암호화된 Amazon EBS 볼륨을 다른 AWS 계정과 공유하려면 어떻게 하나요?

최종 업데이트 날짜: 2022년 2월 2일

다른 Amazon Web Services(AWS) 계정과 Amazon Elastic Block Store(Amazon EBS) 볼륨을 공유하려면 어떻게 해야 하나요?

간략한 설명

암호화된 Amazon EBS 볼륨을 다른 AWS 계정과 직접 공유할 수 없습니다. 대신 암호화된 Amazon EBS 스냅샷을 생성하고 대상 AWS 계정과 공유할 수 있습니다. 그런 다음, 공유된 스냅샷 사본에서 새 EBS 볼륨을 생성합니다.

EBS 볼륨을 공유할 때 다음 사항에 유의하세요.

  • AWS 관리형 키로 암호화된 스냅샷은 공유할 수 없습니다. 반면, 공유하려는 스냅샷은 고객 관리형 키로 암호화해야 합니다.
  • 암호화된 스냅샷은 공개적으로 공유할 수 없습니다. 스냅샷을 공개적으로 공유하려면 암호화되지 않았는지 확인하십시오.

자세한 내용은 스냅샷을 공유하기 전에를 참조하십시오.

해결 방법

참고: 이 단계를 완료하려면 볼륨 및 스냅샷을 편집할 수 있는 권한이 있어야 합니다. 암호화된 스냅샷에서 볼륨을 생성했지만 볼륨 목록에 표시되지 않으면 올바른 권한이 없는 것일 수 있습니다. 자세한 내용은 KMS 키 공유를 참조하세요. 마찬가지로 오류 상태가 되는 스냅샷은 권한 문제가 있음을 나타냅니다.

1.    Amazon EBS 스냅샷을 생성합니다.

중요: EBS 볼륨이 인스턴스에 연결된 경우, 데이터 일관성을 용이하게 하기 위해 인스턴스를 중지합니다.

2.    다음 예제 AWS Key Management Service(AWS KMS) 키 정책을 사용하여 암호화된 스냅샷을 공유합니다.

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

이 예제 키 정책은 대상 계정이 최소 권한 부여 권한으로 스냅샷에 대해 DecryptCreateGrant 작업을 수행하도록 허용합니다.

원본 계정의 AWS Identity and Access Management(IAM) 사용자는 우선 ModifySnapshotAttribute 작업을 호출해야 합니다. 그런 다음, 공유된 스냅샷과 연결된 키에 DescribeKeyReEncrypt 작업을 사용합니다.

대상 계정의 IAM 사용자는 CopySnapshot과 연결된 키에 다음의 작업을 호출할 수 있어야 합니다.

3.    공유된 스냅샷의 사본을 생성합니다.

참고: AWS 계정에서 AWS KMS 키를 선택해야 합니다. 그렇지 않으면 EBS 암호화에서 기본 키를 사용합니다.

4.    스냅샷에서 EBS 볼륨을 생성합니다.

참고: 스냅샷을 생성한 AWS 리전에서만 스냅샷을 복원할 수 있습니다. 다른 리전의 EBS 볼륨의 경우 해당 리전에서 먼저 스냅샷을 복사한 다음 스냅샷을 복원하십시오.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?