Amazon Elastic Compute Cloud
Linux 实例用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

共享 Amazon EBS 快照

通过修改快照的权限,您可以与您指定的 AWS 账户共享快照。您已授权的用户可以使用您共享的快照作为基础来创建自己的 EBS 卷,同时您的原始快照不受影响。如选择,您可使您的未加密快照对所有 AWS 用户公开可用。您不能使加密快照公开可用。

共享加密快照时,还必须共享用于加密快照的自定义 CMK。您可以在创建自定义 CMK 时或以后的某个时间向自定义 CMK 应用跨账户权限。

重要

共享快照时,您可以让其他人访问快照上的所有数据。仅与您要与其分享所有快照数据的人分享快照。

注意事项

共享快照时需考虑以下事项:

  • 快照受限于在其中创建它们的区域。要与其他区域共享快照,请将快照复制到该区域。有关更多信息,请参阅 复制 Amazon EBS 快照

  • 如果您的快照使用较长资源 ID 格式,则只能将其与支持较长 ID 的账户共享。有关更多信息,请参阅资源 ID

  • AWS 会阻止您共享使用您的默认 CMK 加密的快照。您打算共享的快照必须使用自定义 CMK 加密。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥

  • 必须为正在访问加密快照的共享 CMK 用户授予对密钥执行以下操作的权限:kms:DescribeKeykms:CreateGrantGenerateDataKeykms:ReEncrypt。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的控制对客户主密钥的访问权限

  • 如果您拥有对共享加密快照的访问权限,并且您希望从该快照还原卷,则必须创建该快照的个人副本,然后使用该副本还原卷。我们建议您在复制过程中,使用您控制的其他密钥重新加密快照。这样,即使原始密钥遭到泄露或拥有者出于任何原因撤销了密钥,您也不会失去对卷的访问权限。

共享未加密快照

使用控制台共享快照

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择快照,然后依次选择操作修改权限

  4. 使快照公开可用或与特定 AWS 账户共享快照,如下所示:

    • 要使快照公开可用,请选择 Public

      该选项不适用于加密快照或具有 AWS Marketplace 产品代码的快照。

    • 要与一个或多个 AWS 账户共享快照,请选择私有,在 AWS 账号中键入 AWS 账户 ID(无连字符),然后选择添加权限。对任何其他 AWS 账户重复此步骤。

  5. 选择 Save (保存)

使用与我共享的加密快照

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择私有快照筛选条件。

  4. 按 ID 或描述查找快照。您可以像使用任何其他快照一样使用此快照;例如,您可以从快照创建卷或将快照复制到其他区域。

共享加密的快照

使用控制台共享加密快照

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择加密密钥

  3. 选择用于加密快照的自定义密钥的别名。

  4. 对于每个 AWS 账户,选择添加外部账户,并在出现提示时键入 AWS 账户 ID。添加完所有 AWS 账户时,选择保存更改

  5. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  6. 在导航窗格中,选择 Snapshots

  7. 选择快照,然后依次选择操作修改权限

  8. 对于每个 AWS 账户,在 AWS 账号中键入 AWS 账户 ID,然后选择添加权限。添加完所有 AWS 账户时,选择保存

使用与我共享的加密快照

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Snapshots

  3. 选择私有快照筛选条件。(可选)添加加密筛选条件。

  4. 按 ID 或描述查找快照。

  5. 建议您使用您拥有的其他密钥重新加密快照。这样,即使原始密钥泄露或拥有者撤销了密钥,您也不会失去对您从快照创建的加密卷的访问权限。

    1. 选择快照,然后依次选择操作复制

    2. (可选)选择一个目标区域。

    3. 选择您拥有的自定义 CMK。

    4. 选择 Copy

使用命令行工具共享快照

使用命令行查看和修改快照权限

要查看快照的 createVolumePermission 属性,您可以使用以下命令之一。有关这些命令行界面的更多信息,请参阅 访问 Amazon EC2

要修改快照的 createVolumePermission 属性,您可以使用以下命令之一。