Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membagikan snapshot Amazon EBS
Anda dapat memodifikasi izin dari snapshot jika Anda ingin berbagi dengan akun AWS lainnya. Anda dapat berbagi snapshot secara publik dengan semua AWS akun lain, atau Anda dapat membagikannya secara pribadi dengan AWS akun individual yang Anda tentukan. Pengguna yang Anda beri wewenang dapat menggunakan snapshot yang Anda bagikan untuk membuat volume EBS mereka sendiri, sementara snapshot asli Anda tetap tidak terpengaruh.
penting
Saat Anda berbagi snapshot, Anda memberikan akses ke semua data di snapshot kepada orang lain. Bagikan snapshot hanya kepada individu yang Anda percayai dengan semua data snapshot Anda.
Untuk mencegah berbagi snapshot secara publik, Anda dapat mengaktifkan blokir akses publik untuk snapshot. Untuk informasi selengkapnya, lihat Memblokir akses publik ke AMI Anda.
Topik
Sebelum Anda berbagi snapshot
Hal-hal berikut berlaku saat berbagi snapshot:
-
Jika pemblokiran akses publik untuk snapshot diaktifkan untuk Wilayah, upaya guna membagikan snapshot secara publik akan diblokir. Snapshot masih dapat dibagikan secara privat.
-
Snapshot dibatasi untuk Wilayah tempatnya dibuat. Untuk berbagi snapshot dengan Wilayah lain, salin snapshot ke Wilayah tersebut, lalu bagikan salinannya. Untuk informasi selengkapnya, lihat Menyalin snapshot Amazon EBS.
-
Anda tidak dapat berbagi snapshot yang dienkripsi dengan Kunci yang dikelola AWS default. Anda hanya dapat berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Membuat Kunci di Panduan Developer AWS Key Management Service .
-
Anda hanya dapat berbagi snapshot yang tidak terenkripsi secara publik.
-
Saat Anda berbagi snapshot terenkripsi, Anda juga harus berbagi kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat Bagikan kunci KMS.
Membagikan snapshot
Anda dapat berbagi snapshot menggunakan salah satu metode yang dijelaskan di bagian ini.
Bagikan kunci KMS
Saat Anda berbagi snapshot terenkripsi, Anda juga harus berbagi kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi snapshot. Anda dapat menerapkan izin lintas akun ke kunci yang dikelola pelanggan baik saat dibuat atau di lain waktu.
Pengguna kunci yang dikelola pelanggan bersama Anda yang mengakses snapshot terenkripsi harus diberikan izin untuk melakukan tindakan berikut pada kunci tersebut:
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant
. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource
kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh layanan. AWS
Untuk informasi selengkapnya tentang mengontrol akses ke kunci yang dikelola pelanggan, lihat Menggunakan kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .
Untuk berbagi kunci terkelola pelanggan menggunakan AWS KMS konsol
-
Buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Pilih Kunci yang dikelola pelanggan di panel navigasi.
-
Di kolom Alias, pilih alias (tautan teks) dari kunci yang dikelola pelanggan yang Anda gunakan untuk mengenkripsi snapshot. Detail kunci terbuka di halaman baru.
-
Di bagian Kebijakan kunci, Anda melihat tampilan kebijakan atau tampilan default. Tampilan kebijakan menampilkan dokumen kebijakan kunci. Tampilan default menampilkan bagian untuk Administrator kunci, Penghapusan kunci, Penggunaan Kunci, dan Akun AWS lainnya. Tampilan default ditampilkan jika Anda membuat kebijakan di konsol dan belum menyesuaikannya. Jika tampilan default tidak tersedia, Anda perlu mengedit kebijakan secara manual dalam tampilan kebijakan. Untuk informasi selengkapnya, lihat Melihat Kebijakan Kunci (Konsol) dalam AWS Key Management Service Panduan Developer.
Gunakan tampilan kebijakan atau tampilan default, bergantung pada tampilan mana yang dapat Anda akses, untuk menambahkan satu atau beberapa ID AWS akun ke kebijakan, sebagai berikut:
(Tampilan kebijakan) Pilih Edit. Tambahkan satu atau beberapa ID AWS akun ke pernyataan berikut:
"Allow use of the key"
dan"Allow attachment of persistent resources"
. Pilih Simpan perubahan. Dalam contoh berikut, ID AWS akun444455556666
ditambahkan ke kebijakan.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::
111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333
:user/KeyUser
", "arn:aws:iam::444455556666
:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Tampilan default) Gulir ke bawah ke AWS akun lain. Pilih Tambahkan AWS akun lain dan masukkan ID AWS akun seperti yang diminta. Untuk menambahkan akun lain, pilih Tambahkan AWS akun lain dan masukkan ID AWS akun. Setelah Anda menambahkan semua akun AWS , pilih Simpan perubahan.
Melihat snapshot yang dibagikan dengan Anda
Anda dapat melihat snapshot yang dibagikan dengan Anda menggunakan salah satu metode berikut.
Menggunakan snapshot yang dibagikan dengan Anda
Untuk menggunakan snapshot yang dibagikan yang tidak dienkripsi
Cari snapshot yang dibagikan berdasarkan ID atau deskripsi. Untuk informasi selengkapnya, lihat Melihat snapshot yang dibagikan dengan Anda. Anda dapat menggunakan snapshot ini sebagaimana dengan snapshot lain yang Anda miliki di akun Anda. Misalnya, Anda dapat membuat volume dari snapshot atau menyalinnya ke Wilayah yang berbeda.
Untuk menggunakan snapshot yang dibagikan yang terenkripsi
Cari snapshot yang dibagikan berdasarkan ID atau deskripsi. Untuk informasi selengkapnya, lihat Melihat snapshot yang dibagikan dengan Anda. Buat salinan snapshot yang dibagikan di akun Anda, dan enkripsi salinannya dengan kunci KMS yang Anda miliki. Anda kemudian dapat menggunakan salinan untuk membuat volume atau Anda dapat menyalinnya ke Wilayah yang berbeda.
Menentukan penggunaan snapshot yang Anda bagikan
Anda dapat menggunakan AWS CloudTrail untuk memantau apakah snapshot yang telah Anda bagikan dengan orang lain disalin atau digunakan untuk membuat volume. Peristiwa berikut masuk CloudTrail:
-
SharedSnapshotCopyInitiated— Snapshot bersama sedang disalin.
-
SharedSnapshotVolumeCreated— Snapshot bersama sedang digunakan untuk membuat volume.
Untuk informasi selengkapnya tentang penggunaan CloudTrail, lihat Log panggilan Amazon EC2 dan Amazon EBS API dengan. AWS CloudTrail