全部產品
Search
文件中心

Elastic Compute Service:將快照集共用給其他阿里雲帳號

更新時間:Jun 19, 2024

您可以將雲端硬碟快照集共用給其他阿里雲帳號或者基於資來源目錄在企業組織內共用使用。其他阿里雲帳號可以使用您共用的快照快速建立雲端硬碟,滿足日常的營運訴求。本文介紹共用快照、使用共用快照以及不共用快照的注意事項及操作流程。

說明

資來源目錄RD(Resource Directory)是阿里雲面向企業使用者提供的一套多級帳號和資源關係管理服務。資來源目錄支援您快速建立一套符合企業業務關係的目錄結構,並將企業多個帳號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關係。更多資訊,請參見資來源目錄概述

使用須知

共用快照前,請您瞭解以下須知:

須知

說明

共用費用

  • 共用過程本身不產生費用。

  • 快照使用者使用共用快照建立雲端硬碟、跨地區複製快照會產生相關資源費用。

使用限制

  • 帳號限制

    僅支援在阿里雲帳號之間共用快照。

  • 數量限制

    • 每份快照最多可以共用給64個阿里雲帳號。

    • 每個阿里雲帳號最多可以分享1,024份快照。

  • 加密快照使用限制

    • 不支援共用加密金鑰是Default Service CMK的加密快照。

      如果您需要共用此類快照,可以使用複製快照功能將服務密鑰更換為自訂密鑰後再進行共用。

    • 通過共用的加密快照建立雲端硬碟時必須更換密鑰。

      說明

      通過共用來的加密快照建立雲端硬碟時只能選擇ESSD類型的雲端硬碟。如果您需要建立其他類型的雲端硬碟,您可以先複製快照,然後通過複製後的快照建立雲端硬碟。

    • 複製共用的加密快照時必須更換密鑰。

  • 其他限制

    • 共用來的快照不支援再次共用。如果需要操作共用來的快照,您可以:

      • 使用當前共用快照建立雲端硬碟,並對雲端硬碟建立全新的快照,然後對這個全新的快照發起共用操作。

      • 先複製共用快照,然後對複製後的全新快照發起共用操作。

    • 共用來的快照保留時間長度均為3年,您可以通過不共用快照功能提前結束共用。

    • 不支援使用共用快照建立自訂鏡像。

準備工作

  • 共用快照之前,建議確認快照中已不包含敏感性資料和檔案。

  • 根據共用快照的情境,完成準備操作。

    • 將快照集共用給其他阿里雲帳號使用時,請先擷取阿里雲帳號ID。

      擷取方式:將滑鼠移至控制台右上方的帳戶圖片,在彈出的使用者資訊框中,如果標識了帳號為主帳號,則顯示的帳號ID即為阿里雲帳號ID。

    • 基於資來源目錄在企業組織內共用使用時,請先使用管理帳號或成員帳號開通資來源目錄。具體操作,請參見開通資來源目錄

共用快照

通過控制台共用快照

共用者共用快照

共用非加密快照

  1. 共用者登入ECS管理主控台

  2. 在左側導覽列,選擇儲存與快照 > 快照

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  4. 找到目標快照,在操作列選擇image > 共用快照

  5. 添加到共用單元對話方塊中,配置參數。

    image

    1. 選擇已在資源共用控制台建立的共用單元。

      說明

      快照集共用給其他阿里雲帳號使用時基於資源管理的資源共用功能,您可以建立共用單元,添加共用資源和資源使用者,將自己擁有的資源共用給其他成員使用。有關共用單元的更多資訊,請參見資源共用概述

    2. 資源使用者地區,單擊編輯添加資源使用者。

      1. 預設使用者範圍允許共用給任意帳號。更多資訊,請參見資源共用方式

      2. 輸入共用對象的阿里雲帳號ID並單擊添加

  6. 添加完成後,單擊確定

共用加密快照

步驟1:共用者建立角色並授權

當您共用加密快照時,需要先通過阿里雲的存取控制建立名稱為AliyunECSShareEncryptSnapshotDefaultRole的角色並授予指定的許可權與策略,然後才可以將加密快照集共用給其他阿里雲帳號使用。

  1. 共用者登入RAM控制台

  2. 權限原則頁面,通過指令碼編輯模式建立自訂權限原則。具體操作,請參見通過指令碼編輯模式建立自訂權限原則

    策略內容如下,限制只共用指定加密快照中的加密金鑰相關許可權。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "kms:List*",
          "Resource": "acs:kms:<密鑰歸屬地區ID>:<密鑰歸屬使用者AliUid>:key",
          "Effect": "Allow"
        },
        {
          "Action": [
            "kms:DescribeKey",
            "kms:TagResource",
            "kms:UntagResource",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
          ],
          "Resource": "acs:kms:<密鑰歸屬地區ID>:<密鑰歸屬使用者AliUid>:key/<快照關聯KMS加密金鑰Key>",
          "Effect": "Allow"
        }
      ]
    }
    說明

    其中<密鑰歸屬地區ID><密鑰歸屬使用者AliUid><快照關聯KMS加密金鑰Key>為變數,您需要分別修改為KMS密鑰所在的地區ID、KMS密鑰歸屬使用者的阿里雲帳號ID和KMS密鑰的密鑰ID。

  3. 角色頁面建立可信實體為阿里雲帳號的RAM角色,角色名稱為AliyunECSShareEncryptSnapshotDefaultRole

    具體操作,請參見建立可信實體為阿里雲帳號的RAM角色

  4. 角色列表頁面,單擊已建立的AliyunECSShareEncryptSnapshotDefaultRole角色進入角色詳情頁面。

    • 許可權管理頁簽單擊新增授權,為RAM角色授予步驟2已建立的自訂策略。具體操作,請參見為RAM角色授權

    • 信任策略頁簽,修改RAM角色的信任策略為以下內容,以確定可以將加密快照集共用給哪些共用對象。具體操作,請參見修改RAM角色的信任策略

      {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "<UID>@ecs.aliyuncs.com"
              ]
            }
          }
        ],
        "Version": "1"
      }
      說明

      其中<UID>為變數,您需要修改為共用對象的阿里雲帳號ID。如果您的快照需要共用給多個阿里雲帳號,需要添加多個共用對象的阿里雲帳號ID。

步驟2:共用者共用加密快照

  1. 共用者登入ECS管理主控台

  2. 在左側導覽列,選擇儲存與快照 > 快照

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  4. 找到目標加密快照,在操作列選擇image > 共用快照

  5. 添加到共用單元對話方塊中,配置參數。

    image

    1. 選擇已在資源共用控制台建立的共用單元。

      說明

      快照集共用給其他阿里雲帳號使用時基於資源管理的資源共用功能,您可以建立共用單元,添加共用資源和資源使用者,將自己擁有的資源共用給其他成員使用。有關共用單元的更多資訊,請參見資源共用概述

    2. 資源使用者地區,單擊編輯添加資源使用者。

      1. 預設使用者範圍允許共用給任意帳號。更多資訊,請參見資源共用方式

      2. 輸入共用對象的阿里雲帳號ID並單擊添加

  6. 添加完成後,單擊確定

共用對象使用共用快照

共用對象需接受共用者發出的共用快照邀請,共用才能成功。

  1. 共用對象接受共用快照。

    1. 共用對象登入資源共用控制台

    2. 在左側導覽列,選擇資源共用 > 共用給我

    3. 在頂部功能表列左上方處,選擇共用快照所在的地區。

    4. 共用給我頁面,單擊目標共用單元狀態列的接受

    5. 接受資源共用對話方塊中,單擊確定

      接受後,共用對象可以使用共用的快照,且後續該共用單元新增的共用資源將預設接受共用邀請。

  2. 查看共用快照。

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇儲存與快照 > 快照

    3. 在頂部功能表列左上方處,選擇共用快照所在的地區。

    4. 在快照列表中查看已共用的快照。

      image.png

      • 將滑鼠懸浮至image.png表徵圖,帶有acs:ecs:sharedFrom:<共用使用者UID>:<共用源快照歸屬地區>:<共用源快照ID>標籤。

      • 快照來源標識為共用來的快照

      • 將滑鼠懸浮至image.png表徵圖,會展示共用帳號ID、共用源快照ID等資訊。

        您也可以在共用快照的操作列選擇image > 查看共用快照,在資源共用控制台查看共用資訊。

  3. 使用共用快照。

    • 如果您共用的是非加密快照,後續共用對象可以通過共用快照執行以下操作:

    • 如果您共用的是加密快照,後續共用對象可以通過共用加密快照執行以下操作:

通過SDK共用快照

以Java SDK為例,提供開源樣本專案,指導您如何通過SDK實現跨帳號共用快照、並使用共用快照建立雲端硬碟。

  1. 擷取樣本專案:共用快照樣本

    此專案包含了三部分程式碼範例:

    • CreateResourceShare:共用者建立一個共用單元並發起快照集共用。

    • ReceiveResourceShare:共用對象接受快照集共用邀請。

    • UseResourceShare:共用對象使用共用快照建立雲端硬碟。

  2. 配置樣本專案。

    1. pom.xml檔案配置SDK依賴。具體操作,請參見安裝Java SDK

      <!--資源共用SDK-->
      <dependency>
        <groupId>com.aliyun</groupId>
        <artifactId>resourcesharing20200110</artifactId>
        <version>${lastVersion}</version>
      </dependency>
      <!--ECS SDK-->
      <dependency>
        <groupId>com.aliyun</groupId>
        <artifactId>alibabacloud-ecs20140526</artifactId>
        <version>${lastVersion}</version>
      </dependency>
      說明

      SDK封裝更新頻繁,建議您通過安裝和使用ECS SDK中的GitHub地址官網連結擷取最新版本依賴。

    2. 在本地環境中添加環境變數ALIBABA_CLOUD_ACCESS_KEY_IDALIBABA_CLOUD_ACCESS_KEY_SECRET,並寫入已準備好的AccessKey ID和AccessKey Secret。

    3. 根據實際環境需要自行替換專案中的其他變數參數,例如共用快照ID、目標使用者帳號UID、建立的雲端硬碟類型等。

  3. 根據實際需要編譯並運行各部分Java代碼。

  4. 根據運行結果在該產品的控制台進行驗證。

    例如共用者可以登入資源共用控制台查看建立的共用單元,資源使用者可以登入ECS管理主控台查看共用來的快照以及通過共用快照建立的雲端硬碟。

不共用快照

如果不再需要將快照集共用給其他阿里雲帳號使用,共用者可以在ECS管理主控台不共用。

重要

共用者不共用快照後,對共用對象有以下影響:

  • 共用對象無法再通過ECS管理主控台或ECS API查詢到該快照。

  • 共用對象使用共用快照建立的雲端硬碟將不再支援雲端硬碟重設操作,使用共用快照跨地區複製的快照不受影響。

  1. 共用者登入ECS管理主控台

  2. 在左側導覽列,選擇儲存與快照 > 快照

  3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  4. 找到目標快照,在操作列選擇image > 共用快照

  5. 添加到共用單元對話方塊中,選擇目標共用單元。

  6. 資源使用者地區,單擊編輯

  7. 已添加的資源使用者列表的操作列,單擊移除

    image

  8. 單擊確認,停止對其他阿里雲帳號共用快照。

相關文檔

當您不再需要快照時,建議您及時刪除快照,避免快照持續產生費用。