Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs

Um eine durch den Speicher EBS gesicherte Instanz oder eine durch den Speicher gesicherte Instanz zu kopierenAMI, benötigen Sie die folgenden Berechtigungen: IAM

  • ec2:CopyImage— Um das zu kopieren. AMI Bei EBS -backed wird auch die Erlaubnis erteiltAMIs, die AMI zugehörigen Snapshots zu kopieren.

  • ec2:CreateTags— Um das Ziel zu taggen. AMI Bei EBS -backed wird auch die Erlaubnis erteiltAMIs, die unterstützenden Snapshots des AMI Ziels mit Tags zu versehen.

Wenn Sie eine Instanz mit gespeichertem Backup kopierenAMI, benötigen Sie die folgenden zusätzlichen Berechtigungen: IAM

  • s3:CreateBucket— Um den S3-Bucket in der Zielregion für das neue zu erstellen AMI

  • s3:GetBucketAcl— Um die ACL Berechtigungen für den Quell-Bucket zu lesen

  • s3:ListAllMyBuckets— Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden

  • s3:GetObject – Um die Objekte im Quell-Bucket zu lesen

  • s3:PutObject – Um die Objekte in den Ziel-Bucket zu schreiben

  • s3:PutObjectAcl – Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben

Anmerkung

Ab dem 28. Oktober 2024 können Sie Berechtigungen auf Ressourcenebene für die CopyImage Aktion an der Quelle angeben. AMI Berechtigungen auf Ressourcenebene für das Ziel AMI sind wie bisher verfügbar. Weitere Informationen finden Sie CopyImagein der Tabelle unter Von Amazon definierte Aktionen EC2 in der Service Authorization Reference.

IAMBeispielrichtlinie für das Kopieren eines EBS -backed-Objekts AMI und das Markieren des Ziels und der Snapshots AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, alle mit EBS -backed versehenen Dateien zu kopieren und das Ziel AMI AMI und die zugehörigen Snapshots mit Tags zu versehen.

Anmerkung

Ab dem 28. Oktober 2024 können Sie Snapshots im Element Resource angeben. Weitere Informationen finden Sie CopyImagein der Tabelle unter Von Amazon definierte Aktionen EC2 in der Service Authorization Reference.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*" ] }] }

IAMBeispielrichtlinie für das Kopieren eines EBS -backed, AMI aber das Verweigern des Kennzeichnens der neuen Snapshots

Die ec2:CopySnapshot-Berechtigung wird automatisch gewährt, wenn Sie die ec2:CopyImage-Berechtigung erhalten. Die Berechtigung, die neuen Backup-Snapshots mit Tags zu versehen, kann explizit verweigert werden, wodurch der Allow-Effekt der ec2:CreateTags-Aktion außer Kraft gesetzt wird.

Die folgende Beispielrichtlinie erteilt Ihnen die Erlaubnis, alle mit EBS -backed versehenen Dateien zu kopierenAMI, verweigert Ihnen jedoch das Markieren der neuen Backing-Snapshots des Ziels. AMI

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*" ] }, { "Effect": "Deny", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:::snapshot/*" } ] }

IAMBeispielrichtlinie für das Kopieren einer im Speicher gespeicherten AMI Instanz und das Markieren des Ziels AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jede im angegebenen Quell-Bucket gespeicherte Instance AMI in die angegebene Region zu kopieren und das Ziel zu taggen. AMI

{ "Version": "2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-account-in-region-hash" ] } ] }

Um den Amazon-Ressourcennamen (ARN) des AMI Quell-Buckets zu finden, öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/AMIs, wählen Sie im Navigationsbereich und suchen Sie den Bucket-Namen in der Spalte Quelle.

Anmerkung

Die s3:CreateBucket Genehmigung ist nur erforderlich, wenn Sie eine Instance, die im Store gesichert wurde, AMI zum ersten Mal in eine einzelne Region kopieren. Danach wird der Amazon S3 S3-Bucket, der bereits in der Region erstellt wurde, verwendet, um alle future Daten zu speichernAMIs, die Sie in diese Region kopieren.