您可以将云盘快照共享给其他阿里云账号或者基于资源目录在企业组织内共享使用。其他阿里云账号可以使用您共享的快照快速创建云盘,满足日常的运维诉求。本文介绍共享快照、使用共享快照以及取消共享快照的注意事项及操作流程。
资源目录RD(Resource Directory)是阿里云面向企业用户提供的一套多级账号和资源关系管理服务。资源目录支持您快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。更多信息,请参见资源目录概述。
使用须知
共享快照前,请您了解以下须知:
须知 | 说明 |
共享费用 |
|
使用限制 |
|
准备工作
共享快照之前,建议确认快照中已不包含敏感数据和文件。
根据共享快照的场景,完成准备操作。
将快照共享给其他阿里云账号使用时,请先获取阿里云账号ID。
获取方式:将鼠标移至控制台右上角的用户头像,在弹出的用户信息框中,如果标识了账号为主账号,则显示的账号ID即为阿里云账号ID。
基于资源目录在企业组织内共享使用时,请先使用管理账号或成员账号开通资源目录。具体操作,请参见开通资源目录。
共享快照
通过控制台共享快照
共享者共享快照
共享非加密快照
共享加密快照
步骤1:共享者创建角色并授权
当您共享加密快照时,需要先通过阿里云的访问控制创建名称为AliyunECSShareEncryptSnapshotDefaultRole
的角色并授予指定的权限与策略,然后才可以将加密快照共享给其他阿里云账号使用。
共享者登录RAM控制台。
在权限策略页面,通过脚本编辑模式创建自定义权限策略。具体操作,请参见通过脚本编辑模式创建自定义权限策略。
策略内容如下,限制只共享指定加密快照中的加密密钥相关权限。
{ "Version": "1", "Statement": [ { "Action": "kms:List*", "Resource": "acs:kms:<密钥归属地域ID>:<密钥归属用户AliUid>:key", "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:TagResource", "kms:UntagResource", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "acs:kms:<密钥归属地域ID>:<密钥归属用户AliUid>:key/<快照关联KMS加密密钥Key>", "Effect": "Allow" } ] }
说明其中
<密钥归属地域ID>
、<密钥归属用户AliUid>
和<快照关联KMS加密密钥Key>
为变量,您需要分别修改为KMS密钥所在的地域ID、KMS密钥归属用户的阿里云账号ID和KMS密钥的密钥ID。在角色页面创建可信实体为阿里云账号的RAM角色,角色名称为
AliyunECSShareEncryptSnapshotDefaultRole
。具体操作,请参见创建可信实体为阿里云账号的RAM角色。
在角色列表页面,单击已创建的
AliyunECSShareEncryptSnapshotDefaultRole
角色进入角色详情页面。在信任策略页签,修改RAM角色的信任策略为以下内容,以确定可以将加密快照共享给哪些共享对象。具体操作,请参见修改RAM角色的信任策略。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
说明其中
<UID>
为变量,您需要修改为共享对象的阿里云账号ID。如果您的快照需要共享给多个阿里云账号,需要添加多个共享对象的阿里云账号ID。
步骤2:共享者共享加密快照
共享对象使用共享快照
共享对象需接受共享者发出的共享快照邀请,共享才能成功。
共享对象接受共享快照。
共享对象登录资源共享控制台。
在左侧导航栏,选择资源共享 > 共享给我。
在顶部菜单栏左上角处,选择共享快照所在的地域。
在共享给我页面,单击目标共享单元状态列的接受。
在接受资源共享对话框中,单击确定。
接受后,共享对象可以使用共享的快照,且后续该共享单元新增的共享资源将默认接受共享邀请。
查看共享快照。
使用共享快照。
通过SDK共享快照
以Java SDK为例,提供开源示例项目,指导您如何通过SDK实现跨账号共享快照、并使用共享快照创建云盘。
获取示例项目:共享快照示例。
此项目包含了三部分代码示例:
CreateResourceShare
:共享者创建一个共享单元并发起快照共享。ReceiveResourceShare
:共享对象接受快照共享邀请。UseResourceShare
:共享对象使用共享快照创建云盘。
配置示例项目。
在
pom.xml
文件配置SDK依赖。具体操作,请参见安装Java SDK。<!--资源共享SDK--> <dependency> <groupId>com.aliyun</groupId> <artifactId>resourcesharing20200110</artifactId> <version>${lastVersion}</version> </dependency> <!--ECS SDK--> <dependency> <groupId>com.aliyun</groupId> <artifactId>alibabacloud-ecs20140526</artifactId> <version>${lastVersion}</version> </dependency>
说明SDK包更新频繁,建议您通过安装和使用ECS SDK中的GitHub地址官网链接获取最新版本依赖。
在本地环境中添加环境变量
ALIBABA_CLOUD_ACCESS_KEY_ID
和ALIBABA_CLOUD_ACCESS_KEY_SECRET
,并写入已准备好的AccessKey ID和AccessKey Secret。根据实际环境需要自行替换项目中的其他变量参数,例如共享快照ID、目标用户账号UID、创建的云盘类型等。
根据实际需要编译并运行各部分Java代码。
根据运行结果在该产品的控制台进行验证。
例如共享者可以登录资源共享控制台查看创建的共享单元,资源使用者可以登录ECS管理控制台查看共享来的快照以及通过共享快照创建的云盘。
取消共享快照
如果不再需要将快照共享给其他阿里云账号使用,共享者可以在ECS管理控制台取消共享。
共享者取消共享快照后,对共享对象有以下影响:
共享对象无法再通过ECS管理控制台或ECS API查询到该快照。
共享对象使用共享快照创建的云盘将不再支持云盘重置操作,使用共享快照跨地域复制的快照不受影响。
共享者登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
找到目标快照,在操作列选择 > 共享快照。
在添加到共享单元对话框中,选择目标共享单元。
在资源使用者区域,单击编辑。
在已添加的资源使用者列表的操作列,单击移除。
单击确认,停止对其他阿里云账号共享快照。
相关文档
当您不再需要快照时,建议您及时删除快照,避免快照持续产生费用。