Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs - Amazon Elastic Compute Cloud
IAMBeispielrichtlinie für das Kopieren eines EBS -backed-Objekts AMI und das Taggen des Ziels und der Snapshots AMIIAMBeispielrichtlinie für das Kopieren eines mit EBS -backed versehenen Snapshots, das Verweigern AMI jedoch, die neuen Snapshots mit Tags zu versehenIAMBeispielrichtlinie für das Kopieren einer im Speicher gespeicherten AMI Instanz und das Markieren des Ziels AMI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs

Um eine durch den Speicher EBS gesicherte Instanz oder eine durch den Speicher gesicherte Instanz zu kopierenAMI, benötigen Sie die folgenden Berechtigungen: IAM

  • ec2:CopyImage— Um das zu kopieren. AMI Bei EBS -backed wird auch die Erlaubnis erteiltAMIs, die AMI zugehörigen Snapshots zu kopieren.

  • ec2:CreateTags— Um das Ziel zu taggen. AMI Bei EBS -backed wird auch die Erlaubnis erteiltAMIs, die unterstützenden Snapshots des AMI Ziels mit Tags zu versehen.

Wenn Sie eine Instanz mit gespeichertem Backup kopierenAMI, benötigen Sie die folgenden zusätzlichen Berechtigungen: IAM

  • s3:CreateBucket— Um den S3-Bucket in der Zielregion für das neue zu erstellen AMI

  • s3:GetBucketAcl— Um die ACL Berechtigungen für den Quell-Bucket zu lesen

  • s3:ListAllMyBuckets— Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden

  • s3:GetObject— Um die Objekte im Quell-Bucket zu lesen

  • s3:PutObject— Um die Objekte in den Ziel-Bucket zu schreiben

  • s3:PutObjectAcl— Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben

IAMBeispielrichtlinie für das Kopieren eines EBS -backed-Objekts AMI und das Taggen des Ziels und der Snapshots AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, alle mit EBS -backed versehenen Dateien zu kopieren und das Ziel AMI AMI und die zugehörigen Snapshots mit Tags zu versehen.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:*::image/*"
    }]
}

IAMBeispielrichtlinie für das Kopieren eines mit EBS -backed versehenen Snapshots, das Verweigern AMI jedoch, die neuen Snapshots mit Tags zu versehen

Die ec2:CopySnapshot Genehmigung wird automatisch erteilt, wenn Sie die Genehmigung erhalten. ec2:CopyImage Dazu gehört auch die Erlaubnis, die neuen Backing-Snapshots des AMI Ziels mit Tags zu versehen. Die Erlaubnis, die neuen Backing-Snapshots zu taggen, kann ausdrücklich verweigert werden.

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, alle mit EBS -backed versehenen Dateien zu kopierenAMI, verweigert Ihnen jedoch das Markieren der neuen Backing-Snapshots des Ziels. AMI

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}

IAMBeispielrichtlinie für das Kopieren einer im Speicher gespeicherten AMI Instanz und das Markieren des Ziels AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jede im angegebenen Quell-Bucket gespeicherte Instance AMI in die angegebene Region zu kopieren und das Ziel zu taggen. AMI

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-account-in-region-hash"
            ]
        }
    ]
}

Um den Amazon-Ressourcennamen (ARN) des AMI Quell-Buckets zu finden, öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/AMIs, wählen Sie im Navigationsbereich und suchen Sie den Bucket-Namen in der Spalte Quelle.

Anmerkung

Die s3:CreateBucket Genehmigung ist nur erforderlich, wenn Sie eine Instance, die im Store gesichert wurde, AMI zum ersten Mal in eine einzelne Region kopieren. Danach wird der Amazon S3 S3-Bucket, der bereits in der Region erstellt wurde, verwendet, um alle future Daten zu speichernAMIs, die Sie in diese Region kopieren.