如何与其他 AWS 账户共享加密的 Amazon EBS 卷?

上次更新时间:2020 年 9 月 18 日

如何与其他 Amazon Web Services (AWS) 账户共享 Amazon Elastic Block Store (Amazon EBS) 卷?

简短描述

您不能直接与其他 AWS 账户共享加密的 Amazon EBS 卷。您需要创建加密的 Amazon EBS 快照并与目标 AWS 账户共享,然后从共享快照的副本创建新的 EBS 卷。

解决方法

1.创建 Amazon EBS 快照

重要提示:如果此 EBS 卷已挂载到某个实例,请停止实例以确保数据的一致性。

2.使用以下示例 AWS Key Management Service (AWS KMS) 密钥策略共享加密快照

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

此示例密钥策略允许目标账户对授予最低权限的快照执行 DecryptCreateGrant 操作。

源账户的 AWS Identity and Access Management (IAM) 用户必须首先调用 ModifySnapshotAttribute 操作,然后在与共享快照关联的密钥上执行 DescribeKeyReEncrypt 操作。

目标账户的 IAM 用户必须能够在与 CopySnapshot 关联的密钥上调用以下操作:

3.创建共享快照副本

注意:请务必选择您的 AWS 账户中的客户主密钥 (CMK),否则 EBS 加密将使用默认密钥

4.从快照创建 EBS 卷

注意:您只能在创建快照的 AWS 区域还原快照。对于其他区域的 EBS 卷,您需要首先将快照复制到该区域,然后再还原快照。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?