複製 Amazon EBS快照 - Amazon EBS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

複製 Amazon EBS快照

建立快照並到達 completed 狀態後,您可以將快照從一個 AWS 區域複製到另一個區域,或在同一區域中。快照複本是原始的確切複本,但是唯一的資源 ID。您可以複製您擁有的快照,以及私下或公開與您共用的快照。您可能需要複製下列使用案例的快照:

  • 地理擴展 — 您需要在新的區域中啟動應用程式。

  • 遷移:您需要將應用程式移至新區域,以便獲得更好的可用性或將成本降至最低。

  • 災難復原 — 您需要將資料和日誌備份至次要區域,以用於資料備援目的。

  • 加密:您需要加密先前未加密的快照,或使用不同的KMS金鑰重新加密加密的快照。

  • 複製共用快照 — 您需要複製與您共用的快照。

  • 資料保留和稽核需求:您需要將加密的快照從一個 AWS 帳戶複製到另一個帳戶,以保留資料進行稽核或資料保留。如果您的主要帳戶遭到入侵,使用不同的 AWS 帳戶可以保護您。

若要將多磁碟區快照複製到另一個 AWS 區域,請使用您在建立期間指派的標籤來識別該集中的所有快照,然後個別將快照複製到所需的區域。

如需有關複製 Amazon RDS快照的資訊,請參閱 Amazon RDS使用者指南 中的複製資料庫快照

定價

如需跨 AWS 區域和帳戶複製快照的定價資訊,請參閱 Amazon EBS Pricing

複製快照的考量事項

  • 您可以複製 AWS Marketplace、VM Import/Export 和 Storage Gateway 快照,但必須驗證目的地區域中是否支援快照。

  • 每個目標區域均存在 20 個並行快照複製請求的限制。如果您超過此配額,您會收到 ResourceLimitExceeded 錯誤。如果收到此錯誤,請先等待一或多個複製請求完成,然後再發出新的快照複製請求。

  • 使用者定義的標籤不會從來源快照複製到快照複本。在複製作業期間或之後,您都能新增使用者定義標籤。

  • 快照複製操作建立的快照具有任意磁碟區 ID,例如 vol-ffffvol-ffffffff。這些任意磁碟區IDs不應用於任何用途。

  • 為快照複製操作指定的資源層級許可僅適用於快照複製。您無法指定來源快照的資源層級許可。如需範例,請參閱範例:複製快照

  • 如果您複製快照並將其加密為新KMS金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

  • 如果您將快照複製到新區域,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。相同快照的後續複本為增量複本。

  • 如果您使用外部或跨區域資料傳輸,將收取額外的EC2資料傳輸費用。如果您在啟動後刪除任何快照,您仍需支付已傳輸的資料費用。

快照複本的目的地

如果您的帳戶中有 AWS 前哨,您可以將快照複製到 AWS 區域和前哨站。允許的目的地取決於來源快照的位置。

  • 如果來源快照位於 區域,您可以在該區域內將其複製到另一個區域,或複製到與該區域相關聯的前哨站。

  • 如果來源快照位於 Outpost 上,則無法複製它。

增量式快照複製

使用相同KMS金鑰的相同帳戶和區域中的快照複製操作一律是增量複本。不過,如果您使用不同的KMS金鑰加密快照複本,則複本是完整複本。

當您跨區域或帳戶複製快照時,如果符合下列條件,則該複本即為增量式複本:

  • 之前已將快照複製到目的地區域或帳戶。

  • 最近的快照複本仍存在於目的地區域或帳戶中。

  • 最新的快照副本尚未封存。

  • 目的地區域或帳戶中快照的所有複本都未加密或使用相同的KMS金鑰加密。

提示

建議您使用磁碟區 ID 和建立時間標記快照複本,以便追蹤目的地區域或帳戶中磁碟區的最新快照複本。

若要查看快照複本是否為增量,請檢查copySnapshot CloudWatch 事件。

加密和快照複製

注意

Amazon S3 伺服器端加密 (256 位元AES) 可在複製操作期間保護快照傳輸中的資料。

您可以建立未加密的來源快照的加密快照複本。您也可以使用不同於來源快照的KMS金鑰來加密快照複本。不過,在複製操作期間變更快照複本的加密狀態可能會導致完整 (非增量) 複本,進而產生更高的資料傳輸和儲存費用。

提示

使用與您共用的加密快照時,建議您複製快照並使用您擁有的KMS金鑰重新加密快照。這可在原始KMS金鑰遭到入侵,或擁有者撤銷您的存取權時保護您,這可能會導致您失去快照的存取權,以及您從中建立的任何加密磁碟區。

複製加密快照的許可

若要複製加密快照,您的使用者必須具有下列許可才能使用 Amazon EBS加密。

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • 若要複製從另一個 AWS 帳戶共用的加密快照,您必須具有使用客戶受管金鑰的許可,該金鑰用於加密該快照。如需詳細資訊,請參閱共用用於加密共用 Amazon EBS快照的KMS金鑰

快照複本的加密結果

下表說明複製您擁有的快照和與您共用的快照時的加密結果。

目的地區域預設加密 來源快照 快照複製加密結果 注意
已停用 未加密 選用加密 如果您加密複本,您可以指定要使用的KMS金鑰。如果您加密複本但未指定KMS金鑰,則會使用 AWS 受管金鑰 (aws/ebs)。
已停用 Encrypted 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則會使用 AWS 受管金鑰 (aws/ebs)。
已啟用 未加密 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則預設會使用為加密指定的金鑰。
已啟用 Encrypted 自動加密 您可以指定要使用的KMS金鑰。如果您未指定KMS金鑰,則預設會使用為加密指定的金鑰。

複製快照

若要複製快照,請使用下列其中一種方法。

Console
欲使用主控台複製除快照
  1. 在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/

  2. 在導覽窗格中,選擇 Snapshots (快照)。

  3. 選取要複製的快照,然後選取 Actions (動作)、Copy snapshot (複製快照)。

  4. 對於 Description (描述),輸入快照複本的簡短描述。

    根據預設,描述包括來源快照的資訊,讓您能夠辨識原始和複本內容。

  5. 對於 Destination Region (目的地區域),選取要在其中建立快照複本的區域。

  6. 僅限 Outpost 客戶 ) 若要在所選區域中的前哨建立快照複本,請在快照目的地選擇 AWS Outpost ,然後在目的地 Outpost ARN輸入要複製快照ARN的前哨的 。快照目的地欄位只會在所選區域中有前哨時出現。

  7. 指定快照複本的加密狀態。

    如果來源快照已加密,或您的帳戶預設已啟用加密,則快照複本會自動加密。如果來源快照未加密,而且您的帳戶預設未啟用加密,則加密是選用的。

  8. 選擇 Copy Snapshot (複製快照)

注意

若您嘗試複製加密快照,但沒有使用該加密金鑰的許可,此操作會失敗也不會提示。錯誤狀態不會顯示於主控台,直到您重新整理該頁面。

AWS CLI
使用 複製快照 AWS CLI

使用 copy-snapshot 命令。

使用 Tools for Windows 複製快照 PowerShell

使用 Copy-EC2Snapshot命令。

注意

如果您嘗試在沒有使用加密金鑰許可的情況下複製加密的快照,操作會無聲失敗,而且快照複本會收到「無法存取授與的金鑰 ID」狀態訊息。