暗号化された Amazon EBS ボリュームを別の AWS アカウントと共有するにはどうすればよいですか ?

最終更新日: 2020 年 9 月 18 日

Amazon Elastic Block Store (Amazon EBS) ボリュームを別のアマゾン ウェブ サービス (AWS) アカウントと共有するにはどうすればよいですか?

簡単な説明

暗号化された Amazon EBS ボリュームを別の AWS アカウントと直接共有することはできません。代わりに、暗号化された Amazon EBS スナップショットを作成し、送信先 AWS アカウントと共有します。次に、共有スナップショットのコピーから新しい EBS ボリュームを作成します。

解決方法

1.Amazon EBS スナップショットを作成します

重要: EBS ボリュームがインスタンスにアタッチされている場合は、データの整合性を確保するために インスタンスを停止します。

2.次の AWS Key Management Service (AWS KMS) キーポリシーの例を使用して、暗号化されたスナップショットを共有します。

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

このキーポリシーの例では、ターゲットアカウントが、最小限の権限を付与するスナップショットに対して Decrypt および CreateGrant アクションを実行できるようにします。

ソースアカウントの AWS Identity and Access Management (IAM) ユーザーは、まず ModifySnapshotAttribute アクションを呼び出す必要があります。次に、共有スナップショットに関連付けられたキーに対して DescribeKey アクションと ReEncrypt アクションを使用します。

ターゲットアカウントの IAM ユーザーは、CopySnapshotに関連付けられたキーに対して次のアクションを呼び出すことができる必要があります。

3.共有スナップショットのコピーを作成します

注意: AWS アカウントでカスタマーマスターキー (CMK) を選択してください。そうしないと、EBS 暗号化で デフォルトのキーが使用されます。

4.スナップショットから EBS ボリュームを作成します

注意: スナップショットは、スナップショットを作成した AWS リージョン でのみ復元できます。別のリージョンの EBS ボリュームの場合は、最初にそのリージョンにスナップショットをコピーしてから、スナップショットを復元します。


この記事は役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?