共享快照给其他阿里云账号_云服务器 ECS(ECS)-阿里云帮助中心

您可以将云盘快照共享给其他阿里云账号或者基于资源目录在企业组织内共享使用。其他阿里云账号可以使用您共享的快照快速创建云盘，满足日常的运维诉求。本文介绍共享快照、使用共享快照以及取消共享快照的注意事项及操作流程。

说明

资源目录RD（Resource Directory）是阿里云面向企业用户提供的一套多级账号和资源关系管理服务。资源目录支持您快速建立一套符合企业业务关系的目录结构，并将企业多个账号分布到这个目录结构中的相应位置，从而形成资源间的多层级关系。更多信息，请参见资源目录概述。

使用须知

共享快照前，请您了解以下须知：

须知	说明
共享费用	共享过程本身不产生费用。快照使用者使用共享快照创建云盘、跨地域复制快照会产生相关资源费用。
使用限制	账号限制仅支持在阿里云账号之间共享快照。数量限制每份快照最多可以共享给64个阿里云账号。每个阿里云账号最多可以分享1,024份快照。加密快照使用限制不支持共享加密密钥是Default Service CMK的加密快照。如果您需要共享此类快照，可以使用复制快照功能将服务密钥更换为自定义密钥后再进行共享。通过共享的加密快照创建云盘时必须更换密钥。说明通过共享来的加密快照创建云盘时只能选择ESSD类型的云盘。如果您需要创建其他类型的云盘，您可以先复制快照，然后通过复制后的快照创建云盘。复制共享的加密快照时必须更换密钥。其他限制共享来的快照不支持再次共享。如果需要操作共享来的快照，您可以：使用当前共享快照创建云盘，并对云盘创建全新的快照，然后对这个全新的快照发起共享操作。先复制共享快照，然后对复制后的全新快照发起共享操作。共享来的快照保留时长均为3年，您可以通过取消共享快照功能提前结束共享。不支持使用共享快照创建自定义镜像。

共享快照

准备工作

共享快照之前，建议确认快照中已不包含敏感数据和文件。
根据共享快照的场景，完成准备操作。
- 将快照共享给其他阿里云账号使用时，请先获取阿里云账号ID。
  获取方式：将鼠标移至控制台右上角的用户头像，在弹出的用户信息框中，如果标识了账号为主账号，则显示的账号ID即为阿里云账号ID。
- 基于资源目录在企业组织内共享使用时，请先使用管理账号或成员账号开通资源目录。具体操作，请参见开通资源目录。

开始共享

本操作以阿里云账号A共享快照给阿里云账号B使用为例。

共享普通快照

阿里云账号A登录ECS管理控制台。
在左侧导航栏，选择存储与快照 > 快照。
在页面左侧顶部，选择目标资源所在的资源组和地域。
找到目标快照，在操作列选择 > 共享快照。
在添加到共享单元对话框中，配置参数。
1. 选择已在资源共享控制台创建的共享单元。
  说明
  快照共享给其他阿里云账号使用时基于资源管理的资源共享功能，您可以创建共享单元，添加共享资源和资源使用者，将自己拥有的资源共享给其他成员使用。有关共享单元的更多信息，请参见资源共享概述。
2. 在资源使用者区域，单击编辑添加资源使用者。
  1. 默认使用者范围为允许共享给任意账号。更多信息，请参见资源共享方式。
  2. 输入阿里云账号B的账号ID并单击添加，将快照共享给阿里云账号B。
添加完成后，单击确定。

共享加密快照

步骤1：共享者创建角色并授权

当您共享加密快照时，需要先通过阿里云的访问控制创建名为AliyunECSShareEncryptSnapshotDefaultRole的角色并授予指定的权限与策略，然后才可以将加密快照共享给其他阿里云账号使用。

阿里云账号A登录RAM控制台。
创建角色名称为AliyunECSShareEncryptSnapshotDefaultRole的加密快照共享RAM角色。
1. 在左侧导航栏，选择身份管理 > 角色。
2. 单击创建角色。
3. 在选择类型页面，选择阿里云账号，然后单击下一步。
4. 在配置角色页面，角色名称下的文本框中输入AliyunECSShareEncryptSnapshotDefaultRole，并在选择信任的云账号区域单击当前云账号，然后单击完成。
为AliyunECSShareEncryptSnapshotDefaultRole角色配置权限策略。
1. 在创建完成页面，单击为角色授权。
2. 在新增授权面板的选择权限区域，单击新建权限策略。
3. 在创建权限策略页面，单击脚本编辑页签。
4. 编辑以下脚本内容，限制只共享指定加密快照中的加密密钥相关权限。
```
{
  "Version": "1",
  "Statement": [
    {
      "Action": "kms:List*",
      "Resource": "acs:kms:<密钥归属地域ID>:<密钥归属用户AliUid>:key",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:DescribeKey",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "acs:kms:<密钥归属地域ID>:<密钥归属用户AliUid>:key/<快照关联KMS加密密钥Key>",
      "Effect": "Allow"
    }
  ]
}
```
  其中，<密钥归属地域ID>、<密钥归属用户AliUid>和<快照关联KMS加密密钥Key>为变量，您需要分别修改为KMS密钥所在的地域ID、KMS密钥归属用户的阿里云账号ID和KMS密钥的密钥ID。
5. 根据页面提示完成配置。
为共享对象授予 AliyunECSShareEncryptSnapshotDefaultRole角色权限。
1. 返回角色页面，通过创建角色后的搜索框，搜索AliyunECSShareEncryptSnapshotDefaultRole角色，然后单击角色名进入角色详情页。
2. 在AliyunECSShareEncryptSnapshotDefaultRole角色详情页面单击信任策略管理页签。
3. 单击修改信任策略，然后将默认的信任策略进行替换。
  - 如果您的快照需要共享给单个阿里云账号，请使用如下信任策略进行替换。其中<UID>为变量，您需要修改为共享对象的阿里云账号ID。
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "<UID>@ecs.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}
```
  - 如果您的快照需要共享给多个阿里云账号，请使用如下信任策略进行替换。其中<UID>为变量，您需要分别修改为共享对象的阿里云账号ID。
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "<UID-1>@ecs.aliyuncs.com",
          "<UID-2>@ecs.aliyuncs.com",
          "<UID-3>@ecs.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}
```
4. 单击确定。

步骤2：共享者共享加密快照

阿里云账号A登录ECS管理控制台。
在左侧导航栏，选择存储与快照 > 快照。
在页面左侧顶部，选择目标资源所在的资源组和地域。
找到目标加密快照，在操作列选择 > 共享快照。
在添加到共享单元对话框中，配置参数。
1. 选择已在资源共享控制台创建的共享单元。
  说明
  快照共享给其他阿里云账号使用时基于资源管理的资源共享功能，您可以创建共享单元，添加共享资源和资源使用者，将自己拥有的资源共享给其他成员使用。有关共享单元的更多信息，请参见资源共享概述。
2. 在资源使用者区域，单击编辑添加资源使用者。
  1. 默认使用者范围为允许共享给任意账号。更多信息，请参见资源共享方式。
  2. 输入阿里云账号B的账号ID并单击添加，将快照共享给阿里云账号B。
添加完成后，单击确定。

使用共享快照

阿里云账号B需接受阿里云账号A发出的共享快照邀请，共享才能成功。

接受共享快照。
1. 阿里云账号B登录资源共享控制台。
2. 在左侧导航栏，选择资源共享 > 共享给我。
3. 在顶部菜单栏左上角处，选择共享快照所在的地域。
4. 在共享给我页面，单击目标共享单元状态列的接受。
5. 在接受资源共享对话框中，单击确定。
  接受后，阿里云账号B可以使用共享的快照，且后续该共享单元新增的共享资源将默认接受共享邀请。
查看共享快照。
1. 登录ECS管理控制台。
2. 在左侧导航栏，选择存储与快照 > 快照。
3. 在顶部菜单栏左上角处，选择共享快照所在的地域。
4. 在快照列表中查看已共享的快照。
  - 将鼠标悬浮至图标，带有acs:ecs:sharedFrom：<共享用户UID>:<共享源快照归属地域>:<共享源快照ID>标签。
  - 快照来源标识为共享来的快照。
  - 将鼠标悬浮至图标，会展示共享账号ID、共享源快照ID等信息。
    您也可以在共享快照的操作列选择 > 查看共享快照，在资源共享控制台查看共享信息。
使用共享快照。
- 如果您共享的是非加密快照，后续阿里云账号B可以通过共享快照执行以下操作：
  - 创建新云盘：使用快照创建云盘
  - 复制共享快照：复制快照
- 如果您共享的是加密快照，后续阿里云账号B可以通过共享加密快照执行以下操作：
  - 创建新云盘，但同时必须修改密钥：使用快照创建云盘
  - 复制共享快照，但同时必须修改密钥：复制快照

取消共享快照

阿里云账号A如果不再需要将快照共享给阿里云账号B使用，可以取消共享。

重要

阿里云账号A取消共享快照后，对阿里云账号B有以下影响：

阿里云账号B无法再通过ECS管理控制台或ECS API查询到该快照。
阿里云账号B使用共享快照创建的云盘将不再支持云盘重置操作，使用共享快照跨地域复制的快照不受影响。

阿里云账号A登录ECS管理控制台。
在左侧导航栏，选择存储与快照 > 快照。
在页面左侧顶部，选择目标资源所在的资源组和地域。
找到目标快照，在操作列选择 > 共享快照。
在添加到共享单元对话框中，选择目标共享单元。
在资源使用者区域，单击编辑。
在已添加的资源使用者列表的操作列，单击移除。
单击确认，停止对阿里云账号B共享快照。