よくわからなかったので調べた。
https://aws.typepad.com/sajp/2014/04/trainingfaqbest10.html
EBS = EC2のストレージ
そのままである。
スナップショット :=「EBS中のデータをS3に保存したもの」
EBSのバックアップ。EBSからスナップショットを作成する場合、EC2インスタンスを止めておくことが推奨される。
AMI = スナップショット + 管理情報(OSとか)
諸々のバックアップ。EC2&EBSをAMI化すると、インスタンスの構成情報とスナップショットへそれぞれ変化し、AMIとして管理することになる。
AMIを他アカウントと共有
AMIの共有は他AWSアカウントID(12桁の数字の奴)がわかれば共有可能。
AMIを他リージョンへコピー
コピー名、送信先リージョンを指定。さらにAMIコピーのEBSスナップショットの暗号化が指定できる。
暗号化されたEBSスナップショットの別リージョンコピー
AMIの暗号化だが、これは正確にはAMIが持つEBSスナップショットの暗号化である。
AMIのコピーは元の暗号化状態を引きずる。しかし暗号化してあるAMIを暗号化されてないAMIとして別リージョンにコピーするのはできない。
ざっくり暗号化EBSの別リージョンコピーの流れを説明すると、 まず、EBS作成時にKMS暗号化する必要がある。(後からやる場合、結構面倒。暗号化されていないスナップショットからコピー作成時に暗号化スナップショットを作成。それを一度マウントして暗号化EBSとする流れ。)
で、暗号化EBSができているので、スナップショットを作成する。EBS暗号化されているので、そのスナップショットも暗号化されている。
で、別リージョンにEBSスナップショットをコピーする。この時、別リージョン側の暗号化キーを選択できる(デフォルト、カスタマー管理単一リージョン、カスタマー管理マルチリージョン)。
そのカギで、暗号化スナップショットをコピーする(ややこしい)。 すると別リージョンに暗号化されているEBSスナップショットが存在する。要は、相手のリージョンのカギで「暗号化スナップショット」の暗号化をしてコピーをしているような感じ。