共享快照
共享快照是将您已经创建好的系统盘或者数据盘的快照共享给其他阿里云账号或者基于资源目录在企业组织内共享使用。其他用户可以使用您共享的快照快速创建云盘,满足日常的运维诉求。本文介绍共享快照、使用共享快照以及取消共享快照的注意事项及操作流程。
准备工作
明确场景
共享快照适用于以下场景:
场景一:您希望将一个阿里云账号下的快照直接共享给另外一个或多个阿里云账号使用。
场景二:您在使用阿里云服务过程中,已通过资源目录将企业的多账号有序组织和集中管理起来,并希望将资源目录中某成员的快照资源共享给整个资源目录(或者资源夹),此时可以通过资源目录实现资源共享。
说明资源目录RD(Resource Directory)是阿里云面向企业用户提供的一套多级账号和资源关系管理服务。资源目录支持您快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。更多信息,请参见资源目录概述。
准备操作
共享快照之前,建议确认快照中已不包含敏感数据和文件。
根据共享快照的场景,完成准备操作。
将快照共享给其他阿里云账号使用时,请先获取阿里云账号ID。
获取方式:将鼠标移至控制台右上角的用户头像,在弹出的用户信息框中,如果标识了账号为主账号,则显示的账号ID即为阿里云账号ID。
基于资源目录在企业组织内共享使用时,请先使用管理账号或成员账号开通资源目录。具体操作,请参见开通资源目录。
使用须知
共享快照前,请您了解以下须知:
须知 | 说明 |
共享费用 |
|
使用限制 |
|
共享快照
本操作以阿里云账号A共享快照给阿里云账号B使用为例。
共享普通快照
阿里云账号A登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的地域。
找到目标快照,在操作列选择
> 共享快照。
在添加到共享单元对话框中,配置参数。
添加完成后,单击确认。
共享成功后,您可以在快照列表查看已共享的快照。
快照ID/名称列标识有共享中,且带有acs:ecs:isShared: SHARED标签。
您也可以在已共享快照的操作列选择
> 查看共享快照,在快照详情页面查看共享信息。
共享加密快照
步骤1:共享者创建角色并授权
当您共享加密快照时,需要先通过阿里云的访问控制创建名为AliyunECSShareEncryptSnapshotDefaultRole
的角色并授予指定的权限与策略,然后才可以将加密快照共享给其他阿里云账号使用。
阿里云账号A登录RAM控制台。
创建角色名称为
AliyunECSShareEncryptSnapshotDefaultRole
的加密快照共享RAM角色。在左侧导航栏,选择
。单击创建角色。
在选择类型页面,选择阿里云账号,然后单击下一步。
在配置角色页面,角色名称下的文本框中输入
AliyunECSShareEncryptSnapshotDefaultRole
,并在选择信任的云账号区域单击当前云账号,然后单击完成。
为
AliyunECSShareEncryptSnapshotDefaultRole
角色配置权限策略。在创建完成页面,单击为角色授权。
在新增授权面板的选择权限区域,单击新建权限策略。
在创建权限策略页面,单击脚本编辑页签。
编辑以下脚本内容,限制只共享指定加密快照中的加密密钥相关权限。
{ "Version": "1", "Statement": [ { "Action": "kms:List*", "Resource": "acs:kms:cn-hangzhou:<密钥归属用户AliUid>:key", "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:TagResource", "kms:UntagResource", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "acs:kms:cn-hangzhou:<密钥归属用户AliUid>:key/<快照关联KMS加密密钥Key>", "Effect": "Allow" } ] }
其中,
cn-hangzhou
、<密钥归属用户AliUid>
和<快照关联KMS加密密钥Key>
为变量,您需要修改为共享快照所在的地域、共享者的阿里云账号ID和加密快照的密钥ID。根据页面提示完成配置。
为共享对象授予
AliyunECSShareEncryptSnapshotDefaultRole
角色权限。返回角色页面,通过创建角色后的搜索框,搜索
AliyunECSShareEncryptSnapshotDefaultRole
角色,然后单击角色名进入角色详情页。在
AliyunECSShareEncryptSnapshotDefaultRole
角色详情页面单击信任策略管理页签。单击修改信任策略,然后将默认的信任策略进行替换。
如果您的快照需要共享给单个阿里云账号,请使用如下信任策略进行替换。其中
<UID>
为变量,您需要修改为共享对象的阿里云账号ID。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
如果您的快照需要共享给多个阿里云账号,请使用如下信任策略进行替换。其中
<UID>
为变量,您需要分别修改为共享对象的阿里云账号ID。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID-1>@ecs.aliyuncs.com", "<UID-2>@ecs.aliyuncs.com", "<UID-3>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
单击确定。
步骤2:共享者共享加密快照
阿里云账号A登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的地域。
找到目标快照,在操作列选择
> 共享快照。
在添加到共享单元对话框中,配置参数。
添加完成后,单击确认。
共享成功后,您可以在快照列表查看已共享的快照。
快照ID/名称列标识有共享中,且带有acs:ecs:isShared: SHARED标签。
您也可以在已共享快照的操作列选择
> 查看共享快照,在快照详情页面查看共享信息。
使用共享快照
阿里云账号B需接受阿里云账号A发出的共享快照邀请,共享才能成功。
接受共享快照。
阿里云账号B登录资源共享控制台。
在左侧导航栏,选择资源共享 > 共享给我。
在顶部菜单栏左上角处,选择共享快照所在的地域。
在共享给我页面,单击目标共享单元状态列的接受。
在接受资源共享对话框,单击接受。
接受后,阿里云账号B可以使用共享的快照,且后续该共享单元新增的共享资源将默认接受共享邀请。
查看共享快照。
使用共享快照。
如果您共享的是非加密快照,后续阿里云账号B可以通过共享快照执行以下操作:
创建自定义镜像:使用快照创建自定义镜像
创建新云盘:使用快照创建云盘
复制共享快照:复制快照
如果您共享的是加密快照,后续阿里云账号B可以通过共享加密快照执行以下操作:
取消共享快照
阿里云账号A如果不再需要共享快照给阿里云账号B使用时,可以取消共享。
注意事项
阿里云账号A取消共享快照后,对阿里云账号B有以下影响:
阿里云账号B无法再通过ECS管理控制台或ECS API查询到该快照。
阿里云账号B使用共享快照创建的云盘将不再支持云盘重置操作、使用共享快照创建的自定义镜像将无法使用(使用该自定义镜像创建的ECS实例运行不受影响),使用共享快照跨地域复制的快照不受影响。
操作步骤
阿里云账号A登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的地域。
找到目标快照,在操作列选择
> 共享快照。
在添加到共享单元对话框中,选择目标共享单元。
在资源使用者区域,单击编辑。
在已添加的资源使用者列表操作列,单击移除。
单击确认,停止对阿里云账号B共享快照。