如何与其他 AWS 账户共享加密的 Amazon EBS 卷?

上次更新时间:2019 年 11 月 21 日

如何与其他 Amazon Elastic Compute Cloud (Amazon EC2) 实例共享 Amazon Elastic Block Store (Amazon EBS) 卷? 

简短描述

您不能直接与其他 AWS 账户共享加密的 Amazon EBS 卷。但您可以创建加密的 Amazon EBS 快照并与目标 AWS 账户共享,复制共享的快照,然后从该快照创建新的 EBS 卷。

解决方法

1.    创建 Amazon EBS 快照

:如果 EBS 卷被附加到实例,停止实例以确保数据的一致性。

2.    使用以下示例 AWS Key Management Service (AWS KMS) 密钥策略共享加密快照

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

:源账户的 AWS Identity and Access Management (IAM) 用户必须调用 ModifySnapshotAttribute 操作,并对与共享快照关联的密钥执行 DescribeKeyReEncypt 操作。此示例密钥策略允许目标账户对授予最低权限的快照执行 DecryptCreateGrant 操作。目标账户的 IAM 用户必须能够对与 CopySnapshot 关联的密钥调用 CreateGrantEncryptDecryptDescribeKeyGenerateDataKeyWithoutPlaintext 操作。

3.    创建共享快照副本。如需更多信息,见复制快照

:确保在您的 AWS 账户中选择一个客户主密钥 (CMK),否则将使用默认的主密钥。

4.    从快照创建 EBS 卷。如需更多信息,见从快照还原 Amazon EBS 卷

:您仅可在创建快照的 AWS 区域还原该快照。针对其他区域的 EBS 卷,先将快照复制到该区域,然后还原快照。

这篇文章对您有帮助吗?

没有

我们可以改进什么?

请告诉我们

需要更多帮助?

请与 AWS Support 联系