您可以將雲端硬碟快照集共用給其他阿里雲帳號或者基於資來源目錄在企業組織內共用使用。其他阿里雲帳號可以使用您共用的快照快速建立雲端硬碟,滿足日常的營運訴求。本文介紹共用快照、使用共用快照以及不共用快照的注意事項及操作流程。
資來源目錄RD(Resource Directory)是阿里雲面向企業使用者提供的一套多級帳號和資源關係管理服務。資來源目錄支援您快速建立一套符合企業業務關係的目錄結構,並將企業多個帳號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關係。更多資訊,請參見資來源目錄概述。
使用須知
共用快照前,請您瞭解以下須知:
須知 | 說明 |
共用費用 |
|
使用限制 |
|
準備工作
共用快照之前,建議確認快照中已不包含敏感性資料和檔案。
根據共用快照的情境,完成準備操作。
將快照集共用給其他阿里雲帳號使用時,請先擷取阿里雲帳號ID。
擷取方式:將滑鼠移至控制台右上方的帳戶圖片,在彈出的使用者資訊框中,如果標識了帳號為主帳號,則顯示的帳號ID即為阿里雲帳號ID。
基於資來源目錄在企業組織內共用使用時,請先使用管理帳號或成員帳號開通資來源目錄。具體操作,請參見開通資來源目錄。
共用快照
通過控制台共用快照
共用者共用快照
共用非加密快照
共用加密快照
步驟1:共用者建立角色並授權
當您共用加密快照時,需要先通過阿里雲的存取控制建立名稱為AliyunECSShareEncryptSnapshotDefaultRole
的角色並授予指定的許可權與策略,然後才可以將加密快照集共用給其他阿里雲帳號使用。
共用者登入RAM控制台。
在權限原則頁面,通過指令碼編輯模式建立自訂權限原則。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
策略內容如下,限制只共用指定加密快照中的加密金鑰相關許可權。
{ "Version": "1", "Statement": [ { "Action": "kms:List*", "Resource": "acs:kms:<密鑰歸屬地區ID>:<密鑰歸屬使用者AliUid>:key", "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:TagResource", "kms:UntagResource", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "acs:kms:<密鑰歸屬地區ID>:<密鑰歸屬使用者AliUid>:key/<快照關聯KMS加密金鑰Key>", "Effect": "Allow" } ] }
說明其中
<密鑰歸屬地區ID>
、<密鑰歸屬使用者AliUid>
和<快照關聯KMS加密金鑰Key>
為變數,您需要分別修改為KMS密鑰所在的地區ID、KMS密鑰歸屬使用者的阿里雲帳號ID和KMS密鑰的密鑰ID。在角色頁面建立可信實體為阿里雲帳號的RAM角色,角色名稱為
AliyunECSShareEncryptSnapshotDefaultRole
。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
在角色列表頁面,單擊已建立的
AliyunECSShareEncryptSnapshotDefaultRole
角色進入角色詳情頁面。在信任策略頁簽,修改RAM角色的信任策略為以下內容,以確定可以將加密快照集共用給哪些共用對象。具體操作,請參見修改RAM角色的信任策略。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
說明其中
<UID>
為變數,您需要修改為共用對象的阿里雲帳號ID。如果您的快照需要共用給多個阿里雲帳號,需要添加多個共用對象的阿里雲帳號ID。
步驟2:共用者共用加密快照
共用對象使用共用快照
共用對象需接受共用者發出的共用快照邀請,共用才能成功。
共用對象接受共用快照。
共用對象登入資源共用控制台。
在左側導覽列,選擇資源共用 > 共用給我。
在頂部功能表列左上方處,選擇共用快照所在的地區。
在共用給我頁面,單擊目標共用單元狀態列的接受。
在接受資源共用對話方塊中,單擊確定。
接受後,共用對象可以使用共用的快照,且後續該共用單元新增的共用資源將預設接受共用邀請。
查看共用快照。
使用共用快照。
如果您共用的是非加密快照,後續共用對象可以通過共用快照執行以下操作:
建立新雲端硬碟:使用快照建立雲端硬碟
複製共用快照:複製快照
如果您共用的是加密快照,後續共用對象可以通過共用加密快照執行以下操作:
建立新雲端硬碟,但同時必須修改密鑰:使用快照建立雲端硬碟
複製共用快照,但同時必須修改密鑰:複製快照
通過SDK共用快照
以Java SDK為例,提供開源樣本專案,指導您如何通過SDK實現跨帳號共用快照、並使用共用快照建立雲端硬碟。
擷取樣本專案:共用快照樣本。
此專案包含了三部分程式碼範例:
CreateResourceShare
:共用者建立一個共用單元並發起快照集共用。ReceiveResourceShare
:共用對象接受快照集共用邀請。UseResourceShare
:共用對象使用共用快照建立雲端硬碟。
配置樣本專案。
在
pom.xml
檔案配置SDK依賴。具體操作,請參見安裝Java SDK。<!--資源共用SDK--> <dependency> <groupId>com.aliyun</groupId> <artifactId>resourcesharing20200110</artifactId> <version>${lastVersion}</version> </dependency> <!--ECS SDK--> <dependency> <groupId>com.aliyun</groupId> <artifactId>alibabacloud-ecs20140526</artifactId> <version>${lastVersion}</version> </dependency>
說明SDK封裝更新頻繁,建議您通過安裝和使用ECS SDK中的GitHub地址官網連結擷取最新版本依賴。
在本地環境中添加環境變數
ALIBABA_CLOUD_ACCESS_KEY_ID
和ALIBABA_CLOUD_ACCESS_KEY_SECRET
,並寫入已準備好的AccessKey ID和AccessKey Secret。根據實際環境需要自行替換專案中的其他變數參數,例如共用快照ID、目標使用者帳號UID、建立的雲端硬碟類型等。
根據實際需要編譯並運行各部分Java代碼。
根據運行結果在該產品的控制台進行驗證。
例如共用者可以登入資源共用控制台查看建立的共用單元,資源使用者可以登入ECS管理主控台查看共用來的快照以及通過共用快照建立的雲端硬碟。
不共用快照
如果不再需要將快照集共用給其他阿里雲帳號使用,共用者可以在ECS管理主控台不共用。
共用者不共用快照後,對共用對象有以下影響:
共用對象無法再通過ECS管理主控台或ECS API查詢到該快照。
共用對象使用共用快照建立的雲端硬碟將不再支援雲端硬碟重設操作,使用共用快照跨地區複製的快照不受影響。
共用者登入ECS管理主控台。
在左側導覽列,選擇 。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
找到目標快照,在操作列選擇 > 共用快照。
在添加到共用單元對話方塊中,選擇目標共用單元。
在資源使用者地區,單擊編輯。
在已添加的資源使用者列表的操作列,單擊移除。
單擊確認,停止對其他阿里雲帳號共用快照。
相關文檔
當您不再需要快照時,建議您及時刪除快照,避免快照持續產生費用。