Kopieren eines AMI

Sie können Amazon Machine Image (AMI) innerhalb oder über AWS-Regionen kopieren. Sie können sowohl Amazon EBS-gestützte AMIs als auch Instance Store-Backed AMIs kopieren. Sie können AMIs mit verschlüsselten Snapshots kopieren und auch den Verschlüsselungsstatus während des Kopiervorgangs ändern. Sie können AMIs kopieren, die für Sie freigegeben wurden.

Durch Kopieren des Quell-AMI wird ein identisches aber eindeutiges Ziel-AMI mit einem eindeutigen Bezeichner erstellt. Sie können das Quell-AMI ändern oder die Registrierung aufheben. Dies hat keine Auswirkungen auf das Ziel-AMI. Umgekehrt gilt dies auch.

Mit einem Amazon EBS-gestützten AMI wird jeder der Backing-Snapshots zu einem identischen aber eindeutigen Ziel-Snapshot kopiert. Wenn Sie eine AMI in eine neue Region kopieren, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Wenn Sie unverschlüsselte Backing-Snapshots verschlüsseln oder in einen neuen KMS-Schlüssel verschlüsseln, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Nachfolgende Kopiervorgänge eines AMI-Ergebnisses in inkrementellen Kopien der Backing-Snapshots.

Überlegungen

• Sie können IAM-Richtlinien verwenden, um Benutzern die Berechtigung zum Kopieren von AMIs zu erteilen oder zu verweigern. Die für die CopyImage-Aktion angegebenen Berechtigungen auf Ressourcenebene gelten nur für das neue AMI. Sie können keine Berechtigungen auf Ressourcenebene für das Quell-AMI angeben.

• AWS kopiert keine Startberechtigungen oder Amazon-S3-Bucket-Berechtigungen aus dem Quell-AMI in das neue AMI. Nachdem der Kopiervorgang abgeschlossen ist, können Sie Startberechtigungen und Amazon-S3-Bucketberechtigungen auf das neue AMI anwenden.

• Sie können nur benutzerdefinierte AMI-Tags kopieren, die Sie an das AMI angehängt haben. System-Tags (Präfix mit aws:) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert.

• Die CopyImage Aktion wird nicht unterstützt, um ein AWS Marketplace AMI zu kopieren, das von einem anderen Konto geteilt wurde. Wenn Sie stattdessen ein AWS Marketplace-AMI in ein anderes Konto kopieren möchten, müssen Sie Folgendes tun: Teilen Sie das AWS Marketplace-AMI mit dem anderen Konto und starten Sie dann in dem anderen Konto eine EC2-Instance mithilfe des AWS Marketplace-AMI. Anschließend können Sie mit der CreateImage-Aktion ein AMI aus der Instance erstellen. Das neue AMI behält alle AWS Marketplace-Codes. Beachten Sie, dass dieser Prozess auch für alle AMIs gilt, die direkt oder indirekt von einem AWS Marketplace-AMI abgeleitet wurden. Weitere Informationen zum Erstellen einer AMI von einer Instance finden Sie unter Erstellen eines Amazon EBS-gestützten Linux-AMI.

Kosten

Für das Kopieren eines AMI fallen keine zusätzlichen Gebühren an. Es fallen allerdings die Standardgebühren für Datenspeicherung und -übertragung an. Wenn Sie ein EBS-gestütztes AMI kopieren, fallen Gebühren für die Speicherung zusätzlicher EBS-Snapshots an.

Berechtigungen für das Kopieren eines Instance Store-Backed AMI

Zum Kopieren eines Instance-Speicher-gestützten AMI muss der Benutzer über die folgenden Amazon-S3-Berechtigungen verfügen s3:CreateBucket, s3:GetBucketAcl, s3:ListAllMyBuckets, s3:GetObject, s3:PutObject und s3:PutObjectAcl.

Die folgende Beispielrichtlinie erlaubt es dem Benutzer, die AMI-Quelle in den angegebenen Bucket in der angegebenen Region zu kopieren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ami-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
              "s3:CreateBucket",
              "s3:GetBucketAcl",
              "s3:PutObjectAcl",
              "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-123456789012-in-us-east-1*"
            ]
        }
    ]
}

Um den Amazon-Ressourcennamen (ARN) des AMI-Quell-Buckets zu finden, öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/, wählen im Navigationsbereich AMIs aus und suchen den Namen des Buckets in der Spalte Source (Quelle).

Anmerkung

Die s3:CreateBucket-Berechtigung ist nur erforderlich, wenn der Benutzer zum ersten Mal ein Instance-Speicher-gestütztes AMI in eine einzelne Region kopiert. Danach wird der Amazon S3-Bucket, der bereits in der Region erstellt wurde, zum Speichern aller von Ihnen zukünftig in diese Region kopierten AMIs verwendet.

Kopieren eines AMI

Sie können AMIs mit AWS Management Console, AWS Command Line Interface oder mit SDKs oder der Amazon EC2 API, die alle die CopyImage-Aktion unterstützen, kopieren.

Voraussetzung

Erstellen Sie ein AMI, das von einem Amazon EBS-Snapshot gesichert ist oder rufen Sie eines ab. Hinweis: Sie können die Amazon-EC2-Konsole verwenden, um zahlreiche von AWS bereitgestellte AMIs zu durchsuchen. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-gestützten Linux-AMI und Suchen eines AMI.

New console

Kopieren eines AMI mit der Konsole

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der Konsolennavigationsleiste die Region mit dem AMI aus.

3. Klicken Sie im Navigationsbereich auf Images (Images), AMIs, um alle in Ihrer Region verfügbaren AMIs anzuzeigen.

4. Wählen Sie das zu kopierende AMI und anschließend Actions (Aktionen), Copy AMI (AMI kopieren) aus.

5. Geben Sie auf der Seite AMI kopieren die folgenden Informationen an:

   • Name der AMI-Kopie: Der Name für das neue AMI. Sie können Betriebssysteminformationen in den Namen integrieren, da diese Informationen beim Anzeigen von Details zur AMI nicht bereitgestellt werden.

   • Beschreibung der AMI-Kopie: Standardmäßig enthält die Beschreibung Informationen zum Quell-AMI zur Unterscheidung der Kopie vom Original. Sie können die Beschreibung bei Bedarf ändern.

   • Zielregion: Die Region, in die das AMI kopiert werden soll. Weitere Informationen finden Sie unter Regionsübergreifendes Kopieren.

   • Copy tags (Tags kopieren): Aktivieren Sie dieses Kontrollkästchen, um Ihre benutzerdefinierten AMI-Tags beim Kopieren des AMI einzubeziehen. System-Tags (Präfix mit aws:) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert.

   • EBS-Snapshots der AMI-Kopie verschlüsseln: Aktivieren Sie dieses Kontrollkästchen, um die Ziel-Snapshots zu verschlüsseln oder sie mit einem anderen Schlüssel neu zu verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist das Kontrollkästchen EBS-Snapshots der AMI-Kopie verschlüsseln aktiviert und kann nicht deaktiviert werden. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren.

   • KMS-Schlüssel: Der KMS zum Verschlüsseln der Ziel-Snapshots.

6. Wählen Sie AMI kopieren aus.

   Der ursprüngliche Status des neuen AMI ist Pending. Der AMI-Kopiervorgang ist abgeschlossen, wenn der Status Available lautet.

Old console

Kopieren eines AMI mit der Konsole

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der Konsolennavigationsleiste die Region mit dem AMI aus. Klicken Sie im Navigationsbereich auf Images (Images), AMIs, um alle in Ihrer Region verfügbaren AMIs anzuzeigen.

3. Wählen Sie das zu kopierende AMI und anschließend Actions (Aktionen), Copy AMI (AMI kopieren) aus.

4. Geben Sie im Dialogfeld Copy AMI (AMI kopieren) die folgenden Informationen an und wählen Sie dann Copy AMI (AMI kopieren) aus:

   • Destination region (Zielregion): Die Region, in die das AMI kopiert werden soll. Weitere Informationen finden Sie unter Regionsübergreifendes Kopieren.

   • Name: Der Name für das neue AMI. Sie können Betriebssysteminformationen in den Namen integrieren, da diese Informationen beim Anzeigen von Details zur AMI nicht bereitgestellt werden.

   • Description (Beschreibung): Standardmäßig enthält die Beschreibung Informationen zur Quell-AMI zur Unterscheidung der Kopie vom Original. Sie können die Beschreibung bei Bedarf ändern.

   • Encryption (Verschlüsselung): Aktivieren Sie dieses Kontrollkästchen, um die Ziel-Snapshots zu verschlüsseln oder mit einem anderen Schlüssel erneut zu verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, wird die Option Encryption (Verschlüsselung) festgelegt und kann nicht aufgehoben werden. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren.

   • KMS-Schlüssel: Der KMS zum Verschlüsseln der Ziel-Snapshots.

5. Nach Start des Kopiervorgangs wird eine Bestätigungsseite mit der ID des neuen AMI angezeigt.

   Um den Status des Kopiervorgangs direkt zu prüfen, klicken Sie auf den bereitgestellten Link. Wenn Sie den Fortschritt zu einem späteren Zeitpunkt prüfen möchten, wählen Sie Fertig. Wenn Sie dann soweit sind, können Sie mithilfe der Navigationsleiste zur Zielregion (falls verfügbar) wechseln und das AMI aus der Liste der AMIs auswählen.

   Der Anfangsstatus der Ziel-AMI ist pending. Die Operation ist abgeschlossen, wenn der Status available lautet.

AMI über die AWS CLI kopieren

Kopieren Sie ein AMI mit dem copy-image-Befehl. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem --source-region-Parameter an. Geben Sie die Zielregion mit dem --region-Parameter oder einer Umgebungsvariablen an. Weitere Informationen finden Sie unter Konfigurieren der AWS-Befehlszeilenschnittstelle.

Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: --encrypted und --kms-key-id.

Beispielbefehle finden Sie unter den Beispielen in copy-image in der AWS CLI-Befehlsreferenz.

Kopieren eines AMI mit der Tools for Windows PowerShell

Kopieren Sie ein AMI mit dem Copy-EC2Image-Befehl. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem -SourceRegion-Parameter an. Geben Sie die Zielregion mit dem -Region-Parameter oder dem Set-AWSDefaultRegion-Befehl an. Weitere Informationen finden Sie unter Angeben von AWS-Regionen.

Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: -Encrypted und -KmsKeyId.

Anhalten eines ausstehenden AMI-Kopiervorgangs

Sie können einen ausstehenden AMI-Kopiervorgang wie folgt anhalten.

New console

Anhalten eines AMI-Kopiervorgangs mit der Konsole

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der oberen Navigationsleiste die Zielregion aus der Regionsauswahl aus.

3. Wählen Sie im Navigationsbereich die Option AMIs.

4. Wählen Sie das entsprechende AMI und anschließend Aktionen und AMI abmelden aus.

5. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie AMI abmelden aus.

Old console

Anhalten eines AMI-Kopiervorgangs mit der Konsole

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der oberen Navigationsleiste die Zielregion aus der Regionsauswahl aus.

3. Wählen Sie im Navigationsbereich die Option AMIs.

4. Wählen Sie das entsprechende AMI und anschließend Actions (Aktionen) und Deregister (Abmelden) aus.

5. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Continue (Weiter) aus.

Anhalten eines AMI-Kopiervorgangs mittels Befehlszeile

Verwenden Sie einen der folgenden Befehle. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.

• deregister-image (AWS CLI)

• Unregister-EC2Image (AWS Tools for Windows PowerShell)

Regionsübergreifendes Kopieren

Das Kopieren eines AMI zwischen geografisch unterschiedlichen Regionen bietet folgende Vorteile:

• Einheitliche globale Bereitstellung: Kopieren Sie ein AMI aus einer Region in eine andere, um einheitliche, auf dem gleichen AMI basierende Instances in verschiedenen Regionen zu starten.

• Skalierbarkeit: Entwerfen Sie Anwendungen für den globalen Einsatz, die die Anforderungen Ihrer Benutzer erfüllen, unabhängig davon, wo sie sich befinden.

• Performance: Steigern Sie die Leistung von Anwendungen, indem Sie sie verteilen und kritische Komponenten näher an die Benutzer rücken. Zudem können Sie regionsspezifische Funktionen nutzen, z. B. Instance-Typen oder andere AWS-Dienste.

• Hohe Verfügbarkeit: Sie können Anwendungen entwerfen und zwischen AWS-Regionen übergreifend bereitstellen, um die Verfügbarkeit zu erhöhen.

Das folgende Diagramm veranschaulicht die Beziehungen zwischen einem Quell-AMI und zwei kopierten AMIs in unterschiedlichen Regionen sowie der jeweils von ihnen gestarteten EC2-Instances. Beim Starten einer Instance von einem AMI verbleibt sie in derselben Region, in der sich auch das AMI befindet. Wenn Sie das Quell-AMI verändern und die Änderungen für die AMIs in den Zielregionen übernehmen möchten, kopieren Sie das Quell-AMI in die Zielregionen.

Wenn Sie zuerst ein Instance Store-Backed AMI in eine Region kopieren, erstellen wir einen Amazon S3-Bucket für die in diese Region kopierten AMIs. Alle Instance Store-Backed AMIs, die Sie in diese Region kopieren, werden in diesem Bucket gespeichert. Die Bucket-Namen haben das folgende Format: amis-for-account-in-region-hash. Beispiel: amis-for-123456789012-in-us-east-2-yhjmxvp6.

Voraussetzung

Aktualisieren Sie vor dem Kopieren eines AMI die Inhalte des Quell-AMI, damit die Ausführung in einer anderen Region unterstützt wird. Aktualisieren Sie z. B. Datenbankverbindungs-Zeichenfolgen oder ähnliche Anwendungskonfigurationsdaten, sodass sie auf die entsprechenden Ressourcen verweisen. Andernfalls verwenden Instances, die vom neuen AMI in der Zielregion gestartet werden, möglicherweise noch die Ressourcen aus der Quellregion, was die Leistung beeinträchtigen und Kosten erhöhen kann.

Einschränkungen

• Die Zielregionen sind auf 100 gleichzeitige AMI-Kopien beschränkt.

• Sie können kein Paravirtual(PV)-AMI in eine Region kopieren, die keine PV-AMIs unterstützt. Weitere Informationen finden Sie unter Linux AMI-Virtualisierungstypen.

Kontoübergreifendes Kopieren

Sie können ein AMI mit einem anderen AWS-Konto teilen. Das Teilen eines AMI wirkt sich nicht auf die Eigentumsrechte des AMI aus. Die Kosten für den Speicher in der Region werden dem Eigentümerkonto angerechnet. Weitere Informationen finden Sie unter Freigeben eines AMI für bestimmte AWS-Konten.

Wenn Sie ein AMI kopieren, das mit Ihrem Konto geteilt wird, sind Sie der Eigentümer des Ziel-AMI in Ihrem Konto. Dem Eigentümer des Quell-AMI werden die standardmäßigen Amazon EBS- bzw. Amazon S3-Übertragungsgebühren in Rechnung gestellt. Die Gebühren für den Speicher des Ziel-AMI in der Zielregion werden Ihnen in Rechnung gestellt.

Ressourcenberechtigungen

Um ein AMI zu kopieren, das mit Ihnen von einem anderen Konto geteilt wurde, muss Ihnen der Besitzer des Quell-AMI Leseberechtigungen für den Speicher zuweisen, der das AMI sichert. Der Speicher ist entweder der zugehörige EBS-Snapshot (für ein Amazon-EBS-gestütztes AMI) oder einen zugehörigen S3-Bucket (für ein Instance-Speicher-gestütztes AMI). Wenn das gemeinsame AMI über verschlüsselte Snapshots verfügt, muss der Besitzer den bzw. die Schlüssel auch für Sie freigeben. Weitere Informationen zur Erteilung von Ressourcenberechtigungen finden Sie für EBS-Snapshots unter Teilen eines Amazon EBS-Snapshots und für S3-Bucket, siehe Identität und Zugriffsverwaltung in Amazon S3 im Benutzerhandbuch für Amazon Simple Storage Service.

Anmerkung

Um ein AMI mit seinen Tags zu kopieren, benötigen Sie Startberechtigungen für das Quell-AMI.

Verschlüsselung und Kopieren

In der folgenden Tabelle ist der Verschlüsselungssupport für diverse AMI-Kopierszenarien abgebildet. Sie können zwar einen nicht verschlüsselten Snapshot zur Erstellung eines verschlüsselten Snapshots erstellen, umgekehrt ist dies jedoch nicht möglich.

Szenario	Beschreibung	Unterstützt
1	Nicht verschlüsselt zu nicht verschlüsselt	Ja
2	Verschlüsselt zu verschlüsselt	Ja
3	Nicht verschlüsselt zu verschlüsselt	Ja
4	Verschlüsselt zu nicht verschlüsselt	Nein

Anmerkung

Die Verschlüsselung während der CopyImage-Aktion gilt ausschließlich für Amazon EBS-gestützte AMIs. Da ein Instance Store-Backed AMI keine Snapshots erfordert, können Sie mithilfe des Kopiervorgangs den Verschlüsselungsstatus nicht ändern.

Standardmäßig (d. h. ohne die Verschlüsselungsparameter anzugeben) wird der Backing-Snapshot eines AMI mit dem ursprünglichen Verschlüsselungsstatus kopiert. Beim Kopieren eines AMI, das durch einen nicht verschlüsselten Snapshot gesichert ist, wird ein identischer Ziel-Snapshot erstellt, der ebenfalls nicht verschlüsselt ist. Wenn das Quell-AMI durch einen verschlüsselten Snapshot gestützt wird, wird beim Kopieren ein identischer Ziel-Snapshot erstellt, der mit demselben AWS KMS-Schlüssel verschlüsselt ist. Durch das Kopieren eines AMI, das durch mehrere Snapshots gesichert ist, wird der Quell-Verschlüsselungsstatus standardmäßig in jedem Ziel-Snapshot bewahrt.

Wenn Sie beim Kopieren eines AMI Verschlüsselungsparameter angeben, können Sie seine Unterstützungs-Snapshots verschlüsseln oder erneut verschlüsseln. Das folgende Beispiel zeigt einen nicht standardmäßigen Fall, in dem der CopyImage-Aktion Verschlüsselungsparameter bereitgestellt werden, um den Verschlüsselungsstatus des Ziel-AMIs zu ändern.

Kopieren eines nicht verschlüsselten Quell-AMI zu einem verschlüsselten Ziel-AMI

In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot unterstütztes AMI in ein AMI mit einem verschlüsselten Stamm-Snapshot kopiert. Die Aktion CopyImage wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich eines vom Kunden verwalteten Schlüssels. Dadurch ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI durch einen Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt wird. Für Sie fallen Speicherkosten für die Snapshots in beiden AMIs sowie Gebühren für Instances an, die Sie von einem der AMIs starten.

Anmerkung

Das Aktivieren von standardmäßige Verschlüsselung hat die gleiche Wirkung wie das Festlegen des Encrypted-Parameters auf true für alle Snapshots im AMI.

Wenn der Encrypted-Parameter festgelegt wird, wird der einzige Snapshot für diese Instance verschlüsselt. Wenn Sie den KmsKeyId-Parameter nicht angeben, wird der standardmäßige vom Kunden verwaltete Schlüssel zum Verschlüsseln der Snapshot-Kopie verwendet.

Weitere Informationen zum Kopieren von AMIs mit verschlüsselten Snapshots finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.