Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Copia di uno snapshot Amazon EBS
Con Amazon EBS, puoi creare point-in-time istantanee di volumi, che archiviamo per te in Amazon S3. Dopo aver creato uno snapshot e averne terminato la copia su Amazon S3 (quando lo stato dello snapshot completed
è), puoi copiarlo da AWS una regione all'altra o all'interno della stessa regione. La crittografia lato server Amazon S3 (AES a 256 bit) protegge i dati di uno snapshot in transito durante un'operazione di copia. Alla copia dello snapshot viene assegnato un ID che è diverso dall'ID dello snapshot originale.
Per copiare istantanee multivolume in un'altra AWS regione, recupera le istantanee utilizzando il tag che hai applicato al set di snapshot multivolume al momento della creazione. Quindi copia individualmente gli snapshot in un'altra regione.
Se desideri che un altro account possa copiare la tua istantanea, devi modificare le autorizzazioni per consentire l'accesso a quell'account o rendere pubblica l'istantanea in modo che tutti gli account possano copiarla. AWS Per ulteriori informazioni, consulta Condivisione di uno snapshot Amazon EBS.
Per ulteriori informazioni sulla copia di uno snapshot Amazon RDS, consulta l'argomento relativo alla copia di uno snapshot DB nella Guida per l'utente di Amazon RDS.
Casi d'uso
-
Espansione geografica: avvia le tue applicazioni in una nuova regione. AWS
-
Migrazione: puoi trasferire un'applicazione in una nuova regione per ottimizzarne la disponibilità e ridurre i costi.
-
Disaster recovery: eseguire il backup di dati e log tra aree geografiche diverse a intervalli regolari. In caso di emergenza, è possibile ripristinare le applicazioni utilizzando i point-in-time backup archiviati nella regione secondaria. Ciò consente di ridurre la perdita di dati e i tempi di ripristino.
-
Crittografia: puoi crittografare uno snapshot non crittografato, cambiare la chiave con cui lo snapshot è stato crittografato oppure, nel caso di snapshot crittografati condivisi, puoi creare una copia personale da utilizzare per creare il volume.
-
Conservazione dei dati e requisiti di controllo: puoi copiare snapshot EBS crittografati da un account AWS a un altro per conservare i log dei dati e altri file a scopo di controllo o conservazione dei dati. L'utilizzo di un account diverso aiuta a prevenire l'eliminazione accidentale delle istantanee e protegge se l' AWS account principale viene compromesso.
Indice
Prerequisiti
-
Puoi copiare qualsiasi snapshot accessibile con stato
completed
, compresi gli snapshot condivisi e gli snapshot che hai creato. -
È possibile copiare Marketplace AWS le istantanee di VM Import/Export e Storage Gateway, ma è necessario verificare che la snapshot sia supportata nella regione di destinazione.
-
Per copiare uno snapshot crittografato, l'utente deve disporre delle seguenti autorizzazioni per utilizzare la crittografia Amazon EBS.
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
-
-
Per copiare un'istantanea crittografata condivisa da un altro AWS account, è necessario disporre delle autorizzazioni per utilizzare la chiave gestita dal cliente utilizzata per crittografare l'istantanea. Per ulteriori informazioni, consulta Condividere una chiave KMS.
Considerazioni
-
Esiste un limite di
20
richieste di copia simultanea di istantanee per regione di destinazione. Se questo limite viene superato, riceverai un erroreResourceLimitExceeded
. Se ricevi questo errore, attendi il completamento di una o più richieste di copia prima di effettuare una nuova richiesta di copia di istantanea. -
I tag definiti dall'utente non vengono copiati dallo snapshot di origine nel nuovo snapshot. Puoi aggiungere tag definiti dall'utente durante o dopo l'operazione di copia.
-
Gli snapshot creati mediante l'operazione di copia sono associati a un ID volume arbitrario, ad esempio
vol-ffff
ovol-ffffffff
. Gli ID volume arbitrari non devono essere utilizzati per nessun motivo. -
Le autorizzazioni a livello di risorsa specificate per l'operazione di copia snapshot si applicano solo al nuovo snapshot. Non è possibile specificare autorizzazioni a livello di risorsa per lo snapshot di origine. Per un esempio, vedi Esempio: copia delle istantanee.
Prezzi
-
Per informazioni sui prezzi sulla copia degli snapshot tra AWS regioni e account, consulta la pagina dei prezzi di Amazon EBS
. -
Se si copia uno snapshot e lo si crittografa in una nuova chiave KMS, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.
-
Se copi uno snapshot in una nuova regione, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi. Le copie successive dello stesso snapshot sono incrementali.
-
Se si utilizzano trasferimenti di dati esterni o tra regioni, sono previsti costi aggiuntivi per il trasferimento dati EC2
. Inoltre, se si eliminano degli snapshot dopo l'avvio, verranno comunque addebitati i costi per i dati già trasferiti.
Copia snapshot incrementale
Una copia snapshot incrementale è determinata dalla copia snapshot completata più di recente. Quando si copia uno snapshot tra regioni o account, la copia è una copia incrementale se sono soddisfatte le seguenti condizioni:
-
Lo snapshot è stato copiato nella regione o account di destinazione in precedenza.
-
La copia snapshot più recente esiste ancora nella regione o account di destinazione.
-
La copia istantanea più recente non è stata archiviata.
-
Tutte le copie dello snapshot nella regione o account di destinazione sono non crittografate o sono state crittografate utilizzando la stessa chiave KMS.
Se la copia snapshot più recente è stata eliminata, la copia successiva è una copia completa, non una copia incrementale. Se una copia è ancora in sospeso quando ne avvii un'altra, la seconda viene avviata solo al termine della prima.
Le operazioni di copia delle istantanee all'interno dello stesso account e regione utilizzando la stessa chiave KMS generano una copia incrementale.
La copia degli snapshot incrementali consente di ridurre il tempo necessario per copiare gli snapshot e risparmiare sui costi di trasferimento e archiviazione dei dati in quanto i dati non vengono duplicati.
Ti consigliamo di applicare tag agli snapshot con l'ID volume e l'ora di creazione in modo da poter tenere traccia della copia snapshot più recente di un volume nella regione o account di destinazione.
Per verificare se le copie degli snapshot sono incrementali, controlla l'evento CopySnapshot. CloudWatch
Crittografia e copia di snapshot
Quando copi uno snapshot, puoi crittografare la copia o specificare una chiave KMS diversa da quella originale. Lo snapshot copiato risultante utilizzerà la nuova chiave KMS. Tuttavia, la modifica dello stato crittografico di uno snapshot durante un'operazione di copia potrebbe comportare una copia completa (non incrementale) e ciò potrebbe causare il trasferimento di una quantità maggiore di dati e maggiori costi di archiviazione. Per ulteriori informazioni, consulta Copia snapshot incrementale.
Per copiare un'istantanea crittografata condivisa da un altro AWS account, è necessario disporre delle autorizzazioni per utilizzare l'istantanea e la chiave gestita dal cliente (CMK) utilizzata per crittografare l'istantanea. Quando si utilizza uno snapshot crittografato condiviso, raccomandiamo di applicare di nuovo la crittografia allo snapshot copiandolo e usando una chiave KMS sotto il proprio controllo. Ciò permette di proteggersi qualora la chiave KMS originale risulti compromessa o in caso di revoca da parte del proprietario. In questi casi non si avrebbe più l'autorizzazione ad accedere a nessun volume crittografato creato a partire dallo snapshot. Per ulteriori informazioni, consulta Condivisione di uno snapshot Amazon EBS.
È possibile applicare la crittografia alle copie snapshot EBS impostando il parametro Encrypted
su true
. (Il parametro Encrypted
è facoltativo se è abilitata la crittografia predefinita.)
Facoltativamente, è possibile usare KmsKeyId
per specificare una chiave personalizzata da utilizzare per crittografare la copia dello snapshot. (Anche il parametro Encrypted
deve anche essere impostato su true
, anche se è abilitata la crittografia di default). Se non è specificata alcuna KmsKeyId
, la chiave che viene utilizzata per la crittografia dipende dallo stato di crittografia dello snapshot di origine e dalla sua proprietà.
Nella tabella seguente sono descritti i risultati della crittografia per ogni combinazione possibile di impostazioni quando copi snapshot di tua proprietà e snapshot condivisi con te.
Argomenti
Crittografia per impostazione predefinita | Il parametro Encrypted è impostato? |
Stato crittografia snapshot di origine | Impostazione predefinita (nessuna chiave KMS specificata) | Personalizzato (chiave KMS specificata) |
---|---|---|---|---|
Disabilitato | No | Non crittografato | Non crittografato | N/A |
Crittografato | Criptato da Chiave gestita da AWS | |||
Sì | Non crittografato | Crittografato con chiave KMS predefinita | Crittografato con chiave KMS specificata** | |
Crittografato | Crittografato con chiave KMS predefinita | |||
Abilitato | No | Non crittografato | Crittografato con chiave KMS predefinita | N/A |
Crittografato | Crittografato con chiave KMS predefinita | |||
Sì | Non crittografato | Crittografato con chiave KMS predefinita | Crittografato con chiave KMS specificata** | |
Crittografato | Crittografato con chiave KMS predefinita |
** Questa è la chiave KMS specificata nell'operazione di copia dello snapshot. Questa chiave KMS viene utilizzata al posto di quella predefinita per l'account e la regione.
Copia di uno snapshot
Per copiare uno snapshot, utilizza uno dei seguenti metodi.
Per verificare la presenza di errori
Se cerchi di copiare uno snapshot crittografato senza disporre delle autorizzazioni per utilizzare la chiave di crittografia, l'operazione avrà automaticamente esito negativo. Lo stato di errore non viene visualizzato nella console finché non aggiorni la pagina. Puoi inoltre controllare lo stato dello snapshot dalla riga di comando, come nell'esempio seguente.
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
Se la copia non è riuscita a causa di autorizzazioni chiave insufficienti, viene visualizzato il seguente messaggio: "StateMessage«: «L'ID chiave fornito non è accessibile
».
Durante la copia di uno snapshot crittografato, devi disporre delle autorizzazioni DescribeKey
per la chiave CMK di default. Se tali autorizzazioni vengono negate in modo esplicito, il processo di copia restituirà un errore. Per informazioni sulla gestione delle chiavi CMK, consulta Autenticazione e controllo degli accessi per AWS KMS.