本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 复制 Amazon EBS 快照
<a name="ebs-copy-snapshot"></a>

在您创建快照并且快照达到 `completed` 状态后，可以创建其副本。快照副本是原始副本的精确副本，但它具有唯一资源 ID。您可以复制您拥有的快照以及私下或公开与您共享的快照。您可能需要为以下使用场景复制快照：
+ 地理扩展：您需要在新区域中启动您的应用程序。
+ 迁移：您需要将应用程序迁移到新目标，以实现更好的可用性或最大限度地降低成本。
+ 灾难恢复：您需要将数据和日志备份到辅助区域，以实现数据冗余。
+ 加密：您需要加密以前未加密的快照或使用其他 KMS 密钥重新加密已加密的快照。
+ 复制共享快照：您需要复制与您共享的快照。
+ 数据保留和审计要求 — 您需要将加密快照从一个 Amazon 账户复制到另一个账户，以保留用于审计或数据保留的数据。如果您的主账户遭到入侵，使用其他 Amazon 账户可以保护您。

要复制多卷快照，请使用您在创建期间分配的标签来识别该集合中的所有快照，然后将快照单独复制到所需的区域。

有关复制 Amazon RDS 快照的信息，请参阅 *Amazon RDS 用户指南* 中的[复制数据库快照](https://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)。

**定价**  
有关复制快照的定价信息，请参阅 [Amazon EBS 定价](https://www.amazonaws.cn/ebs/pricing/)。

**Topics**
+ [复制快照的注意事项](#snapshot-copy-consids)
+ [快照副本的目的地](#snapshot-copy-destinations)
+ [增量快照复制](#ebs-incremental-copy)
+ [基于时间的副本](time-based-copies.md)
+ [加密和快照复制](#creating-encrypted-snapshots)
+ [复制快照](#ebs-snapshot-copy)

## 复制快照的注意事项
<a name="snapshot-copy-consids"></a>
+ 您可以复制 Amazon Web Services Marketplace、虚拟机导入/导出和 Storage Gateway 快照，但必须验证目标区域是否支持该快照。
+ 每个目标限制并发快照复制请求不得超过 `20` 个。如果您超出此配额，会收到 `ResourceLimitExceeded` 错误。如果收到此错误，请等待一个或多个复制请求完成，然后再发出新的快照复制请求。
+ 用户定义的标签不会从源快照复制到快照副本。您可以在复制操作期间或之后添加用户定义的标签。
+ 由快照复制操作创建的快照具有任意性的卷 ID，例如 `vol-ffff` 或 `vol-ffffffff`。这些任意音量 IDs 不应用于任何目的。
+ 为快照复制操作指定的资源级权限可以应用于快照副本和源快照。有关示例，请参阅[示例：复制快照](https://docs.amazonaws.cn/ebs/latest/userguide/security_iam_id-based-policy-examples.html#iam-copy-snapshot)。
+ 如果复制已启用快速快照还原的快照，则快照副本不会自动启用快速快照还原。您必须为快照副本明确启用快速快照还原。
+ 如果将快照复制到新 KMS 密钥并将其加密，则会创建完整（非增量）副本。这会产生额外的存储成本。
+ 如果将快照复制到新区域，则会创建完整（非增量）副本。这会产生额外的存储成本。
+ 如果使用外部或跨区域数据传输，则将收取额外的 [EC2 数据传输](https://www.amazonaws.cn/ebs/pricing/)费用。如果在启动后删除任何快照，仍需要为已传输的数据付费。

## 快照副本的目的地
<a name="snapshot-copy-destinations"></a>

源快照的位置决定了您是否可以复制它。
+ 如果源快照位于某个区域，您可以在该区域内复制它，或者将其复制到另一个区域、与该区域关联的 Outpost 或该区域中的本地区域。
+ 如果源快照位于某个本地区域，您可以将其复制到同一本地区域内、同一区域组中的另一个本地区域，或者复制到该本地区域的父区域。
+ 如果源快照位于 Outpost 上，则无法复制它。

## 增量快照复制
<a name="ebs-incremental-copy"></a>

同一账户和区域内使用相同 KMS 密钥的快照复制操作始终是增量复制。但是，如果您使用不同的 KMS 密钥加密快照副本，则该副本是完整副本。

在跨区域或账户复制快照时，如果满足以下条件，则副本为增量副本：
+ 快照以前已复制到目标区域或账户。
+ 最新的快照副本仍位于目标区域或账户中。
+ 最新的快照副本尚未归档。
+ 目标区域或账户中的所有快照副本均未加密，或者是使用同一 KMS 密钥加密的。

**提示**  
我们建议您使用卷 ID 和创建时间来标记快照副本，以便在目标区域或账户中跟踪卷的最新快照副本。

要查看您的快照副本是否为增量副本，请查看 CopySn [apshot 事件](ebs-cloud-watch-events.md#copy-snapshot-complete) CloudWatch 。

## 加密和快照复制
<a name="creating-encrypted-snapshots"></a>

**注意**  
Amazon S3 服务器端加密（256 位 AES）可在复制操作期间保护传输中的快照数据。

您可以创建未加密的源快照的已加密快照副本。并且，您可以使用与源快照不同的 KMS 密钥加密快照副本。但是，在复制操作过程中更改快照副本的加密状态可能会生成完整（非增量）副本，这可能产生更多的数据传输和存储费用。

**提示**  
使用与您共享的已加密快照时，我们建议您通过复制快照并使用您拥有的 KMS 密钥来重新加密该快照。如果原始 KMS 密钥泄露或拥有者撤销您的访问权限（可能会导致您无法访问快照以及从中创建的任何加密卷），这可以保护您。

**复制加密快照的权限**

要复制加密快照，您的用户必须具有以下权限才能使用 Amazon EBS 加密。
+ 
  + `kms:DescribeKey`
  + `kms:CreateGrant`
  + `kms:GenerateDataKey`
  + `kms:GenerateDataKeyWithoutPlaintext`
  + `kms:ReEncrypt`
  + `kms:Decrypt`
+ 要复制从其他 Amazon 账户共享的加密快照，您必须有权使用用于加密该快照的客户托管密钥。有关更多信息，请参阅 [共享用于加密共享的 Amazon EBS 快照的 KMS 密钥](share-kms-key.md)。

**快照副本的加密结果**  
下表描述了在复制您拥有的快照以及与您共享的快照时的加密结果。


| 目标区域的默认加密 | 源快照 | 快照副本加密结果 | 备注 | 
| --- | --- | --- | --- | 
| 已禁用 | 未加密 | 可选加密 | 如果加密副本，则可以指定要使用的 KMS 密钥。如果您对副本进行加密，但未指定 KMS 密钥，则默认使用指定的加密密钥。 | 
| 已禁用 | 已加密 | 自动加密 | 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥，则使用 Amazon 托管式密钥 （aws/ebs）。 | 
| 已启用 | 未加密 | 自动加密 | 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥，则默认使用指定用于加密的密钥。 | 
| 已启用 | 已加密 | 自动加密 | 您可以指定要使用的 KMS 密钥。如果未指定 KMS 密钥，则默认使用指定用于加密的密钥。 | 

## 复制快照
<a name="ebs-snapshot-copy"></a>

您可以将快照从一个区域复制到另一个区域。您可以将未加密的快照复制到加密的快照。但是，如果您在未获得加密密钥使用权限的情况下试图复制加密快照，则操作将会静默失败，并且快照副本会收到“无法访问给定密钥 ID”状态消息。

------
#### [ Console ]

**复制快照**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择**快照**。

1. 选择要复制的快照，然后选择 **Actions**（操作）、**Copy snapshot**（复制快照）。

1. （可选）在 **Description **（描述）中，输入快照副本的简短描述。

   在默认情况下，描述包括源快照的相关信息，以便您能区别副本和原始内容。

1. 指定快照副本的目标位置。
   + 要将快照复制到同一区域或其他区域，请选择 **Amazon 区域**，然后选择目标区域。
   + 要将快照复制到本地区域，请选择 **Amazon 本地区域**，然后选择目标本地区域。
   + （*仅限 Outpost 客户*）要将快照复制到 Outpost，请选择 **Amazon Outpost**，然后输入目标 Outpost 的 ARN。

1. 如果需要在特定时间范围内完成快照复制，请选择**启用基于时间的复制**。在**完成期限**中，以 15 分钟为增量输入所需的完成期限。有关更多信息，请参阅 [Amazon EBS 快照和 EBS 支持的基于时间的副本 AMIs](time-based-copies.md)。

   如果不需要在特定时间范围内完成快照复制，则不要启用基于时间的复制。在这种情况下，快照复制会尽快完成。

1. （*仅限 Outpost 客户*）要在所选区域中的 Outpost 上创建快照副本，对于**快照目标**，请选择 **Amazon Outpost**，然后对于**目标 Outpost ARN**，请输入要将快照复制到的 Outpost 的 ARN。仅当您在所选区域中拥有 Outpost 时，才会出现**快照目标**字段。

1. 指定快照副本的加密状态。

   如果源快照已加密，或者您的账户已启用[默认加密](encryption-by-default.md)，则快照副本会自动加密。如果源快照未加密，并且在默认情况下未为您的账户启用加密，则您可以选择启用或禁用加密。

1. 选择**复制快照**。

------
#### [ Amazon CLI ]

**将快照复制到其他区域**  
使用 [copy-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/copy-snapshot.html) 命令。以下示例将指定的快照从源区域复制到当前区域，当前区域由 `--region` 选项指定。

```
aws ec2 copy-snapshot \
    --source-snapshot-id snap-0abcdef1234567890 \
    --source-region us-east-1 \
    --region us-west-2
```

**将未加密的快照复制到加密的快照**  
使用 [copy-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/copy-snapshot.html) 命令。以下示例将指定的未加密快照从源区域复制到当前区域，并使用指定的 KMS 密钥对新快照进行加密。

```
aws ec2 copy-snapshot \
    --source-snapshot-id snap-0abcdef1234567890 \
    --source-region us-east-1 \
    --encrypted \
    --kms-key-id alias/my-kms-key
```

------
#### [ PowerShell ]

**将快照复制到其他区域**  
使用 [Copy-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Copy-EC2Snapshot.html) cmdlet。以下示例将指定的快照从源区域复制到当前区域，当前区域由 `--region` 选项指定。

```
 Copy-EC2Snapshot `
    -SourceSnapshotId snap-0abcdef1234567890 `
    -SourceRegion us-east-1 `
    -Region us-west-2
```

**将未加密的快照复制到加密的快照**  
使用 [Copy-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Copy-EC2Snapshot.html) cmdlet。以下示例将指定的未加密快照从源区域复制到当前区域，并使用指定的 KMS 密钥对新快照进行加密。

```
 Copy-EC2Snapshot `
    -SourceSnapshotId snap-0abcdef1234567890 `
    -SourceRegion us-east-1 `
    -Encrypted $true `
    -KmsKeyId alias/my-kms-key
```

------