暗号化された Amazon EBS ボリュームを別の AWS アカウントと共有するにはどうすればよいですか?

最終更新日: 2020 年 9 月 18 日

Amazon Elastic Block Store (Amazon EBS) ボリュームを別の Amazon Web Services (AWS) アカウントと共有するにはどうすればよいですか?

簡単な説明

暗号化された Amazon EBS ボリュームを別の AWS アカウントと直接共有することはできません。代わりに、暗号化された Amazon EBS スナップショットを作成し、送信先 AWS アカウントと共有します。次に、共有スナップショットのコピーから新しい EBS ボリュームを作成します。

解決方法

1.Amazon EBS スナップショットを作成します

重要: EBS ボリュームがインスタンスにアタッチされている場合は、データの整合性を確保するために インスタンスを停止します。

2.次の AWS Key Management Service (AWS KMS) キーポリシーの例を使用して、暗号化されたスナップショットを共有します。

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

このキーポリシーの例では、ターゲットアカウントが、最小限の権限を付与する許可を持つスナップショットに対して Decrypt および CreateGrant アクションを実行できるようにします。

ソースアカウントの AWS Identity and Access Management (IAM) ユーザーは、まず ModifySnapshotAttribute アクションを呼び出す必要があります。次に、共有スナップショットに関連付けられたキーに対して DescribeKey アクションと ReEncrypt アクションを使用します。

ターゲットアカウントの IAM ユーザーは、CopySnapshotに関連付けられたキーに対して次のアクションを呼び出すことができる必要があります。

3.共有スナップショットのコピーを作成します

注意: AWS アカウント内の AWS KMS キーを選択するようにしてください。これを選択しない場合、EBS 暗号化はデフォルトのキーを使用します。

4.スナップショットから EBS ボリュームを作成します

注意: スナップショットは、スナップショットを作成した AWS リージョン でのみ復元できます。別のリージョンの EBS ボリュームの場合は、最初にそのリージョンにスナップショットをコピーしてから、スナップショットを復元します。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?