暗号化された Amazon EBS ボリュームを別の AWS アカウントと共有するにはどうすればよいですか ?

最終更新日: 2019 年 11 月 21 日

Amazon Elastic Block Store (Amazon EBS) ボリュームを別の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと共有するにはどうすればよいですか ? 

簡単な説明

暗号化された Amazon EBS ボリュームを別の AWS アカウントと直接共有することはできません。代わりに、暗号化された Amazon EBS スナップショットを作成して送信先の AWS アカウントと共有し、共有されたスナップショットをコピーして、スナップショットから新しい EBS ボリュームを作成します。

解決方法

1.    Amazon EBS スナップショットを作成します

: EBS ボリュームがインスタンスにアタッチされている場合は、データの整合性を確保するために インスタンスを停止 します。

2.    次の AWS Key Management Service (AWS KMS) キーポリシーの例を使用して、暗号化されたスナップショットを共有 します。

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

: ソースアカウントの AWS Identity and Access Management (IAM) ユーザーは ModifySnapshotAttribute アクションを呼び出し、共有スナップショットに関連付けられたキーで DescribeKey アクションと ReEncypt アクションを使用する必要があります。このキーポリシーの例では、ターゲットアカウントが、最小限の権限を付与するスナップショットに対して Decrypt および CreateGrant アクションを実行できるようにします。ターゲットアカウントの IAM ユーザーは、 CopySnapshot に関連付けられたキーで CreateGrantEncryptDecryptDescribeKeyGenerateDataKeyWithoutPlaintext アクションを呼び出すことができる必要があります。

3.    共有スナップショットのコピーを作成します。詳細については、スナップショットをコピーする を参照してください。

: 必ず AWS アカウントのカスタマーマスターキー (CMK) を選択してください。そうしないと、デフォルトのマスターキーが使用されます。

4.    スナップショットから EBS ボリュームを作成します。詳細については、スナップショットからの Amazon EBS ボリュームの復元を参照してください。

: スナップショットは、スナップショットが作成された AWS リージョン でのみ復元できます。別のリージョンの EBS ボリュームの場合は、最初にそのリージョンにスナップショットをコピーしてから、スナップショットを復元します。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合