Copiar una AMI - Amazon Elastic Compute Cloud

Copiar una AMI

Puede copiar una Amazon Machine Image (AMI) dentro de las regiones de AWS o entre ellas. Puede copiar tanto las imágenes de tipo AMIs respaldadas por el almacén de instancias como las imágenes de tipo AMIs respaldadas por Amazon EBS. Puede copar las AMI con instantáneas cifradas y también cambiar el estado del cifrado durante el proceso de la copia. Puede copiar las AMI que se compartieron con usted.

Si se copia una AMI de origen, se obtiene una AMI de destino idéntica pero distinta de aquella, con su propio identificador único. Puede cambiar o cancelar el registro de la AMI de origen sin que ello afecte a la AMI de destino. y viceversa.

Con una AMI respaldada por Amazon EBS, cada una de sus instantáneas de respaldo se copia en una instantánea de destino idéntica pero distinta. Si copia una AMI en una región nueva, las instantáneas son copias completas (no incrementales). Si cifra instantáneas de copia de seguridad sin cifrar o las cifra en una nueva clave KMS, las instantáneas son copias completas (no incrementales). Las operaciones de copia posteriores de una AMI da como resultado copias incrementales de las instantáneas de copia de seguridad.

Copiar una AMI no supone ningún costo. Sin embargo, se aplican las tarifas estándar por almacenamiento y transferencia de datos. Si copia una AMI respaldada por EBS, se le cobrarán cargos por el almacenamiento de cualquier instantánea adicional de EBS.

Consideraciones

  • Puede utilizar políticas de IAM para conceder o denegar a los usuarios permisos para copiar AMI. Los permisos de nivel de recursos especificados para la acción CopyImage solo se aplican a la nueva AMI. No se pueden especificar permisos de nivel de recursos para la AMI de origen.

  • AWS no copia permisos de lanzamiento, etiquetas definidas por el usuario ni permisos del bucket de Simple Storage Service (Amazon S3) de la AMI de origen a la AMI nueva. Una vez que se haya completado la operación de copia, puede aplicar los permisos de lanzamiento, las etiquetas definidas por el usuario y los permisos del bucket de Amazon S3 a la nueva AMI.

  • Si utiliza una AMI de AWS Marketplace o una AMI derivada directa o indirectamente de una AMI de AWS Marketplace, no podrá copiarla entre cuentas. En su lugar, lance una instancia de EC2 mediante la AMI de AWS Marketplace y, a continuación, cree una AMI a partir de la instancia. Para obtener más información, consulte Creación de una AMI de Windows personalizada .

Permisos para copiar una AMI con respaldo en el almacenamiento de la instancia

Si utiliza un usuario de IAM para copiar una AMI con respaldo en el almacenamiento de la instancia, dicho usuario debe tener los siguientes permisos de Amazon S3: s3:CreateBucket, s3:GetBucketAcl, s3:ListAllMyBuckets, s3:GetObject, s3:PutObject y s3:PutObjectAcl.

La siguiente política de ejemplo permite al usuario copiar el origen de la AMI del bucket especificado en la región especificada.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ami-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-123456789012-in-us-east-1*" ] } ] }

Para localizar el nombre de recurso de Amazon (ARN) del bucket de origen de la AMI, abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/ y, en el panel de navegación, elija AMIs (AMI) y busque el nombre del bucket en la columna Source (Origen).

nota

El permiso s3:CreateBucket solo es necesario la primera vez que el usuario IAM copia una AMI de una instancia de copia de seguridad de almacenamiento en una región individual. Después de eso, el bucket de Amazon S3 que ya se ha creado en la región se utiliza para almacenar todas las AMIs futuras que se copian en esa región.

Copiar una AMI

Puede copiar una AMI mediante la AWS Management Console, la AWS Command Line Interface, los SDK o la API de Amazon EC2, todos los cuales admiten la acción CopyImage.

Requisito previo

Cree u obtenga una AMI respaldada por una instantánea de Amazon EBS. Tenga en cuenta que puede utilizar la consola de Amazon EC2 para buscar una gran variedad de AMI que proporciona AWS. Para obtener más información, consulte Creación de una AMI de Windows personalizada y Búsqueda de una AMI.

New console

Para copiar una AMI mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Desde la barra de navegación de la consola, seleccione la región que contiene la AMI.

  3. En el panel de navegación, elija Images (Imágenes), AMIs (AMI) para mostrar la lista de AMIs disponibles en la región.

  4. Seleccione la AMI que desea copiar y elija Actions (Acciones), Copy AMI (Copiar AMI).

  5. En la página Copy AMI (Copiar AMI), especifique la siguiente información:

    • AMI copy name (Nombre de copia de AMI): el nombre para la nueva AMI. Puede incluir la información del sistema operativo en el nombre, ya que esta información no se proporciona cuando se muestran los detalles de la AMI.

    • AMI copy description (Descripción de copia de AMI): de forma predeterminada, la descripción incluye información acerca de la AMI de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

    • Destination Region (Región de destino): indica la región en la que desea copiar la AMI. Para obtener más información, consulte Copias entre regiones.

    • Encrypt EBS snapchots of AMI copy (Cifrar instantáneas de EBS de la copia de AMI): seleccione esta casilla para cifrar las instantáneas de destino o para volver a cifrarlas con una clave diferente. Si habilitó el cifrado de forma predeterminada, la casilla Encrypt EBS snapshots of AMI copy (Cifrar instantáneas de EBS de una copia de AMI) está seleccionada y no se puede desactivar. Para obtener más información, consulte Cifrado y copias.

    • KMS key (Clave de KMS): la clave de KMS que se utilizará para cifrar las instantáneas de destino.

  6. Elija Copy AMI (Copiar AMI).

    El estado inicial de la nueva AMI es Pending. La operación de copia de la AMI finaliza cuando el estado es Available.

Old console

Para copiar una AMI mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Desde la barra de navegación de la consola, seleccione la región que contiene la AMI. En el panel de navegación, elija Images (Imágenes), AMIs (AMI) para mostrar la lista de AMIs disponibles en la región.

  3. Seleccione la AMI que desea copiar y elija Actions (Acciones), Copy AMI (Copiar AMI).

  4. En el cuadro de diálogo Copy AMI (Copiar AMI), especifique la siguiente información y, a continuación, elija Copy AMI (Copiar AMI):

    • Destination region (Región de destino): indica la región en la que desea copiar la AMI. Para obtener más información, consulte Copias entre regiones.

    • Name (Nombre): El nombre para la nueva AMI. Puede incluir la información del sistema operativo en el nombre, ya que esta información no se proporciona cuando se muestran los detalles de la AMI.

    • Description (Descripción): De forma predeterminada, la descripción incluye información acerca de la AMI de origen para que pueda diferenciar la copia de la original. Puede cambiar esta descripción según sea necesario.

    • Encryption (Cifrado): Seleccione este campo para cifrar las instantáneas de destino o para volver a cifrarlas con una clave diferente. Si ha habilitado el cifrado por defecto, se establece la opción Encryption (Cifrado) y no se puede anular. Para obtener más información, consulte Cifrado y copias.

    • Clave deKMS: la clave de KMS que se utilizará para cifrar las instantáneas de destino.

  5. Se muestra una página de confirmación para informarle de que la operación de copia se ha iniciado y proporcionarle el ID de la nueva AMI.

    Para verificar el progreso de la operación en ese momento, siga el enlace proporcionado. Para verificar el progreso más tarde, elija Done (Listo) y, a continuación, cuando esté listo, utilice la barra de navegación para cambiar a la región de destino (si procede) y localizar la AMI en la lista de AMI.

    El estado inicial de la AMI de destino es pending y la operación habrá finalizado cuando el estado pase a ser available.

Para copiar una AMI con la AWS CLI

Puede copiar una AMI mediante el comando copy-image. Debe especificar tanto la región de origen como la de destino. La región de origen se especifica mediante el parámetro --source-region. La región de destino se especifica mediante el parámetro --region o bien mediante una variable de entorno. Para obtener más información, consulte el tema sobre configuración de la interfaz de línea de comandos de AWS.

Al cifrar una instantánea de destino durante la copia, debe especificar estos parámetros adicionales: --encrypted y --kms-key-id.

Para copiar una AMI mediante la Tools for Windows PowerShell

Puede copiar una AMI mediante el comando Copy-EC2Image. Debe especificar tanto la región de origen como la de destino. La región de origen se especifica mediante el parámetro -SourceRegion. La región de destino se especifica mediante el parámetro -Region o bien mediante el comando Set-AWSDefaultRegion. Para obtener más información, consulte Especificación de regiones de AWS.

Al cifrar una instantánea de destino durante la copia, debe especificar estos parámetros adicionales: -Encrypted y -KmsKeyId.

Detener una operación de copia de una AMI pendiente

Puede parar la copia de una AMI pendiente del modo siguiente.

New console

Para parar una operación de copia de una AMI mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región de destino desde el selector de regiones.

  3. En el panel de navegación, elija AMIs.

  4. Seleccione la AMI cuya copia desea detener y elija Actions (Acciones), Deregister AMI (Anular registro de AMI).

  5. Cuando se le solicite la confirmación, elija Deregister AMI (Anular registro de AMI).

Old console

Para parar una operación de copia de una AMI mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región de destino desde el selector de regiones.

  3. En el panel de navegación, elija AMIs.

  4. Seleccione la AMI cuya copia desea detener y elija Actions (Acciones), Deregister (Anular registro).

  5. Cuando se le pida que confirme, elija Continue (Continuar).

Para parar una operación de copia de una AMI con la línea de comando

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceder a Amazon EC2.

Copias entre regiones

El copiado de una AMI entre regiones geográficamente distribuidas proporciona los siguientes beneficios:

  • Implementación global coherente: al copiar una AMI de una región en otra, puede lanzar instancias coherentes basadas en la misma AMI en regiones diferentes.

  • Escalabilidad: puede diseñar y construir más fácilmente aplicaciones globales para satisfacer las necesidades de los usuarios, con independencia de su ubicación.

  • Desempeño: puede mejorar el desempeño distribuyendo la aplicación, así como localizando componentes fundamentales de esta más próximos a los usuarios. También puede aprovechar las características específicas para cada región, como tipos de instancia u otros servicios de AWS.

  • Alta disponibilidad: puede diseñar e implementar aplicaciones entre regiones de AWS para aumentar la disponibilidad.

El siguiente diagrama muestra las relaciones entre una AMI de origen y dos imágenes de tipo AMIs copiadas en diferentes regiones, además de las instancias EC2 lanzadas desde cada una de ellas. Al lanzar una instancia desde una AMI, esta reside en la misma región en la que reside la AMI. Si realiza cambios en la AMI de origen y desea que estos se reflejen en las imágenes de tipo AMIs de las regiones de destino, debe volver a copiar la AMI de origen en las regiones de destino.


				AMI copiadas en diferentes regiones

Al copiar por primera vez una AMI con respaldo en el almacén de instancias en una región, se crea un bucket de Amazon S3 para las imágenes de tipo AMIs copiadas en dicha región. Todas las imágenes de tipo AMIs con respaldo en el almacén de instancias que copie en esa región se almacenan en dicho bucket. Los nombres de los buckets tienen el siguiente formato: amis-for-cuenta-in-región-hash. Por ejemplo: amis-for-123456789012-in-us-east-2-yhjmxvp6.

Requisito previo

Antes de copiar una AMI, debe asegurarse de que el contenido de la AMI de origen esté actualizado para poder ser ejecutado en una región diferente. Por ejemplo, deberá actualizar las cadenas de conexión de la base de datos o cualquier otro dato de configuración de la aplicación para que se asocien a los recursos adecuados. De lo contrario, es posible que las instancias lanzadas desde la nueva AMI en la región de destino aún usen los recursos de la región de origen, lo cual puede afectar al desempeño y al costo.

Límites

  • Las regiones de destino se limitan a 100 copias de AMI simultáneas.

Copias entre cuentas

Puede compartir una AMI con otra cuenta de AWS. Compartir una AMI no afecta a la propiedad de dicha AMI. Los cargos de almacenamiento en la región se cobran a la cuenta propietaria. Para obtener más información, consulte Compartir una AMI con cuentas de AWS específicas.

Si copia una AMI que se ha compartido en su cuenta, será el propietario de la AMI de destino en su cuenta. Al propietario de la AMI de origen se le cobrarán las tarifas de transferencia estándar de Amazon EBS o Amazon S3 y a usted se le cobrará por el almacenamiento de la AMI de destino en la región de destino.

Permisos en el nivel de recursos

Para copiar una AMI que se ha compartido con usted desde otra cuenta, el propietario de la AMI de origen debe concederle permisos de lectura para el almacenamiento que respalda a la AMI, ya sea la instantánea de EBS asociada (para una AMI respaldada por Amazon EBS) o un bucket de S3 asociado (para una AMI con respaldo en el almacén de instancias). Si la AMI compartida tiene instantáneas cifradas, el propietario también debe compartir la clave o claves con usted.

Cifrado y copias

En la siguiente tabla se muestra la compatibilidad con cifrado para diversos escenarios de copia de AMI. Si bien es posible copiar una instantánea sin cifrar para obtener una instantánea cifrada, no se puede copiar una instantánea cifrada para obtener una sin cifrar.

Escenario Descripción Soportado
1 De una sin cifrar a otra sin cifrar
2 De una cifrada a otra cifrada
3 De una sin cifrar a otra cifrada
4 De una cifrada a otra sin cifrar No
nota

El cifrado durante la acción CopyImage solo se aplica a las imágenes de tipo AMIs con respaldo Amazon EBS. Puesto que una AMI con respaldo en el almacén de instancias no se basa en instantáneas, no puede usar la copia para cambiar su estado de cifrado.

De forma predeterminada (es decir, sin especificar los parámetros de cifrado), la instantánea respaldada de una AMI se copia con su estado de cifrado original. Al copiar una AMI respaldada por una instantánea sin cifrar se obtiene una instantánea de destino idéntica que tampoco está cifrada. Si la AMI de origen está respaldada por una instantánea cifrada, cuando se copia se obtiene una instantánea de destino idéntica que se cifra con la misma clave de AWS KMS. Al copiar una AMI respaldada por varias instantáneas, de forma predeterminada, se conserva el estado de cifrado de origen en cada una de las instantáneas de destino.

Si especifica los parámetros de cifrado mientras copia una AMI, puede cifrar o volver a cifrar sus instantáneas respaldadas. El siguiente ejemplo muestra un caso no predeterminado que aporta parámetros de cifrado a la acción CopyImage para cambiar el estado de cifrado de la AMI del objetivo.

Copia de una AMI de origen sin cifrar en una AMI de destino cifrada

En este caso, una AMI respaldada por una instantánea raíz no cifrada se copia en una AMI con una instantánea raíz cifrada. La acción CopyImage se invoca con dos parámetros de cifrado, incluida una clave administrada por el cliente. Como resultado, el estado de cifrado de la instantánea raíz cambia, de modo que la AMI de destino se respalda por una instantánea raíz que contiene los mismos datos que la instantánea de origen, pero cifrada con la clave especificada. Usted incurre en costos de almacenamiento de las instantáneas en ambas AMI, así como en cargos correspondientes a las instancias que lance desde cualquiera de las AMI.

nota

Habilitar el cifrado de forma predeterminada tiene el mismo efecto que configurar el parámetro Encrypted en true para todas las instantáneas en la AMI.


		Copia de la AMI y cifrado de la instantánea sobre la marcha

La configuración del parámetro Encrypted cifra la única instantánea para esta instancia. Si no especifica el parámetro KmsKeyId, la clave predeterminada administrada por el cliente se utiliza para cifrar la copia de la instantánea.

Para obtener más información acerca de la copia de AMIs con instantáneas cifradas, consulte Usar el cifrado con las AMI con respaldo de EBS.