本地区域中的本地快照 - Amazon EBS
常见问题注意事项使用 IAM 控制访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本地区域中的本地快照

Amazon EBS 快照是您的 EBS 卷的 point-in-time副本。

本地区域中 EBS 卷的快照可以存储在同一 Amazon 本地区域的 Amazon S3 中,也可以存储在该本地区域的父区域中。将快照存储在本地区域中可以确保快照数据在特定国家、州/省或市镇进行处理和存储,从而帮助您满足数据驻留要求。您还可以使用 IAM 设置数据驻留强制执行策略,以确保快照数据不会离开本地区域。

Local Zones 非常适合需要个位数毫秒延迟或本地数据处理的应用程序,它使 Amazon 基础架构更靠近最终用户和业务中心。此外,您还可以满足对监管和合规性敏感工作负载的数据驻留要求。有关更多信息,请参阅什么是 L Amazon ocal Zones

目前,支持 Amazon S3 的本地区域支持本地快照。有关更多信息,请参阅 Amazon Local Zones features

常见问题

1. 本地区域中的本地快照是什么?

本地区域中的本地快照是指存储在本地区域的 Amazon S3 中的快照。默认情况下,本地区域中 Amazon EBS 卷的快照存储在父区域的 Amazon S3 中。如果本地区域支持 Amazon S3,您可以选择将快照存储在本地区域本地。与 Regi Amazon ons 中的快照一样,Local Zones 中的本地快照是增量的,这意味着仅保存最近一次快照后发生更改的卷块。您可以随时使用这些快照在同一本地区域中还原 Amazon EBS 卷。

2. 为什么应该使用本地快照?

使用本地区域中的本地快照通过确保快照数据位于特定地理位置(例如国家、州/省或市镇)来满足数据驻留或数据隔离要求。

3. 如何在本地区域中强制执行快照数据驻留?

您可以使用 Amazon Identity and Access Management (IAM) 策略来控制委托人(Amazon 账户、IAM 用户和 IAM 角色)在 Local Zones 中使用本地快照时所拥有的权限,并强制执行数据驻留。例如,您可以创建一个策略,禁止用户从 Local Zones 中的卷创建快照并将这些快照存储在某个 Amazon 区域中。有关更多信息,请参阅 使用 IAM 控制访问

4. 是否支持多卷、崩溃一致性本地快照?

是的,您可以从本地区域中的实例在本地区域中创建多卷、崩溃一致性本地快照。

5. 如何在本地区域中创建本地快照?

您可以使用 Amazon CLI 或 Amazon EC2 控制台在 Local Zones 中手动创建本地快照。有关更多信息,请参阅创建 EBS 卷的快照。您还可以使用 Amazon Data Lifecycle Manager 自动执行本地区域中本地快照的生命周期。有关更多信息,请参阅为 EBS 快照创建 Amazon Data Lifecycle Manager 自定义策略

6. 能否复制本地区域中的本地快照?

是的,您可以将快照从一个区域复制到同一区域中的本地区域,从本地区域复制到其区域,以及从一个本地区域复制到同一本地区域组中的另一个本地区域。

7. 如何从本地区域中的本地快照还原数据?

您可以使用本地区域中的本地快照仅在同一本地区域中创建 Amazon EBS 卷。

8. 本地区域中的本地快照是如何加密的?

默认情况下,本地快照可以是未加密的,也可以是加密的。默认加密时,本地快照使用与源 Amazon EBS 卷相同的 Amazon KMS 密钥进行加密。从本地快照创建卷时,不能使用不同的 KMS 密钥重新加密该卷。从本地快照创建的卷必须使用与源快照相同的 Amazon KMS 密钥进行加密。

9. 我能否在 Local Zones 中 AMIs 使用本地快照创建 EBS 支持?

是的,在创建 EBS 支持时,您可以 AMIs 通过将快照目标指定为 Local Zones 来使用本地区域中的本地快照。有关更多信息,请参阅创建 Amazon EBS-backed AMI

10. 能否共享本地区域中的本地快照?

可以,您可以与其他已在其账户中启用本地区域的 Amazon 账户共享 Local Zones 中的本地快照。

11. 我能否创建卷的本地快照,然后切换到在父区域中创建快照?

不可以,在创建卷的本地快照后,无法在父区域中创建该卷的连续快照。由于所有快照都是增量快照,如果卷的最新快照是本地快照,则该卷的所有后续快照都必须是本地快照。

注意事项

在使用本地区域中的本地快照时,请记住以下事项。

  • 目前,支持 Amazon S3 的本地区域支持本地快照。

  • 以下功能不能与本地区域中的本地快照一起使用:

    • 虚拟机 Import/Export 操作

    • 快速快照还原

    • EBS 直播 APIs

    • Recycle Bin

    • 快照归档

  • 您必须使用 IAM 策略来强制执行数据驻留要求。有关更多信息,请参阅 使用 IAM 控制访问

  • 如果卷的最新快照是本地快照,则所有后续快照都必须是本地快照。同样,如果卷的最新快照存储在某个 Amazon 区域中,则所有连续的快照都必须存储在同一个区域中。

使用 IAM 控制访问

您可以使用 Amazon Identity and Access Management (IAM) 策略来控制委托人(Amazon 账户、IAM 用户和 IAM 角色)在 Local Zones 中使用本地快照时拥有的权限。以下示例策略可用于授予或拒绝对本地区域中的本地快照执行特定操作的权限。

对本地区域中的本地快照强制执行数据驻留

以下示例策略限制用户只能从本地区域中的卷和实例创建本地区域中的本地快照。它会禁止用户从本地区域中的卷和实例创建区域中的快照。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Deny",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "ec2:Location": "regional",
                    "ec2:SourceAvailabilityZone": "local_zone"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "ec2:SourceAvailabilityZone": "local_zone"
                },
                "Null":
                {
                    "ec2:Location": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}

禁止共享本地区域中的本地快照

以下示例策略禁止所有用户共享本地区域中的本地快照。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenySnapshotModifyInLocalZone",
      "Effect": "Deny",
      "Action": [
        "ec2:ModifySnapshotAttribute"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "StringEquals": {
        "ec2:AvailabilityZone": "use1-atl2-az1"
        }
      }
    },
    {
      "Sid": "AllowSnapshotModifyElsewhere",
      "Effect": "Allow",
      "Action": [
        "ec2:ModifySnapshotAttribute"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*"
    }
  ]
}

禁止主体删除本地区域中的本地快照

以下示例策略禁止所有用户删除本地区域中的本地快照。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenySnapshotDeleteInLocalZone",
      "Effect": "Deny",
      "Action": [
        "ec2:DeleteSnapshot"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "StringEquals": {
        "ec2:AvailabilityZone": "use1-atl2-az1"
        }
      }
    },
    {
      "Sid": "AllowSnapshotDeleteElsewhere",
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteSnapshot"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*"
    }
  ]
}