翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EBSスナップショットのコピー
Amazon ではEBS、ボリュームの point-in-time スナップショットを作成できます。このスナップショットは Amazon S3 に保存されます。スナップショットを作成し、Amazon S3 へのコピーが完了したら (スナップショットのステータスが の場合completed
)、ある AWS リージョンから別のリージョン、または同じリージョン内でスナップショットをコピーできます。Amazon S3 サーバー側の暗号化 (256 ビットAES) は、コピーオペレーション中に転送中のスナップショットのデータを保護します。スナップショットコピーは、元のスナップショットの ID とは異なる ID を受け取ります。
マルチボリュームスナップショットを別の AWS リージョンにコピーするには、マルチボリュームスナップショットの作成時にマルチボリュームスナップショットセットに適用したタグを使用してスナップショットを取得します。次に、スナップショットを個別に別のリージョンにコピーします。
別のアカウントでスナップショットをコピーできるようにする場合は、スナップショットのアクセス許可を変更してそのアカウントへのアクセスを許可するか、スナップショットを公開して、すべての AWS アカウントがスナップショットをコピーできるようにする必要があります。詳細については、「Amazon EBSスナップショットを共有する」を参照してください。
Amazon RDSスナップショットのコピーの詳細については、「Amazon RDSユーザーガイド」の「DB スナップショットのコピー」を参照してください。
ユースケース
-
地理的拡張: 新しい AWS リージョンでアプリケーションを起動します。
-
移行: アプリケーションを新しいリージョンに移動して、可用性を向上させ、コストを最小化します。
-
災害対策: 異なる地理的場所にまたがって定期的にデータをバックアップし、ログを記録します。災害が発生した場合は、セカンダリリージョンに保存されている point-in-time バックアップを使用してアプリケーションを復元できます。これにより、データ損失と復旧時間を最小限に抑えることができます。
-
暗号化: 以前に暗号化されたスナップショットを暗号化し、スナップショットの暗号化に使用されるキーを変更します。または (他のユーザーから共有された暗号化スナップショットの場合)、自分が所有するコピーを作成し、そのコピーからボリュームを作成できるようにします。
-
データ保持と監査の要件: 暗号化されたEBSスナップショットをあるアカウントから別の AWS アカウントにコピーして、監査やデータ保持のためにデータログやその他のファイルを保存します。別のアカウントを使用すると、スナップショットが誤って削除されるのを防ぎ、メイン AWS アカウントが侵害された場合に保護されます。
前提条件
-
共有スナップショットや作成したスナップショットを含む 「
completed
「 ステータスのアクセス可能な任意のスナップショットをコピーできます。 -
AWS Marketplace、VM Import/Export、Storage Gateway スナップショットをコピーできますが、スナップショットがコピー先リージョンでサポートされていることを確認する必要があります。
-
暗号化されたスナップショットをコピーするには、ユーザーに Amazon EBS暗号化を使用するための次のアクセス許可が必要です。
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:GenerateDataKeyWithoutPlaintext
-
kms:ReEncrypt
-
kms:Decrypt
-
-
別のアカウントから共有された暗号化されたスナップショットをコピーするには AWS 、スナップショットの暗号化に使用されたカスタマーマネージドキーを使用するためのアクセス許可が必要です。詳細については、「KMS キーを共有する」を参照してください。
考慮事項
-
宛先リージョンごとの
20
同時スナップショットコピーリクエストには制限があります。このクォータを超えると、ResourceLimitExceeded
エラーが発生します。このエラーが発生した場合は、1 つ以上のコピー要求が完了するのを待ってから、新しいスナップショットコピー要求を作成してください。 -
ユーザー定義タグは元のスナップショットから新しいスナップショットにコピーされません。コピー操作中または操作後に、ユーザー定義タグを追加することができます。
-
スナップショットコピーオペレーションによって作成されたスナップショットには、
vol-ffff
やvol-ffffffff
などの任意のボリューム ID が付されます。これらの任意のボリュームIDsは、いかなる目的にも使用しないでください。 -
スナップショットコピーオペレーションのために指定されたリソースレベルのアクセス権限は、新しいスナップショットにのみ適用されます。ソーススナップショットには、リソースレベルのアクセス権限は指定できません。例については、「例: スナップショットのコピー」を参照してください。
料金
-
AWS リージョンとアカウント間でのスナップショットのコピーに関する料金情報については、「Amazon のEBS料金
」を参照してください。 -
スナップショットをコピーして新しいKMSキーに暗号化すると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。
-
スナップショットを新しいリージョンにコピーすると、完全な (増分ではない) コピーが作成されます。その結果、追加のストレージコストが発生します。同じスナップショットの後続のコピーは増分です。
-
外部データ転送またはクロスリージョンデータ転送を使用する場合は、追加のEC2データ転送
料金が適用されます。また、開始後にスナップショットを削除しても、転送済みのデータに対して料金が課されます。
増分スナップショットコピー
スナップショットコピーが増分かどうかは、最近完了したスナップショットコピーによって決定されます。リージョンまたはアカウントにわたってスナップショットをコピーする場合、次の条件に合致すればコピーは増分となります。
-
スナップショットがコピー先のリージョンまたはアカウントにコピーされたことがある。
-
最近のスナップショットコピーがコピー先のリージョンまたはアカウントにまだ存在する。
-
最新のスナップショットコピーはアーカイブされていません。
-
コピー先のリージョンまたはアカウントのスナップショットのコピーはすべて暗号化されていないか、同じKMSキーを使用して暗号化されています。
最近のスナップショットコピーが削除され、次のコピーがフルコピーである場合、増分コピーではありません。別のコピーを開始するときにコピーがまだ保留中の場合は、最初のコピーが終了した後にのみ 2 番目のコピーが開始されます。
同じKMSキーを使用して、同じアカウントとリージョン内のスナップショットコピーオペレーションを実行すると、増分コピーが作成されます。
スナップショットの増分コピーでは、スナップショットのコピーに必要な時間が短縮され、データを複製しないことで、データ転送とストレージ料金が節約されます。
コピー先リージョンまたはアカウントで最近のボリュームのスナップショットコピーをトラッキングできるよう、スナップショットにボリューム ID と作成時刻をタグ付けすること推奨します。
スナップショットコピーが増分であるかどうかを確認するには、 copySnapshot CloudWatch イベントを確認します。
暗号化とスナップショットのコピー
スナップショットをコピーするときは、コピーを暗号化するか、元のものとは異なるKMSキーを指定し、コピーされたスナップショットは新しいKMSキーを使用します。ただし、コピーオペレーション中にスナップショットの暗号化状態を変更すると、完全コピー (増分ではない) が返され、より大規模なデータ転送およびストレージ料金が発生する可能性があります。詳細については、「増分スナップショットコピー」を参照してください。
別のアカウントから共有された暗号化されたスナップショットをコピーするには AWS 、スナップショットと、スナップショットの暗号化に使用されたカスタマーマネージドキー (CMK) を使用するアクセス許可が必要です。共有された暗号化されたスナップショットを使用する場合は、所有しているKMSキーを使用してスナップショットをコピーして再暗号化することをお勧めします。これにより、元のKMSキーが侵害された場合、または所有者が取り消した場合、スナップショットを使用して作成した暗号化されたボリュームにアクセスできなくなる可能性があります。詳細については、「Amazon EBSスナップショットを共有する」を参照してください。
EBS スナップショットコピーに暗号化を適用するには、 Encrypted
パラメータを に設定しますtrue
。([デフォルトで暗号化] が有効になっている場合、Encrypted
パラメータはオプションです。)
必要に応じて KmsKeyId
を使用して、スナップショットコピーの暗号化に使用するカスタムキーを指定できます。(暗号化がデフォルトで有効になっている場合でも、Encrypted
パラメータを true
に設定する必要があります。) KmsKeyId
が指定されていない場合、暗号化に使用されるキーはソーススナップショットの暗号化状態とその所有権によって異なります。
ユーザーが所有するスナップショットおよび共有されたスナップショットをコピーする際の設定に関して、各組み合わせの暗号化結果は次の表のとおりです。
トピック
デフォルトでの暗号化 | Encrypted パラメータが設定されているか |
ソーススナップショットの暗号化ステータス | デフォルト (KMSキーが指定されていません) | カスタム (KMS キーを指定) |
---|---|---|---|---|
無効 | いいえ | 暗号化されていない | 暗号化されていない | 該当なし |
暗号化された | で暗号化 AWS マネージドキー | |||
あり | 暗号化されていない | デフォルトKMSキーで暗号化 | 指定されたKMSキーで暗号化** | |
暗号化された | デフォルトKMSキーで暗号化 | |||
有効 | いいえ | 暗号化されていない | デフォルトKMSキーで暗号化 | 該当なし |
暗号化された | デフォルトKMSキーで暗号化 | |||
あり | 暗号化されていない | デフォルトKMSキーで暗号化 | 指定されたKMSキーで暗号化** | |
暗号化された | デフォルトKMSキーで暗号化 |
** これはスナップショットのコピーアクションで指定されたKMSキーです。このKMSキーは、アカウントとリージョンのデフォルトKMSキーの代わりに使用されます。
スナップショットをコピーする
スナップショットをコピーするには、次のいずれかの方法を使用します。
エラーをチェックするには
暗号化キーを使用する権限なしで、暗号化されたスナップショットをコピーしようとすると、メッセージが表示されずに操作に失敗します。ページを更新するまでエラー状態はコンソールに表示されません。次の例のように、コマンドラインからスナップショットの状態を確認することもできます。
aws ec2 describe-snapshots --snapshot-id snap-0123abcd
キーのアクセス許可が不十分なためにコピーが失敗した場合、StateMessage「」:「キー ID を取得できません」という
メッセージが表示されます。
暗号化されたスナップショットをコピーするときは、デフォルトの に対するDescribeKey
アクセス許可が必要ですCMK。明示的にこれらのアクセス許可を拒否するとコピーの障害が発生します。CMK キーの管理の詳細については、「 の認証とアクセスコントロール AWS KMS」を参照してください。