Kopieren eines AMI - Amazon Elastic Compute Cloud

Kopieren eines AMI

Sie können ein Amazon Machine Image (AMI) in oder zwischen AWS-Regionen über die AWS Management Console, die AWS Command Line Interface oder SDKs oder die Amazon EC2-API kopieren, die alle die CopyImage-Aktion unterstützen. Sie können sowohl Amazon EBS-gestützte AMIs als auch Instance Store-Backed AMIs kopieren. Sie können AMIs mit verschlüsselten Snapshots kopieren und auch den Verschlüsselungsstatus während des Kopiervorgangs ändern.

Durch Kopieren des Quell-AMI wird ein identisches aber eindeutiges Ziel-AMI mit einem eindeutigen Bezeichner erstellt. Sie können das Quell-AMI ändern oder die Registrierung aufheben. Dies hat keine Auswirkungen auf das Ziel-AMI. Umgekehrt gilt dies auch.

Mit einem Amazon EBS-gestützten AMI wird jeder der Backing-Snapshots zu einem identischen aber eindeutigen Ziel-Snapshot kopiert. Wenn Sie eine AMI in eine neue Region kopieren, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Wenn Sie unverschlüsselte Backing-Snapshots verschlüsseln oder in einen neuen KMS-Schlüssel verschlüsseln, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Nachfolgende Kopiervorgänge eines AMI-Ergebnisses in inkrementellen Kopien der Backing-Snapshots.

Für das Kopieren eines AMI fallen keine zusätzlichen Gebühren an. Es fallen allerdings die Standardgebühren für Datenspeicherung und -übertragung an. Wenn Sie ein EBS-gestütztes AMI kopieren, fallen Gebühren für die Speicherung zusätzlicher EBS-Snapshots an.

Überlegungen

  • Sie können IAM-Richtlinien verwenden, um Benutzern die Berechtigung zum Kopieren von AMIs zu erteilen oder zu verweigern. Die für die CopyImage-Aktion angegebenen Berechtigungen auf Ressourcenebene gelten nur für das neue AMI. Sie können keine Berechtigungen auf Ressourcenebene für das Quell-AMI angeben.

  • AWS kopiert keine Startberechtigungen, benutzerdefinierte Tags oder Amazon S3-Bucketberechtigungen vom Quell-AMI zum neuen AMI. Nach dem Kopieren können Sie Startberechtigungen, benutzerdefinierte Tags und Amazon S3-Bucketberechtigungen auf das neue AMI anwenden.

  • Wenn Sie ein AWS Marketplace-AMI oder ein AMI verwenden, das direkt oder indirekt von einem AWS Marketplace-AMI abgeleitet wurde, können Sie es nicht über Konten hinweg kopieren. Stattdessen müssen Sie mittels des AWS Marketplace-AMI eine EC2-Instance starten und anschließend ein AMI aus der Instance erstellen. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-gestützten Linux-AMI.

Berechtigungen für das Kopieren eines Instance Store-Backed AMI

Wenn Sie einen IAM-Benutzer zum Kopieren eines Instance Store-Backed AMI verwenden, muss der Benutzer die folgenden Amazon S3-Berechtigungen haben: s3:CreateBucket, s3:GetBucketAcl, s3:ListAllMyBuckets, s3:GetObject, s3:PutObject und s3:PutObjectAcl.

Die folgende Beispielrichtlinie erlaubt es dem Benutzer, die AMI-Quelle in den angegebenen Bucket in der angegebenen Region zu kopieren.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ami-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-123456789012-in-us-east-1*" ] } ] }

Um den Amazon-Ressourcennamen (ARN) des AMI-AMI-Quell-Buckets zu finden, öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/, wählen Sie im Navigationsbereich AMIs aus und suchen Sie den Namen des Buckets in der Spalte Quelle.

Anmerkung

Die Berechtigung s3:CreateBucket ist nur erforderlich, wenn der IAM-Benutzer zum ersten Mal eine Instance Store-Backed AMI in eine einzelne Region kopiert. Danach wird der Amazon S3-Bucket, der bereits in der Region erstellt wurde, zum Speichern aller von Ihnen zukünftig in diese Region kopierten AMIs verwendet.

Regionsübergreifendes Kopieren

Das Kopieren eines AMI zwischen geografisch unterschiedlichen Regionen bietet folgende Vorteile:

  • Einheitliche globale Bereitstellung: Kopieren Sie ein AMI aus einer Region in eine andere, um einheitliche, auf dem gleichen AMI basierende Instances in verschiedenen Regionen zu starten.

  • Skalierbarkeit: Entwerfen Sie Anwendungen für den globalen Einsatz, die die Anforderungen Ihrer Benutzer erfüllen, unabhängig davon, wo sie sich befinden.

  • Performance: Steigern Sie die Leistung von Anwendungen, indem Sie sie verteilen und kritische Komponenten näher an die Benutzer rücken. Zudem können Sie regionsspezifische Funktionen nutzen, z. B. Instance-Typen oder andere AWS-Dienste.

  • Hohe Verfügbarkeit: Sie können Anwendungen entwerfen und zwischen AWS-Regionen übergreifend bereitstellen, um die Verfügbarkeit zu erhöhen.

Das folgende Diagramm veranschaulicht die Beziehungen zwischen einem Quell-AMI und zwei kopierten AMIs in unterschiedlichen Regionen sowie der jeweils von ihnen gestarteten EC2-Instances. Beim Starten einer Instance von einem AMI verbleibt sie in derselben Region, in der sich auch das AMI befindet. Wenn Sie das Quell-AMI verändern und die Änderungen für die AMIs in den Zielregionen übernehmen möchten, kopieren Sie das Quell-AMI in die Zielregionen.


				In verschiedene Regionen kopierte AMIs

Wenn Sie zuerst ein Instance Store-Backed AMI in eine Region kopieren, erstellen wir einen Amazon S3-Bucket für die in diese Region kopierten AMIs. Alle Instance Store-Backed AMIs, die Sie in diese Region kopieren, werden in diesem Bucket gespeichert. Die Bucket-Namen haben das folgende Format: amis-for-account-in-region-hash. Beispiel: amis-for-123456789012-in-us-east-2-yhjmxvp6.

Voraussetzung

Aktualisieren Sie vor dem Kopieren eines AMI die Inhalte des Quell-AMI, damit die Ausführung in einer anderen Region unterstützt wird. Aktualisieren Sie z. B. Datenbankverbindungs-Zeichenfolgen oder ähnliche Anwendungskonfigurationsdaten, sodass sie auf die entsprechenden Ressourcen verweisen. Andernfalls verwenden Instances, die vom neuen AMI in der Zielregion gestartet werden, möglicherweise noch die Ressourcen aus der Quellregion, was die Leistung beeinträchtigen und Kosten erhöhen kann.

Einschränkungen

  • Die Zielregionen sind auf 100 gleichzeitige AMI-Kopien beschränkt.

  • Sie können kein Paravirtual(PV)-AMI in eine Region kopieren, die keine PV-AMIs unterstützt. Weitere Informationen finden Sie unter Linux AMI-Virtualisierungstypen.

Kontoübergreifendes Kopieren

Sie können ein AMI mit einem anderen AWS-Konto teilen. Das Teilen eines AMI wirkt sich nicht auf die Eigentumsrechte des AMI aus. Die Kosten für den Speicher in der Region werden dem Eigentümerkonto angerechnet. Weitere Informationen finden Sie unter Freigeben eines AMI für bestimmte AWS-Konten.

Wenn Sie ein AMI kopieren, das mit Ihrem Konto geteilt wird, sind Sie der Eigentümer des Ziel-AMI in Ihrem Konto. Dem Eigentümer des Quell-AMI werden die standardmäßigen Amazon EBS- bzw. Amazon S3-Übertragungsgebühren in Rechnung gestellt. Die Gebühren für den Speicher des Ziel-AMI in der Zielregion werden Ihnen in Rechnung gestellt.

Ressourcenberechtigungen

Um ein AMI zu kopieren, das mit Ihnen von einem anderen Konto geteilt wurde, muss Ihnen der Eigentümer des Quell-AMI Leseberechtigungen für den Speicher zuweisen, der das AMI sichert: entweder der zugehörige EBS-Snapshot (für ein Amazon EBS-Backed AMI) oder einen zugehörigen S3-Bucket (für ein Instance Store-Backed AMI). Wenn das gemeinsame AMI über verschlüsselte Snapshots verfügt, muss der Besitzer den bzw. die Schlüssel auch für Sie freigeben.

Verschlüsselung und Kopieren

In der folgenden Tabelle ist der Verschlüsselungssupport für diverse AMI-Kopierszenarien abgebildet. Sie können zwar einen nicht verschlüsselten Snapshot zur Erstellung eines verschlüsselten Snapshots erstellen, umgekehrt ist dies jedoch nicht möglich.

Szenario Beschreibung Unterstützt
1 Nicht verschlüsselt zu nicht verschlüsselt Ja
2 Verschlüsselt zu verschlüsselt Ja
3 Nicht verschlüsselt zu verschlüsselt Ja
4 Verschlüsselt zu nicht verschlüsselt Nein
Anmerkung

Die Verschlüsselung während der CopyImage-Aktion gilt ausschließlich für Amazon EBS-gestützte AMIs. Da ein Instance Store-Backed AMI keine Snapshots erfordert, können Sie mithilfe des Kopiervorgangs den Verschlüsselungsstatus nicht ändern.

Standardmäßig (d. h. ohne die Verschlüsselungsparameter anzugeben) wird der Backing-Snapshot eines AMI mit dem ursprünglichen Verschlüsselungsstatus kopiert. Beim Kopieren eines AMI, das durch einen nicht verschlüsselten Snapshot gesichert ist, wird ein identischer Ziel-Snapshot erstellt, der ebenfalls nicht verschlüsselt ist. Wenn das Quell-AMI durch einen verschlüsselten Snapshot gesichert ist, wird beim Kopieren ein identischer Ziel-Snapshot erstellt, der mit demselben AWS KMS-Schlüssel verschlüsselt ist. Durch das Kopieren eines AMI, das durch mehrere Snapshots gesichert ist, wird der Quell-Verschlüsselungsstatus standardmäßig in jedem Ziel-Snapshot bewahrt.

Wenn Sie beim Kopieren eines AMI Verschlüsselungsparameter angeben, können Sie seine Unterstützungs-Snapshots verschlüsseln oder erneut verschlüsseln. Das folgende Beispiel zeigt einen nicht standardmäßigen Fall, in dem der CopyImage-Aktion Verschlüsselungsparameter bereitgestellt werden, um den Verschlüsselungsstatus des Ziel-AMIs zu ändern.

Kopieren eines nicht verschlüsselten Quell-AMI zu einem verschlüsselten Ziel-AMI

In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot gestütztes AMI in ein AMI mit verschlüsseltem Stamm-Snasphot kopiert. Die Aktion CopyImage wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich der Auswahl eines CMK. Infolgedessen ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI von einem Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt ist. Es fallen Speicherkosten für die Snapshots in AMIs sowie Gebühren für alle Instances an, die Sie über eines der beiden AMI starten.

Anmerkung

Die Verschlüsselung nach Standard hat die gleiche Wirkung wie die Einstellung des Parameters Encrypted auf true für alle Snapshots in dem AMI.


		Spontanes Kopieren des AMI und spontane Verschlüsselung des Snapshots

Die Einstellung des Parameters Encrypted verschlüsselt den einzelnen Snapshot für diese Instance. Wenn Sie den Parameter KmsKeyId nicht angeben, wird der Standard-CMK für die Verschüsselung der Snapshotkopie verwendet.

Weitere Informationen zum Kopieren von AMIs mit verschlüsselten Snapshots finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.

Kopieren eiens AMI

Sie können AMIs wie folgt kopieren.

Voraussetzung

Erstellen Sie ein AMI, das von einem Amazon EBS-Snapshot gesichert ist, oder rufen Sie eines ab. Hinweis: Sie können die Amazon EC2-Konsole verwenden, um diverse von AWS bereitgestellte AMIs zu durchsuchen. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-gestützten Linux-AMI und Suchen eines AMI.

Kopieren eines AMI mit der Konsole

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Konsolennavigationsleiste die Region mit dem AMI aus. Klicken Sie im Navigationsbereich auf Images (Abbilder), AMIs, um alle in Ihrer Region verfügbaren AMIs anzuzeigen.

  3. Wählen Sie das zu kopierende AMI und anschließend Actions (Aktionen), Copy AMI (AMI kopieren) aus.

  4. Geben Sie im Dialogfeld Copy AMI (AMI kopieren) die folgenden Informationen an und wählen Sie dann Copy AMI (AMI kopieren) aus:

    • Destination region (Zielregion): Die Region, in die das AMI kopiert werden soll.

    • Name: Der Name für das neue AMI. Sie können Betriebssysteminformationen in den Namen integrieren, da diese Informationen beim Anzeigen von Details zur AMI nicht bereitgestellt werden.

    • Description (Beschreibung): Standardmäßig enthält die Beschreibung Informationen zur Quell-AMI zur Unterscheidung der Kopie vom Original. Sie können die Beschreibung bei Bedarf ändern.

    • Encryption (Verschlüsselung): Aktivieren Sie dieses Kontrollkästchen, um die Ziel-Snapshots zu verschlüsseln oder mit einem anderen Schlüssel erneut zu verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, wird die Option Encryption (Verschlüsselung) festgelegt und kann nicht aufgehoben werden.

    • KMS-Schlüssel: Der KMS zum Verschlüsseln der Ziel-Snapshots.

  5. Nach Start des Kopiervorgangs wird eine Bestätigungsseite mit der ID des neuen AMI angezeigt.

    Um den Status des Kopiervorgangs direkt zu prüfen, klicken Sie auf den bereitgestellten Link. Wenn Sie den Fortschritt zu einem späteren Zeitpunkt prüfen möchten, wählen Sie Fertig. Wenn Sie dann soweit sind, können Sie mithilfe der Navigationsleiste zur Zielregion (falls verfügbar) wechseln und das AMI aus der Liste der AMIs auswählen.

    Der Anfangsstatus der Ziel-AMI ist pending. Die Operation ist abgeschlossen, wenn der Status available lautet.

Kopieren eines AMI mit der AWS CLI

Kopieren Sie ein AMI mit dem copy-image-Befehl. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem --source-region-Parameter an. Geben Sie die Zielregion mit dem --region-Parameter oder einer Umgebungsvariablen an. Weitere Informationen finden Sie unter Konfigurieren der AWS-Befehlszeilenschnittstelle.

Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: --encrypted und --kms-key-id.

Kopieren eines AMI mit der Tools für Windows PowerShell

Kopieren Sie ein AMI mit dem Copy-EC2Image-Befehl. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem -SourceRegion-Parameter an. Geben Sie die Zielregion mit dem -Region-Parameter oder dem Set-AWSDefaultRegion-Befehl an. Weitere Informationen finden Sie unter Angeben von AWS-Regionen.

Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: -Encrypted und -KmsKeyId.

Anhalten eines ausstehenden AMI-Kopiervorgangs

Sie können einen ausstehenden AMI-Kopiervorgang wie folgt anhalten.

Anhalten eines AMI-Kopiervorgangs mit der Konsole

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der oberen Navigationsleiste die Zielregion aus der Regionsauswahl aus.

  3. Wählen Sie im Navigationsbereich die Option AMIs.

  4. Wählen Sie das entsprechende AMI und anschließend Actions (Aktionen) und Deregister (Abmelden) aus.

  5. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Continue (Weiter) aus.

Anhalten eines AMI-Kopiervorgangs mittels Befehlszeile

Verwenden Sie einen der folgenden Befehle. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.