarte Key policy (Schlüsselrichtlinie) nach unten zum Abschnitt Key users (Schlüsselbenutzer). Wählen Sie Hinzufügen, geben Sie den Namen der IAM Rolle ein, die Sie im vorherigen Schritt ausgewählt haben, und wählen Sie dann Hinzufügen.

    5. Scrollen Sie auf der Registerkarte Schlüsselrichtlinie nach unten zum Abschnitt Andere AWS -Konten. Wählen Sie Weitere AWS Konten hinzufügen und fügen Sie dann alle AWS Zielkonten hinzu, für die Sie die Snapshots im vorherigen Schritt freigegeben haben.

    6. Wählen Sie Änderungen speichern.

    Command line

    Verwenden Sie den get-key-policyBefehl, um die Schlüsselrichtlinie abzurufen, die derzeit mit dem KMS Schlüssel verknüpft ist.

    Mit dem folgenden Befehl wird beispielsweise die Schlüsselrichtlinie für einen KMS Schlüssel mit der ID abgerufen 9d5e2b3d-e410-4a27-a958-19e220d83a1e und in eine Datei mit dem Namen snapshotKey.json geschrieben.

    $ aws kms get-key-policy \
    --policy-name default \
    --key-id 9d5e2b3d-e410-4a27-a958-19e220d83a1e \
    --query Policy \
    --output text > snapshotKey.json

    Öffnen Sie die Schlüsselrichtlinie mit Ihrem bevorzugten Texteditor. Fügen Sie die IAM Rolle hinzu, die Sie bei ARN der Erstellung der Snapshot-Richtlinie angegeben haben, und die ARNs der Zielkonten, mit denen der KMS Schlüssel gemeinsam genutzt werden soll.

    In der folgenden Richtlinie haben wir beispielsweise die IAM Rolle ARN der Standardrolle und die ARN des Stammkontos für das Zielkonto hinzugefügt 222222222222.

    Tipp

    Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Zuschüsse für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.

    {
    "Sid" : "Allow use of the key",
    "Effect" : "Allow",
    "Principal" : {
        "AWS" : [
            "arn:aws:iam::111111111111:role/service-role/AWSDataLifecycleManagerDefaultRole",
            "arn:aws:iam::222222222222:root"
        ]
    },
    "Action" : [ 
        "kms:Encrypt", 
        "kms:Decrypt", 
        "kms:ReEncrypt*", 
        "kms:GenerateDataKey*", 
        "kms:DescribeKey" 
    ],
    "Resource" : "*"
}, 
{
    "Sid" : "Allow attachment of persistent resources",
    "Effect" : "Allow",
    "Principal" : {
        "AWS" : [
            "arn:aws:iam::111111111111:role/service-role/AWSDataLifecycleManagerDefaultRole",
            "arn:aws:iam::222222222222:root"
        ]
    },
    "Action" : [ 
        "kms:CreateGrant", 
        "kms:ListGrants", 
        "kms:RevokeGrant"
    ],
    "Resource" : "*",
    "Condition" : {
        "Bool" : {
          "kms:GrantIsForAWSResource" : "true"
        }
    }
}

    Speichern und schließen Sie die Datei. Verwenden Sie dann den put-key-policyBefehl, um die aktualisierte Schlüsselrichtlinie an den KMS Schlüssel anzuhängen. 

    $ aws kms put-key-policy \
    --policy-name default \
    --key-id 9d5e2b3d-e410-4a27-a958-19e220d83a1e \
    --policy file://snapshotKey.json

    Im Zielkonto müssen Sie eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, die automatisch Snapshots kopiert, die von den erforderlichen Quellkonten freigegeben werden.

    Diese Richtlinie wird nur auf dem Zielkonto ausgeführt, wenn eines der angegebenen Quellkonten Snapshots mit dem Konto teilt.

    Verwenden Sie eine der folgenden Methoden, um die Richtlinie für kontoübergreifende Kopierereignisse zu erstellen.

    Console

    1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

    2. Wählen Sie im Navigationsbereich Elastic Block Store und Lifecycle Manager aus. Wählen Sie dann Create lifecycle policy (Lebenszyklusrichtlinie erstellen) aus.

    3. Wählen Sie auf dem Bildschirm Richtlinientyp auswählen die Option Ereignisrichtlinie für kontoübergreifendes Kopieren und dann Weiter aus.

    4. Geben Sie unter Richtlinienbeschreibung eine kurze Beschreibung der Richtlinie ein.

    5. Fügen Sie für Richtlinien-Tags die Tags hinzu, die auf die Lebenszyklusrichtlinie angewendet werden sollen. Sie können diese Tags (Markierungen) verwenden, um Ihre Richtlinien zu identifizieren und zu kategorisieren.

    6. Definieren Sie im Abschnitt Ereigniseinstellungen das Snapshot-Freigabeereignis, das die Ausführung der Richtlinie bewirkt. Gehen Sie wie folgt vor:

      1. Geben Sie für Sharing-Konten die AWS Quellkonten an, von denen Sie die geteilten Snapshots kopieren möchten. Wählen Sie Konto hinzufügen, geben Sie die 12-stellige AWS Konto-ID ein und wählen Sie dann Hinzufügen aus.

      2. Geben Sie für Snapshot-Beschreibungsfilter die erforderliche Snapshot-Beschreibung mit einem regulären Ausdruck ein. Nur Snapshots, die von den angegebenen Quellkonten gemeinsam genutzt werden und Beschreibungen haben, die mit dem angegebenen Filter übereinstimmen, werden von der Richtlinie kopiert. Weitere Informationen finden Sie unter Festlegen von Snapshot-Beschreibungsfiltern.

    7. Wählen Sie IAMunter Rolle die IAM Rolle aus, die berechtigt ist, Aktionen zum Kopieren von Snapshots durchzuführen. Um die von Amazon Data Lifecycle Manager bereitgestellte Standardrolle zu verwenden, wählen Sie Standardrolle. Sie können auch eine benutzerdefinierte IAM Rolle verwenden, die Sie zuvor erstellt haben, indem Sie Andere Rolle auswählen und dann die zu verwendende Rolle auswählen.

      Wenn Sie verschlüsselte Snapshots kopieren, müssen Sie der ausgewählten IAM Rolle Berechtigungen zur Verwendung des KMS Verschlüsselungsschlüssels gewähren, mit dem das Quellvolume verschlüsselt wurde. Ebenso müssen Sie der IAM Rolle die Berechtigung zur Verwendung des KMS Zielschlüssels erteilen, wenn Sie den Snapshot in der Zielregion mit einem anderen Schlüssel verschlüsseln. KMS Weitere Informationen finden Sie unter Schritt 4: Erlauben Sie der IAM Rolle, die erforderlichen KMS Schlüssel zu verwenden (Zielkonto).

    8. Definieren Sie im Abschnitt Kopieraktion die Snapshot-Kopieraktionen, die die Richtlinie ausführen soll, wenn sie aktiviert wird. Die Richtlinie kann Snapshots in bis zu drei Regionen kopieren. Sie müssen für jede Zielregion eine separate Kopierregel angeben. Gehen Sie für jede hinzugefügte Regel wie folgt vor:

      1. Geben Sie unter Name einen aussagekräftigen Namen für die Kopieraktion ein.

      2. Wählen Sie für Target Region (Zielregion) die Region aus, in die Sie die Snapshots kopieren möchten.

      3. Geben Sie unter Ablauf an, wie lange die Snapshot-Kopien nach der Erstellung in der Zielregion aufbewahrt werden sollen.

      4. Um die Snapshot-Kopie zu verschlüsseln, wählen Sie für Verschlüsselung die Option Verschlüsselung aktivieren aus. Wenn der Quell-Snapshot verschlüsselt ist oder wenn die Verschlüsselung standardmäßig für Ihr Konto aktiviert ist, wird die Snapshot-Kopie immer verschlüsselt, selbst wenn Sie hier keine Verschlüsselung aktivieren. Wenn der Quell-Snapshot unverschlüsselt ist und die Verschlüsselung für Ihr Konto standardmäßig nicht aktiviert ist, können Sie die Verschlüsselung aktivieren oder deaktivieren. Wenn Sie die Verschlüsselung aktivieren, aber keinen KMS Schlüssel angeben, werden die Snapshots mit dem KMS Standardverschlüsselungsschlüssel in jeder Zielregion verschlüsselt. Wenn Sie einen KMS Schlüssel für die Zielregion angeben, müssen Sie Zugriff auf den KMS Schlüssel haben.

    9. Um zusätzliche Snapshot-Kopieraktionen hinzuzufügen, wählen Sie Neue Regionen hinzufügen.

    10. Wählen Sie für Richtlinienstatus nach der Erstellung die Option Richtlinie aktivieren, um die Ausführungen der Richtlinie zum nächsten eingeplanten Zeitpunkt zu starten oder Richtlinie deaktivieren, um zu verhindern, dass die Richtlinie ausgeführt wird. Wenn Sie die Richtlinie jetzt nicht aktivieren, beginnt sie erst mit dem Kopieren von Snapshots, wenn Sie sie nach der Erstellung manuell aktivieren.

    11. Wählen Sie Create Policy (Richtlinie erstellen) aus.

    Command line

    Verwenden Sie den create-lifecycle-policyBefehl, um eine Richtlinie zu erstellen. Um eine Richtlinie für kontoübergreifende Kopierereignisse PolicyType zu erstellen, geben Sie EVENT_BASED_POLICY an.

    Mit dem folgenden Befehl wird beispielsweise eine Richtlinie für kontoübergreifende Kopierereignisse im Zielkonto 222222222222 erstellt. Die Richtlinie kopiert Snapshots, die vom Quellkonto 111111111111 freigegeben werden. Die Richtlinie kopiert Snapshots nach sa-east-1 und eu-west-2. Snapshots, die in sa-east-1 kopiert wurden, sind unverschlüsselt und werden 3 Tage lang aufbewahrt. Schnappschüsse, nach eu-west-2 denen kopiert wurde, werden mit einem KMS Schlüssel verschlüsselt 8af79514-350d-4c52-bac8-8985e84171c7 und für einen Monat aufbewahrt. Die Richtlinie verwendet die IAM Standardrolle.

    $ aws dlm create-lifecycle-policy \
    --description "Copy policy" \
    --state ENABLED \
    --execution-role-arn arn:aws:iam::222222222222:role/service-role/AWSDataLifecycleManagerDefaultRole \
    --policy-details file://policyDetails.json

    Im Folgenden werden die Inhalte der policyDetails.json-Datei angezeigt.

    {
    "PolicyType" : "EVENT_BASED_POLICY",
    "EventSource" : {
        "Type" : "MANAGED_CWE",
        "Parameters": {
            "EventType" : "shareSnapshot",
            "SnapshotOwner": ["111111111111"]
        }
    },
    "Actions" : [{
        "Name" :"Copy Snapshot to Sao Paulo and London",
        "CrossRegionCopy" : [{
            "Target" : "sa-east-1",
             "EncryptionConfiguration" : {
                 "Encrypted" : false
             },
             "RetainRule" : {
             "Interval" : 3,
            "IntervalUnit" : "DAYS"
            }
        },
        {
            "Target" : "eu-west-2",
            "EncryptionConfiguration" : {
                 "Encrypted" : true,
                 "CmkArn" : "arn:aws:kms:eu-west-2:222222222222:key/8af79514-350d-4c52-bac8-8985e84171c7"
            },
            "RetainRule" : {
                "Interval" : 1,
                "IntervalUnit" : "MONTHS"
            }
        }]
    }]
}

    Wenn die Anforderung erfolgreich ist, gibt der Befehl die ID der neu erstellten Richtlinie zurück. Es folgt eine Beispielausgabe.

    {
    "PolicyId": "policy-9876543210abcdef0"
}

    Wenn Sie verschlüsselte Snapshots kopieren, müssen Sie der IAM Rolle (die Sie im vorherigen Schritt ausgewählt haben) Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels erteilen, der zur Verschlüsselung des Quellvolumes verwendet wurde.

    Anmerkung

    Führen Sie diesen Schritt nur aus, wenn Sie verschlüsselte Snapshots kopieren. Wenn Sie unverschlüsselte Snapshots kopieren, überspringen Sie diesen Schritt.

    Verwenden Sie eine der folgenden Methoden, um der Rolle die erforderlichen Richtlinien hinzuzufügen. IAM

    Console

    1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie im Navigationsbereich die Option Roles (Rollen) aus. Suchen Sie nach der IAM Rolle, die Sie bei der Erstellung der Richtlinie für kontoübergreifendes Kopieren von Ereignissen im vorherigen Schritt ausgewählt haben, und wählen Sie sie aus. Wenn Sie sich für die Verwendung der Standardrolle entschieden haben, erhält die Rolle einen Namen AWSDataLifecycleManagerDefaultRole.

    3. Wählen Sie Inline-Richtlinie hinzufügen und wählen Sie dann die JSONRegisterkarte aus.

    4. Ersetzen Sie die bestehende Richtlinie durch die folgende und geben Sie den KMS Schlüssel an, ARN der zum Verschlüsseln der Quellvolumes verwendet wurde und der Ihnen vom Quellkonto in Schritt 2 zur Verfügung gestellt wurde.

      Anmerkung

      Wenn Sie von mehreren Quellkonten kopieren, müssen Sie den entsprechenden KMS Schlüssel ARN für jedes Quellkonto angeben.

      Im folgenden Beispiel gewährt die Richtlinie der IAM Rolle die Berechtigung, den KMS Schlüssel1234abcd-12ab-34cd-56ef-1234567890ab, der vom Quellkonto gemeinsam genutzt wurde, und den KMS Schlüssel 1111111111114567dcba-23ab-34cd-56ef-0987654321yz, der im Zielkonto vorhanden ist, zu verwenden222222222222.

      Tipp

      Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.

       {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:RevokeGrant",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"		
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
            ]
        }
    ]
}

    5. Wählen Sie Review policy (Richtlinie überprüfen) aus.

    6. Geben Sie unter Name einen beschreibenden Namen für die Richtlinie ein, und wählen Sie dann Create policy (Richtlinie erstellen).

    Command line

    Erstellen Sie mit Ihrem bevorzugten Texteditor eine neue JSON Datei mit dem NamenpolicyDetails.json. Fügen Sie die folgende Richtlinie hinzu und geben Sie den KMS Schlüssel an, ARN der zum Verschlüsseln der Quellvolumes verwendet wurde und der Ihnen vom Quellkonto in Schritt 2 mitgeteilt wurde.

    Anmerkung

    Wenn Sie von mehreren Quellkonten kopieren, müssen Sie den entsprechenden KMS Schlüssel ARN für jedes Quellkonto angeben.

    Im folgenden Beispiel gewährt die Richtlinie der IAM Rolle die Berechtigung, den KMS Schlüssel1234abcd-12ab-34cd-56ef-1234567890ab, der vom Quellkonto gemeinsam genutzt wurde, und den KMS Schlüssel 1111111111114567dcba-23ab-34cd-56ef-0987654321yz, der im Zielkonto vorhanden ist, zu verwenden222222222222.

    Tipp

    Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.

     {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:RevokeGrant",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"		
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111111111111:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "arn:aws:kms:us-east-1:222222222222:key/4567dcba-23ab-34cd-56ef-0987654321yz"
            ]
        }
    ]
}

    Speichern und schließen Sie die Datei. Verwenden Sie dann den put-role-policyBefehl, um die Richtlinie zur IAM Rolle hinzuzufügen.

    Beispiel

    $ aws iam put-role-policy \
    --role-name AWSDataLifecycleManagerDefaultRole \
    --policy-name CopyPolicy \
    --policy-document file://AdminPolicy.json

    Festlegen von Snapshot-Beschreibungsfiltern

    Wenn Sie die Richtlinie für Snapshot-Kopien im Zielkonto erstellen, müssen Sie einen Snapshot-Beschreibungsfilter angeben. Mit dem Snapshot-Beschreibungsfilter können Sie eine zusätzliche Filterstufe angeben, mit der Sie steuern können, welche Snapshots von der Richtlinie kopiert werden. Dies bedeutet, dass ein Snapshot nur von der Richtlinie kopiert wird, wenn er von einem der angegebenen Quellkonten gemeinsam genutzt wird, und eine Snapshot-Beschreibung hat, die dem angegebenen Filter entspricht. Mit anderen Worten, wenn ein Snapshot von einem der angegebenen Kurskonten geteilt wird, aber keine Beschreibung hat, die dem angegebenen Filter entspricht, wird er nicht von der Richtlinie kopiert.

    Die Beschreibung des Snapshot-Filters muss mit einem regulären Ausdruck angegeben werden. Dies ist ein Pflichtfeld beim Erstellen von Richtlinien für kontoübergreifende Kopierereignisse mit der Konsole und der Befehlszeile. Im Folgenden finden Sie reguläre Beispielausdrücke, die verwendet werden können:

    • .*—Dieser Filter entspricht allen Snapshot-Beschreibungen. Wenn Sie diesen Ausdruck verwenden, kopiert die Richtlinie alle Snapshots, die von einem der angegebenen Quellkonten gemeinsam genutzt werden.

    • Created for policy: policy-0123456789abcdef0.*—Dieser Filter stimmt nur mit Snapshots überein, die von einer Richtlinie mit der ID policy-0123456789abcdef0 erstellt wurden. Wenn Sie einen Ausdruck wie diesen verwenden, werden nur Snapshots, die von einem der angegebenen Quellkonten mit Ihrem Konto geteilt werden und die von einer Richtlinie mit der angegebenen ID erstellt wurden, von der Richtlinie kopiert.

    • .*production.*—Dieser Filter entspricht jedem Snapshot, der das Wort production irgendwo in seiner Beschreibung enthält. Wenn Sie diesen Ausdruck verwenden, kopiert die Richtlinie alle Snapshots, die von einem der angegebenen Quellkonten gemeinsam genutzt werden und die den angegebenen Text in ihrer Beschreibung enthalten.

    Überlegungen zu Richtlinien für das kontoübergreifende Kopieren von Snapshots

    Die folgenden Überlegungen gelten für Richtlinien für kontoübergreifende Kopierereignisse:

    • Sie können nur Snapshots kopieren, die unverschlüsselt oder mit einem Kundenverwalteter Schlüssel verschlüsselt sind.

    • Sie können eine Richtlinie für kontoübergreifende Kopierereignisse erstellen, um Snapshots zu kopieren, die außerhalb von Amazon Data Lifecycle Manager freigegeben werden.

    • Wenn Sie Snapshots im Zielkonto verschlüsseln möchten, muss die IAM Rolle, die für die Richtlinie für das kontoübergreifende Kopieren ausgewählt wurde, berechtigt sein, den erforderlichen Schlüssel zu verwenden. KMS

    Weitere Ressourcen

    Weitere Informationen finden Sie im Blog Automatisieren des Kopierens verschlüsselter EBS Amazon-Snapshots im gesamten AWSAWS Kontospeicher.