

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einen Amazon EBS-Snapshot mit anderen AWS Konten teilen
<a name="ebs-modifying-snapshot-permissions"></a>

Sie können die Berechtigungen eines Snapshots ändern, wenn Sie ihn für andere AWS -Konten freigeben möchten. Sie können Snapshots öffentlich mit allen anderen AWS Konten teilen, oder Sie können sie privat mit einzelnen AWS Konten teilen, die Sie angeben. Benutzer, die Sie autorisiert haben, können die von Ihnen freigegebenen Snapshots zur Erstellung ihrer eigenen EBS-Volumes verwenden, während Ihr Original-Snapshot davon unberührt bleibt.

**Wichtig**  
Wenn Sie einen Snapshot freigeben, erteilen Sie anderen Zugriff auf sämtliche Daten dieses Snapshots. Geben Sie Snapshots mit *all* Ihren Snapshot-Daten nur für Personen frei, denen Sie vertrauen.

Um das öffentliche Teilen von Schnappschüssen zu verhindern, können Sie diese Option aktivieren. [Sperren Sie den öffentlichen Zugriff für Amazon EBS-Snapshots](block-public-access-snapshots.md)

**Topics**
+ [Vor der Freigabe eines Snapshots](#share-snapshot-considerations)
+ [Teilen Sie einen Snapshot](#share-unencrypted-snapshot)
+ [Freigeben eines KMS-Schlüssels](share-kms-key.md)
+ [Verwenden Sie gemeinsam genutzte Snapshots](view-shared-snapshot.md)
+ [Festlegen der Verwendung von Snapshots, die Sie freigeben](#shared-snapshot-cloudtrail-logging)

## Vor der Freigabe eines Snapshots
<a name="share-snapshot-considerations"></a>

Für die Freigabe von Snapshots gelten die folgenden Dinge:
+ Wenn das Blockieren des öffentlichen Zugriffs auf Snapshots für die Region aktiviert ist, werden Versuche, Snapshots öffentlich freizugeben, blockiert. Snapshots können weiterhin privat freigegeben werden.
+ Snapshots sind auf die Region beschränkt, in der sie erstellt wurden. Um einen Snapshot in einer anderen Region freizugeben, kopieren Sie den Snapshot in die Region und geben dann die Kopie frei. Weitere Informationen finden Sie unter [Kopieren Sie einen Amazon EBS-Snapshot](ebs-copy-snapshot.md).
+ Sie können keine Snapshots freigeben, die mit dem standardmäßigen Von AWS verwalteter Schlüssel verschlüsselt sind. Sie können nur Snapshots freigeben, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Weitere Informationen finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Sie können nur unverschlüsselte Snapshots öffentlich freigeben.
+ Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Weitere Informationen finden Sie unter [Teilen Sie den KMS-Schlüssel, der zur Verschlüsselung eines gemeinsam genutzten Amazon EBS-Snapshots verwendet wird](share-kms-key.md).

## Teilen Sie einen Snapshot
<a name="share-unencrypted-snapshot"></a>

Sie können einen Snapshot öffentlich oder mit bestimmten AWS Konten teilen.

------
#### [ Console ]

**So geben Sie einen Snapshot frei:**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich die Option **Snapshots**.

1. Wählen Sie den freizugebenden Snapshot aus und wählen Sie dann **Aktionen**, **Berechtigungen ändern**.

1. Legen Sie die Berechtigungen für den Snapshot fest. *Aktuelle Einstellung* gibt die aktuellen Freigabeberechtigungen des Snapshots an.
   + Um den Snapshot öffentlich mit allen AWS Konten zu teilen, wählen Sie **Öffentlich**.
   + Um den Snapshot privat mit bestimmten AWS Konten zu teilen, wählen Sie **Privat**. Wählen Sie dann im Abschnitt **Konten teilen** die Option **Konto hinzufügen** aus und geben Sie die 12-stellige ID (ohne Bindestriche) des Kontos ein, für das Sie den Snapshot freigeben möchten.

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ AWS CLI ]

Die Berechtigungen für einen Snapshot angegeben sind mit dem `createVolumePermission`-Attribut des Snapshots. Wenn Sie einen Snapshot öffentlich zu machen, legen Sie die Gruppe `all` an. Um einen Snapshot mit einem bestimmten AWS Konto zu teilen, geben Sie dem Benutzer die ID des AWS Kontos an.

**So geben Sie einen Snapshot öffentlich frei:**  
Verwenden Sie den Befehl [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html).

Legen Sie für `--attribute` die Option `createVolumePermission` fest. Legen Sie für `--operation-type` die Option `add` fest. Legen Sie für `--group-names` die Option `all` fest.

```
aws ec2 modify-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission \
    --operation-type add \
    --group-names all
```

**So geben Sie einen Snapshot privat frei:**  
Verwenden Sie den Befehl [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html).

Legen Sie für `--attribute` die Option `createVolumePermission` fest. Legen Sie für `--operation-type` die Option `add` fest. Geben Sie für `--user-ids` die 12-stellige Zahl IDs der AWS Konten an, mit denen Sie die Snapshots teilen möchten.

```
aws ec2 modify-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission \
    --operation-type add \
    --user-ids 123456789012 111122223333
```

------
#### [ PowerShell ]

Die Berechtigungen für einen Snapshot angegeben sind mit dem `createVolumePermission`-Attribut des Snapshots. Wenn Sie einen Snapshot öffentlich zu machen, legen Sie die Gruppe `all` an. Um einen Snapshot mit einem bestimmten AWS Konto zu teilen, geben Sie dem Benutzer die ID des AWS Kontos an.

**So geben Sie einen Snapshot öffentlich frei:**  
Verwenden Sie das cmdlet [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html).

Legen Sie für `-Attribute` die Option `CreateVolumePermission` fest. Legen Sie für `-OperationType` die Option `Add` fest. Legen Sie für `-GroupName` die Option `all` fest.

```
Edit-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute CreateVolumePermission `
    -OperationType Add `
    -GroupName all
```

**So geben Sie einen Snapshot privat frei:**  
Verwenden Sie das cmdlet [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html).

Legen Sie für `-Attribute` die Option `CreateVolumePermission` fest. Legen Sie für `-OperationType` die Option `Add` fest. Geben Sie für `UserId` die 12-stellige Zahl IDs der AWS Konten an, mit denen Sie die Snapshots teilen möchten.

```
Edit-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute CreateVolumePermission `
    -OperationType Add `
    -UserId 123456789012 111122223333
```

------

# Teilen Sie den KMS-Schlüssel, der zur Verschlüsselung eines gemeinsam genutzten Amazon EBS-Snapshots verwendet wird
<a name="share-kms-key"></a>

Wenn Sie einen verschlüsselten Snapshot freigeben, müssen Sie auch den vom Kunden verwalteten Schlüssel freigeben, mit dem der Snapshot verschlüsselt wurde. Sie können kontenübergreifende Berechtigungen auf einen vom Kunden verwalteten Schlüssel entweder bei dessen Erstellung oder zu einem späteren Zeitpunkt anwenden.

Benutzer Ihres freigegebenen vom Kunden verwalteten Schlüssels, die auf verschlüsselte Snapshots zugreifen, müssen Berechtigungen erhalten, um die folgenden Aktionen für den Schlüssel durchzuführen:
+ `kms:DescribeKey`
+ `kms:CreateGrant`
+ `kms:GenerateDataKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`
+ `kms:Decrypt`

**Tipp**  
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den `kms:GrantIsForAWSResource` Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.

Weitere Informationen über die Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel finden Sie unter [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service -Entwicklerhandbuch*.

**Um den vom Kunden verwalteten Schlüssel über die AWS KMS Konsole weiterzugeben**

1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)**.

1. Wählen Sie in der Spalte **Alias** den Alias (Textlink) des vom Kunden verwalteten Schlüssels aus, mit dem Sie den Snapshot verschlüsselt haben. Die Schlüsseldetails werden auf einer neuen Seite geöffnet.

1. Im Abschnitt **Key policy (Schlüsselrichtlinie)** wird entweder die *Richtlinienansicht* oder die *Standardansicht* angezeigt. In der Richtlinienansicht wird das wichtige Richtliniendokument angezeigt. In der Standardansicht werden Abschnitte für **Key administrators (Schlüsseladministratoren)**, **Key deletion (Schlüssellöschung)**, **Key Use (Schlüsselverwendung)** und **Other AWS accounts** angezeigt. Die Standardansicht wird angezeigt, wenn Sie die Richtlinie in der Konsole erstellt und nicht angepasst haben. Wenn die Standardansicht nicht verfügbar ist, müssen Sie die Richtlinie in der Richtlinienansicht manuell bearbeiten. Weitere Informationen finden Sie unter [Anzeigen einer Schlüsselrichtlinie (Konsole)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console) im *AWS Key Management Service -Entwicklerhandbuch*.

   Verwenden Sie entweder die Richtlinienansicht oder die Standardansicht, je nachdem, auf welche Ansicht Sie zugreifen können, um der Richtlinie ein oder mehrere AWS Konten hinzuzufügen. Gehen Sie IDs dabei wie folgt vor:
   + (Richtlinienansicht) Wählen Sie **Edit (Bearbeiten)** aus. Fügen Sie den folgenden Aussagen ein oder mehrere AWS Konten IDs hinzu: `"Allow use of the key"` und`"Allow attachment of persistent resources"`. Wählen Sie **Änderungen speichern ** aus. Im folgenden Beispiel `444455556666` wird die AWS Konto-ID der Richtlinie hinzugefügt.

     ```
     {
       "Sid": "Allow use of the key",
       "Effect": "Allow",
       "Principal": {"AWS": [
         "arn:aws:iam::111122223333:user/KeyUser",
         "arn:aws:iam::444455556666:root"
       ]},
       "Action": [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:ReEncrypt*",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
       ],
       "Resource": "*"
     },
     {
       "Sid": "Allow attachment of persistent resources",
       "Effect": "Allow",
       "Principal": {"AWS": [
         "arn:aws:iam::111122223333:user/KeyUser",
         "arn:aws:iam::444455556666:root"
       ]},
       "Action": [
         "kms:CreateGrant",
         "kms:ListGrants",
         "kms:RevokeGrant"
       ],
       "Resource": "*",
       "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
     }
     ```
   + (Standardansicht) Scrollen Sie nach unten zu **Andere AWS Konten**. Wählen Sie **Weitere AWS Konten hinzufügen** und geben Sie die AWS Konto-ID ein, wenn Sie dazu aufgefordert werden. Um ein weiteres Konto hinzuzufügen, wählen Sie Weiteres ** AWS Konto hinzufügen** und geben Sie die AWS Konto-ID ein. Wenn Sie alle AWS -Konten hinzugefügt haben, wählen Sie **Save Changes (Änderungen speichern)** aus.

# Verwenden Sie Amazon EBS-Snapshots, die mit Ihnen geteilt wurden
<a name="view-shared-snapshot"></a>

**So verwenden Sie einen freigegebenen, unverschlüsselten Snapshot:**  
Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Sie können diesen Snapshot so wie alle anderen Snapshots verwenden, deren Eigentümer Sie in Ihrem Konto sind. Sie können beispielsweise ein Volume aus dem Snapshot erstellen oder ihn in eine andere Region kopieren.

**So verwenden Sie einen freigegebenen, verschlüsselten Snapshot:**  
Suchen Sie den freigegebenen Snapshot nach der ID oder der Beschreibung. Erstellen Sie eine Kopie des freigegebenen Snapshots in Ihrem Konto und verschlüsseln Sie die Kopie mit einem KMS-Schlüssel, dessen Eigentümer Sie sind. Anschließend können Sie die Kopie verwenden, um Volumes zu erstellen oder sie in andere Regionen kopieren.

------
#### [ Console ]

**Um Snapshot-Berechtigungen anzuzeigen**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich die Option **Snapshots**.

1. Wählen Sie den Snapshot aus.

1. Wenn der Filter **mir gehört**, gehört der Snapshot diesem Konto. Wenn der Filter **Private Schnappschüsse** lautet, gehört der Snapshot entweder diesem Konto oder er wurde speziell für dieses Konto freigegeben. Wählen Sie einen Snapshot aus und überprüfen Sie auf der Registerkarte **Details**, ob der **Besitzer** dieses Konto oder ein anderes Konto angibt.

------
#### [ AWS CLI ]

**Um Snapshot-Berechtigungen einzusehen**  
Verwenden Sie den [describe-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshot-attribute.html)Befehl, um die Snapshot-Berechtigungen des angegebenen Snapshots abzurufen.

```
aws ec2 describe-snapshot-attribute \
    --snapshot-id snap-0abcdef1234567890 \
    --attribute createVolumePermission
```

Es folgt eine Beispielausgabe.

```
{
    "SnapshotId": "snap-0abcdef1234567890",
    "CreateVolumePermissions": [
        {
            "UserId": "111122223333"
        }
    ]
}
```

------
#### [ PowerShell ]

**Um Snapshot-Berechtigungen anzuzeigen**  
Verwenden Sie das cmdlet [Get-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotAttribute.html).

```
(Get-EC2SnapshotAttribute `
    -SnapshotId snap-0abcdef1234567890 `
    -Attribute createVolumePermission).CreateVolumePermissions
```

Es folgt eine Beispielausgabe.

```
Group UserId
----- ------
      111122223333
```

------

## Festlegen der Verwendung von Snapshots, die Sie freigeben
<a name="shared-snapshot-cloudtrail-logging"></a>

Sie können AWS CloudTrail damit überwachen, ob ein Snapshot, den Sie mit anderen geteilt haben, kopiert oder zur Erstellung eines Volumes verwendet wird. Die folgenden Ereignisse werden protokolliert CloudTrail , wenn eine Aktion für einen Snapshot ausgeführt wird, den Sie geteilt haben:
+ **SharedSnapshotCopyInitiated**— Ein gemeinsam genutzter Snapshot wird kopiert.
+ **SharedSnapshotVolumeCreated**— Ein gemeinsam genutzter Snapshot wird verwendet, um ein Volume zu erstellen.

Weitere Informationen zur Verwendung CloudTrail finden Sie unter [Protokollieren von Amazon EC2- und Amazon EBS-API-Aufrufen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) mit. AWS CloudTrail