授予复制 Amazon EC2 AMI 的权限 - Amazon Elastic Compute Cloud
用于复制 EBS-backed AMI 并标记目标 AMI 和快照的 IAM policy 示例用于复制 EBS-backed AMI 但拒绝标记新快照的 IAM policy 示例用于复制由实例存储支持的 AMI 并标记目标 AMI 的 IAM policy 示例

授予复制 Amazon EC2 AMI 的权限

要复制 EBS-backed AMI 或实例存储支持的 AMI,您需要以下 IAM 权限:

  • ec2:CopyImage – 复制 AMI。对于 EBS-backed AMI,它还授予复制 AMI 支持快照的权限。

  • ec2:CreateTags – 标记目标 AMI。对于 EBS-backed AMI,它还授予标记目标 AMI 支持快照的权限。

如果您要复制由实例存储支持的 AMI,则需要以下额外的 IAM 权限:

  • s3:CreateBucket – 在目标区域为新的 AMI 创建 S3 存储桶

  • s3:GetBucketAcl – 读取源存储桶的 ACL 权限

  • s3:ListAllMyBuckets – 在目标区域为 AMI 查找现有 S3 存储桶

  • s3:GetObject – 读取源存储桶中的对象

  • s3:PutObject – 将对象写入目标存储桶

  • s3:PutObjectAcl – 将新对象的权限写入目标存储桶

注意

从 2024 年 10 月 28 日开始,您可以为源 AMI 上的 CopyImage 操作指定资源级权限。目标 AMI 的资源级权限与以前一样可用。有关更多信息,请参阅《服务授权参考》中的 Amazon EC2 定义的操作下的表中的 CopyImage

用于复制 EBS-backed AMI 并标记目标 AMI 和快照的 IAM policy 示例

以下示例策略授予您复制任何 EBS-backed AMI 并标记目标 AMI 及其支持快照的权限。

注意

从 2024 年 10 月 28 日开始,您可以在 Resource 元素中指定快照。有关更多信息,请参阅《服务授权参考》中的 Amazon EC2 定义的操作下的表中的 CopyImage

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}

用于复制 EBS-backed AMI 但拒绝标记新快照的 IAM policy 示例

当您获取 ec2:CopySnapshot 权限时,系统会自动授予 ec2:CopyImage 权限。可以明确拒绝标记新的支持快照的权限,从而覆盖 ec2:CreateTags 操作的 Allow 效果。

以下示例策略授予您复制任何 EBS-backed AMI 但拒绝您标记目标 AMI 的新支持快照的权限。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}

用于复制由实例存储支持的 AMI 并标记目标 AMI 的 IAM policy 示例

以下示例策略授予您将指定源存储桶中任何由实例存储支持的 AMI 复制到指定区域并标记目标 AMI 的权限。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash"
            ]
        }
    ]
}

要查找 AMI 源存储桶的 Amazon Resource Name (ARN),请访问 https://console.aws.amazon.com/ec2/,打开 Amazon EC2 控制台,在导航窗格中选择 AMIs (AMI),然后在 Source (源) 列中找到该存储桶名称。

注意

仅在您首次将实例存储支持的 AMI 复制到单个区域时,才需要 s3:CreateBucket 权限。在此之后,将使用已在该区域中创建的 Amazon S3 存储桶来存储您将来复制到该区域的所有 AMIs。