암호화된 Amazon EBS 볼륨을 다른 AWS 계정과 공유하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 9월 18일

다른 Amazon Web Services(AWS) 계정과 Amazon Elastic Block Store(Amazon EBS) 볼륨을 공유하려면 어떻게 해야 합니까?

간략한 설명

암호화된 Amazon EBS 볼륨을 다른 AWS 계정과 직접 공유할 수 없습니다. 대신 암호화된 Amazon EBS 스냅샷을 생성하고 대상 AWS 계정과 공유할 수 있습니다. 그런 다음, 공유된 스냅샷 사본에서 새 EBS 볼륨을 생성합니다.

해결 방법

1. Amazon EBS 스냅샷을 생성합니다.

중요: EBS 볼륨이 인스턴스에 연결된 경우, 데이터 일관성을 보장하기 위해 인스턴스를 중지합니다.

2. 다음 예제 AWS Key Management Service(AWS KMS) 키 정책을 사용하여 암호화된 스냅샷을 공유합니다.

{
  "Sid": "Allow use of the key with destination account",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::TARGET-ACCOUNT-ID:role/ROLENAME"
  },
  "Action": [
    "kms:Decrypt",
    "kms:CreateGrant"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "ec2.REGION.amazonaws.com",
      "kms:CallerAccount": "TARGET-ACCOUNT-ID"
    }
  }
}

이 예제 키 정책은 대상 계정이 최소 권한 부여 권한으로 스냅샷에 대해 DecryptCreateGrant 작업을 수행하도록 허용합니다.

원본 계정의 AWS Identity and Access Management(IAM) 사용자는 우선 ModifySnapshotAttribute 작업을 호출해야 합니다. 그런 다음, 공유된 스냅샷과 연결된 키에 DescribeKeyReEncrypt 작업을 사용합니다.

대상 계정의 IAM 사용자는 CopySnapshot과 연결된 키에 다음의 작업을 호출할 수 있어야 합니다.

3. 공유된 스냅샷의 사본을 생성합니다.

참고: AWS 계정에서 고객 마스터 키(CMK)를 선택해야 합니다. 그렇지 않으면 EBS 암호화에서 기본 키를 사용합니다.

4. 스냅샷에서 EBS 볼륨을 생성합니다.

참고: 스냅샷을 생성한 AWS 리전에서만 스냅샷을 복원할 수 있습니다. 다른 리전에 있는 EBS 볼륨의 경우 먼저 해당 리전에 스냅샷을 복사한 다음 스냅샷을 복원합니다.


이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?