Amazon EBS スナップショットのコピー - Amazon EBS
スナップショットのコピーに関する考慮事項スナップショットコピーの送信先増分スナップショットコピー暗号化とスナップショットのコピースナップショットをコピーする

Amazon EBS スナップショットのコピー

スナップショットを作成し、completed 状態に達したら、ある AWS リージョンから別のリージョン、または同じリージョン内でスナップショットをコピーできます。スナップショットコピーは元の正確なコピーですが、一意のリソース ID です。所有しているスナップショットと、共有されているスナップショットをプライベートまたはパブリックにコピーできます。次のユースケースでは、スナップショットをコピーする必要がある場合があります。

  • 地理的拡張 — アプリケーションを新しいリージョンで起動します。

  • 移行 — アプリケーションを新しいリージョンに移動して、可用性を向上させる、またはコストを最小化します。

  • ディザスタリカバリ — データの冗長性のために、データとログをセカンダリリージョンにバックアップする必要があります。

  • 暗号化 — 以前に暗号化されていないスナップショットを暗号化するか、別の KMS キーを使用して暗号化されたスナップショットを再暗号化する必要があります。

  • 共有スナップショットのコピー — 共有されているスナップショットをコピーする必要があります。

  • データ保持および監査要件 — 監査およびデータ保持のために暗号化された EBS スナップショットを AWS アカウントから別のアカウントへコピーし、データログや他のファイルを保持する必要があります。別のアカウントを使用すると、メイン AWS アカウントが侵害されても保護できます。

マルチボリュームスナップショットを別の AWS リージョンにコピーするには、作成時に割り当てたタグを使用して、そのセットの一部であるスナップショットをすべて識別し、スナップショットを必要なリージョンに個別にコピーします。

Amazon RDS スナップショットのコピーについては、『Amazon RDS ユーザーガイド』のDB スナップショットのコピーを参照してください。

料金

AWS リージョンおよびアカウント間におけるスナップショットのコピーの料金については、Amazon EBS 料金を参照してください。

スナップショットのコピーに関する考慮事項

  • また、AWS Marketplace、VM Import/Export、Storage Gateway スナップショットをコピーすることができますが、そのスナップショットが送信先リージョンでサポートされていることを確認する必要があります。

  • 送信先リージョンごとの 20 同時スナップショットコピーリクエストには制限があります。このクォータを超えると、ResourceLimitExceeded エラーが発生します。このエラーが発生した場合は、1 つ以上のコピー要求が完了するのを待ってから、新しいスナップショットコピー要求を作成してください。

  • ユーザー定義タグは元のスナップショットからスナップショットコピーへコピーされません。コピー操作中または操作後に、ユーザー定義タグを追加することができます。

  • スナップショットコピーオペレーションによって作成されたスナップショットには、vol-ffffvol-ffffffff などの任意のボリューム ID が付されます。これらの任意のボリューム ID は、いかなる目的にも使用しないでください。

  • スナップショットコピー操作のために指定されたリソースレベルのアクセス許可は、スナップショットのコピーにのみ適用されます。ソーススナップショットには、リソースレベルのアクセス許可は指定できません。例については、「例: スナップショットのコピー」を参照してください。

  • 高速スナップショット復元が有効化されているスナップショットをコピーすると、そのスナップショットコピーの高速スナップショット復元は自動で有効化されまん。スナップショットコピーの高速スナップショット復元を明示的に有効にする必要があります。

  • スナップショットをコピーして、新しい KMS キーで暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。

  • スナップショットを新しいリージョンにコピーすると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。

  • 外部またはクロスリージョンのデータ転送を使用する場合は、EC2 データ転送の追加料金が適用されます。開始後にスナップショットを削除しても、転送済みのデータに対して料金が課されます。

スナップショットコピーの送信先

アカウントに Outpost がある場合は、スナップショットを AWS リージョンと AWS Outpost にコピーできます。許可される送信先は、ソーススナップショットの場所によって異なります。

  • ソーススナップショットがリージョンにある場合は、そのリージョン内、別のリージョン、またはそのリージョンに関連付けられた Outpost にコピーできます。

  • ソーススナップショットが Outpost にある場合、コピーすることはできません。

増分スナップショットコピー

同じ KMS キーを使用する同じアカウントとリージョン内のスナップショットコピー操作は常に増分コピーになります。ただし、別の KMS キーを使用してスナップショットコピーを暗号化すると、そのコピーは完全なコピーになります。

リージョンまたはアカウントにわたってスナップショットをコピーする場合、次の条件に合致すればコピーは増分となります。

  • スナップショットが送信先のリージョンまたはアカウントにコピーされたことがある。

  • 最近のスナップショットコピーが送信先のリージョンまたはアカウントにまだ存在する。

  • 最新のスナップショットコピーがまだアーカイブされていない。

  • 送信先のリージョンまたはアカウントのすべてのスナップショットのコピーが、暗号化されていないか、あるいは同じ KMS キーを使って暗号化されていた。

ヒント

送信先リージョンまたはアカウントで最近のボリュームのスナップショットコピーを追跡できるよう、スナップショットコピーにボリューム ID と作成時刻をタグ付けすること推奨します。

スナップショットコピーが増分かどうか確認するには、copySnapshot CloudWatch イベントをチェックします。

暗号化とスナップショットのコピー

注記

Amazon S3 のサーバー側の暗号化 (256 ビット AES) は、コピー操作中に転送中のスナップショットのデータを保護します。

暗号化されていないソーススナップショットの暗号化されたスナップショットコピーを作成できます。また、ソーススナップショットとは異なる KMS キーを使用してスナップショットコピーを暗号化できます。ただし、コピー操作中にスナップショットコピーの暗号化状態を変更すると、完全コピー (増分ではない) が返され、より大規模なデータ転送およびストレージ料金が発生する可能性があります。

ヒント

共有された暗号化されたスナップショットを使用する場合は、自分が所有する KMS キーを使用してスナップショットを再暗号化することをお勧めします。これにより、KMS キーが侵害された、または所有者がアクセス許可を取り消したため、スナップショットを使用して作成した暗号化されたボリュームへのアクセスが失われる可能性がある場合でも保護されます。

暗号化されたスナップショットのコピーのアクセス許可

暗号されたスナップショットをコピーするには、ユーザーに Amazon EBS 暗号化を使用するための次のアクセス許可が必要です。

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • 別の AWS アカウントから共有された暗号化スナップショットをコピーするには、そのスナップショットの暗号化に使用されたカスタマーマネージドキーを使用するためのアクセス許可が必要です。詳細については、「共有 Amazon EBS スナップショットの暗号化に使用される KMS キーを共有」を参照してください。

スナップショットコピーの暗号化の結果

ユーザーが所有するスナップショットおよび共有されたスナップショットをコピーする際の設定に関する表は次のとおりです。

送信先リージョンのデフォルトでの暗号化 ソーススナップショット スナップショットコピーの暗号化の結果 注記
無効 暗号化されていない オプションの暗号化 コピーを暗号化する場合は、使用する KMS キーを指定できます。コピーを暗号化しても KMS キーを指定しない場合、AWS マネージドキー (aws/ebs) が使用されます。
無効 暗号化された 自動暗号化 使用する KMS キーを指定できます。KMS キーを指定しない場合、AWS マネージドキー (aws/ebs) が使用されます。
有効 暗号化されていない 自動暗号化 使用する KMS キーを指定できます。KMS キーを指定しない場合、暗号化用に指定されたキーがデフォルトで使用されます。
有効 暗号化された 自動暗号化 使用する KMS キーを指定できます。KMS キーを指定しない場合、暗号化用に指定されたキーがデフォルトで使用されます。

スナップショットをコピーする

スナップショットをコピーするには、次のいずれかの方法を使用します。

Console
コンソールを使用してスナップショットをコピーするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[Snapshots] を選択します。

  3. コピーするスナップショットを選択し、[Actions] (アクション)、[Copy snapshot] (スナップショットのコピー) の順にクリックします。

  4. [Description] (説明) に、スナップショットのコピーの簡潔な説明を入力します。

    デフォルトでは、スナップショットとコピーを見分けられるよう、元のスナップショットに関する情報が説明に含まれています。

  5. [Destionation Region] (送信先のリージョン) で、スナップショットのコピーを作成するリージョンを選択します。

  6. (Outpost のお客様のみ) 選択したリージョンの Outpost にスナップショットコピーを作成するには、[スナップショットの送信先][AWS Outpost]を選択し、[送信先の Outpost の ARN] でスナップショットをコピーする Outpost の ARN を入力します。[スナップショットの送信先] フィールドは、選択したリージョンに Outpost がある場合にのみ表示されます。

  7. スナップショットコピーの暗号化ステータスを指定します。

    ソースのスナップショットが暗号化されている場合、またはアカウントで [デフォルトで暗号化] を有効にしている場合、スナップショットコピーは自動的に暗号化されます。ソーススナップショットが暗号化されておらず、アカウントがデフォルトで暗号化を有効にしていない場合、暗号化はオプションです。

  8. [スナップショットをコピー] を選択します。

注記

暗号化キーを使用する権限なしで、暗号化されたスナップショットをコピーしようとすると、メッセージが表示されずに操作に失敗します。ページを更新するまでエラー状態はコンソールに表示されません。

AWS CLI
AWS CLI を使用してスナップショットをコピーするには

copy-snapshot コマンドを使用します。

Tools for Windows PowerShell を使用してスナップショットをコピーするには

Copy-EC2Snapshot コマンドを使用します。

注記

暗号化キーを使用するアクセス許可のない暗号化されたスナップショットをコピーしようとすると、オペレーションはサイレントに失敗し、スナップショットコピーは[指定されたキー ID にアクセスできません] ステータスメッセージを受け取ります。