如何与其他 AWS 账户共享加密的 Amazon EBS 卷？

上次更新时间：2020 年 9 月 18 日

您不能直接与其他 AWS 账户共享加密的 Amazon EBS 卷。您需要创建加密的 Amazon EBS 快照并与目标 AWS 账户共享，然后从共享快照的副本创建新的 EBS 卷。

1.创建 Amazon EBS 快照。

重要提示：如果此 EBS 卷已挂载到某个实例，请停止实例以确保数据的一致性。

2.使用以下示例 AWS Key Management Service (AWS KMS) 密钥策略共享加密快照：

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

此示例密钥策略允许目标账户对授予最低权限的快照执行 Decrypt 和 CreateGrant 操作。

源账户的 AWS Identity and Access Management (IAM) 用户必须首先调用 ModifySnapshotAttribute 操作，然后在与共享快照关联的密钥上执行 DescribeKey 和 ReEncrypt 操作。

目标账户的 IAM 用户必须能够在与 CopySnapshot 关联的密钥上调用以下操作：

• CreateGrant
• Encrypt
• Decrypt
• DescribeKey
• GenerateDataKeyWithoutPlaintext

3.创建共享快照副本。

注意：请务必选择您的 AWS 账户中的客户主密钥 (CMK)，否则 EBS 加密将使用默认密钥。

4.从快照创建 EBS 卷。

注意：您只能在创建快照的 AWS 区域还原快照。对于其他区域的 EBS 卷，您需要首先将快照复制到该区域，然后再还原快照。