共享快照

更新时间: 2023-09-18 09:40:26

共享快照是将您已经创建好的系统盘或者数据盘的快照共享给其他阿里云账号或者基于资源目录在企业组织内共享使用。其他用户可以使用您共享的快照快速创建云盘,满足日常的运维诉求。本文介绍共享快照、使用共享快照以及取消共享快照的注意事项及操作流程。

准备工作

明确场景

共享快照适用于以下场景:

  • 场景一:您希望将一个阿里云账号下的快照直接共享给另外一个或多个阿里云账号使用。

  • 场景二:您在使用阿里云服务过程中,已通过资源目录将企业的多账号有序组织和集中管理起来,并希望将资源目录中某成员的快照资源共享给整个资源目录(或者资源夹),此时可以通过资源目录实现资源共享。

    说明

    资源目录RD(Resource Directory)是阿里云面向企业用户提供的一套多级账号和资源关系管理服务。资源目录支持您快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。更多信息,请参见资源目录概述

准备操作

  • 共享快照之前,建议确认快照中已不包含敏感数据和文件。

  • 根据共享快照的场景,完成准备操作。

    • 将快照共享给其他阿里云账号使用时,请先获取阿里云账号ID。

      获取方式:将鼠标移至控制台右上角的用户头像,在弹出的用户信息框中,如果标识了账号为主账号,则显示的账号ID即为阿里云账号ID。

    • 基于资源目录在企业组织内共享使用时,请先使用管理账号或成员账号开通资源目录。具体操作,请参见开通资源目录

使用须知

共享快照前,请您了解以下须知:

须知

说明

共享费用

  • 共享过程不产生费用。

  • 快照使用者使用共享快照创建云盘、自定义镜像或者跨地域复制快照,按照相关业务规则计费即可。

使用限制

  • 地域限制

    目前仅支持在华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国(香港)和新加坡地域使用共享快照功能。

  • 账号限制

    仅支持在阿里云账号之间共享快照。

  • 数量限制

    • 每份快照最多可以共享给64个阿里云账号。

    • 每个阿里云账号最多可以分享1,024份快照。

  • 加密快照使用限制

    • 不支持共享加密密钥是服务密钥(Default Service CMK)的加密快照。

      如果您需要共享此类快照,可以使用复制快照功能将服务密钥更换为自定义密钥后再进行共享。

    • 不支持使用共享的加密快照创建自定义镜像。

    • 通过共享的加密快照创建云盘时必须更换密钥。

      说明

      通过共享来的加密快照创建云盘时只能选择ESSD类型的云盘。如果您需要创建其他类型的云盘,您可以先复制快照,然后通过复制后的快照创建云盘。

    • 复制共享的加密快照时必须更换密钥。

  • 其他限制

    • 共享来的快照不支持再次共享。如果需操作共享来的快照,您可以:

      • 使用当前共享快照创建云盘,并对云盘创建全新的快照,然后对这个全新的快照发起共享操作。

      • 先复制共享快照,然后对复制后的全新快照发起共享操作。

    • 共享来的快照保留时长均为3年,您可以通过取消共享快照功能提前结束共享。

共享快照

本操作以阿里云账号A共享快照给阿里云账号B使用为例。

共享普通快照

  1. 阿里云账号A登录ECS管理控制台

  2. 在左侧导航栏,选择存储与快照 > 快照

  3. 在页面左侧顶部,选择目标资源所在的地域。地域

  4. 找到目标快照,在操作列选择image > 共享快照

  5. 添加到共享单元对话框中,配置参数。

    image
    1. 创建共享单元。

      输入共享单元的名称。共享快照的同时,会在资源共享控制台创建一个共享单元。

      说明

      快照共享给其他阿里云账号使用时基于资源管理的资源共享功能,您可以创建共享单元,添加共享资源和资源使用者,将自己拥有的资源共享给其他成员使用。有关共享单元的更多信息,请参见资源共享概述

    2. 添加资源使用者。

      1. 默认使用者范围允许共享给任意账号

        说明

        开通资源目录的阿里云账号才可以选择使用者范围

        • 允许共享给任意账号资源所有者可以将资源共享给任意的资源使用者,不用区分资源所有者和资源使用者是否已加入资源目录。

        • 仅允许资源目录内共享资源所有者仅能在资源目录内共享资源。即资源目录的管理账号或成员,将资源共享给本资源目录及其下的资源夹和成员。

        更多信息,请参见资源共享方式

      2. 输入阿里云账号B的账号ID并单击添加,将快照共享给阿里云账号B。

  6. 添加完成后,单击确认

    共享成功后,您可以在快照列表查看已共享的快照。

    • 快照ID/名称列标识有共享中,且带有acs:ecs:isShared: SHARED标签。

      image.png
    • 您也可以在已共享快照的操作列选择image > 查看共享快照,在快照详情页面查看共享信息。

共享加密快照

步骤1:共享者创建角色并授权

当您共享加密快照时,需要先通过阿里云的访问控制创建名为AliyunECSShareEncryptSnapshotDefaultRole的角色并授予指定的权限与策略,然后才可以将加密快照共享给其他阿里云账号使用。

  1. 阿里云账号A登录RAM控制台

  2. 创建角色名称为 AliyunECSShareEncryptSnapshotDefaultRole的加密快照共享RAM角色。

    1. 在左侧导航栏,选择身份管理 > 角色

    2. 单击创建角色

    3. 选择类型页面,选择阿里云账号,然后单击下一步

    4. 配置角色页面,角色名称下的文本框中输入AliyunECSShareEncryptSnapshotDefaultRole,并在选择信任的云账号区域单击当前云账号,然后单击完成

  3. AliyunECSShareEncryptSnapshotDefaultRole角色配置权限策略。

    1. 创建完成页面,单击为角色授权

    2. 新增授权面板的选择权限区域,单击新建权限策略

      image.png
    3. 创建权限策略页面,单击脚本编辑页签。

    4. 编辑以下脚本内容,限制只共享指定加密快照中的加密密钥相关权限。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": "kms:List*",
            "Resource": "acs:kms:cn-hangzhou:<密钥归属用户AliUid>:key",
            "Effect": "Allow"
          },
          {
            "Action": [
              "kms:DescribeKey",
              "kms:TagResource",
              "kms:UntagResource",
              "kms:Encrypt",
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": "acs:kms:cn-hangzhou:<密钥归属用户AliUid>:key/<快照关联KMS加密密钥Key>",
            "Effect": "Allow"
          }
        ]
      }

      其中,cn-hangzhou<密钥归属用户AliUid><快照关联KMS加密密钥Key>为变量,您需要修改为共享快照所在的地域、共享者的阿里云账号ID和加密快照的密钥ID。

    5. 根据页面提示完成配置。

  4. 为共享对象授予 AliyunECSShareEncryptSnapshotDefaultRole角色权限。

    1. 返回角色页面,通过创建角色后的搜索框,搜索AliyunECSShareEncryptSnapshotDefaultRole角色,然后单击角色名进入角色详情页。

      image.png
    2. AliyunECSShareEncryptSnapshotDefaultRole角色详情页面单击信任策略管理页签。

    3. 单击修改信任策略,然后将默认的信任策略进行替换。

      • 如果您的快照需要共享给单个阿里云账号,请使用如下信任策略进行替换。其中<UID>为变量,您需要修改为共享对象的阿里云账号ID。

        {
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "<UID>@ecs.aliyuncs.com"
                ]
              }
            }
          ],
          "Version": "1"
        }
      • 如果您的快照需要共享给多个阿里云账号,请使用如下信任策略进行替换。其中<UID>为变量,您需要分别修改为共享对象的阿里云账号ID。

        {
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "<UID-1>@ecs.aliyuncs.com",
                  "<UID-2>@ecs.aliyuncs.com",
                  "<UID-3>@ecs.aliyuncs.com"
                ]
              }
            }
          ],
          "Version": "1"
        }
    4. 单击确定

步骤2:共享者共享加密快照

  1. 阿里云账号A登录ECS管理控制台

  2. 在左侧导航栏,选择存储与快照 > 快照

  3. 在页面左侧顶部,选择目标资源所在的地域。地域

  4. 找到目标快照,在操作列选择image > 共享快照

  5. 添加到共享单元对话框中,配置参数。

    image
    1. 创建共享单元。

      输入共享单元的名称。共享快照的同时,会在资源共享控制台创建一个共享单元。

      说明

      快照共享给其他阿里云账号使用时基于资源管理的资源共享功能,您可以创建共享单元,添加共享资源和资源使用者,将自己拥有的资源共享给其他成员使用。有关共享单元的更多信息,请参见资源共享概述

    2. 添加资源使用者。

      1. 默认使用者范围允许共享给任意账号

        说明

        开通资源目录的阿里云账号才可以选择使用者范围

        • 允许共享给任意账号资源所有者可以将资源共享给任意的资源使用者,不用区分资源所有者和资源使用者是否已加入资源目录。

        • 仅允许资源目录内共享资源所有者仅能在资源目录内共享资源。即资源目录的管理账号或成员,将资源共享给本资源目录及其下的资源夹和成员。

        更多信息,请参见资源共享方式

      2. 输入阿里云账号B的账号ID并单击添加,将快照共享给阿里云账号B。

  6. 添加完成后,单击确认

    共享成功后,您可以在快照列表查看已共享的快照。

    • 快照ID/名称列标识有共享中,且带有acs:ecs:isShared: SHARED标签。

      image.png
    • 您也可以在已共享快照的操作列选择image > 查看共享快照,在快照详情页面查看共享信息。

使用共享快照

阿里云账号B需接受阿里云账号A发出的共享快照邀请,共享才能成功。

  1. 接受共享快照。

    1. 阿里云账号B登录资源共享控制台

    2. 在左侧导航栏,选择资源共享 > 共享给我

    3. 在顶部菜单栏左上角处,选择共享快照所在的地域。

    4. 共享给我页面,单击目标共享单元状态列的接受

    5. 接受资源共享对话框,单击接受

      接受后,阿里云账号B可以使用共享的快照,且后续该共享单元新增的共享资源将默认接受共享邀请。

  2. 查看共享快照。

    1. 登录ECS管理控制台

    2. 在左侧导航栏,选择存储与快照 > 快照

    3. 在顶部菜单栏左上角处,选择地域。

    4. 在快照列表查看已共享的快照。

      • 快照ID/名称列标识有来自共享。鼠标悬浮至来自共享,会展示共享账号ID、共享源快照ID等信息。

        image
      • 快照来源标识为共享来的快照,且带有acs:ecs:sharedFrom:<共享用户UID>:<共享源快照归属地域>:<共享源快照ID>标签。

        image
      • 您也可以在共享快照的操作列选择image > 查看共享快照,在资源共享控制台查看共享信息。

  3. 使用共享快照。

取消共享快照

阿里云账号A如果不再需要共享快照给阿里云账号B使用时,可以取消共享。

注意事项

阿里云账号A取消共享快照后,对阿里云账号B有以下影响:

  • 阿里云账号B无法再通过ECS管理控制台或ECS API查询到该快照。

  • 阿里云账号B使用共享快照创建的云盘将不再支持云盘重置操作、使用共享快照创建的自定义镜像将无法使用(使用该自定义镜像创建的ECS实例运行不受影响),使用共享快照跨地域复制的快照不受影响。

操作步骤

  1. 阿里云账号A登录ECS管理控制台

  2. 在左侧导航栏,选择存储与快照 > 快照

  3. 在页面左侧顶部,选择目标资源所在的地域。地域

  4. 找到目标快照,在操作列选择image > 共享快照

  5. 添加到共享单元对话框中,选择目标共享单元。

  6. 资源使用者区域,单击编辑

  7. 已添加的资源使用者列表操作列,单击移除

    image
  8. 单击确认,停止对阿里云账号B共享快照。

阿里云首页 云服务器 ECS 相关技术圈