复制 Amazon EBS 快照 - Amazon EBS
复制快照的注意事项快照副本的目的地增量快照复制加密和快照复制复制快照
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

复制 Amazon EBS 快照

在您创建快照并且快照达到 completed 状态后,可以创建其副本。快照副本是原始副本的精确副本,但它具有唯一资源 ID。您可以复制您拥有的快照以及私下或公开与您共享的快照。您可能需要为以下使用场景复制快照:

  • 地理扩展 — 您需要在新区域中启动您的应用程序。

  • 迁移 — 您需要将应用程序迁移到新目标,以实现更好的可用性或最大限度地降低成本。

  • 灾难恢复 — 您需要将数据和日志备份到辅助区域,以实现数据冗余。

  • 加密 — 您需要加密以前未加密的快照或使用其他 KMS 密钥重新加密已加密的快照。

  • 复制共享快照 — 您需要复制与您共享的快照。

  • 数据保留和审计要求 — 您需要将已加密的快照从一个 Amazon 账户复制到另一个账户,以出于审计或数据留存目的保留数据。如果您的主 Amazon 账户遭到泄露,使用不同的账户可以为您提供保护。

要复制多卷快照,请使用您在创建期间分配的标签来识别该集合中的所有快照,然后将快照单独复制到所需的区域。

有关复制 Amazon RDS 快照的信息,请参阅 Amazon RDS 用户指南 中的复制数据库快照

定价

有关复制快照的定价信息,请参阅 Amazon EBS 定价

目录

复制快照的注意事项

  • 您可以复制 Amazon Web Services Marketplace、VM Import/Export 和 Storage Gateway 快照,但必须确认目标区域支持该快照。

  • 每个目标限制并发快照复制请求不得超过 20 个。如果您超出此配额,会收到 ResourceLimitExceeded 错误。如果收到此错误,请等待一个或多个复制请求完成,然后再发出新的快照复制请求。

  • 用户定义的标签不会从源快照复制到快照副本。您可以在复制操作期间或之后添加用户定义的标签。

  • 由快照复制操作创建的快照具有任意性的卷 ID,例如 vol-ffffvol-ffffffff。这些任意性的卷 ID 不应用于任何目的。

  • 为快照复制操作指定的资源级权限可以应用于快照副本和源快照。有关示例,请参阅示例:复制快照

  • 如果复制已启用快速快照还原的快照,则快照副本不会自动启用快速快照还原。您必须为快照副本明确启用快速快照还原。

  • 如果将快照复制到新 KMS 密钥并将其加密,则会创建完整(非增量)副本。这会产生额外的存储成本。

  • 如果将快照复制到新区域,则会创建完整(非增量)副本。这会产生额外的存储成本。

  • 如果使用外部或跨区域数据传输,则将收取额外的 EC2 数据传输费用。如果在启动后删除任何快照,仍需要为已传输的数据付费。

快照副本的目的地

源快照的位置决定了您是否可以复制它。

  • 如果源快照位于某个区域,您可以在该区域内复制它,或者将其复制到另一个区域、与该区域关联的 Outpost 或该区域中的本地区域。

  • 如果源快照位于某个本地区域,您可以将其复制到同一本地区域内、同一区域组中的另一个本地区域,或者复制到该本地区域的父区域。

  • 如果源快照位于 Outpost 上,则无法复制它。

增量快照复制

同一账户和区域内使用相同 KMS 密钥的快照复制操作始终是增量复制。但是,如果您使用不同的 KMS 密钥加密快照副本,则该副本是完整副本。

在跨区域或账户复制快照时,如果满足以下条件,则副本为增量副本:

  • 快照以前已复制到目标区域或账户。

  • 最新的快照副本仍位于目标区域或账户中。

  • 最新的快照副本尚未归档。

  • 目标区域或账户中的所有快照副本均未加密,或者是使用同一 KMS 密钥加密的。

提示

我们建议您使用卷 ID 和创建时间来标记快照副本,以便在目标区域或账户中跟踪卷的最新快照副本。

要确定快照副本是否为增量副本,请检查 copySnapshot CloudWatch 事件。

加密和快照复制

注意

Amazon S3 服务器端加密(256 位 AES)可在复制操作期间保护传输中的快照数据。

您可以创建未加密的源快照的已加密快照副本。并且,您可以使用与源快照不同的 KMS 密钥加密快照副本。但是,在复制操作过程中更改快照副本的加密状态可能会生成完整(非增量)副本,这可能产生更多的数据传输和存储费用。

提示

使用与您共享的已加密快照时,我们建议您通过复制快照并使用您拥有的 KMS 密钥来重新加密该快照。如果原始 KMS 密钥泄露或拥有者撤销您的访问权限(可能会导致您无法访问快照以及从中创建的任何加密卷),这可以保护您。

复制加密快照的权限

要复制加密快照,您的用户必须具有以下权限才能使用 Amazon EBS 加密。

    • kms:DescribeKey

    • kms:CreateGrant

    • kms:GenerateDataKey

    • kms:GenerateDataKeyWithoutPlaintext

    • kms:ReEncrypt

    • kms:Decrypt

  • 要复制从其他 Amazon 账户共享的加密快照,您必须具有使用用于加密该快照的客户自主管理型密钥的权限。有关更多信息,请参阅 共享用于加密共享的 Amazon EBS 快照的 KMS 密钥

快照副本的加密结果

下表描述了在复制您拥有的快照以及与您共享的快照时的加密结果。

目标区域的默认加密 源快照 快照副本加密结果 注意
已禁用 未加密 可选加密 如果加密副本,则可以指定要使用的 KMS 密钥。如果您对副本进行加密,但未指定 KMS 密钥,则默认使用指定的加密密钥。
已禁用 已加密 自动加密 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥,则使用 Amazon 托管式密钥(aws/ebs)。
已启用 未加密 自动加密 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥,则默认使用指定用于加密的密钥。
已启用 已加密 自动加密 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥,则默认使用指定用于加密的密钥。

复制快照

您可以将快照从一个区域复制到另一个区域。您可以将未加密的快照复制到加密的快照。但是,如果您在未获得加密密钥使用权限的情况下试图复制加密快照,则操作将会静默失败,并且快照副本会收到“无法访问给定密钥 ID”状态消息。

Console
复制快照

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择快照

  3. 选择要复制的快照,然后选择 Actions(操作)、Copy snapshot(复制快照)。

  4. (可选)在 Description (描述)中,输入快照副本的简短描述。

    在默认情况下,描述包括源快照的相关信息,以便您能区别副本和原始内容。

  5. 指定快照副本的目标位置。

    • 要将快照复制到同一区域或其他区域,请选择 Amazon 区域,然后选择目标区域。

    • 要将快照复制到本地区域,请选择 Amazon 本地区域,然后选择目标本地区域。

    • 仅限 Outpost 客户)要将快照复制到 Outpost,请选择 Amazon Outpost,然后输入目标 Outpost 的 ARN。

  6. 如果需要在特定时间范围内完成快照复制,请选择启用基于时间的复制。在完成期限中,以 15 分钟为增量输入所需的完成期限。有关更多信息,请参阅 Amazon EBS 快照和 EBS 支持的 AMI 的基于时间的副本

    如果不需要在特定时间范围内完成快照复制,则不要启用基于时间的复制。在这种情况下,快照复制会尽快完成。

  7. 仅限 Outpost 客户)要在所选区域中的 Outpost 上创建快照副本,对于快照目标,请选择 Amazon Outpost,然后对于目标 Outpost ARN,请输入要将快照复制到的 Outpost 的 ARN。仅当您在所选区域中拥有 Outpost 时,才会出现快照目标字段。

  8. 指定快照副本的加密状态。

    如果源快照已加密,或者您的账户已启用默认加密,则快照副本会自动加密。如果源快照未加密,并且在默认情况下未为您的账户启用加密,则您可以选择启用或禁用加密。

  9. 选择复制快照

Amazon CLI
将快照复制到其他区域

使用 copy-snapshot 命令。以下示例将指定的快照从源区域复制到当前区域,当前区域由 --region 选项指定。

aws ec2 copy-snapshot \
    --source-snapshot-id snap-0abcdef1234567890 \
    --source-region us-east-1 \
    --region us-west-2
将未加密的快照复制到加密的快照

使用 copy-snapshot 命令。以下示例将指定的未加密快照从源区域复制到当前区域,并使用指定的 KMS 密钥对新快照进行加密。

aws ec2 copy-snapshot \
    --source-snapshot-id snap-0abcdef1234567890 \
    --source-region us-east-1 \
    --encrypted \
    --kms-key-id alias/my-kms-key
PowerShell
将快照复制到其他区域

使用 Copy-EC2Snapshot cmdlet。以下示例将指定的快照从源区域复制到当前区域,当前区域由 --region 选项指定。

 Copy-EC2Snapshot `
    -SourceSnapshotId snap-0abcdef1234567890 `
    -SourceRegion us-east-1 `
    -Region us-west-2
将未加密的快照复制到加密的快照

使用 Copy-EC2Snapshot cmdlet。以下示例将指定的未加密快照从源区域复制到当前区域,并使用指定的 KMS 密钥对新快照进行加密。

 Copy-EC2Snapshot `
    -SourceSnapshotId snap-0abcdef1234567890 `
    -SourceRegion us-east-1 `
    -Encrypted $true `
    -KmsKeyId alias/my-kms-key