Kopieren eines AMI

Sie können ein Amazon Machine Image (AMI) innerhalb oder zwischen AWS Regionen kopieren. Sie können sowohl Amazon EBS-gestützte AMIs als auch Instance-Store-gestützte AMIs kopieren. Sie können EBS-gestützte AMIs mit verschlüsselten Snapshots kopieren und auch den Verschlüsselungsstatus während des Kopiervorgangs ändern. Sie können AMIs kopieren, die für Sie freigegeben wurden.

Das Kopieren eines Quell-AMI führt zu einem identischen, aber unterschiedlichen neuen AMI, das wir auch als Ziel-AMI bezeichnen. Das Ziel-AMI hat seine eigene eindeutige AMI-ID. Sie können das Quell-AMI ändern oder die Registrierung aufheben. Dies hat keine Auswirkungen auf das Ziel-AMI. Umgekehrt gilt dies auch.

Bei einem EBS-gestützten AMI wird jeder seiner Backing-Snapshots in einen identischen, aber unterschiedlichen Ziel-Snapshot kopiert. Wenn Sie eine AMI in eine neue Region kopieren, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Wenn Sie unverschlüsselte Backing-Snapshots verschlüsseln oder in einen neuen KMS-Schlüssel verschlüsseln, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Nachfolgende Kopiervorgänge eines AMI-Ergebnisses in inkrementellen Kopien der Backing-Snapshots.

Überlegungen

• Berechtigung zum Kopieren von AMIs — Mithilfe von IAM-Richtlinien können Sie Benutzern die Berechtigung zum Kopieren von AMIs gewähren oder verweigern. Die für die CopyImage-Aktion angegebenen Berechtigungen auf Ressourcenebene gelten nur für das neue AMI. Sie können keine Berechtigungen auf Ressourcenebene für das Quell-AMI angeben.

• Startberechtigungen und Amazon S3 S3-Bucket-Berechtigungen — kopiert AWS keine Startberechtigungen oder Amazon S3 S3-Bucket-Berechtigungen vom Quell-AMI in das neue AMI. Nachdem der Kopiervorgang abgeschlossen ist, können Sie Startberechtigungen und Amazon-S3-Bucketberechtigungen auf das neue AMI anwenden.

• Tags — Sie können nur benutzerdefinierte AMI-Tags kopieren, die Sie an das Quell-AMI angehängt haben. System-Tags (Präfix mit aws:) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert. Beim Kopieren eines AMI können Sie neue Tags an das Ziel-AMI und die zugehörigen Snapshots anhängen.

Kosten

Für das Kopieren eines AMI fallen keine zusätzlichen Gebühren an. Es fallen allerdings die Standardgebühren für Datenspeicherung und -übertragung an. Wenn Sie ein EBS-gestütztes AMI kopieren, fallen Gebühren für die Speicherung zusätzlicher EBS-Snapshots an.

IAM-Berechtigungen

Um ein EBS-gestütztes oder instance store-backed AMI zu kopieren, benötigen Sie die folgenden IAM-Berechtigungen:

• ec2:CopyImage— Um das AMI zu kopieren. Für EBS-gestützte AMIs wird damit auch die Erlaubnis erteilt, die Backing-Snapshots des AMI zu kopieren.

• ec2:CreateTags— Um das Ziel-AMI zu taggen. Für EBS-gestützte AMIs gewährt es auch die Erlaubnis, die Backing-Snapshots des Ziel-AMIs zu taggen.

Wenn Sie ein auf einer Instanz gespeichertes AMI kopieren, benötigen Sie die folgenden zusätzlichen IAM-Berechtigungen:

• s3:CreateBucket— Um den S3-Bucket in der Zielregion für das neue AMI zu erstellen

• s3:GetBucketAcl— Um die ACL-Berechtigungen für den Quell-Bucket zu lesen

• s3:ListAllMyBuckets— Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden

• s3:GetObject— Um die Objekte im Quell-Bucket zu lesen

• s3:PutObject— Um die Objekte in den Ziel-Bucket zu schreiben

• s3:PutObjectAcl— Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben

Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI und zum Markieren des Ziel-AMI und der Snapshots

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jedes EBS-gestützte AMI zu kopieren und das Ziel-AMI und seine Backing-Snapshots zu taggen.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:*::image/*"
    }]
}

Beispiel für eine IAM-Richtlinie für das Kopieren eines EBS-gestützten AMI, das Verweigern der Kennzeichnung der neuen Snapshots

Die ec2:CopySnapshot Genehmigung wird automatisch erteilt, wenn Sie die Genehmigung erhalten. ec2:CopyImage Dazu gehört die Erlaubnis, die neuen Backing-Snapshots des Ziel-AMI mit Tags zu versehen. Die Erlaubnis, die neuen Backing-Snapshots zu taggen, kann ausdrücklich verweigert werden.

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jedes EBS-gestützte AMI zu kopieren, verweigert Ihnen jedoch, die neuen Backing-Snapshots des Ziel-AMI zu taggen.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}

Beispiel für eine IAM-Richtlinie zum Kopieren eines durch einen instance store-backed AMI und zum Taggen des Ziel-AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes durch einen instance store-backed AMI im angegebenen Quell-Bucket in die angegebene Region zu kopieren und das Ziel-AMI zu taggen.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ami-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-account-in-region-hash"
            ]
        }
    ]
}

Um den Amazon-Ressourcennamen (ARN) des AMI-Quell-Buckets zu finden, öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/, wählen im Navigationsbereich AMIs aus und suchen den Namen des Buckets in der Spalte Source (Quelle).

Anmerkung

Die s3:CreateBucket Genehmigung ist nur erforderlich, wenn Sie ein durch einen Instance-Speicher gestütztes AMI zum ersten Mal in eine einzelne Region kopieren. Danach wird der Amazon S3-Bucket, der bereits in der Region erstellt wurde, zum Speichern aller von Ihnen zukünftig in diese Region kopierten AMIs verwendet.

Kopieren eines AMI

Sie können ein AMI mithilfe der SDKs AWS Management Console, der AWS Command Line Interface SDKs oder der Amazon EC2 EC2-API kopieren, die alle die Aktion unterstützen. CopyImage

Voraussetzung

Erstellen oder beziehen Sie ein AMI zum Kopieren. Hinweis: Sie können die Amazon-EC2-Konsole verwenden, um zahlreiche von AWS bereitgestellte AMIs zu durchsuchen. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-gestützten Linux-AMI und Suchen eines AMI.

Console

Um ein AMI zu kopieren

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der Konsolennavigationsleiste die Region mit dem AMI aus.

3. Wählen Sie im Navigationsbereich AMIs aus, um die Liste der AMIs anzuzeigen, die Ihnen in der Region zur Verfügung stehen.

4. Wenn Sie das AMI, das Sie kopieren möchten, nicht sehen, wählen Sie einen anderen Filter. Sie können nach AMIs, die mir gehören, privaten Bildern, öffentlichen Bildern und deaktivierten Bildern filtern.

5. Wählen Sie das AMI aus, das Sie kopieren möchten, und klicken Sie dann auf Aktionen, AMI kopieren.

6. Geben Sie auf der Seite AMI kopieren die folgenden Informationen an:

   1. Name der AMI-Kopie: Der Name für das neue AMI. Sie können die Betriebssysteminformationen in den Namen aufnehmen, da Amazon EC2 diese Informationen bei der Anzeige von Details zum AMI nicht bereitstellt.

   2. Beschreibung der AMI-Kopie: Standardmäßig enthält die Beschreibung Informationen zum Quell-AMI zur Unterscheidung der Kopie vom Original. Sie können die Beschreibung bei Bedarf ändern.

   3. Zielregion: Die Region, in die das AMI kopiert werden soll. Weitere Informationen finden Sie unter Regionsübergreifendes Kopieren.

   4. Copy tags (Tags kopieren): Aktivieren Sie dieses Kontrollkästchen, um Ihre benutzerdefinierten AMI-Tags beim Kopieren des AMI einzubeziehen. System-Tags (Präfix mit aws:) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert.

   5. (Nur EBS-gestützte AMIs) EBS-Snapshots der AMI-Kopie verschlüsseln: Aktivieren Sie dieses Kontrollkästchen, um die Ziel-Snapshots zu verschlüsseln oder um sie mit einem anderen Schlüssel erneut zu verschlüsseln. Wenn die Verschlüsselung standardmäßig aktiviert ist, ist das Kontrollkästchen EBS-Snapshots der AMI-Kopie verschlüsseln aktiviert und kann nicht deaktiviert werden. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren.

   6. (Nur EBS-gestützte AMIs) KMS-Schlüssel: Der KMS-Schlüssel, der zum Verschlüsseln der Ziel-Snapshots verwendet werden soll.

   7. Tags: Sie können das neue AMI und die neuen Snapshots mit denselben Tags oder mit unterschiedlichen Tags kennzeichnen.

      • Um das neue AMI und die neuen Snapshots mit denselben Tags zu taggen, wählen Sie Bild und Snapshots zusammen taggen. Dieselben Tags werden auf das neue AMI und jeden Snapshot, der erstellt wird, angewendet.

      • Um das neue AMI und die neuen Snapshots mit unterschiedlichen Tags zu kennzeichnen, wählen Sie Bild und Snapshots separat taggen. Verschiedene Tags werden auf das neue AMI und die erstellten Snapshots angewendet. Beachten Sie jedoch, dass alle neu erstellten Snapshots dieselben Tags erhalten. Sie können nicht jeden neuen Snapshot mit einem anderen Tag kennzeichnen.

      Sie fügen ein Tag (Markierung) hinzu, indem Sie Add Tags (Tag (Markierung) hinzufügen) auswählen und den Schlüssel und den Wert für das Tags (Markierungen) eingeben. Wiederholen Sie diesen Schritt für jeden Tag (Markierung).

   8. Wenn Sie bereit sind, das AMI zu kopieren, wählen Sie Copy AMI.

      Der ursprüngliche Status des neuen AMI ist Pending. Der AMI-Kopiervorgang ist abgeschlossen, wenn der Status Available lautet.

AWS CLI

So kopieren Sie ein AMI mit dem AWS CLI

Kopieren Sie ein AMI mit dem copy-image-Befehl. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem --source-region-Parameter an. Geben Sie die Zielregion mit dem --region-Parameter oder einer Umgebungsvariablen an. Weitere Informationen finden Sie unter Konfiguration der AWS Befehlszeilenschnittstelle.

(Nur EBS-gestützte AMIs) Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie die folgenden zusätzlichen Parameter angeben: und. --encrypted --kms-key-id

Beispielbefehle finden Sie unter den Beispielen in copy-image in der AWS CLI -Befehlsreferenz.

PowerShell

So kopieren Sie ein AMI mit den Tools für Windows PowerShell

Sie können ein AMI mit dem Copy-EC2ImageBefehl kopieren. Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem -SourceRegion-Parameter an. Geben Sie die Zielregion mit dem -Region-Parameter oder dem Set-AWSDefaultRegion-Befehl an. Weitere Informationen finden Sie unter AWS Regionen angeben.

(Nur EBS-gestützte AMIs) Wenn Sie einen Ziel-Snapshot beim Kopieren verschlüsseln, müssen Sie die folgenden zusätzlichen Parameter angeben: und. -Encrypted -KmsKeyId

Anhalten eines ausstehenden AMI-Kopiervorgangs

Sie können eine ausstehende AMI-Kopie mit der AWS Management Console oder der Befehlszeile beenden.

Console

Anhalten eines AMI-Kopiervorgangs mit der Konsole

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie in der oberen Navigationsleiste die Zielregion aus der Regionsauswahl aus.

3. Wählen Sie im Navigationsbereich die Option AMIs.

4. Wählen Sie das AMI aus, das Kopieren beendet werden soll, und klicken Sie dann auf Aktionen, AMI deregister.

5. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie AMI abmelden aus.

Command line

Anhalten eines AMI-Kopiervorgangs mittels Befehlszeile

Verwenden Sie einen der folgenden Befehle. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.

• deregister-image (AWS CLI)

• Unregister-EC2Image (AWS Tools for Windows PowerShell)

Regionsübergreifendes Kopieren

Das Kopieren eines AMI zwischen geografisch unterschiedlichen Regionen bietet folgende Vorteile:

• Einheitliche globale Bereitstellung: Kopieren Sie ein AMI aus einer Region in eine andere, um einheitliche, auf dem gleichen AMI basierende Instances in verschiedenen Regionen zu starten.

• Skalierbarkeit: Entwerfen Sie Anwendungen für den globalen Einsatz, die die Anforderungen Ihrer Benutzer erfüllen, unabhängig davon, wo sie sich befinden.

• Performance: Steigern Sie die Leistung von Anwendungen, indem Sie sie verteilen und kritische Komponenten näher an die Benutzer rücken. Sie können auch regionsspezifische Funktionen wie Instance-Typen oder andere Dienste nutzen. AWS

• Hohe Verfügbarkeit: Sie können Anwendungen entwerfen und zwischen AWS -Regionen übergreifend bereitstellen, um die Verfügbarkeit zu erhöhen.

Das folgende Diagramm zeigt die Beziehung zwischen einem Quell-AMI und zwei kopierten AMIs in verschiedenen Regionen sowie die EC2-Instances, die von jeder Region aus gestartet wurden. Beim Starten einer Instance von einem AMI verbleibt sie in derselben Region, in der sich auch das AMI befindet. Wenn Sie das Quell-AMI verändern und die Änderungen für die AMIs in den Zielregionen übernehmen möchten, kopieren Sie das Quell-AMI in die Zielregionen.

Wenn Sie zuerst ein Instance Store-Backed AMI in eine Region kopieren, erstellen wir einen Amazon S3-Bucket für die in diese Region kopierten AMIs. Alle Instance Store-Backed AMIs, die Sie in diese Region kopieren, werden in diesem Bucket gespeichert. Die Bucket-Namen haben das folgende Format: amis-for-account-in-region-hash. Zum Beispiel: amis-for-123456789012-in-us-east-2-yhjmxvp6.

Voraussetzung

Aktualisieren Sie vor dem Kopieren eines AMI die Inhalte des Quell-AMI, damit die Ausführung in einer anderen Region unterstützt wird. Aktualisieren Sie z. B. Datenbankverbindungs-Zeichenfolgen oder ähnliche Anwendungskonfigurationsdaten, sodass sie auf die entsprechenden Ressourcen verweisen. Andernfalls könnten Instances, die über das neue AMI in der Zielregion gestartet werden, weiterhin die Ressourcen aus der Quellregion verwenden, was sich auf Leistung und Kosten auswirken kann.

Einschränkungen

• Die Zielregionen sind auf 100 gleichzeitige AMI-Kopien beschränkt.

• Sie können ein paravirtuelles (PV) AMI nicht in eine Region kopieren, die PV-AMIs nicht unterstützt. Weitere Informationen finden Sie unter Linux AMI-Virtualisierungstypen.

Kontoübergreifendes Kopieren

Sie können ein AMI mit einem anderen AWS Konto teilen. Das Teilen eines AMI wirkt sich nicht auf die Eigentumsrechte des AMI aus. Die Kosten für den Speicher in der Region werden dem Eigentümerkonto angerechnet. Weitere Informationen finden Sie unter Freigeben eines AMI für bestimmte AWS -Konten.

Wenn Sie ein AMI kopieren, das mit Ihrem Konto geteilt wird, sind Sie der Eigentümer des Ziel-AMI in Ihrem Konto. Dem Eigentümer des Quell-AMI werden die standardmäßigen Amazon EBS- bzw. Amazon S3-Übertragungsgebühren in Rechnung gestellt. Die Gebühren für den Speicher des Ziel-AMI in der Zielregion werden Ihnen in Rechnung gestellt.

Ressourcenberechtigungen

Um ein AMI zu kopieren, das mit Ihnen von einem anderen Konto geteilt wurde, muss Ihnen der Besitzer des Quell-AMI Leseberechtigungen für den Speicher zuweisen, der das AMI sichert. Der Speicher ist entweder der zugehörige EBS-Snapshot (für ein Amazon-EBS-gestütztes AMI) oder einen zugehörigen S3-Bucket (für ein Instance-Speicher-gestütztes AMI). Wenn das gemeinsame AMI über verschlüsselte Snapshots verfügt, muss der Besitzer den bzw. die Schlüssel auch für Sie freigeben. Weitere Informationen zur Gewährung von Ressourcenberechtigungen für EBS-Snapshots finden Sie unter Freigeben eines Amazon EBS-Snapshots im Amazon EBS-Benutzerhandbuch und für S3-Buckets unter Identitäts- und Zugriffsmanagement in Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.

Anmerkung

Um ein AMI mit seinen Tags zu kopieren, benötigen Sie Startberechtigungen für das Quell-AMI.

Verschlüsselung und Kopieren

In der folgenden Tabelle ist der Verschlüsselungssupport für diverse AMI-Kopierszenarien abgebildet. Sie können zwar einen nicht verschlüsselten Snapshot zur Erstellung eines verschlüsselten Snapshots erstellen, umgekehrt ist dies jedoch nicht möglich.

Szenario	Beschreibung	Unterstützt
1	U nencrypted-to-unencrypted	Ja
2	E ncrypted-to-encrypted	Ja
3	U nencrypted-to-encrypted	Ja
4	E ncrypted-to-unencrypted	Nein

Anmerkung

Die Verschlüsselung während der CopyImage-Aktion gilt ausschließlich für Amazon EBS-gestützte AMIs. Da ein Instance Store-Backed AMI keine Snapshots erfordert, können Sie mithilfe des Kopiervorgangs den Verschlüsselungsstatus nicht ändern.

Standardmäßig (d. h. ohne die Verschlüsselungsparameter anzugeben) wird der Backing-Snapshot eines AMI mit dem ursprünglichen Verschlüsselungsstatus kopiert. Beim Kopieren eines AMI, das durch einen nicht verschlüsselten Snapshot gesichert ist, wird ein identischer Ziel-Snapshot erstellt, der ebenfalls nicht verschlüsselt ist. Wenn das Quell-AMI von einem verschlüsselten Snapshot unterstützt wird, führt das Kopieren zu einem identischen Ziel-Snapshot, der mit demselben AWS KMS Schlüssel verschlüsselt ist. Durch das Kopieren eines AMI, das durch mehrere Snapshots gesichert ist, wird der Quell-Verschlüsselungsstatus standardmäßig in jedem Ziel-Snapshot bewahrt.

Wenn Sie beim Kopieren eines AMI Verschlüsselungsparameter angeben, können Sie seine Unterstützungs-Snapshots verschlüsseln oder erneut verschlüsseln. Das folgende Beispiel zeigt einen nicht standardmäßigen Fall, in dem der CopyImage-Aktion Verschlüsselungsparameter bereitgestellt werden, um den Verschlüsselungsstatus des Ziel-AMIs zu ändern.

Kopieren eines nicht verschlüsselten Quell-AMI zu einem verschlüsselten Ziel-AMI

In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot unterstütztes AMI in ein AMI mit einem verschlüsselten Stamm-Snapshot kopiert. Die Aktion CopyImage wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich eines vom Kunden verwalteten Schlüssels. Dadurch ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI durch einen Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt wird. Für Sie fallen Speicherkosten für die Snapshots in beiden AMIs sowie Gebühren für Instances an, die Sie von einem der AMIs starten.

Anmerkung

Die standardmäßige Aktivierung der Verschlüsselung hat dieselbe Wirkung wie das Setzen des Encrypted Parameters auf true für alle Snapshots im AMI.

Wenn der Encrypted-Parameter festgelegt wird, wird der einzige Snapshot für diese Instance verschlüsselt. Wenn Sie den KmsKeyId-Parameter nicht angeben, wird der standardmäßige vom Kunden verwaltete Schlüssel zum Verschlüsseln der Snapshot-Kopie verwendet.

Weitere Informationen zum Kopieren von AMIs mit verschlüsselten Snapshots finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.