Funcionamiento de la copia de AMI de Amazon EC2
Si se copia una AMI de origen se obtiene una nueva AMI idéntica pero distinta, que también denominamos AMI de destino. La AMI de destino tiene su ID de AMI propio y único. Puede cambiar o cancelar el registro de la AMI de origen sin que ello afecte a la AMI de destino. y viceversa.
Con una AMI basada en EBS, cada una de las instantáneas con respaldo se copia en una instantánea de destino idéntica, pero distinta. Si copia una AMI en una región nueva, las instantáneas son copias completas (no incrementales). Si cifra instantáneas de copia de seguridad sin cifrar o las cifra en una nueva clave KMS, las instantáneas son copias completas (no incrementales). Las operaciones de copia posteriores de una AMI da como resultado copias incrementales de las instantáneas de copia de seguridad.
Copias entre regiones
El copiado de una AMI entre regiones geográficamente distribuidas proporciona los siguientes beneficios:
-
Implementación global coherente: al copiar una AMI de una región en otra, puede iniciar instancias coherentes basadas en la misma AMI en regiones diferentes.
-
Escalabilidad: puede diseñar y construir más fácilmente aplicaciones globales para satisfacer las necesidades de los usuarios, con independencia de su ubicación.
-
Desempeño: puede mejorar el desempeño distribuyendo la aplicación, así como localizando componentes fundamentales de esta más próximos a los usuarios. También puede aprovechar las características específicas para cada región, como tipos de instancia u otros servicios de AWS.
-
Alta disponibilidad: puede diseñar e implementar aplicaciones entre regiones de AWS para aumentar la disponibilidad.
En el siguiente diagrama, se muestra la relación entre una AMI de origen y dos AMI copiadas en diferentes regiones, además de las instancias de EC2 iniciadas desde cada una de ellas. Al iniciar una instancia desde una AMI, esta reside en la misma región en la que reside la AMI. Si realiza cambios en la AMI de origen y desea que estos se reflejen en las imágenes de tipo AMIs de las regiones de destino, debe volver a copiar la AMI de origen en las regiones de destino.
Al copiar por primera vez una AMI con respaldo en el almacén de instancias en una región, se crea un bucket de Amazon S3 para las imágenes de tipo AMIs copiadas en dicha región. Todas las imágenes de tipo AMIs con respaldo en el almacén de instancias que copie en esa región se almacenan en dicho bucket. Los nombres de los buckets tienen el siguiente formato: amis-for-cuenta-in-región-hash. Por ejemplo: amis-for-123456789012-in-us-east-2-yhjmxvp6.
Requisito previo
Antes de copiar una AMI, debe asegurarse de que el contenido de la AMI de origen esté actualizado para poder ser ejecutado en una región diferente. Por ejemplo, deberá actualizar las cadenas de conexión de la base de datos o cualquier otro dato de configuración de la aplicación para que se asocien a los recursos adecuados. De lo contrario, es posible que las instancias iniciadas desde la AMI nueva en la región de destino aún usen los recursos de la región de origen, lo cual puede afectar al rendimiento y al costo.
Limitaciones
-
Las regiones de destino se limitan a 100 copias de AMI simultáneas.
-
No puede copiar una AMI paravirtual (PV) en una región que no admite AMI PV. Para obtener más información, consulte Tipos de virtualización.
Copias entre cuentas
Si una AMI de otro Cuenta de AWS se comparte con tu Cuenta de AWS, puede copiar la AMI compartida. Esto se conoce como copia entre cuentas. La AMI que se comparte con usted es la AMI de origen. Al copiar la AMI de origen, se crea una nueva AMI. La nueva AMI a menudo se denomina AMI objetivo.
Costos de la AMI
-
Los cargos de almacenamiento en la región se cobran a la cuenta propietaria.
-
Si copia una AMI que se ha compartido en su cuenta, será el propietario de la AMI de destino en su cuenta.
-
Al propietario de la AMI de origen se le cobran las tarifas de transferencia estándar de Amazon EBS o Amazon S3.
-
Se te cobrará por el almacenamiento de la AMI de destino en la región de destino.
-
Permisos de recursos
Para copiar una AMI compartida con usted desde otra cuenta, el propietario de la AMI de origen debe concederle permisos de lectura para el almacenamiento que respalda a esta AMI. El almacenamiento es la instantánea de EBS asociada (para una AMI basada en Amazon EBS) o un bucket de S3 asociado (para una AMI basada en un almacén de instancias). Si la AMI compartida tiene instantáneas cifradas, el propietario también debe compartir la clave o claves con usted. Para obtener más información sobre la concesión de permisos de recursos, para las snapshots de EBS, consulte Compartir una instantánea de Amazon EBS en la Guía del usuario de Amazon EBS, y para los buckets de S3, consulte Identity and Access Management en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
nota
Las etiquetas adjuntas a la AMI de origen no se copian entre las cuentas de la AMI de destino.
Cifrado y copias
En la siguiente tabla se muestra la compatibilidad con cifrado para diversos escenarios de copia de AMI. Si bien es posible copiar una instantánea sin cifrar para obtener una instantánea cifrada, no se puede copiar una instantánea cifrada para obtener una sin cifrar.
| Escenario | Descripción | Soportado |
|---|---|---|
| 1 | De una sin cifrar a otra sin cifrar | Sí |
| 2 | De una cifrada a otra cifrada | Sí |
| 3 | De una sin cifrar a otra cifrada | Sí |
| 4 | De una cifrada a otra sin cifrar | No |
nota
El cifrado durante la acción CopyImage solo se aplica a las imágenes de tipo AMIs con respaldo Amazon EBS. Puesto que una AMI con respaldo en el almacén de instancias no se basa en instantáneas, no puede usar la copia para cambiar su estado de cifrado.
De forma predeterminada (es decir, sin especificar los parámetros de cifrado), la instantánea respaldada de una AMI se copia con su estado de cifrado original. Al copiar una AMI respaldada por una instantánea sin cifrar se obtiene una instantánea de destino idéntica que tampoco está cifrada. Si la AMI de origen está respaldada por una instantánea cifrada, cuando se copia se obtiene una instantánea de destino idéntica que se cifra con la misma clave de AWS KMS. Al copiar una AMI respaldada por varias instantáneas, de forma predeterminada, se conserva el estado de cifrado de origen en cada una de las instantáneas de destino.
Si especifica los parámetros de cifrado mientras copia una AMI, puede cifrar o volver a cifrar sus instantáneas respaldadas. El siguiente ejemplo muestra un caso no predeterminado que aporta parámetros de cifrado a la acción CopyImage para cambiar el estado de cifrado de la AMI del objetivo.
Copia de una AMI de origen sin cifrar en una AMI de destino cifrada
En este caso, una AMI respaldada por una instantánea raíz no cifrada se copia en una AMI con una instantánea raíz cifrada. La acción CopyImage se invoca con dos parámetros de cifrado, incluida una clave administrada por el cliente. Como resultado, el estado de cifrado de la instantánea raíz cambia, de modo que la AMI de destino se respalda por una instantánea raíz que contiene los mismos datos que la instantánea de origen, pero cifrada con la clave especificada. Usted incurre en costos de almacenamiento de las instantáneas en ambas AMI, así como en cargos correspondientes a las instancias que lance desde cualquiera de las AMI.
nota
Habilitar el cifrado de forma predeterminada tiene el mismo efecto que configurar el parámetro Encrypted en true para todas las instantáneas de la AMI.
La configuración del parámetro Encrypted cifra la única instantánea para esta instancia. Si no especifica el parámetro KmsKeyId, la clave predeterminada administrada por el cliente se utiliza para cifrar la copia de la instantánea.
Para obtener más información acerca de la copia de AMIs con instantáneas cifradas, consulte Usar el cifrado con las AMI con respaldo de EBS.
