

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Partager un instantané Amazon EBS avec d'autres comptes AWS
<a name="ebs-modifying-snapshot-permissions"></a>

Vous pouvez modifier les autorisations d’un instantané si vous souhaitez partager celui-ci avec d’autres comptes AWS . Vous pouvez partager des instantanés publiquement avec tous les autres AWS comptes, ou vous pouvez les partager en privé avec des AWS comptes individuels que vous spécifiez. Les utilisateurs qui bénéficient de votre autorisation peuvent utiliser les instantanés que vous partagez pour créer leurs propres volumes EBS, tandis que votre instantané d’origine reste inchangé.

**Important**  
Lorsque vous partagez un instantané, vous autorisez d’autres personnes à accéder à toutes les données de l’instantané. Partagez vos instantanés uniquement avec les personnes à qui vous faites confiance pour *toutes* vos données d’instantané.

Pour empêcher le partage public de clichés, vous pouvez activer[Bloquer l'accès public aux instantanés Amazon EBS](block-public-access-snapshots.md).

**Topics**
+ [Avant de partager un instantané](#share-snapshot-considerations)
+ [Partager un instantané](#share-unencrypted-snapshot)
+ [Partager une clé KMS](share-kms-key.md)
+ [Utiliser des instantanés partagés](view-shared-snapshot.md)
+ [Déterminer l’utilisation des instantanés que vous partagez](#shared-snapshot-cloudtrail-logging)

## Avant de partager un instantané
<a name="share-snapshot-considerations"></a>

Les considérations suivantes s’appliquent au partage des instantanés :
+ Si le blocage de l’accès public pour les instantanés est activé pour la région, les tentatives de partage public des instantanés seront bloquées. Les instantanés peuvent toujours être partagés en privé.
+ Les instantanés sont limités à la région dans laquelle ils ont été créés. Pour partager un instantané avec une autre région, copiez l’instantané dans cette région, puis partagez la copie. Pour de plus amples informations, veuillez consulter [Copier un instantané Amazon EBS](ebs-copy-snapshot.md).
+ Vous ne pouvez pas partager d’instantanés chiffrés avec l’ Clé gérée par AWS par défaut. Vous ne pouvez pas partager d’instantanés chiffrés avec une clé gérée par le client. Pour plus d’informations, consultez [Création des clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du développeur AWS Key Management Service *.
+ Vous ne pouvez partager que des instantanés non chiffrés publiquement.
+ Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Pour plus d’informations, consultez [Partagez la clé KMS utilisée pour chiffrer un instantané Amazon EBS partagé](share-kms-key.md).

## Partager un instantané
<a name="share-unencrypted-snapshot"></a>

Vous pouvez partager un instantané publiquement ou avec des AWS comptes spécifiques.

------
#### [ Console ]

**Pour partager un instantané**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Snapshots (Instantanés)**.

1. Sélectionnez l’instantané à partager, puis choisissez **Actions**, **Modify permissions** (Modifier des autorisations).

1. Spécifiez les autorisations de l’instantané. *Current setting* (Paramétrage actuel) indique les autorisations de partage actuelles de l’instantané.
   + Pour partager l'instantané publiquement avec tous les AWS comptes, choisissez **Public**.
   + Pour partager l'instantané en privé avec des AWS comptes spécifiques, choisissez **Privé**. Ensuite, dans la section **Sharing accounts** (Partage de comptes), choisissez **Add account** (Ajouter un compte), puis saisissez l’ID de compte à 12 chiffres (sans traits d’union) du compte avec lequel partager.

1. Sélectionnez **Enregistrer les modifications**.

------
#### [ AWS CLI ]

Les autorisations pour un instantané sont spécifiées à l’aide de l’attribut `createVolumePermission` de l’instantané. Pour qu’un instantané devienne public, définissez le groupe sur `all`. Pour partager un instantané avec un AWS compte spécifique, attribuez à l'utilisateur l'ID du AWS compte.

**Pour partager un instantané en mode public**  
Utilisez la commande [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html).

Pour `--attribute`, spécifiez `createVolumePermission`. Pour `--operation-type`, spécifiez `add`. Pour `--group-names`, spécifiez `all`.

```
aws ec2 modify-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission \
    --operation-type add \
    --group-names all
```

**Pour partager un instantané en mode privé**  
Utilisez la commande [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html).

Pour `--attribute`, spécifiez `createVolumePermission`. Pour `--operation-type`, spécifiez `add`. Pour`--user-ids`, spécifiez les 12 chiffres IDs des AWS comptes avec lesquels vous souhaitez partager les instantanés.

```
aws ec2 modify-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission \
    --operation-type add \
    --user-ids 123456789012 111122223333
```

------
#### [ PowerShell ]

Les autorisations pour un instantané sont spécifiées à l’aide de l’attribut `createVolumePermission` de l’instantané. Pour qu’un instantané devienne public, définissez le groupe sur `all`. Pour partager un instantané avec un AWS compte spécifique, attribuez à l'utilisateur l'ID du AWS compte.

**Pour partager un instantané en mode public**  
Utilisez l’applet de commande [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html).

Pour `-Attribute`, spécifiez `CreateVolumePermission`. Pour `-OperationType`, spécifiez `Add`. Pour `-GroupName`, spécifiez `all`.

```
Edit-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute CreateVolumePermission `
    -OperationType Add `
    -GroupName all
```

**Pour partager un instantané en mode privé**  
Utilisez l’applet de commande [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html).

Pour `-Attribute`, spécifiez `CreateVolumePermission`. Pour `-OperationType`, spécifiez `Add`. Pour`UserId`, spécifiez les 12 chiffres IDs des AWS comptes avec lesquels vous souhaitez partager les instantanés.

```
Edit-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute CreateVolumePermission `
    -OperationType Add `
    -UserId 123456789012 111122223333
```

------

# Partagez la clé KMS utilisée pour chiffrer un instantané Amazon EBS partagé
<a name="share-kms-key"></a>

Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Vous pouvez appliquer des autorisations inter-comptes à une clé gérée par le client lors de sa création ou ultérieurement.

Les utilisateurs de votre clé gérée par le client partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d’exécuter les actions suivantes sur la clé :
+ `kms:DescribeKey`
+ `kms:CreateGrant`
+ `kms:GenerateDataKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`
+ `kms:Decrypt`

**Astuce**  
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à `kms:CreateGrant`. Utilisez plutôt la clé de `kms:GrantIsForAWSResource` condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service.

Pour en savoir plus sur le contrôle de l’accès à une clé gérée par le client, consultez [Utilisation de stratégies de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.

**Pour partager une clé gérée par le client à l'aide de la AWS KMS console**

1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Choisissez **Customer managed keys (Clés gérées par le client)** dans le volet de navigation.

1. Dans la colonne **Alias** choisissez l’alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l’instantané. Les détails de la clé s’ouvrent dans une nouvelle page.

1. Dans la section **Key policy (Stratégie de clé)** s’affiche soit la *vue de la stratégie* soit la *vue par défaut*. La vue de la politique affiche le document de la politique de clé. La vue par défaut affiche les sections **Key administrators (Administrateurs de clé)**, **Key deletion (Suppression de clé)**, **Key Use (Utilisation de clé)** et **Other AWS accounts (Autres comptes)**. L’affichage par défaut s’affiche si vous avez créé la politique dans la console et que vous ne l’avez pas personnalisée. Si l’affichage par défaut n’est pas disponible, vous devez modifier manuellement la politique dans l’affichage de politique. Pour plus d’informations, consultez [Affichage d’une stratégie de clé (console)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console) dans le *Guide du développeur AWS Key Management Service *.

   Utilisez la vue des politiques ou la vue par défaut, selon la vue à laquelle vous pouvez accéder, pour ajouter un ou plusieurs AWS comptes IDs à la politique, comme suit :
   + (Vue de la stratégie) Choisissez **Edit (Modifier)**. Ajoutez un ou plusieurs AWS comptes IDs aux relevés suivants : `"Allow use of the key"` et`"Allow attachment of persistent resources"`. Sélectionnez **Enregistrer les modifications**. Dans l'exemple suivant, l'ID de AWS compte `444455556666` est ajouté à la politique.

     ```
     {
       "Sid": "Allow use of the key",
       "Effect": "Allow",
       "Principal": {"AWS": [
         "arn:aws:iam::111122223333:user/KeyUser",
         "arn:aws:iam::444455556666:root"
       ]},
       "Action": [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:ReEncrypt*",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
       ],
       "Resource": "*"
     },
     {
       "Sid": "Allow attachment of persistent resources",
       "Effect": "Allow",
       "Principal": {"AWS": [
         "arn:aws:iam::111122223333:user/KeyUser",
         "arn:aws:iam::444455556666:root"
       ]},
       "Action": [
         "kms:CreateGrant",
         "kms:ListGrants",
         "kms:RevokeGrant"
       ],
       "Resource": "*",
       "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
     }
     ```
   + (Affichage par défaut) Faites défiler la page vers le bas jusqu'à **Autres AWS comptes**. Choisissez **Ajouter d'autres AWS comptes** et entrez l'identifiant du AWS compte comme demandé. Pour ajouter un autre compte, choisissez **Ajouter un autre AWS compte** et entrez l'identifiant du AWS compte. Une fois que vous avez ajouté tous les comptes AWS , choisissez **Enregistrer les modifications**.

# Utilisez les instantanés Amazon EBS partagés avec vous
<a name="view-shared-snapshot"></a>

**Pour utiliser un instantané partagé non chiffré**  
Localisez l’instantané partagé par son ID ou sa description. Vous pouvez utiliser cet instantané comme n’importe quel autre instantané que vous possédez dans votre compte. Par exemple, vous pouvez créer un volume à partir de l’instantané ou le copier dans une autre région.

**Pour utiliser un instantané chiffré partagé**  
Localisez l’instantané partagé par son ID ou sa description. Créez une copie de l’instantané partagé dans votre compte et chiffrez la copie à l’aide d’une clé KMS que vous possédez. Vous pouvez ensuite utiliser la copie pour créer des volumes ou la copier dans différentes régions.

------
#### [ Console ]

**Pour afficher les autorisations relatives aux instantanés**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Snapshots**.

1. Sélectionnez l’instantané.

1. Si le filtre **m'appartient**, l'instantané appartient à ce compte. Si le filtre est **Instantanés privés**, l'instantané appartient à ce compte ou est partagé spécifiquement avec ce compte. Sélectionnez un instantané et dans l'onglet **Détails**, vérifiez si **le propriétaire** indique ce compte ou un autre compte.

------
#### [ AWS CLI ]

**Pour afficher les autorisations relatives aux instantanés**  
Utilisez la [describe-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshot-attribute.html)commande pour obtenir les autorisations de capture instantanée de l'instantané spécifié.

```
aws ec2 describe-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission
```

Voici un exemple de sortie.

```
{
    "SnapshotId": "snap-0abcdef1234567890",
    "CreateVolumePermissions": [
        {
            "UserId": "111122223333"
        }
    ]
}
```

------
#### [ PowerShell ]

**Pour afficher les autorisations relatives aux instantanés**  
Utilisez l’applet de commande [Get-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotAttribute.html).

```
(Get-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute createVolumePermission).CreateVolumePermissions
```

Voici un exemple de sortie.

```
Group UserId
----- ------
      111122223333
```

------

## Déterminer l’utilisation des instantanés que vous partagez
<a name="shared-snapshot-cloudtrail-logging"></a>

Vous pouvez l'utiliser AWS CloudTrail pour vérifier si un instantané que vous avez partagé avec d'autres est copié ou utilisé pour créer un volume. Les événements suivants sont enregistrés CloudTrail lorsqu'une action est entreprise sur un instantané que vous avez partagé :
+ **SharedSnapshotCopyInitiated**— Un instantané partagé est en cours de copie.
+ **SharedSnapshotVolumeCreated**— Un instantané partagé est utilisé pour créer un volume.

Pour plus d'informations sur l'utilisation CloudTrail, consultez [Enregistrer les appels d'API Amazon EC2 et Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) avec. AWS CloudTrail