暗号化された Amazon EBS スナップショットまたはボリュームを、別の AWS アカウントと共有するにはどうすればよいですか?
最終更新日: 2022 年 12 月 12 日
Amazon Elastic Block Store (Amazon EBS) のスナップショットまたはボリュームを、別の AWS アカウントと共有したいと考えています。しかし、どうすればよいのかわかりません。
簡単な説明
暗号化された EBS ボリュームを、別の AWS アカウントと直接共有することはできません。代わりに、まず暗号化された Amazon EBS スナップショットを作成し、他のアカウントと共有する必要があります。次に、共有されたスナップショットのコピーから新しいボリュームを作成し、ボリュームを共有します。
EBS スナップショットを共有する際は、次の点に注意してください。
- デフォルトの AWS Key Management Service (AWS KMS) キーで暗号化されたスナップショットは共有できません。代わりに、カスタマーマネージドキーを使用してスナップショットを暗号化する必要があります。
- 暗号化されたスナップショットをパブリックに共有することはできません。スナップショットをパブリックに共有するには、スナップショットが暗号化されていないことを確認してください。
詳細については、「スナップショットを共有する前に」を参照してください。
解決方法
注: 次の手順を完了するには、ボリュームとスナップショットを編集するアクセス許可が必要です。暗号化されたスナップショットからボリュームを作成しても、そのボリュームがボリュームリストに表示されない場合は、適切なアクセス許可がない可能性があります。また、スナップショットがエラー状態になる場合、アクセス許可に問題があることを示しています。
カスタマーマネージドキーで暗号化されたスナップショットを共有する
カスタマーマネージドキーで暗号化されたスナップショットを共有するには、スナップショットの暗号化に使用したカスタマーマネージドキーを共有する必要があります。
まず、手順に従いスナップショットを共有します。次に、手順に従い AWS KMS キーを共有します。
デフォルトの AWS KMS キーで暗号化されたスナップショットを共有します。
スナップショットを作成した後は、スナップショットのデフォルトの暗号化を変更することはできません。そのため、デフォルトの AWS KMS キーで暗号化されたスナップショットを共有するには、まずスナップショットのコピーを作成する必要があります。次に、カスタマーマネージドキーを使用してスナップショットのコピーを暗号化します。詳細については、「暗号化とスナップショットのコピー」を参照してください。
AWS KMS キーがない場合は、「カスタムキーストアで KMS キーを作成する (コンソール)」を参照してください。
暗号化された EBS ボリュームを別のアカウントと共有する
暗号化されたボリュームを別のアカウントと共有するには、次の手順を実行します。
ソースアカウントから:
- ボリュームのスナップショットを作成します。
重要: EBS ボリュームがインスタンスにアタッチされている場合は、データの整合性を維持するためにまずインスタンスを停止します。 - 前のセクション「カスタマーマネージドキーで暗号化されたスナップショットを共有する」の手順を完了します。
ターゲットアカウントから:
- 共有されたスナップショットのコピーを作成します。
注: 必ずカスタマーマネージドキーを選択してください。そうしないと、Amazon EBS の暗号化でデフォルトのキーが使用されます。スナップショットのコピーに関する詳細については、「Amazon EBS スナップショットをコピーする」の「前提条件」、「考慮事項」および「料金」を確認してください。 - スナップショットからボリュームを作成します。
注: 別のアベイラビリティーゾーンにある Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにボリュームをアタッチすることはできません。そのため、必ず Amazon EC2 インスタンスと同じアベイラビリティーゾーンにボリュームを作成してください。
重要: スナップショットは、スナップショットを作成した AWS リージョンでのみ復元できます。別のリージョンの EBS ボリュームについては、まずそのリージョンにスナップショットをコピーしてから、スナップショットを復元します。