暗号化された Amazon EBS ボリュームを別の AWS アカウントと共有するにはどうすればよいですか ?
最終更新日: 2020 年 9 月 18 日
簡単な説明
暗号化された Amazon EBS ボリュームを別の AWS アカウントと直接共有することはできません。代わりに、暗号化された Amazon EBS スナップショットを作成し、送信先 AWS アカウントと共有します。次に、共有スナップショットのコピーから新しい EBS ボリュームを作成します。
解決方法
重要: EBS ボリュームがインスタンスにアタッチされている場合は、データの整合性を確保するために インスタンスを停止します。
2.次の AWS Key Management Service (AWS KMS) キーポリシーの例を使用して、暗号化されたスナップショットを共有します。
{
"Sid": "Allow use of the key with destination account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ec2.REGION.amazonaws.com",
"kms:CallerAccount": "TARGET-ACCOUNT-ID"
}
}
}
このキーポリシーの例では、ターゲットアカウントが、最小限の権限を付与するスナップショットに対して Decrypt および CreateGrant アクションを実行できるようにします。
ソースアカウントの AWS Identity and Access Management (IAM) ユーザーは、まず ModifySnapshotAttribute アクションを呼び出す必要があります。次に、共有スナップショットに関連付けられたキーに対して DescribeKey アクションと ReEncrypt アクションを使用します。
ターゲットアカウントの IAM ユーザーは、CopySnapshotに関連付けられたキーに対して次のアクションを呼び出すことができる必要があります。
注意: AWS アカウントでカスタマーマスターキー (CMK) を選択してください。そうしないと、EBS 暗号化で デフォルトのキーが使用されます。
注意: スナップショットは、スナップショットを作成した AWS リージョン でのみ復元できます。別のリージョンの EBS ボリュームの場合は、最初にそのリージョンにスナップショットをコピーしてから、スナップショットを復元します。