Amazon EBS 加密与快照共享 - 跨账户和跨区域设计
从启用默认加密到快照的跨账户共享、通过跨区域复制实现灾难恢复设计的一体化介绍。
EBS 默认加密
在账户的区域设置中启用 EBS 默认加密后,该区域新创建的所有 EBS 卷和快照将自动加密。不影响现有的未加密卷。加密密钥可选择 AWS 托管密钥(aws/ebs)或客户托管密钥(CMK)。使用 CMK 可通过密钥策略控制访问,并启用密钥自动轮换。加密对性能的影响可忽略不计,在基于 Nitro 的实例上,硬件加速使加密开销几乎为零。
快照跨账户共享
EBS 快照可与其他 AWS 账户共享。未加密快照只需指定账户 ID 即可共享,但加密快照的共享需要额外配置。需要在加密所用 KMS 密钥的密钥策略中,为共享目标账户授予 kms:DescribeKey、kms:CreateGrant、kms:Decrypt 权限。使用 AWS 托管密钥(aws/ebs)加密的快照无法共享,因此如果需要跨账户共享,必须使用 CMK 加密。建议共享目标账户在从快照创建卷时,使用自己账户的 KMS 密钥重新加密。
跨区域复制与灾难恢复
快照跨区域复制是灾难恢复的基本手段。在 DLM 策略中启用跨区域复制后,每日快照创建的同时会自动复制到灾难恢复区域。可单独设置复制目标区域的保留代数,例如灾难恢复区域仅保留最近 3 代以优化成本。快照归档功能可将保留 90 天以上的快照迁移到低成本归档层,与标准存储相比最多可节省 75% 的成本。从归档恢复最长需要 72 小时,因此需要即时恢复的快照应保留在标准层。 如需拓展存储设计知识,可参考Amazon 专业书籍。
EBS 快照费用
EBS 快照采用增量备份,仅保存变更的块。存储费用为每 GB 月费约 0.05 美元。跨区域复制除了目标区域的存储费用外,还会产生区域间数据传输费用(每 GB 约 0.02 美元)。通过 DLM(Data Lifecycle Manager)自动化快照的创建和删除,并适当设置保留期来管理存储成本。EBS Snapshots Archive 每 GB 月费约 0.0125 美元,可将保留 90 天以上的快照成本降低 75%。
总结
EBS 加密和快照管理是数据保护与灾难恢复的基础。通过默认加密强制所有卷加密,使用 KMS 密钥控制访问。通过快照的跨账户共享和跨区域复制构建多账户、多区域备份策略,利用 EBS Snapshot Archive 将长期保存成本最多降低 75%。