本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon EBS local snapshots on Outposts
<a name="snapshots-outposts"></a>

Amazon EBS 快照是您的 EBS 卷的 point-in-time副本。

默认情况下，Amazon Outpost 上 EBS 卷的快照存储在 Outpost 区域的 Amazon S3 中。您还可以使用 Outposts 上的 Amazon EBS 本地快照，将 Outpost 上的卷快照存储在 Outpost 自身的 Amazon S3 本地。这确保快照数据驻留在 Outpost 上和您本地。此外，您可以使用 Amazon Identity and Access Management (IAM) 策略和权限来设置数据驻留强制政策，以确保快照数据不会离开。Outpost如果您居住的国家或地区尚未由某个地区提供服务，并且有数据驻留要求，则 Amazon 此功能特别有用。

此主题提供有关使用 Outposts 上的 Amazon EBS 本地快照 的信息。有关 Amazon EBS 快照和在某个 Amazon 地区使用快照的更多信息，请参阅[Amazon EBS 快照](ebs-snapshots.md)。

有关更多信息，请参阅 [Amazon Outposts Family](https://www.amazonaws.cn/outposts/) 和 [Amazon Outposts Family Documentation](https://docs.amazonaws.cn/outposts/)。

**Topics**
+ [常见问题](#faq)
+ [先决条件](#prereqs)
+ [注意事项](#considerations)
+ [使用 IAM 控制访问](#iam)
+ [使用本地快照](#using)

## 常见问题
<a name="faq"></a>

**1. 什么是 本地快照？**  
默认情况下，Outpost 上卷的 Amazon EBS 快照存储在 Outpost 区域的 Amazon S3 中。如果 Outpost 预置了 S3 on Outposts，您可以选择在 Outpost 自身上本地存储快照。本地快照采用增量更新，这意味着只保存在最新快照之后更改的卷数据块。您随时可以使用这些快照在快照所在同一 Outpost 上还原卷。有关 Amazon EBS 快照的更多信息，请参阅 [Amazon EBS 快照](ebs-snapshots.md)。

**2. 为什么应该使用 本地快照？**  
快照是备份数据的便捷方法。使用本地快照，您的所有快照数据都在 Outpost 上本地存储。这意味着数据不会离开您的本地环境。如果您居住的国家或地区尚未由某个地区提供服务，并且有居留要求，则 Amazon 此功能特别有用。  
此外，使用本地快照可以在带宽受限环境中帮助减少区域和 Outpost 之间的通信所使用的带宽。

**3. 如何在 Outpost 上执行快照数据驻留？**  
您可以使用 Amazon Identity and Access Management (IAM) 策略来控制委托人（Amazon 账户、IAM 用户和 IAM 角色）在处理本地快照时拥有的权限，并强制执行数据驻留。您可以创建一项策略，防止委托人从Outpost卷和实例创建快照以及将快照存储在某个 Amazon 区域。目前，不支持从 Outpost 向区域复制快照和映像。有关更多信息，请参阅 [使用 IAM 控制访问](#iam)。

**4. 是否支持多卷、崩溃一致性本地快照？**  
是的，您可以从 Outpost 上的实例创建多卷、崩溃一致性本地快照。

**5. 我该如何创建本地快照？**  
您可以使用 Amazon Command Line Interface (Amazon CLI) 或 Amazon EC2 控制台手动创建快照。有关更多信息，请参阅[使用本地快照](#using)。您还可以使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期。有关更多信息，请参阅 [在 Outpost 上自动执行快照](#dlm)。

**6. 如果我的 Outpost 失去了与其区域的连接，我可以创建、使用或删除本地快照吗？**  
不可以。Outpost 必须与其区域建立连接，因为该区域提供对快照的运行状况至关重要的访问、授权、日志记录和监控服务。如果没有连接，则您无法创建新的本地快照、创建卷或从现有本地快照实例启动实例，也无法删除本地快照。

**7. 删除本地快照多久后 Amazon S3 存储容量可供使用？**  
Amazon S3 存储容量在删除引用它们的本地快照和卷后 72 小时内可供使用。

**8. 如何确保不会在我的 Outpost 上耗尽 Amazon S3 容量？**  
我们建议您使用 Amazon CloudWatch 警报来监控您的 Amazon S3 存储容量，并删除不再需要的快照和卷，以免存储容量耗尽。如果您在使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期，请确保快照保留策略保留快照的时间不超过所需时长。

**9. 如果我的 Outpost 上的本地 Amazon S3 容量用尽，会发生什么情况？**  
如果 Outpost 上的本地 Amazon S3 容量用尽，Amazon Data Lifecycle Manager 将无法在 Outpost 上成功创建本地快照。Amazon Data Lifecycle Manager 将尝试在 Outpost 上创建本地快照，但快照会立即过渡到 `error` 状态，最终会被 Amazon Data Lifecycle Manager 删除。我们建议您使用 `SnapshotsCreateFailed` Amazon CloudWatch 指标来监控快照生命周期策略，以防快照创建失败。有关更多信息，请参阅 [使用监控数据生命周期管理器策略 CloudWatch](monitor-dlm-cw-metrics.md)。

**10. 我能否在 Spot 实例和 Spot 队列中使用本地快照并由本地快照提供 AMIs 支持？**  
不可以，您不能使用本地快照或由本地快照 AMIs 支持来启动 Spot 实例或 Spot 队列。

**11. 我是否可以对本地快照及由本地快照支持的 AMI 使用 Amazon EC2 Auto Scaling？**  
是的，您可以使用本地快照并由本地快照 AMIs 支持的子网启动 Auto Scaling 组，该子网与快照位于同一Outpost子网中。Amazon EC2 Auto Scaling 组服务相关角色必须具有使用用于加密快照的 KMS 密钥 的权限。  
您不能使用本地快照或由本地快照 AMIs 支持的在 Amazon 区域中启动 Auto Scaling 群组。

## 先决条件
<a name="prereqs"></a>

要在 Outpost 上存储快照，您必须拥有预置了 S3 on Outposts 的 Outpost。有关 S3 on Outposts 的更多信息，请参阅《Amazon S3 on Outposts 用户指南》**中的 [S3 on Outposts](https://docs.amazonaws.cn/AmazonS3/latest/s3-outposts/S3onOutposts.html)。

## 注意事项
<a name="considerations"></a>

使用本地快照时请记住以下事项。
+ Outpost必须与其 Amazon 所在区域建立连接才能使用本地快照。
+ 快照元数据存储在与关联的 Amazon 区域中Outpost。其中不包括任何快照数据。
+ 存储在 Outpost 上的快照默认处于加密状态。不支持非加密快照。在 Outpost 上创建的快照和复制到 Outpost 的快照将使用区域的默认 KMS 密钥或您在请求时指定的其他 KMS 密钥进行加密。
+ 当您从本地快照在 Outpost 上创建卷时，不能使用其他 KMS 密钥对卷重新加密。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。
+ 从 Outpost 中删除本地快照后，删除的快照所使用的 Amazon S3 存储容量将在 72 小时内可供使用。有关更多信息，请参阅 [删除本地快照](#delete-snapshots)。
+ 您不能从 Outpost 导出本地快照。
+ 您不能为本地快照启用快速快照还原。
+ 本地快照 APIs 不支持 EBS Direct。
+ 您不能复制本地快照，也不能 AMIs 从一个区域复制Outpost到另一个 Amazon 区域，也不能从一个区域复制Outpost到另一个区域，也不能在区域内复制快照Outpost。但是，您可以将快照从 Amazon 区域复制到 Outpost。有关更多信息，请参阅 [将快照从一个 Amazon 区域复制到 Outpost](#copy-snapshots)。
+ 将快照从 Amazon 区域复制到时Outpost，数据将通过服务链接传输。同时复制多个快照可能会影响在 Outpost 上运行的其他服务。
+ 您不能共享本地快照。
+ 您必须使用 IAM policy 来确保满足数据驻留要求。有关更多信息，请参阅[使用 IAM 控制访问](#iam)。
+ 本地快照执行增量备份。只保存卷中在最近快照之后发生更改的数据块。每个本地快照都包含将数据（拍摄快照时存在的数据）还原到新 EBS 卷所需的全部信息。有关更多信息，请参阅 [Amazon EBS 快照的工作原理](how_snapshots_work.md)。
+ 您不能使用 IAM 策略强制执行数据驻留**CopySnapshot**和**CopyImage**操作。

## 使用 IAM 控制访问
<a name="iam"></a>

您可以使用 Amazon Identity and Access Management (IAM) 策略来控制委托人（Amazon 账户、IAM 用户和 IAM 角色）在处理本地快照时拥有的权限。以下示例策略可用于授予或拒绝对本地快照执行特定操作的权限。

**重要**  
目前不支持将快照和映像从 Outpost 复制到区域。因此，您目前无法使用 IAM 策略强制执行数据驻留**CopySnapshot**和**CopyImage**操作。

**Topics**
+ [为快照执行数据驻留](#enforce-residency-snapshot)
+ [禁止委托人删除本地快照](#deny-delete)

### 为快照执行数据驻留
<a name="enforce-residency-snapshot"></a>

以下示例策略禁止所有委托人从某个区域上的Outpost`arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef`卷和实例创建快照，也禁止将快照数据存储在某个 Amazon 区域。委托人仍然可以创建本地快照。此策略可确保所有快照都保留在 Outpost 上。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceOutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                },
                "Null": {
                    "ec2:OutpostArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### 禁止委托人删除本地快照
<a name="deny-delete"></a>

以下示例策略禁止所有主体删除存储在 Outpost `arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0` 上的本地快照。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:OutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 使用本地快照
<a name="using"></a>

下面几节介绍如何使用本地快照。

**Topics**
+ [存储快照的规则](#lineage)
+ [从 Outpost 上的卷创建本地快照](#create-snapshot)
+ [AMIs 从本地快照创建](#ami)
+ [将快照从一个 Amazon 区域复制到 Outpost](#copy-snapshots)
+ [AMIs 从一个 Amazon 区域复制到一个 Outpost](#copy-amis)
+ [从本地快照创建卷](#volumes)
+ [从由本地快照 AMIs 支持的实例启动](#instances)
+ [删除本地快照](#delete-snapshots)
+ [在 Outpost 上自动执行快照](#dlm)

### 存储快照的规则
<a name="lineage"></a>

以下规则适用于快照存储：
+ 如果卷的最新快照存储在某个 Outpost 上，则所有后续快照都必须存储在同一 Outpost 中。
+ 如果卷的最新快照存储在某个 Amazon 区域中，则所有连续的快照都必须存储在同一个区域中。要开始从该卷创建本地快照，请执行以下操作：

  1.  Amazon 在该区域创建卷的快照。

  1. 将快照Outpost从该 Amazon 区域复制到。

  1. 从本地快照创建新卷：

  1. 将卷附加到 Outpost 上的实例。

  对于 Outpost 上的新卷，下一个快照可以存储在 Outpost 或 Amazon 区域中。然后必须将所有后续快照存储在同一位置。
+ 本地快照，包括在上创建的快照Outpost和Outpost从某个 Amazon 区域复制到的快照，只能用于在同一区域上创建卷Outpost。
+ 如果您从某个区域中的快照在 Outpost 上创建卷，则该新卷的所有后续快照都必须位于同一区域中。
+ 如果您从本地快照在 Outpost 上创建卷，则该新卷的所有后续快照都必须位于同一 Outpost 中。

### 从 Outpost 上的卷创建本地快照
<a name="create-snapshot"></a>

您可以从 Outpost 上的卷创建本地快照。您可以选择将快照存储在源卷所在的同一 Outpost 中，也可以选择将快照存储在 Outpost 的区域中。

本地快照只能用于在同一 Outpost 上创建卷。

有关更多信息，请参阅 [创建 Amazon EBS 快照](ebs-creating-snapshot.md)。

### AMIs 从本地快照创建
<a name="ami"></a>

您可以使用本地快照和存储在该地区的快照的组合来创建 Amazon 系统映像 (AMIs) Outpost。例如，如果您在 `us-east-1` 中有一个 Outpost，则可以使用由该 Outpost 上的本地快照支持的数据卷以及由 `us-east-1` 区域中的快照支持的根卷来创建 AMI。

**注意**  
您不能创建 AMIs 包含存储在多个快照中的备份快照Outposts。
目前，您无法在Outpost使用的 **CreateImage**API 上 AMIs 直接从实例创建，也无法在 Amazon EC2 控制台上直接创建Outpost。
AMIs 由本地快照支持的Outpost只能用于在同一个快照上启动实例。

**从区域中的快照在 Outpost 上创建 AMI**

1. 将快照从区域复制到 Outpost。有关更多信息，请参阅 [将快照从一个 Amazon 区域复制到 Outpost](#copy-snapshots)。

1. 通过 Amazon EC2 控制台或 [register-image](https://docs.amazonaws.cn/cli/latest/reference/ec2/register-image.html) 命令使用 Outpost 上的快照副本创建 AMI。有关更多信息，请参阅[从快照创建 AMI](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。

**从 Outpost 上的实例在 Outpost 上创建 AMI**

1. 从 Outpost 上的实例创建快照并将快照存储在 Outpost 上。有关更多信息，请参阅 [创建 Amazon EBS 快照](ebs-creating-snapshot.md)。

1. 通过 Amazon EC2 控制台或 [register-image](https://docs.amazonaws.cn/cli/latest/reference/ec2/register-image.html) 命令使用本地快照创建 AMI。有关更多信息，请参阅[从快照创建 AMI](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。

**从 Outpost 上的实例在区域中创建 AMI**

1. 从 Outpost 上的实例创建快照并将快照存储在区域中。有关更多信息，请参阅 [从 Outpost 上的卷创建本地快照](#create-snapshot) 或 [创建 Amazon EBS 快照](ebs-creating-snapshot.md)。

1. 使用 Amazon EC2 控制台或 [ 寄存器映像 ](https://docs.amazonaws.cn/cli/latest/reference/ec2/register-image.html) 命令使用区域中的快照副本创建 AMI。有关更多信息，请参阅[从快照创建 AMI](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。

### 将快照从一个 Amazon 区域复制到 Outpost
<a name="copy-snapshots"></a>

您可以将快照从一个 Amazon 区域复制到Outpost。仅当快照位于 Outpost 的区域中时，才能执行此操作。如果快照位于其他区域，则必须先将快照复制到该 Outpost 的区域，再将其从该区域复制到该 Outpost。

**注意**  
您不能将本地快照从 Outpost 复制到某个区域、在 Outpost 之间或在同一 Outpost 内复制。

有关更多信息，请参阅 [复制 Amazon EBS 快照](ebs-copy-snapshot.md)。

### AMIs 从一个 Amazon 区域复制到一个 Outpost
<a name="copy-amis"></a>

您可以 AMIs 从一个 Amazon 地区复制到Outpost。当您将 AMI 从区域复制到 Outpost 时，与该 AMI 关联的所有快照都将从该区域复制到该 Outpost。

仅当与 AMI 关联的快照位于 Outpost 的区域中时，您才能将该 AMI 从该区域复制到该 Outpost。如果快照位于其他区域，则必须先将 AMI 复制到该 Outpost 的区域，再将其从该区域复制到该 Outpost。

**注意**  
您不能将 AMI 从 Outpost 复制到某个区域、在 Outpost 之间或在 Outpost 内复制。

您只能Outpost使用 cop [y-imag](https://docs.amazonaws.cn/cli/latest/reference/ec2/copy-image.html) e Amazon CLI 命令 AMIs 从一个区域复制到。

### 从本地快照创建卷
<a name="volumes"></a>

您可以从本地快照在 Outpost 上创建卷。卷必须在源快照所在同一 Outpost 上创建。您不能使用本地快照在 Outpost 的区域中创建卷。

从 本地快照 创建卷时，不能使用不同的 KMS 密钥 对卷重新加密。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。

有关更多信息，请参阅 [创建 Amazon EBS 卷](ebs-creating-volume.md)。

### 从由本地快照 AMIs 支持的实例启动
<a name="instances"></a>

您可以启动由本地快照支持的实例。 AMIs 您必须在源 AMI 所在的同一 Outpost 中启动实例。有关更多信息，请参阅《Amazon Outposts 用户指南》**中的[在 Outpost 上启动实例](https://docs.amazonaws.cn/outposts/latest/userguide/launch-instance.html)。

### 删除本地快照
<a name="delete-snapshots"></a>

您可以从 Outpost 中删除本地快照。从 Outpost 中删除快照后，已删除快照使用的 Amazon S3 存储容量将在删除快照和引用该快照的卷后 72 小时内可用。

由于 Amazon S3 存储容量不会立即可用，因此我们建议您使用亚马逊 CloudWatch 警报来监控您的 Amazon S3 存储容量。应删除不再需要的快照和卷，以避免存储容量耗尽。

有关删除快照的更多信息，请参阅[删除快照](ebs-deleting-snapshot.md#ebs-delete-snapshot)。

### 在 Outpost 上自动执行快照
<a name="dlm"></a>

您可以创建 Amazon Data Lifecycle Manager 快照生命周期策略，使之自动创建、复制、保留和删除 Outpost 上卷和实例的快照。您可以选择是将快照存储在区域中，还是在 Outpost 上本地存储。此外，您可以自动将在一个 Amazon 区域中创建和存储的快照复制到Outpost。

下表提供了支持功能的概述。


| 
| 
| 资源位置 | 快照目标 | 跨区域复制 | 快速快照还原 | 跨账户共享 | 
| --- |--- |--- |--- |--- |
| 复制到区域 | 至 Outpost | 
| --- |--- |
| Region | Region | ✓ | ✓ | ✓ | ✓ | 
| Outpost | Region | ✓ | ✓ | ✓ | ✓ | 
| Outpost | Outpost | ✗ | ✗ | ✗ | ✗ | 

**注意事项**
+ 目前仅支持 Amazon EBS 快照生命周期策略。不支持由 EBS 支持的 AMI 策略和跨账户共享事件策略。
+ 如果有策略管理某个区域中卷或实例的快照，则快照将在源资源所在同一区域中创建。
+ 如果有策略管理 Outpost 上卷或实例的快照，则可以在源 Outpost 或该 Outpost 的区域中创建快照。
+ 单个策略无法同时管理区域中的快照和 Outpost 上的快照。如果您需要在区域和 Outpost 中自动执行快照，则必须分别创建策略。
+ 在 Outpost 上创建的快照或复制到 Outpost 的快照不支持快照还原。
+ 在 Outpost 上创建的快照不支持跨账户共享。

有关创建可管理本地快照的快照生命周期的更多信息，请参阅[自动化快照生命周期](snapshot-ami-policy.md)。