本地区域中的本地快照 - Amazon EBS
常见问题注意事项使用 IAM 控制访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本地区域中的本地快照

Amazon EBS 快照是 EBS 卷的时间点副本。

Amazon 本地区域中 EBS 卷的快照可以存储在同一本地区域中的 Amazon S3 中,也可以存储在该本地区域的父区域中。将快照存储在本地区域中可以确保快照数据在特定国家、州/省或市镇进行处理和存储,从而帮助您满足数据驻留要求。您还可以使用 IAM 设置数据驻留强制执行策略,以确保快照数据不会离开本地区域。

本地区域非常适合需要个位数毫秒延迟或本地数据处理的应用程序,因为它使 Amazon 基础设施更靠近最终用户和业务中心。此外,您还可以满足对监管和合规性敏感工作负载的数据驻留要求。有关更多信息,请参阅什么是 Amazon Local Zones?

目前,支持 Amazon S3 的本地区域支持本地快照。有关更多信息,请参阅 Amazon Local Zones features

常见问题

1. 本地区域中的本地快照是什么?

本地区域中的本地快照是指存储在本地区域的 Amazon S3 中的快照。默认情况下,本地区域中 Amazon EBS 卷的快照存储在父区域的 Amazon S3 中。如果本地区域支持 Amazon S3,您可以选择将快照存储在本地区域本地。与 Amazon 区域中的快照类似,本地区域中的本地快照是增量式的,这意味着只保存在最新快照之后更改的卷数据块。您可以随时使用这些快照在同一本地区域中还原 Amazon EBS 卷。

2. 为什么应该使用本地快照?

使用本地区域中的本地快照通过确保快照数据位于特定地理位置(例如国家、州/省或市镇)来满足数据驻留或数据隔离要求。

3. 如何在本地区域中强制执行快照数据驻留?

您可以使用 Amazon Identity and Access Management (IAM) 策略来控制主体(Amazon 账户、IAM 用户和 IAM 角色)在使用本地区域中的本地快照时以及在强制执行数据驻留时拥有的权限。例如,您可以创建一个策略来禁止用户从本地区域中的卷创建快照并将这些快照存储在 Amazon 区域中。有关更多信息,请参阅 使用 IAM 控制访问

4. 是否支持多卷、崩溃一致性本地快照?

是的,您可以从本地区域中的实例在本地区域中创建多卷、崩溃一致性本地快照。

5. 如何在本地区域中创建本地快照?

您可以使用 Amazon CLI 或 Amazon EC2 控制台在本地区域中手动创建本地快照。有关更多信息,请参阅创建 EBS 卷的快照。您还可以使用 Amazon Data Lifecycle Manager 自动执行本地区域中本地快照的生命周期。有关更多信息,请参阅为 EBS 快照创建 Amazon Data Lifecycle Manager 自定义策略

6. 能否复制本地区域中的本地快照?

是的,您可以将快照从一个区域复制到同一区域中的本地区域,从本地区域复制到其区域,以及从一个本地区域复制到同一本地区域组中的另一个本地区域。

7. 如何从本地区域中的本地快照还原数据?

您可以使用本地区域中的本地快照仅在同一本地区域中创建 Amazon EBS 卷。

8. 本地区域中的本地快照是如何加密的?

默认情况下,本地快照可以是未加密的,也可以是加密的。默认加密时,本地快照将使用与源 Amazon EBS 卷相同的 Amazon KMS 密钥进行加密。从本地快照创建卷时,不能使用不同的 KMS 密钥重新加密该卷。从本地快照创建的卷必须使用与源快照相同的 Amazon KMS 密钥进行加密。

9. 能否使用本地区域中的本地快照创建基于 EBS 的 AMI?

是的,在创建 EBS 支持的 AMI 时,可以通过将快照目标指定为本地区域来在使用本地区域中的本地快照。有关更多信息,请参阅创建 Amazon EBS-backed AMI

10. 能否共享本地区域中的本地快照?

可以,您可以与已启用本地区域以在其账户中使用的其他 Amazon 账户共享本地区域中的本地快照。

11. 我能否创建卷的本地快照,然后切换到在父区域中创建快照?

不可以,在创建卷的本地快照后,无法在父区域中创建该卷的连续快照。由于所有快照都是增量快照,如果卷的最新快照是本地快照,则该卷的所有后续快照都必须是本地快照。

注意事项

在使用本地区域中的本地快照时,请记住以下事项。

  • 目前,支持 Amazon S3 的本地区域支持本地快照。

  • 以下功能不能与本地区域中的本地快照一起使用:

    • VM Import/Export 操作

    • 快速快照还原

    • EBS 直接 API

    • 回收站

    • 快照归档

  • 您必须使用 IAM 策略来强制执行数据驻留要求。有关更多信息,请参阅 使用 IAM 控制访问

  • 如果卷的最新快照是本地快照,则所有后续快照都必须是本地快照。同样,如果卷的最新快照存储在某个 Amazon 区域中,则所有后续快照都必须存储在同一区域中。

使用 IAM 控制访问

您可以使用 Amazon Identity and Access Management (IAM) 策略来控制主体(Amazon 账户、IAM 用户和 IAM 角色)在使用本地区域中的本地快照时拥有的权限。以下示例策略可用于授予或拒绝对本地区域中的本地快照执行特定操作的权限。

对本地区域中的本地快照强制执行数据驻留

以下示例策略限制用户只能从本地区域中的卷和实例创建本地区域中的本地快照。它会禁止用户从本地区域中的卷和实例创建区域中的快照。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Deny",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "ec2:Location": "regional",
                    "ec2:SourceAvailabilityZone": "local_zone"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "ec2:SourceAvailabilityZone": "local_zone"
                },
                "Null":
                {
                    "ec2:Location": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}

禁止共享本地区域中的本地快照

以下示例策略禁止所有用户共享本地区域中的本地快照。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenySnapshotModifyInLocalZone",
      "Effect": "Deny",
      "Action": [
        "ec2:ModifySnapshotAttribute"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "StringEquals": {
        "ec2:AvailabilityZone": "use1-atl2-az1"
        }
      }
    },
    {
      "Sid": "AllowSnapshotModifyElsewhere",
      "Effect": "Allow",
      "Action": [
        "ec2:ModifySnapshotAttribute"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*"
    }
  ]
}

禁止主体删除本地区域中的本地快照

以下示例策略禁止所有用户删除本地区域中的本地快照。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenySnapshotDeleteInLocalZone",
      "Effect": "Deny",
      "Action": [
        "ec2:DeleteSnapshot"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "StringEquals": {
        "ec2:AvailabilityZone": "use1-atl2-az1"
        }
      }
    },
    {
      "Sid": "AllowSnapshotDeleteElsewhere",
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteSnapshot"
      ],
      "Resource": "arn:aws:ec2:*::snapshot/*"
    }
  ]
}