

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Amazon Machine Images dans Amazon EC2
<a name="AMIs"></a>

Une Amazon Machine Image (AMI) est une image qui fournit le logiciel nécessaire à la configuration et au démarrage d’une instance Amazon EC2. Chaque AMI comporte également un mappage des périphériques de bloc qui spécifie les périphériques de bloc à associer aux instances que vous lancez. Vous devez spécifier une AMI lorsque vous lancez une instance. L’AMI doit être compatible avec le type d’instance que vous avez choisi pour votre instance. Vous pouvez utiliser une AMI fournie par AWS, une AMI publique, une AMI que quelqu'un d'autre a partagée avec vous ou une AMI que vous avez achetée auprès du AWS Marketplace.

Une AMI est spécifique aux éléments suivants :
+ Région
+ Système d’exploitation
+ Architecture du processeur
+ Type de volume racine
+ Type de virtualisation

Lorsque vous avez besoin de plusieurs instances configurées de manière identique, il est possible de lancer plusieurs instances à partir d’une même AMI. Vous pouvez utiliser des instances différentes AMIs pour lancer des instances lorsque vous avez besoin d'instances avec des configurations différentes, comme le montre le schéma suivant.

![\[Lancement de plusieurs instances depuis une AMI.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/launch-from-ami.png)


Vous pouvez créer une AMI à partir de vos instances Amazon EC2 et l’utiliser pour lancer des instances avec la même configuration. Vous pouvez copier une AMI AWS dans une autre région, puis l'utiliser pour lancer des instances dans cette région. Vous pouvez également partager une AMI que vous avez créée avec d’autres comptes afin qu’ils puissent lancer des instances avec la même configuration. Vous pouvez vendre votre AMI à l'aide du AWS Marketplace.

**Topics**
+ [Caractéristiques d’AMI](ComponentsAMIs.md)
+ [Rechercher une AMI](finding-an-ami.md)
+ [AMIs Payé dans le AWS Marketplace](paid-amis.md)
+ [Cycle de vie de l’AMI](ami-lifecycle.md)
+ [Modes de démarrage](ami-boot.md)
+ [Chiffrement d’une AMI](AMIEncryption.md)
+ [Partagé AMIs](sharing-amis.md)
+ [Surveiller des événements d’AMI](monitor-ami-events.md)
+ [Comprendre la facturation d’AMI](ami-billing-info.md)
+ [Quotas d’AMI](ami-quotas.md)

# Types et caractéristiques des AMI dans Amazon EC2
<a name="ComponentsAMIs"></a>

Lorsque vous lancez une instance, l’AMI que vous choisissez doit être compatible avec le type d’instance que vous choisissez. Vous pouvez sélectionner une AMI en fonction des caractéristiques suivantes :
+ [Région](using-regions-availability-zones.md)
+ Système d’exploitation
+ Architecture du processeur
+ [Autorisations de lancement](#launch-permissions)
+ [Type de volume racine](#storage-for-the-root-device)
+ [Types de virtualisation](#virtualization_types)

## Autorisations de lancement
<a name="launch-permissions"></a>

Les autorisations de lancement déterminent qui peut utiliser une AMI pour lancer les instances. Vous pouvez assimiler les autorisations de lancement au [partage d’une AMI](sharing-amis.md) : lorsque vous accordez des autorisations de lancement, vous partagez l’AMI avec d’autres utilisateurs. Seul le propriétaire d’une AMI peut déterminer sa disponibilité en spécifiant les autorisations de lancement. Les autorisations de lancement sont réparties en plusieurs catégories.


| Autorisation de lancement | Description | 
| --- | --- | 
| public | Le propriétaire accorde des autorisations de lancement à tous les AWS comptes. | 
| explicite | Le propriétaire accorde des autorisations de lancement à AWS des comptes, organisations ou unités organisationnelles spécifiques (OUs). | 
| implicite | Le propriétaire a des autorisations de lancement implicites pour une AMI. | 

Amazon et la communauté Amazon EC2 proposent un large éventail de publics. AMIs Pour de plus amples informations, veuillez consulter [Comprendre l’utilisation des AMI partagées dans Amazon EC2](sharing-amis.md). Les développeurs peuvent facturer leur AMIs. Pour de plus amples informations, veuillez consulter [AMIs Payé AWS Marketplace pour les instances Amazon EC2](paid-amis.md).

## Type de volume racine
<a name="storage-for-the-root-device"></a>

Tous AMIs sont classés comme étant *soutenus par Amazon EBS* ou *soutenus par Amazon S3*.
+ AMI basée sur Amazon EBS : le volume racine d’une instance lancée à partir de l’AMI est un volume Amazon Elastic Block Store (Amazon EBS) créé à partir d’un instantané Amazon EBS. Pris en charge à la fois pour Linux et Windows AMIs.
+ AMI Amazon basée sur Amazon S3 : le volume racine d’une instance lancée à partir de l’AMI est un volume de stockage d’instances créé à partir d’un modèle stocké dans Amazon S3. Pris en charge AMIs uniquement pour Linux. Windows AMIs ne prend pas en charge le stockage d'instance pour le volume racine.

Pour de plus amples informations, veuillez consulter [Volumes racine de vos instances Amazon EC2](RootDeviceStorage.md).

**Note**  
Les versions soutenues par Amazon S3 AMIs sont considérées comme étant en fin de vie et ne sont pas recommandées pour une nouvelle utilisation. Elles ne sont prises en charge que sur les anciens types d’instance suivants : C1, C3, D2, I2, M1, M2, M3, R3 et X1.

Le tableau suivant résume les différences importantes entre les deux types deAMIs.


| Caractéristiques | AMI basée sur des volumes Amazon EBS | AMI basée sur Amazon S3 | 
| --- | --- | --- | 
| Volume racine | Volume EBS | Volume de stockage d’instances | 
| Temps de démarrage pour une instance | Généralement inférieur à 1 minute | Généralement inférieur à 5 minutes | 
| Persistance des données  |  Par défaut, le volume racine est supprimé lorsque l’instance est arrêtée.\$1 Par défaut, les données des autres volumes EBS sont conservées après la mise hors service de l’instance.  |  Les données des volumes de stockage d’instances sont conservées uniquement pendant la durée de vie de l’instance.  | 
| État d’arrêt |  Peut être à l’état arrêté. Même lorsque l’instance est arrêtée et ne s’exécute pas, le volume racine est conservé dans Amazon EBS.  |  Ne peut pas être à l’état arrêté ; les instances sont en cours d’exécution ou hors service.  | 
| Modifications |  Le type d’instance, le noyau, le disque RAM et les données utilisateur peuvent être modifiés pendant que l’instance est arrêtée.  |  Les attributs de l’instance restent les mêmes pendant la durée de vie de l’instance.  | 
| Frais |  Les éléments suivants vous sont facturés : utilisation de l’instance, utilisation du volume EBS et stockage de votre AMI sous forme d’instantané EBS.  |  L’utilisation de l’instance et le stockage de l’AMI dans Amazon S3 vous sont facturés.  | 
| Création de l’AMI/bundle | Utilise une seule commande/un seul appel | Requiert l’installation et l’utilisation des outils AMI | 

\$1 Par défaut, les volumes racines EBS ont l’indicateur `DeleteOnTermination` défini sur `true`. Pour plus d’informations sur la modification de cet indicateur afin que le volume soit conservé après la mise hors service, consultez [Conservez un volume racine Amazon EBS après une fin d'instance Amazon EC2](configure-root-volume-delete-on-termination.md).

\$1\$1 Pris en charge avec `io2` EBS Block Express uniquement. Pour plus d’informations, consultez la section [Volumes express de blocs SSD IOPS provisionnées](https://docs.aws.amazon.com/ebs/latest/userguide/provisioned-iops.html#io2-block-express) dans le *Guide de l’utilisateur Amazon EBS*.

# Identification du type de volume racine déterminé par votre AMI
<a name="display-ami-root-device-type"></a>

L’AMI que vous utilisez pour lancer une instance EC2 permet de déterminer le type de volume racine. Le volume racine d’une instance EC2 est soit un volume EBS, soit un volume de stockage d’instances.

[Les instances basées sur Nitro](instance-types.md#instance-hypervisor-type) ne prennent en charge que les volumes racine EBS. Les types d’instances de la génération précédente suivants sont les seuls types d’instances qui prennent en charge les volumes racine de stockage d’instance : C1, C3, D2, I2, M1, M2, M3, R3 et X1.

------
#### [ Console ]

**Pour identifier le type de volume racine déterminé par une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation **AMIs**, choisissez et sélectionnez l'AMI.

1. Vérifiez la valeur de **Root Device Type** (Type de périphérique racine) sous l’onglet **Details** (Détails) comme suit :
   + `ebs` : les instances lancées à partir de cette AMI obtiendront un volume racine EBS
   + `instance store` : les instances lancées à partir de cette AMI obtiendront un volume racine de stockage d’instances.

------
#### [ AWS CLI ]

**Pour identifier le type de volume racine déterminé par une AMI**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].RootDeviceType
```

Voici un exemple de sortie.

```
ebs
```

------
#### [ PowerShell ]

**Pour identifier le type de volume racine déterminé par une AMI**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image `
    -ImageId ami-0abcdef1234567890).RootDeviceType.Value
```

Voici un exemple de sortie.

```
ebs
```

------

## Types de virtualisation
<a name="virtualization_types"></a>

Les Amazon Machine Images utilisent l’un des deux types de virtualisation : virtualisation paravirtuelle ou virtualisation HVM. Les principales différences entre le PV et le HVM AMIs résident dans la manière dont ils démarrent et dans la possibilité de tirer parti d'extensions matérielles spéciales (processeur, réseau et stockage) pour de meilleures performances. AMIs Les fenêtres sont des HVM. AMIs

Le tableau suivant compare le HVM et le PV AMIs.


| Caractéristiques | HVM | Virtualisation paravirtuelle | 
| --- | --- | --- | 
| Description | Les AMI HVM sont présentées avec un ensemble entièrement virtualisé de matériel et démarrent en exécutant l’enregistrement d’amorçage maître du périphérique de stockage en mode bloc racine de votre image. Ce type de virtualisation permet d’exécuter un système d’exploitation directement par-dessus une machine virtuelle sans aucune modification, comme si elle était exécutée sur le matériel bare-metal. Le système hôte Amazon EC2 émule une partie ou tout le matériel sous-jacent qui est présenté à l’invité. |  AMIs Démarrez PV à l'aide d'un chargeur de démarrage spécial appelé PV-GRUB, qui démarre le cycle de démarrage puis charge en chaîne le noyau spécifié dans le menu.lst fichier sur votre image. Les invités de virtualisation paravirtuelle peuvent s’exécuter sur du matériel hôte qui ne prend pas explicitement en charge la virtualisation. Pour plus d’informations sur PV-GRUB et son utilisation dans Amazon EC2, consultez la rubrique [Noyaux fournis par l’utilisateur](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html). | 
| Types d’instance pris en charge | Tous les types d'instances de la génération actuelle sont compatibles avec le HVM. AMIs | Les types d'instances de la génération précédente suivants prennent en charge le PV AMIs : C1, C3, M1, M3, M2 et T1. Les types d'instances de la génération actuelle ne prennent pas en charge le PV AMIs. | 
| Prise en charge des extensions matérielles | Les invités HVM peuvent profiter des extensions matérielles qui offrent un accès rapide au matériel sous-jacent sur le système hôte. Ils doivent utiliser des réseaux améliorés et le traitement GPU. Pour transmettre des instructions à des périphériques réseau et GPU spécialisés, le système d’exploitation doit avoir accès à la plateforme matérielle native, et la virtualisation HVM fournit cet accès. Pour de plus amples informations, veuillez consulter [Mise en réseau améliorée sur les EC2 instances Amazon](enhanced-networking.md). | Non, ils ne peuvent pas bénéficier d’extensions matérielles spéciales, telles qu’une mise en réseau améliorée ou un traitement GPU. | 
| [Comment trouver](finding-an-ami.md) | Vérifiez que le type de virtualisation de l’AMI est défini sur hvm à l’aide de la console ou de la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | Vérifiez que le type de virtualisation de l’AMI est défini sur paravirtual à l’aide de la console ou de la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | 

**Virtualisation paravirtuelle sur HVM**  
Les clients paravirtuels étaient traditionnellement plus performants en termes de stockage et d'opérations réseau que les clients HVM, car ils pouvaient utiliser des pilotes spéciaux pour I/O éviter les frais liés à l'émulation du matériel réseau et disque, tandis que les clients HVM devaient traduire ces instructions en matériel émulé. Les pilotes photovoltaïques sont désormais disponibles pour les clients HVM, de sorte que les systèmes d'exploitation qui ne peuvent pas être portés pour fonctionner dans un environnement paravirtualisé peuvent toujours bénéficier d'avantages en termes de performances en termes de stockage et de réseau I/O en les utilisant. Avec ces pilotes de virtualisation paravirtuelle sur HVM, les invités HVM peuvent obtenir une performance similaire, ou meilleure, que les invités paravirtuels.

# Trouvez une AMI qui répond aux exigences de votre EC2 instance
<a name="finding-an-ami"></a>

Une AMI comprend les composants et les applications, tels que le système d’exploitation et le type de volume racine, nécessaires au lancement d’une instance. Pour lancer une instance, vous devez trouver une AMI qui réponde à vos besoins.

Lors de la sélection d’une AMI, tenez compte des conditions requises suivantes concernant les instances que vous souhaitez lancer :
+ La AWS région de l'AMI en tant IDs qu'AMI est unique à chaque région.
+ Le système d’exploitation (par exemple, Linux ou Windows).
+ L’architecture (par exemple, 32 bits, 64 bits ou 64 bits ARM).
+ Le type de volume racine (par exemple, Amazon EBS ou le stockage d’instances).
+ Le fournisseur (par exemple, Amazon Web Services).
+ Logiciel supplémentaire (par exemple, SQL Server).

------
#### [ Console ]

Vous pouvez sélectionner dans la liste les cas AMIs où vous utilisez l'assistant de lancement d'instance, ou vous pouvez rechercher toutes les instances disponibles à AMIs l'aide de la page **Images**.

**Pour rechercher une AMI à l’aide de l’assistant de lancement d’instance**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation, sélectionnez la région dans laquelle lancer vos instances. Vous pouvez sélectionner n’importe quelle région disponible, quel que soit votre emplacement. IDs Les AMI sont uniques à chaque AWS région.

1. Sur le tableau de bord de la console, sélectionnez **Launch instance (Lancer une instance)**.

1. Sous **Images de l'application et du système d'exploitation (Amazon Machine Image)**, choisissez **Quick Start**, choisissez le système d'exploitation (OS) de votre instance, puis, dans **Amazon Machine Image (AMI)**, sélectionnez l'un des systèmes couramment utilisés AMIs dans la liste. Si vous ne trouvez pas l'AMI que vous souhaitez utiliser, choisissez **Parcourir davantage AMIs** pour parcourir le catalogue complet d'AMI. Pour de plus amples informations, veuillez consulter [Images d’applications et de systèmes d’exploitation (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami).

**Pour rechercher une AMI à l'aide de la AMIs page**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation, sélectionnez la région dans laquelle lancer vos instances. Vous pouvez sélectionner n’importe quelle région disponible, quel que soit votre emplacement. IDs Les AMI sont uniques à chaque AWS région.

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. (Facultatif) Utilisez le filtre et les options de recherche pour élargir la liste des options affichées AMIs afin de ne voir AMIs que celles qui correspondent à vos critères.

   Par exemple, pour répertorier toutes les AMIs informations fournies par AWS, choisissez **Images publiques**. Utilisez ensuite les options de recherche pour élargir la liste des objets affichés AMIs. Cliquez dans la barre **Search** (Rechercher) et, dans le menu, choisissez **Owner alias** (Alias du propriétaire), puis l’opérateur **=**, et enfin la valeur **amazon**. Pour trouver AMIs celle qui correspond à une plate-forme spécifique, par exemple Linux ou Windows, cliquez à nouveau sur la barre de **recherche** pour sélectionner **Plate-forme**, puis l'opérateur **=**, puis le système d'exploitation dans la liste fournie.

1. (Facultatif) Cliquez sur l’icône **Préférences** pour sélectionner les attributs d’image à afficher, comme le type de volume racine. Vous pouvez également sélectionner une AMI dans la liste et afficher ses propriétés sous l’onglet **Détails** (Details).

1. Avant de sélectionner une AMI, il est important de vérifier si celle-ci est basée sur le stockage d’instances ou sur Amazon EBS et d’être conscient des effets de cette différence. Pour de plus amples informations, veuillez consulter [Type de volume racine](ComponentsAMIs.md#storage-for-the-root-device).

1. Pour lancer une instance à partir de cette AMI, sélectionnez-la et choisissez **Lancer l’instance**. Pour plus d’informations sur le lancement d’une instance à l’aide de la console, consultez [Lancez une instance EC2 à l’aide de l’assistant de lancement d’instance de la console](ec2-launch-instance-wizard.md). Si vous n’êtes pas prêt à lancer l’instance maintenant, notez l’ID de l’AMI pour plus tard.

------
#### [ AWS CLI ]

Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) pour rechercher une AMI qui correspond à vos besoins. Par défaut, cette commande renvoie tout ce AMIs qui est public, qui vous appartient et qui est partagé avec vous.

**Pour rechercher une AMI appartenant à Amazon**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) avec l’option `--owners`.

```
aws ec2 describe-images --owners amazon
```

**Pour rechercher une AMI Windows**  
Ajoutez le filtre suivant pour afficher uniquement Windows AMIs.

```
--filters "Name=platform,Values=windows"
```

**Pour rechercher une AMI basée sur EBS**  
Ajoutez le filtre suivant pour afficher uniquement les fichiers AMIs soutenus par Amazon EBS.

```
--filters "Name=root-device-type,Values=ebs"
```

------
#### [ PowerShell ]

Utilisez l'[Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)applet de commande pour rechercher une AMI répondant à vos exigences. Par défaut, cette applet de commande renvoie tout AMIs ce qui est public, qui vous appartient ou qui est partagé avec vous.

**Pour rechercher une AMI appartenant à Amazon**  
Utilisez la commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html) avec le paramètre `-Owner`.

```
Get-EC2Image -Owner amazon
```

**Pour rechercher une AMI Windows**  
Ajoutez le filtre suivant pour afficher uniquement Windows AMIs.

```
-Filter @{Name="platform"; Values="windows"}
```

Pour des exemples supplémentaires, voir [Trouver une image de machine Amazon à l'aide de Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-ec2-get-amis.html) dans le *guide de Outils AWS pour PowerShell l'utilisateur*.

------

**Ressources connexes**

Pour plus d'informations sur AMIs un système d'exploitation spécifique, consultez les rubriques suivantes :
+ Amazon Linux 2023 — [AL22023 sur Amazon EC2](https://docs.aws.amazon.com/linux/al2023/ug/ec2.html) dans le guide de l'*utilisateur Amazon Linux 2023*
+ Ubuntu — [Amazon EC2 AMI Locator sur le site](https://cloud-images.ubuntu.com/locator/ec2/) Web de *Canonical* Ubuntu
+ RHEL : [Red Hat Enterprise Linux Images (AMI) disponible sur Amazon Web Services (AWS)](https://access.redhat.com/solutions/15356) sur le site Web de Red Hat.
+ Windows Server : [Référence des AMI Windows AWS](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/windows-amis.html)

Pour plus d'informations à AMIs ce sujet, vous pouvez vous abonner sur le AWS Marketplace site[AMIs Payé AWS Marketplace pour les instances Amazon EC2](paid-amis.md).

Pour plus d’informations sur l’utilisation de Systems Manager afin d’aider vos utilisateurs à trouver l’AMI la plus récente à utiliser au lancement d’une instance, consultez ce qui suit :
+ [Référence AMIs à l'aide des paramètres de Systems Manager](using-systems-manager-parameter-to-find-AMI.md)
+ [Référencez les derniers paramètres publics AMIs utilisant les paramètres publics de Systems Manager](finding-an-ami-parameter-store.md)

# Référence AMIs à l'aide des paramètres de Systems Manager
<a name="using-systems-manager-parameter-to-find-AMI"></a>

Lorsque vous lancez une instance à l'aide de l'assistant de EC2 lancement d'instance de la EC2 console Amazon, vous pouvez soit sélectionner une AMI dans la liste, soit sélectionner un AWS Systems Manager paramètre pointant vers un ID d'AMI (décrit dans cette section). Si vous utilisez le code d’automatisation pour lancer vos instances, vous pouvez spécifier le paramètre Systems Manager au lieu de l’ID AMI.

Un paramètre Systems Manager est une paire clé-valeur définie par le client que vous pouvez créer dans le stockage de paramètres Systems Manager. Le stockage de paramètres fournit un magasin central pour externaliser les valeurs de configuration de vos applications. Pour plus d’informations, consultez [Stockage de paramètres AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) dans le *AWS Systems Manager Guide de l’utilisateur*.

Lorsque vous créez un paramètre qui pointe vers un ID AMI, assurez-vous que vous spécifiez le type de données comme `aws:ec2:image`. Spécifier ce type de données garantit que lorsque le paramètre est créé ou modifié, la valeur du paramètre est validée en tant qu’ID AMI. Pour plus d'informations, consultez la section Prise en [charge des paramètres natifs pour Amazon Machine Image IDs](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html) dans le *guide de AWS Systems Manager l'utilisateur*.

**Topics**
+ [Cas d’utilisation](#systems-manager-parameter-use-case)
+ [Permissions](#systems-manager-permissions)
+ [Limitations](#AMI-systems-manager-parameter-limitations)
+ [Lancer une instance à l’aide d’un paramètre Systems Manager](#systems-manager-parameter-launch-instance)

## Cas d’utilisation
<a name="systems-manager-parameter-use-case"></a>

Lorsque vous utilisez les paramètres de Systems Manager pour pointer vers l'AMI IDs, il est plus facile pour vos utilisateurs de sélectionner l'AMI appropriée lors du lancement des instances. Les paramètres Systems Manager peuvent également simplifier la maintenance du code d’automatisation.

**Plus facile pour les utilisateurs**

Si vous devez lancer des instances à l’aide d’une AMI spécifique et si cette AMI est mise à jour régulièrement, nous vous recommandons de demander à vos utilisateurs de sélectionner un paramètre Systems Manager pour trouver l’AMI. En demandant à vos utilisateurs de sélectionner un paramètre Systems Manager, vous pouvez vous assurer que la dernière AMI est utilisée pour lancer des instances.

Par exemple, chaque mois dans votre organisation, vous pouvez créer une nouvelle version de votre AMI dotée des derniers correctifs du système d’exploitation et des applications. Vous devez également demander à vos utilisateurs de lancer des instances à l’aide de la dernière version de votre AMI. Pour vous assurer que vos utilisateurs utilisent la dernière version, vous pouvez créer un paramètre Systems Manager (par exemple, `golden-ami`) qui pointe vers l’ID AMI correct. Chaque fois qu’une nouvelle version de l’AMI est créée, vous mettez à jour la valeur de l’ID AMI dans le paramètre afin qu’elle pointe toujours vers la dernière AMI. Vos utilisateurs n’ont pas besoin de connaître les mises à jour périodiques de l’AMI, car ils continuent à sélectionner le même paramètre Systems Manager à chaque fois. Avec un paramètre Systems Manager pour votre AMI, il leur est plus facile de sélectionner l’AMI appropriée pour le lancement d’une instance.

**Simplifier la maintenance du code d’automatisation**

Si vous utilisez le code d’automatisation pour lancer vos instances, vous pouvez spécifier le paramètre Systems Manager au lieu de l’ID AMI. Si une nouvelle version de l’AMI est créée, vous pouvez modifier la valeur de l’ID AMI dans le paramètre afin qu’elle pointe vers la dernière AMI. Le code d’automatisation qui fait référence au paramètre n’a pas besoin d’être modifié chaque fois qu’une nouvelle version de l’AMI est créée. Cela simplifie la maintenance de l’automatisation et réduit les coûts de déploiement.

**Note**  
Les instances en cours d’exécution ne sont pas affectées lorsque vous modifiez l’ID AMI vers lequel le paramètre Systems Manager pointe.

## Permissions
<a name="systems-manager-permissions"></a>

Si vous utilisez des paramètres Systems Manager pointant vers AMI IDs dans l'assistant de lancement d'instance, vous devez ajouter les autorisations suivantes à votre politique IAM :
+ `ssm:DescribeParameters` : permet d’afficher et de sélectionner les paramètres du gestionnaire de systèmes.
+ `ssm:GetParameters` : permet de récupérer les valeurs des paramètres du gestionnaire de systèmes. 

Vous pouvez également restreindre l’accès à des paramètres Systems Manager spécifiques. Pour plus d’informations et obtenir des exemples de politiques IAM, consultez la section [Exemple : utiliser l’assistant de lancement d’instances d’EC2](iam-policies-ec2-console.md#ex-launch-wizard).

## Limitations
<a name="AMI-systems-manager-parameter-limitations"></a>

AMIs et les paramètres de Systems Manager sont spécifiques à la région. Pour utiliser le même nom de paramètre Systems Manager dans les régions, créez un paramètre Systems Manager dans chaque région avec le même nom (par exemple, `golden-ami`). Dans chaque région, pointez le paramètre Systems Manager sur une AMI de cette région.

Les noms de paramètre sont sensibles à la casse. Les barres obliques inverses pour le nom du paramètre ne sont nécessaires que si le paramètre fait partie d’une hiérarchie, par exemple `/amis/production/golden-ami`. Vous pouvez omettre la barre oblique inverse si le paramètre ne fait pas partie d’une hiérarchie.

## Lancer une instance à l’aide d’un paramètre Systems Manager
<a name="systems-manager-parameter-launch-instance"></a>

Lorsque vous lancez une instance, au lieu de spécifier un ID d’AMI, vous pouvez spécifier un paramètre Systems Manager qui pointe vers un ID d’AMI.

Pour spécifier le paramètre par programmation, utilisez la syntaxe suivante, où `resolve:ssm` est le préfixe standard et `parameter-name` le nom unique du paramètre.

```
resolve:ssm:parameter-name
```

Les paramètres Systems Manager ont la prise en charge de la version. Chaque itération d’un paramètre se voit attribuer un numéro de version unique. Vous pouvez référencer la version du paramètre comme suit, où `version` est le numéro de version unique. Par défaut, la dernière version du paramètre est utilisée lorsqu’aucune version n’est spécifiée.

```
resolve:ssm:parameter-name:version
```

Pour lancer une instance à l'aide d'un paramètre public fourni par AWS, consultez[Référencez les derniers paramètres publics AMIs utilisant les paramètres publics de Systems Manager](finding-an-ami-parameter-store.md).

------
#### [ Console ]

**Pour rechercher une AMI à l’aide d’un paramètre Systems Manager**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation, sélectionnez la région dans laquelle lancer vos instances. Vous pouvez sélectionner n’importe quelle région disponible, quel que soit votre emplacement.

1. Sur le tableau de bord de la console, sélectionnez **Launch instance (Lancer une instance)**.

1. Sous **Images de l'application et du système d'exploitation (Amazon Machine Image)**, sélectionnez **Parcourir davantage AMIs**.

1. Sélectionnez le bouton fléché à droite de la barre de recherche, puis choisissez **Search by Systems Manager parameter** (Rechercher par paramètre Systems Manager).

1. Pour **Paramètre Systems Manager**, sélectionnez un paramètre. L’ID AMI correspondant apparaît en dessous de **Currently resolves to** (Actuellement se résout en).

1. Choisissez **Rechercher**. Les AMIs numéros correspondant à l'ID de l'AMI apparaissent dans la liste.

1. Sélectionnez l’AMI dans la liste, puis choisissez **Select (Sélectionner)**.

Pour plus d’informations sur le lancement d’une instance à l’aide de l’assistant de lancement d’instance, consultez [Lancez une instance EC2 à l’aide de l’assistant de lancement d’instance de la console](ec2-launch-instance-wizard.md).

------
#### [ AWS CLI ]

**Pour lancer une instance à l’aide d’un paramètre Systems Manager**  
Utilisez la commande [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) avec l’option `--image-id`. Cet exemple utilise un paramètre Systems Manager nommé **golden-ami**, qui spécifie un ID d’AMI.

```
--image-id resolve:ssm:/golden-ami
```

Vous pouvez créer des versions d’un paramètre Systems Manager. L’exemple suivant spécifie la version 2 du paramètre **golden-ami**.

```
--image-id resolve:ssm:/golden-ami:2
```

------
#### [ PowerShell ]

**Pour lancer une instance à l’aide d’un paramètre Systems Manager**  
Utilisez l'[New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)applet de commande avec le `-ImageId` paramètre. Cet exemple utilise un paramètre Systems Manager nommé **golden-ami**, qui spécifie un ID d’AMI.

```
-ImageId "resolve:ssm:/golden-ami"
```

Vous pouvez créer des versions d’un paramètre Systems Manager. L’exemple suivant spécifie la version 2 du paramètre **golden-ami**.

```
-ImageId "resolve:ssm:/golden-ami:2"
```

------

# Référencez les derniers paramètres publics AMIs utilisant les paramètres publics de Systems Manager
<a name="finding-an-ami-parameter-store"></a>

AWS Systems Manager fournit des paramètres publics pour le public AMIs gérés par AWS. Vous pouvez utiliser les paramètres publics lorsque vous lancez des instances pour vous assurer que vous utilisez les dernières versions AMIs. Par exemple, le paramètre public `/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64` est disponible dans toutes les régions et pointe toujours vers la dernière version de l’AMI Amazon Linux 2023 pour l’architecture arm64 dans une région donnée.

Les paramètres publics sont disponibles à partir des chemins suivants :
+ **Linux** : `/aws/service/ami-amazon-linux-latest`
+ **Windows** – `/aws/service/ami-windows-latest`

Pour plus d’informations, veuillez consulter [Utilisation de paramètres publics](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-public-parameters.html) dans le *Guide de l’utilisateur AWS Systems Manager *.

## Répertoriez Amazon Linux AMIs
<a name="list-ami-amazon-linux-latest"></a>

------
#### [ AWS CLI ]

**Pour répertorier le système Linux AMIs dans la AWS région actuelle**  
Utilisez la commande [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html) suivante. La valeur du `--path` paramètre est spécifique à Linux AMIs.

```
aws ssm get-parameters-by-path \
    --path /aws/service/ami-amazon-linux-latest \
    --query "Parameters[].Name"
```

------
#### [ PowerShell ]

**Pour répertorier le système Linux AMIs dans la AWS région actuelle**  
Utilisez l'SSMParametersByPathapplet de commande [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html).

```
Get-SSMParametersByPath `
    -Path "/aws/service/ami-amazon-linux-latest" | `
    Sort-Object Name | Format-Table Name
```

------

## Répertorier les fenêtres AMIs
<a name="list-ami-windows-latest"></a>

------
#### [ AWS CLI ]

**Pour répertorier les fenêtres AMIs de la AWS région actuelle**  
Utilisez la commande [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html) suivante. La valeur du `--path` paramètre est spécifique à Windows AMIs.

```
aws ssm get-parameters-by-path \
    --path /aws/service/ami-windows-latest \
    --query "Parameters[].Name"
```

------
#### [ PowerShell ]

**Pour répertorier les fenêtres AMIs de la AWS région actuelle**  
Utilisez l'SSMParametersByPathapplet de commande [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html).

```
Get-SSMParametersByPath `
    -Path "/aws/service/ami-windows-latest" | `
    Sort-Object Name | Format-Table Name
```

------

## Pour lancer une instance à l’aide d’un paramètre public
<a name="launch-instance-public-parameter"></a>

Pour spécifier le paramètre public au lancement d’une instance, utilisez la syntaxe suivante : `resolve:ssm:public-parameter`, où `resolve:ssm` est le préfixe standard et `public-parameter` est le chemin d’accès et le nom du paramètre public.

------
#### [ AWS CLI ]

**Pour lancer une instance à l’aide d’un paramètre public**  
Utilisez la commande [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) avec l’option `--image-id`. Cet exemple indique un paramètre public du gestionnaire de systèmes pour l’ID d’image afin de lancer une instance à l’aide de l’AMI Amazon Linux 2023 la plus récente.

```
--image-id resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64
```

------
#### [ PowerShell ]

**Pour lancer une instance à l’aide d’un paramètre public**  
Utilisez l'[New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)applet de commande avec le `-ImageId` paramètre. Cet exemple indique un paramètre public du gestionnaire de systèmes pour l’ID d’image afin de lancer une instance à l’aide de l’AMI pour Windows Server 2022 la plus récente.

```
-ImageId "resolve:ssm:/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-Base"
```

------

Pour d'autres exemples utilisant les paramètres de Systems Manager, consultez [Requête de la dernière AMI Amazon Linux à IDs l'aide du magasin de AWS Systems Manager paramètres](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/) et [Requête de la dernière AMI Windows à l'aide du magasin de AWS Systems Manager paramètres](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/).

# AMIs Payé AWS Marketplace pour les instances Amazon EC2
<a name="paid-amis"></a>

Une *AMI payante* est une AMI mise en vente dans le AWS Marketplace. AWS Marketplace Il s'agit d'une boutique en ligne où vous pouvez acheter des logiciels qui s' AWS exécutent, y compris des AMI que vous pouvez utiliser pour lancer votre instance EC2. Ils AWS Marketplace AMIs sont organisés en catégories, telles que les outils de développement, pour vous permettre de trouver des produits adaptés à vos besoins. Pour plus d'informations AWS Marketplace, consultez le [AWS Marketplace](https://aws.amazon.com/marketplace)site Web.

Vous pouvez l'acheter AWS Marketplace auprès d'un tiers, y compris AMIs AMIs dans le cadre de contrats de service auprès d'organisations telles que Red Hat. Vous pouvez également créer une AMI et la vendre AWS Marketplace à d'autres utilisateurs d'Amazon EC2. La création d’une AMI sûre, sécurisée et utilisable à des fins d’utilisation publique est un processus relativement simple, à condition que vous respectiez quelques consignes simples. Pour plus d'informations sur la création et l'utilisation du partage AMIs, consultez[Comprendre l’utilisation des AMI partagées dans Amazon EC2](sharing-amis.md).

Le lancement d’une instance à partir d’une AMI payante est identique au lancement d’une instance à partir de n’importe quelle AMI. Aucun paramètre supplémentaire n’est obligatoire. L’instance est facturée selon les tarifs fixés par le propriétaire de l’AMI, ainsi que les frais d’utilisation standard pour les services web associés, par exemple, le tarif horaire pour l’exécution d’un type d’instance m5.small dans Amazon EC2. Des taxes supplémentaires peuvent également être appliquées. Le propriétaire de l’AMI payante peut confirmer si une instance spécifique a été lancée à l’aide de cette AMI payante. 

**Important**  
Amazon DevPay n'accepte plus de nouveaux vendeurs ni de nouveaux produits. AWS Marketplace est désormais la plateforme de commerce électronique unique et unifiée pour la vente de logiciels et de services via AWS. Pour plus d'informations sur le déploiement et la vente de logiciels depuis AWS Marketplace, consultez [Selling in AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). AWS Marketplace supports AMIs soutenus par Amazon EBS.

**Topics**
+ [Vendez votre AMI dans le AWS Marketplace](#selling-your-ami)
+ [Rechercher une AMI payante](using-paid-amis-finding-paid-ami.md)
+ [Achetez une AMI payante dans le AWS Marketplace](using-paid-amis-purchasing-paid-ami.md)
+ [Récupérez le code AWS Marketplace produit depuis votre instance](get-product-code.md)
+ [Utiliser le support payant pour les AWS Marketplace offres prises en charge](using-paid-amis-support.md)
+ [Factures payées et prises en charge AMIs](#using-paid-amis-bills)
+ [Gérez vos AWS Marketplace abonnements](marketplace-manage-subscriptions.md)

## Vendez votre AMI dans le AWS Marketplace
<a name="selling-your-ami"></a>

Vous pouvez vendre votre AMI en utilisant AWS Marketplace. AWS Marketplace propose une expérience d'achat organisée. En outre, il prend AWS Marketplace également en charge AWS des fonctionnalités telles que les instances réservées AMIs, soutenues par Amazon EBS et les instances ponctuelles.

Pour savoir comment vendre votre AMI sur le AWS Marketplace, consultez [Selling in AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). 

# Rechercher une AMI payante
<a name="using-paid-amis-finding-paid-ami"></a>

Une AMI payante est une Amazon Machine Image (AMI) disponible à l’achat. Une AMI payant possède également un code produit. Vous pouvez AMIs les trouver disponibles à l'achat dans le AWS Marketplace.

------
#### [ Console ]

**Pour rechercher une AMI payante**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**. 

1. Choisissez **Images publiques** comme premier filtre.

1. Effectuez l’une des actions suivantes :
   + Si vous connaissez le code produit, choisissez **Code Produit**, puis **=**, et entrez ensuite le code produit.
   + Si vous ne connaissez pas le code du produit, dans la barre de recherche, spécifiez le filtre suivant : **Owner alias=aws-marketplace**. Spécifiez des filtres supplémentaires selon vos besoins.

1. Enregistrez l’ID de l’AMI.

------
#### [ AWS CLI ]

**Pour rechercher une AMI payante**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante.

```
aws ec2 describe-images --owners aws-marketplace
```

La sortie inclut un grand nombre d’images. Vous pouvez définir des filtres pour vous aider à déterminer l’AMI dont vous avez besoin. Une fois que vous avez trouvé une AMI, spécifiez son ID dans la commande suivante pour obtenir son code produit.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[*].ProductCodes[].ProductCodeId
```

Voici un exemple de sortie.

```
[
    "cdef1234abc567def8EXAMPLE"
]
```

Si vous connaissez le code produit, vous pouvez filtrer les résultats par code produit. Cet exemple renvoie l’AMI la plus récente ayant le code produit spécifié.

```
aws ec2 describe-images \
    --filters "Name=product-code,Values=cdef1234abc567def8EXAMPLE" \
    --query "sort_by(Images, &CreationDate)[-1].[ImageId]"
```

------
#### [ PowerShell ]

**Pour rechercher une AMI payante**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image -Owner aws-marketplace
```

La sortie inclut un grand nombre d’images. Vous pouvez définir des filtres pour vous aider à déterminer l’AMI dont vous avez besoin. Une fois que vous avez trouvé une AMI, spécifiez son ID dans la commande suivante pour obtenir son code produit.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ProductCodes
```

Voici un exemple de sortie.

```
ProductCodeId             ProductCodeType
-------------             ---------------
cdef1234abc567def8EXAMPLE marketplace
```

Si vous connaissez le code produit, vous pouvez filtrer les résultats par code produit. Cet exemple renvoie l’AMI la plus récente ayant le code produit spécifié.

```
(Get-EC2Image -Owner aws-marketplace -Filter @{"Name"="product-code";"Value"="cdef1234abc567def8EXAMPLE"} | sort CreationDate -Descending | Select-Object -First 1).ImageId
```

------

# Achetez une AMI payante dans le AWS Marketplace
<a name="using-paid-amis-purchasing-paid-ami"></a>

Vous devez vous inscrire à (acheter) une AMI payante avant de pouvoir lancer une instance Amazon EC2 à l’aide de l’AMI.

Généralement, le vendeur d’une AMI payante vous présente les informations relatives à l’AMI, notamment le tarif et un lien auquel vous accédez pour l’acheter. Lorsque vous cliquez sur le lien, vous êtes d'abord invité à vous connecter AWS, puis vous pouvez acheter l'AMI.

## Acheter une AMI payante à l’aide de la console
<a name="purchase-paid-ami-console"></a>

Vous pouvez acheter une AMI payante à l’aide de l’assistant de lancement Amazon EC2. Pour de plus amples informations, veuillez consulter [Lancer une instance Amazon EC2 depuis une AMI AWS Marketplace](launch-marketplace-console.md).

## Abonnez-vous à un produit en utilisant AWS Marketplace
<a name="subscribe-to-paid-ami"></a>

Pour utiliser le AWS Marketplace, vous devez avoir un Compte AWS. Pour lancer des instances à partir de AWS Marketplace produits, vous devez être inscrit pour utiliser le service Amazon EC2 et vous devez être abonné au produit à partir duquel vous souhaitez lancer l'instance. Vous pouvez utiliser l’une des méthodes suivantes pour vous abonner aux produits de le AWS Marketplace :
+ **AWS Marketplace site Web** : vous pouvez lancer rapidement des logiciels préconfigurés grâce à la fonction de déploiement en 1 clic. Pour plus d'informations, consultez la section [Produits basés sur l'AMI](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-server-products.html) dans. AWS Marketplace
+ **Assistant de lancement Amazon EC2** : vous pouvez rechercher une AMI et lancer une instance directement à partir de l’assistant. Pour de plus amples informations, veuillez consulter [Lancer une instance Amazon EC2 depuis une AMI AWS Marketplace](launch-marketplace-console.md).

# Récupérez le code AWS Marketplace produit depuis votre instance
<a name="get-product-code"></a>

Vous pouvez récupérer le code AWS Marketplace produit de votre instance à l'aide de ses métadonnées. Si l’instance comporte un code produit, Amazon EC2 le renvoie. Pour obtenir plus d’informations sur la récupération des métadonnées, consultez [Accéder aux métadonnées d’une instance EC2](instancedata-data-retrieval.md).

------
#### [ IMDSv2 ]

**Linux**  
Exécutez la commande suivante à partir de votre instance Linux.

```
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
    && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes
```

**Windows**  
Exécutez les applets de commande suivants à partir de votre instance Windows.

```
[string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} `
    -Method PUT -Uri http://169.254.169.254/latest/api/token
```

```
Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
    -Method GET -Uri http://169.254.169.254/latest/meta-data/product-codes
```

------
#### [ IMDSv1 ]

**Linux**  
Exécutez la commande suivante à partir de votre instance Linux.

```
curl http://169.254.169.254/latest/meta-data/product-codes
```

**Windows**  
Exécutez la commande suivante à partir de votre instance Windows.

```
Invoke-RestMethod -Uri http://169.254.169.254/latest/meta-data/product-codes
```

------

# Utiliser le support payant pour les AWS Marketplace offres prises en charge
<a name="using-paid-amis-support"></a>

Amazon EC2 permet également aux développeurs de proposer une assistance pour les logiciels (ou dérivés AMIs). Les développeurs peuvent créer des produits de support que vous pouvez utiliser en vous y inscrivant. Pendant le processus d’inscription au produit de support, le développeur vous fournit un code produit, que vous devez ensuite associer à votre propre AMI. Le développeur est ainsi en mesure de confirmer que votre instance peut bénéficier du support. Cela garantit également que, lorsque vous exécutez des instances du produit, le tarif appliqué correspond aux conditions définies pour le produit par le développeur. 

**Limitations**
+ Une fois que vous avez défini l’attribut du code produit, il ne peut pas être modifié ni supprimé.
+ Vous ne pouvez pas utiliser un produit de support avec les instances réservées. Le tarif appliqué est toujours défini par le vendeur du produit de support.

------
#### [ AWS CLI ]

**Pour associer un code produit à votre AMI**  
Utilisez la commande [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html).

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --product-codes "cdef1234abc567def8EXAMPLE"
```

------
#### [ PowerShell ]

**Pour associer un code produit à votre AMI**  
Utilisez l’applet de commande [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html).

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ProductCode "cdef1234abc567def8EXAMPLE"
```

------

## Factures payées et prises en charge AMIs
<a name="using-paid-amis-bills"></a>

A la fin de chaque mois, vous recevez un e-mail indiquant le montant prélevé sur votre carte de paiement pour l’utilisation des AMI payantes ou supportées au cours du mois. Cette facture est différente de votre facture Amazon EC2 habituelle. Pour plus d’informations, consultez la section [Paiement des produits](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-paying-for-products.html) dans le *AWS Marketplace Guide de l’acheteur*.

# Gérez vos AWS Marketplace abonnements
<a name="marketplace-manage-subscriptions"></a>

Sur le AWS Marketplace site Web, vous pouvez vérifier les détails de votre abonnement, consulter les instructions d'utilisation du fournisseur, gérer vos abonnements, etc.

## Vérifier les détails de l’abonnement
<a name="check-sub-details"></a>

**Pour vérifier les informations concernant votre abonnement**

1.  Connectez-vous à [AWS Marketplace](https://aws.amazon.com/marketplace).

1. Choisissez **Your Marketplace Account (Votre compte Marketplace)**.

1. Choisissez **Manage your software subscriptions (Gérer vos abonnements logiciels)**. 

1. Tous vos abonnements actuels sont répertoriés. Choisissez ** Usage Instructions (Instructions d’utilisation)** pour consulter les instructions spécifiques à l’utilisation du produit, par exemple le nom d’utilisateur pour la connexion à votre instance en cours d’exécution.

## Annulation d’abonnements
<a name="cancel-sub"></a>

**Note**  
L’annulation d’un abonnement ne met pas fin aux instances lancées avec cette AMI. Nous continuerons de vous facturer les instances en cours d’exécution jusqu’à ce qu’elles soient résiliées. Vous devez résilier toutes les instances lancées avec l’AMI pour arrêter la facturation de l’abonnement.
Après avoir annulé votre abonnement, vous ne pouvez plus lancer d’instances à partir de cette AMI. Pour réutiliser cette AMI, vous devez vous y réabonner, soit sur le AWS Marketplace site Web, soit via l'assistant de lancement de la console Amazon EC2.

**Pour annuler un AWS Marketplace abonnement**

1. Vérifiez que vous avez résilié toutes les instances en cours d’exécution à partir de l’abonnement.
**Avertissement**  
**La résiliation d’une instance est définitive et irréversible.**  
Une fois que vous avez résilié une instance, vous ne pouvez plus vous y connecter et elle ne peut pas être récupérée. Tous les volumes Amazon EBS attachés qui sont configurés pour être supprimés à la résiliation sont également supprimés de manière définitive et ne peuvent pas être récupérés. L’intégralité des données stockées sur les volumes de stockage d’instance est définitivement perdue. Pour de plus amples informations, veuillez consulter [Comment fonctionne la résiliation d'une instance](how-ec2-instance-termination-works.md).  
Avant de résilier à une instance, assurez-vous d’avoir sauvegardé toutes les données que vous devez conserver après la résiliation dans un stockage persistant.

   1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Dans le panneau de navigation, choisissez **Instances**.

   1. Sélectionnez l’instance, choisissez **État de l’instance**, **Résilier (supprimer) l’instance**.

   1. Lorsque vous êtes invité à confirmer votre choix, sélectionnez **Résilier (supprimer)**.

1. Connectez-vous à [AWS Marketplace](https://aws.amazon.com/marketplace), puis choisissez **Your Marketplace Account** (Votre compte Marketplace) et **Manage your software subscriptions** (Gérer vos abonnements logiciels).

1. Choisissez **Cancel subscription (Annuler l’abonnement)**. Vous êtes invité à confirmer l’annulation. 

# Cycle de vie de l’AMI Amazon EC2
<a name="ami-lifecycle"></a>

Une Amazon Machine Image (AMI) est une image qui contient la configuration logicielle nécessaire pour configurer et démarrer une instance. Vous devez spécifier une AMI lorsque vous lancez une instance. Vous pouvez utiliser le logiciel AMIs fourni par Amazon ou créer le vôtre AMIs. L'AMI doit se trouver Région AWS dans l'endroit où vous souhaitez lancer votre instance.

Le cycle de vie d’une AMI englobe la création, la copie, la mise hors service, la désactivation et la suppression (annulation de l’inscription) de l’AMI.

**Créez AMIs.** Amazon propose des solutions AMIs que vous pouvez utiliser pour lancer vos instances, mais vous pouvez créer des instances personnalisées AMIs adaptées à vos besoins. Pour créer une AMI personnalisée, lancez une instance à partir d’une AMI existante, personnalisez l’instance (par exemple, installez des logiciels et configurez les paramètres du système d’exploitation), puis créez une AMI à partir de l’instance. Toutes les personnalisations d’instance sont enregistrées dans la nouvelle AMI, de sorte que les instances lancées à partir de votre nouvelle AMI incluent ces personnalisations.

**Attestable. AMIs** Pour créer une AMI qui prend en charge l’attestation d’instance EC2, consultez la section[Attestable AMIs](attestable-ami.md).

**Copie AMIs.** Vous pouvez utiliser une AMI pour lancer une instance uniquement Région AWS dans l'endroit où se trouve l'AMI. Si vous devez lancer des instances avec la même configuration dans plusieurs régions, copiez l’AMI vers les autres régions.

**Déprécier AMIs.** Pour marquer une AMI comme dépassée ou obsolète, vous pouvez définir une date d’obsolescence immédiate ou future. Les objets obsolètes AMIs sont masqués dans les listes d'AMI, mais les utilisateurs et les services peuvent continuer à utiliser les produits obsolètes AMIs s'ils connaissent l'ID de l'AMI.

**Désactiver AMIs.** Pour empêcher temporairement l’utilisation d’une AMI, vous pouvez la désactiver. Lorsqu’une AMI est désactivée, elle ne peut pas être utilisée pour lancer de nouvelles instances. Cependant, la réactivation de l’AMI permet de l’utiliser à nouveau pour lancer des instances. Notez que la désactivation d’une AMI n’affecte pas les instances existantes qui ont déjà été lancées à partir de celle-ci.

**Désenregistrer (supprimer). AMIs** Lorsque vous n’avez plus besoin d’une AMI, vous pouvez annuler son inscription, ce qui vous empêchera de l’utiliser pour lancer de nouvelles instances. Si l’AMI correspond à une règle de conservation, elle est placée dans la corbeille, où elle peut être restaurée avant l’expiration de sa période de conservation, après quoi elle est définitivement supprimée. Si elle ne correspond pas à une règle de conservation, elle est immédiatement et définitivement supprimée. Notez que l’annulation de l’inscription d’une AMI n’affecte pas les instances existantes qui ont été lancées à partir de cette AMI.

**Automatisation du cycle de vie d’une AMI.** Vous pouvez utiliser Amazon Data Lifecycle Manager pour automatiser la création, la rétention, la copie, l’obsolescence et la suppression des AMI Amazon EBS et de leurs instantanés de sauvegarde. Vous pouvez également utiliser EC2 Image Builder pour automatiser la création, la gestion et le déploiement de AMIs produits personnalisés. Pour plus d’informations, consultez la section [Automatisation des sauvegardes avec Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html) dans le *Guide de l’utilisateur Amazon EBS* et le [Guide de l’utilisateur EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html).

**Topics**
+ [Créer une AMI](creating-an-ami-ebs.md)
+ [Création d’une AMI basée sur Amazon S3](creating-an-ami-instance-store.md)
+ [Créer une AMI à l’aide de Windows Sysprep](ami-create-win-sysprep.md)
+ [Copier une AMI](CopyingAMIs.md)
+ [Stockage et restauration d’une AMI](ami-store-restore.md)
+ [Ascendance AMI](ami-ancestry.md)
+ [utilisation de l’AMI](ec2-ami-usage.md)
+ [Rendre obsolète une AMI](ami-deprecate.md)
+ [Désactiver une AMI](disable-an-ami.md)
+ [Annuler l’inscription d’une AMI](deregister-ami.md)

# Créer une AMI basée sur Amazon EBS
<a name="creating-an-ami-ebs"></a>

Vous pouvez créer votre propre AMI basée sur Amazon EBS à partir d’une instance Amazon EC2 ou d’un instantané du volume racine d’une instance Amazon EC2.

Pour créer une AMI basée sur Amazon EBS à partir d’une instance, commencez par lancer une instance à l’aide d’une AMI basée sur Amazon EBS existante. Cette AMI peut être celle que vous avez obtenue auprès de AWS Marketplace, créée à l'aide de [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html), ou toute autre AMI à laquelle vous pouvez accéder. Après avoir personnalisé l’instance pour répondre à vos besoins spécifiques, créez et enregistrez une nouvelle AMI. Vous pouvez ensuite utiliser la nouvelle AMI pour lancer de nouvelles instances avec vos personnalisations.

**Note**  
Pour créer une AMI qui prend en charge l’attestation d’instance EC2, consultez la section[Attestable AMIs](attestable-ami.md).

Les procédures décrites ci-dessous s’appliquent aux instances Amazon EC2 sauvegardées sur des volumes Amazon Elastic Block Store (Amazon EBS) chiffrés (notamment le volume racine) ainsi que pour les volumes non chiffrés.

Le processus de création d'AMI est différent pour les applications basées sur Amazon S3 AMIs. Pour de plus amples informations, veuillez consulter [Création d’une AMI basée sur Amazon S3](creating-an-ami-instance-store.md).

**Topics**
+ [Aperçu de la création d’une AMI à partir d’une instance](#process-creating-an-ami-ebs)
+ [Créer une AMI à partir d’une instance](#how-to-create-ebs-ami)
+ [Créer une AMI à partir d’un instantané](#creating-launching-ami-from-snapshot)

## Aperçu de la création d’une AMI à partir d’une instance
<a name="process-creating-an-ami-ebs"></a>

Le diagramme suivant résume le processus de création d’une AMI Amazon EBS à partir d’une instance EC2 en cours d’exécution : commencez avec une AMI existante, lancez une instance, personnalisez-la, créez une AMI à partir de celle-ci, puis lancez une instance de votre nouvelle AMI. Les chiffres du diagramme correspondent à ceux de la description qui suit.

![\[Flux de travail pour la création d’une AMI à partir d’une instance\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/running-instance.png)


**1 – AMI n° 1 : commencer avec une AMI existante**  
Recherchez une AMI existante qui est similaire à l’AMI que vous souhaiteriez créer. Il peut s'agir d'une AMI que vous avez obtenue auprès du AWS Marketplace, d'une AMI que vous avez créée à l'aide de [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html) ou de toute autre AMI à laquelle vous pouvez accéder. Vous allez personnaliser cette AMI en fonction de vos besoins.  
Dans le diagramme, **EBS root volume snapshot \$11** (Instantané du volume racine EBS n° 1) indique que l’AMI est une AMI Amazon EBS et que les informations sur le volume racine sont stockées dans cet instantané.

**2 – Lancer une instance à partir d’une AMI existante**  
Pour configurer une AMI, vous devez lancer une instance à partir de l’AMI sur laquelle vous souhaitez baser votre nouvelle AMI, puis personnaliser l’instance (**3** dans le diagramme). Vous allez ensuite créer une nouvelle AMI qui inclut les personnalisations (**4** dans le diagramme).

**3 – Instance EC2 n° 1 : Personnaliser l’instance**  
Connectez-vous à votre instance et personnalisez-la selon vos besoins. Votre nouvelle AMI inclura ces personnalisations.  
Vous pouvez effectuer toutes les actions suivantes sur votre instance pour la personnaliser :  
+ Installer les logiciels et les applications
+ Copier les données
+ Réduire le temps de démarrage en supprimant les fichiers temporaires et en défragmentant le disque dur
+ Attacher des volumes EBS supplémentaires

**4 – Créer une image**  
Lorsque vous créez une AMI à partir d’une instance, Amazon EC2 désactive l’instance avant de créer l’AMI pour s’assurer que tout le contenu de l’instance est arrêté et dans un état cohérent pendant le processus de création. Si vous êtes sûr que votre instance est dans un état cohérent approprié pour la création d’une AMI, vous pouvez indiquer à Amazon EC2 de ne pas procéder à la mise hors tension et redémarrer l’instance. Certains systèmes de fichiers, comme XFS, peuvent bloquer et débloquer l’activité ce qui sécurise la création de l’image sans redémarrer l’instance.  
Pendant le processus de création d’AMI, Amazon EC2 crée des instantanés du volume racine de votre instance et de tout autre volume EBS attaché à cette dernière. Les instantanés vous sont facturés jusqu’à ce que vous [annuliez l’inscription de l’AMI](deregister-ami.md) et que vous les supprimiez. Si un volume attaché à l’instance est chiffré, la nouvelle AMI se lance uniquement avec succès sur les instances qui prennent en charge le chiffrement Amazon EBS.  
En fonction de la taille des volumes, le processus de création de l’AMI peut prendre quelques minutes pour se terminer (parfois jusqu’à 24 heures). Il se peut que la création d’instantanés de vos volumes avant de créer votre AMI vous paraisse plus efficace. De cette façon, seuls de petits instantanés incrémentiels doivent être formés lorsque l’AMI est créée, et le processus se termine plus rapidement (la durée totale de la création des instantanés reste la même).

**5 – AMI n° 2 : Nouvelle AMI**  
Une fois le processus terminé, vous disposez d’une nouvelle AMI et d’un instantané (**instantané n° 2**) créés à partir du volume racine de l’instance. Si vous avez ajouté des volumes EBS ou de stockage d’instance à l’instance en plus du volume racine, le mappage de périphérique de stockage en mode bloc pour la nouvelle AMI contient des informations pour ces volumes.  
Amazon EC2 enregistre automatiquement l’AMI pour vous.

**6 – Lancer une nouvelle instance à partir de la nouvelle AMI**  
Vous pouvez utiliser la nouvelle AMI pour lancer une instance.

**7 – Instance EC2 n° 2 : Nouvelle instance**  
Lorsque vous lancez une instance à l’aide de la nouvelle AMI, Amazon EC2 crée un nouveau volume EBS pour le volume racine de l’instance en utilisant l’instantané. Si vous avez ajouté des volumes EBS ou de stockage d’instance lorsque vous avez personnalisé l’instance, le mappage de périphérique de stockage en mode bloc pour la nouvelle AMI contient des informations pour ces volumes, et les mappages de périphérique de stockage en mode bloc pour les instances que vous lancez depuis la nouvelle AMI contiennent automatiquement des informations pour ces volumes. Les volumes de stockage d’instances spécifiés dans le mappage de périphérique de stockage en mode bloc pour la nouvelle instance sont nouveaux et ne contiennent aucune donnée des volumes de stockage d’instances de l’instance que vous avez utilisée pour créer l’AMI. Les données sur les volumes EBS persistent. Pour plus d’informations, consultez [Bloquer les mappages d'appareils pour les volumes sur les instances Amazon EC2](block-device-mapping-concepts.md).  
Lorsque vous créez une instance à partir d’une AMI basée sur EBS, vous devez initialiser son volume racine et tout stockage EBS supplémentaire avant de la mettre en production. Pour plus d’informations, consultez la section [Initialiser les volumes Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-initialize.html) dans le *Guide de l’utilisateur Amazon EBS*.

## Créer une AMI à partir d’une instance
<a name="how-to-create-ebs-ami"></a>

Si vous avez une instance existante, vous pouvez créer une AMI à partir de cette instance.

------
#### [ Console ]

**Pour créer une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance à partir de laquelle vous souhaitez créer l’AMI, puis choisissez **Actions**, **Image and templates** (Image et modèles), et enfin **Create image** (Créer une image).
**Astuce**  
Si cette option est désactivée, votre instance n’est pas une instance basée sur Amazon EBS.

1. Sur la page **Create image** (Créer une image), spécifiez les informations suivantes :

   1. Pour **Image name** (Nom de l’image), saisissez un nom unique pour l’image de 127 caractères au maximum.

   1. Pour **Image description** (Description de l’image), saisissez une description facultative de l’image de 255 caractères au maximum.

   1. Pour **l’instance de redémarrage**, vous pouvez soit garder la case cochée (par défaut), soit la décocher.
      + Si la case **Redémarrer l’instance** est sélectionnée, lorsque Amazon EC2 crée la nouvelle AMI, il redémarre l’instance afin de pouvoir prendre des instantanés des volumes associés pendant que les données sont au repos, afin de garantir la cohérence de l’état.
      + Si la case **Redémarrer l’instance** est décochée, lorsque Amazon EC2 crée la nouvelle AMI, il n’arrête pas et ne redémarre pas l’instance.
**Avertissement**  
Si vous décochez la case **Redémarrer l’instance**, nous ne pouvons pas garantir l’intégrité du système de fichiers de l’image créée.

   1. **Volumes d’instance** : vous pouvez modifier le volume racine et ajouter des volumes Amazon EBS et des volumes de stockage d’instances supplémentaires, comme suit :

      1. Le volume racine est défini dans la première ligne.
         + Pour modifier la taille du volume racine, saisissez la valeur requise dans **Size (Taille)**.
         + Si vous sélectionnez **Delete on termination (Supprimer à la résiliation)**, lorsque vous résiliez l’instance créée à partir de cette AMI, le volume EBS est supprimé. Si vous désélectionnez **Delete on termination (Supprimer à la résiliation)**, lorsque vous résiliez l’instance, le volume EBS n’est pas supprimé. Pour plus d’informations, consultez [Conservation des données lors de la résiliation d’une instance](preserving-volumes-on-termination.md).

      1. Pour ajouter un volume EBS, sélectionnez **Add volume (Ajouter un volume)** (ce qui ajoute une nouvelle ligne). Pour **Type de stockage**, sélectionnez **EBS** et remplissez les champs de la ligne. Lorsque vous lancez une instance à partir de votre nouvelle AMI, des volumes supplémentaires sont automatiquement attachés à l’instance. Les volumes vides doivent être formatés et montés. Les volumes basés sur un instantané doivent être montés.

      1. Pour ajouter un volume de stockage d’instance, consultez [Ajouter des volumes de stockage d’instance à une AMI Amazon EC2](adding-instance-storage-ami.md). Lorsque vous lancez une instance à partir de votre nouvelle AMI, les volumes supplémentaires sont automatiquement initialisés et montés. Ces volumes ne contiennent pas les données des volumes de stockage d’instance de l’instance en cours d’exécution sur laquelle vous avez basé votre AMI.

   1. **Destination des instantanés** : si vos volumes d’instance se trouvent dans une zone locale qui prend en charge les instantanés locaux EBS, choisissez où créer les instantanés de l’AMI :
      + **Région AWS** : créez des instantanés dans la région parente de la zone locale de vos volumes.
      + **AWS Zone locale** : créez des instantanés dans la même zone locale que vos volumes.
**Note**  
Cette option n’apparaît que dans les zones locales qui prennent en charge les instantanés locaux EBS, et uniquement si votre instance a été créée dans une zone locale. Si le volume se trouve dans une région, cette option n’apparaît pas et l’instantané est créé automatiquement dans la même région que le volume. Pour plus d’informations, consultez la section [Instantanés locaux dans les zones locales](https://docs.aws.amazon.com/ebs/latest/userguide/snapshots-localzones.html) dans le *Guide de l’utilisateur Amazon EBS*.
**Important**  
Tous les instantanés des volumes de l’instance doivent se trouver au même emplacement. Vérifiez l’emplacement des instantanés existants. Si des instantanés existants se trouvent à un emplacement différent de celui de la destination sélectionnée, la création de l’AMI échouera.

   1. **Balises** : vous pouvez baliser l’AMI et les instantanés avec les mêmes balises ou avec des balises différentes.
      + Pour baliser l’AMI et les instantanés avec les *mêmes* balises, sélectionnez **Tag image and snapshots together (Baliser l’image et les instantanés ensemble)**. Les mêmes balises sont appliquées à l’AMI et à chaque instantané créé.
      + Pour baliser l’AMI et les instantanés avec des balises *différentes*, sélectionnez **Tag image and snapshots separately (Baliser l’image et les instantanés séparément)**. Différentes balises sont appliquées à l’AMI et aux instantanés créés. Cependant, tous les instantanés obtiennent les mêmes balises ; vous ne pouvez pas baliser chaque instantané avec une balise différente.

      (Facultatif) Pour ajouter une balise, sélectionnez **Add tag (Ajouter une balise)** et saisissez la clé et la valeur de la balise. Répétez l’opération pour chaque étiquette.

   1. Lorsque vous êtes prêt à créer votre AMI, choisissez **Create image** (Créer une image). 

1. Pour afficher le statut de votre AMI pendant sa création :

   1. Dans le panneau de navigation, sélectionnez **AMIs**.

   1. Définissez le filtre sur **Owned by me** (M’appartenant) et recherchez votre AMI dans la liste.

      À l’origine, le statut est `pending` mais il doit être remplacé par `available` après quelques minutes.

1. (Facultatif) Pour afficher l’instantané qui a été créé pour la nouvelle AMI :

   1. Notez l’ID de votre AMI que vous avez localisé à l’étape précédente.

   1. Dans le panneau de navigation, choisissez **Snapshots (Instantanés)**.

   1. Définissez le filtre sur **Owned by me** (M’appartenant), puis recherchez l’instantané contenant le nouvel ID d’AMI dans la colonne **Description**.

      Lorsque vous lancez une instance à partir de cette AMI, Amazon EC2 utilise cet instantané pour créer le volume racine de l’instance.

------
#### [ AWS CLI ]

**Pour créer une AMI**  
Utilisez la commande [create-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html).

```
aws ec2 create-image \
    --instance-id i-1234567890abcdef0 \
    --name "my-web-server" \
    --description "My web server image" \
    --no-reboot
```

------
#### [ PowerShell ]

**Pour créer une AMI**  
Utilisez l’applet de commande [New-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Image.html).

```
New-EC2Image `
    -InstanceId i-1234567890abcdef0 ` 
    -Name "my-web-server" `
    -Description "My web server image" `
    -NoReboot $true
```

------

## Créer une AMI à partir d’un instantané
<a name="creating-launching-ami-from-snapshot"></a>

Si vous disposez d’un instantané du volume racine d’une instance, vous pouvez créer une AMI à partir de cet instantané.

**Note**  
Dans la plupart des cas, AMIs pour Windows, Red Hat, SUSE et SQL Server nécessitent la présence d'informations de licence correctes sur l'AMI. Pour de plus amples informations, veuillez consulter [Comprendre les informations de facturation d’AMI](ami-billing-info.md). Lors de la création d’une AMI à partir d’un instantané, l’opération `RegisterImage` déduit les informations de facturation correctes des métadonnées de l’instantané, mais il faut pour cela que les métadonnées appropriées soient présentes. Pour vérifier si les informations de facturation correctes ont été appliquées, vérifiez le champ **Détails de la plateforme** sur la nouvelle AMI. Si le champ est vide ou ne correspond pas au code du système d’exploitation attendu (par exemple, Windows, Red Hat, SUSE ou SQL), la création de l’AMI n’a pas abouti et vous devez abandonner l’AMI et suivre les instructions de la section [Créer une AMI à partir d’une instance](#how-to-create-ebs-ami).

------
#### [ Console ]

**Pour créer une AMI à partir d’un instantané**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Snapshots (Instantanés)**.

1. Sélectionnez l’instantané à partir duquel créer l’AMI, puis choisissez **Actions**, **Create image from snapshot** (Créer une image à partir d’un instantané).

1. Sur la page **Create image from snapshot** (Créer une image à partir d’un instantané), spécifiez les informations suivantes :

   1. Pour **Image name** (Nom de l’image), saisissez un nom descriptif pour l’image.

   1. Pour **Description**, saisissez une brève description pour l’image.

   1. Pour **Architecture**, choisissez l’architecture de l’image. Choisissez **i386** pour 32 bits, **x86\$164** pour 64 bits, **arm64** pour ARM 64 bits ou **x86\$164** pour macOS 64 bits.

   1. Pour **Nom du volume racine**, saisissez le nom du périphérique à utiliser pour le volume racine. Pour de plus amples informations, veuillez consulter [Noms des appareils pour les volumes sur les EC2 instances Amazon](device_naming.md).

   1. Pour **Virtualization type** (Type de virtualisation), choisissez le type de virtualisation à utiliser par les instances lancées à partir de cette AMI. Pour plus d’informations, consultez [Types de virtualisation](ComponentsAMIs.md#virtualization_types).

   1. (Pour la virtualisation paravirtuelle uniquement) Pour **Kernel ID** (ID du noyau), sélectionnez le noyau du système d’exploitation pour l’image. Si vous utilisez un instantané du volume racine d’une instance, sélectionnez le même ID du noyau que celui de l’instance d’origine. Si vous avez un doute, utilisez le noyau par défaut.

   1. (Pour la virtualisation paravirtuelle uniquement) Pour **RAM disk ID** (ID de disque RAM), sélectionnez le disque RAM pour l’image. Si vous sélectionnez un noyau spécifique, vous devrez peut-être sélectionner un disque RAM spécifique avec les pilotes qui le prennent en charge.

   1. Pour le **mode de démarrage**, choisissez le mode de démarrage de l’image ou choisissez **Utiliser la valeur par défaut** afin que lorsqu’une instance est lancée à l’aide de cette AMI, elle démarre avec le mode de démarrage pris en charge par le type d’instance. Pour de plus amples informations, veuillez consulter [Définir le mode de démarrage d’une AMI Amazon EC2](set-ami-boot-mode.md).

   1. (Facultatif) Sous **Block device mappings** (Mappages de périphériques de stockage en mode bloc), personnalisez le volume racine et ajoutez des volumes de données supplémentaires. 

      Pour chaque volume, vous pouvez spécifier la taille, le type, les caractéristiques de performance, le comportement de la suppression lors de la résiliation et le statut de chiffrement. Pour le volume racine, la taille ne peut pas être inférieure à celle de l’instantané. Pour le type de volume, le stockage SSD à usage général `gp3` est sélectionné par défaut.

   1. (Facultatif) Sous **Balises**, vous pouvez ajouter une ou plusieurs balises à la nouvelle AMI. (Facultatif) Pour ajouter une balise, sélectionnez **Add tag (Ajouter une balise)** et saisissez la clé et la valeur de la balise. Répétez l’opération pour chaque étiquette.

   1. Lorsque vous êtes prêt à créer votre AMI, choisissez **Create image** (Créer une image).

1. (Windows, Red Hat, SUSE et SQL Server uniquement) Pour vérifier si les informations de facturation correctes ont été appliquées, consultez le champ **Détails de la plateforme** sur la nouvelle AMI. Si le champ est vide ou ne correspond pas au code du système d’exploitation attendu (par exemple, **Windows** ou **Red Hat**), la création de l’AMI a échoué. Vous devez alors supprimer l’AMI et suivre les instructions fournies dans la section [Créer une AMI à partir d’une instance](#how-to-create-ebs-ami).

------
#### [ AWS CLI ]

**Pour créer une AMI à partir d'un instantané à l'aide du AWS CLI**  
Utilisez la commande [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html).

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0db2cf683925d191f}
```

------
#### [ PowerShell ]

**Pour créer une AMI à partir d'un instantané à l'aide de PowerShell**  
Utilisez l’applet de commande [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html).

```
$block = @{SnapshotId=snap-0db2cf683925d191f}
Register-EC2Image `
    -Name my-image `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block}
```

------

# Création d’une AMI basée sur Amazon S3
<a name="creating-an-ami-instance-store"></a>

L’AMI que vous spécifiez au lancement de votre instance détermine le type de volume racine.

Pour créer une AMI basée sur Amazon S3, démarrez à partir d’une instance que vous avez lancée depuis une AMI Linux existante basée sur Amazon S3. Après avoir personnalisé l’instance pour répondre à vos besoins, créez un bundle du volume et inscrivez une nouvelle AMI que vous pouvez utiliser pour lancer de nouvelles instances avec ces personnalisations.

Vous ne pouvez pas créer d'AMI Windows basée sur Amazon S3 car Windows AMIs ne prend pas en charge le stockage d'instance pour le volume racine.

**Important**  
Seuls les types d’instance suivants prennent en charge un volume de stockage d’instances en tant que volume racine et nécessitent une AMI basée sur Amazon S3 : C1, C3, D2, I2, M1, M2, M3, R3 et X1.

Le processus de création d'AMI est différent pour Amazon EBS AMIs. Pour de plus amples informations, veuillez consulter [Créer une AMI basée sur Amazon EBS](creating-an-ami-ebs.md).

**Topics**
+ [Aperçu de la création d’une AMI](#process-creating-an-ami-instance-store)
+ [Conditions préalables](#bundle-ami-prerequisites)
+ [Créer une AMI à partir d’une instance Amazon Linux](#amazon_linux_instructions)
+ [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md)
+ [Référence des outils Amazon EC2 AMI](ami-tools-commands.md)
+ [Conversion de votre AMI basée sur Amazon S3 en AMI basée sur Amazon EBS](Using_ConvertingS3toEBS.md)

## Aperçu de la création d’une AMI
<a name="process-creating-an-ami-instance-store"></a>

Le diagramme suivant résume le processus de création d’une AMI à partir d’une instance avec un volume racine de stockage d’instance.

![\[Créez une AMI basée sur Amazon S3.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami_create_instance_store.png)


Tout d’abord, lancez une instance depuis une AMI qui est similaire à l’AMI que vous souhaiteriez créer. Vous pouvez vous connecter à votre instance et la personnaliser. Lorsque l’instance est configurée comme vous le voulez, vous pouvezen créer un bundle. Le processus de création d’un bundle peut prendre plusieurs minutes. Après la fin du processus, vous avez un groupe qui se compose d’un manifeste d’image (`image.manifest.xml`) et de fichiers (`image.part.`*xx*) contenant un modèle pour le volume racine. Ensuite, vous chargez le bundle dans votre compartiment Amazon S3, puis vous inscrivez votre AMI.

**Note**  
Afin de charger des objets vers un compartiment S3 pour votre AMI Linux basée sur Amazon S3, les listes de contrôle d’accès (ACL) doivent être activées pour le compartiment. Dans le cas contraire, Amazon EC2 ne sera pas en mesure de définir ACLs les objets à télécharger. Si votre compartiment de destination utilise le paramètre imposé par le propriétaire du compartiment pour la propriété des objets S3, cela ne fonctionnera pas car ils ACLs sont désactivés. Pour plus d'informations, consultez les [sections Contrôle de la propriété des objets et désactivation ACLs de votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).

Lorsque vous lancez une instance à l’aide de la nouvelle AMI, nous créons le volume racine pour l’instance avec le bundle que vous avez chargé sur Amazon S3. L’espace de stockage utilisé par le bundle dans Amazon S3 entraîne des frais sur votre compte jusqu’à ce que vous le supprimiez. Pour de plus amples informations, veuillez consulter [Annuler l’inscription d’une AMI Amazon EC2](deregister-ami.md).

Si vous ajoutez des volumes de stockage d’instance à votre instance en plus du volume racine, le mappage de périphérique de stockage en mode bloc pour la nouvelle AMI contient des informations pour ces volumes et les mappages de périphérique de stockage en mode bloc pour les instances que vous lancez depuis la nouvelle AMI contient automatiquement des informations pour ces volumes. Pour de plus amples informations, veuillez consulter [Bloquer les mappages d'appareils pour les volumes sur les instances Amazon EC2](block-device-mapping-concepts.md).

## Conditions préalables
<a name="bundle-ami-prerequisites"></a>

Avant de créer un AMI, vous devez terminer les tâches suivantes :
+ Installez les outils AMI. Pour de plus amples informations, veuillez consulter [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md).
+ Installez le AWS CLI. Pour plus d'informations, consultez [Démarrer avec le AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assurez-vous que vous disposez d'un compartiment S3 pour le bundle et que votre compartiment est ACLs activé. Pour plus d'informations sur la configuration ACLs, consultez [la section Configuration ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
  + Pour créer un compartiment S3 à l'aide de AWS Management Console, ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)et choisissez **Create Bucket**.
  + Pour créer un compartiment S3 avec le AWS CLI, vous pouvez utiliser la commande [mb](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html). Si la version installée des outils AMI est la version 1.5.18 ou toute autre version ultérieure, vous pouvez également utiliser la commande `ec2-upload-bundle` pour créer le compartiment S3. Pour de plus amples informations, veuillez consulter [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle).
+ Assurez-vous que les fichiers de votre offre groupée ne sont pas cryptés dans le compartiment S3. Si vous avez besoin d’un chiffrement pour votre AMI, vous pouvez utiliser une AMI basée sur EBS à la place. Pour de plus amples informations, veuillez consulter [Utilisez le chiffrement avec EBS Backed AMIs](AMIEncryption.md).
+ Assurez-vous d'avoir votre identifiant de AWS compte. Pour plus d'informations, consultez la section [Afficher les Compte AWS identifiants](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) dans le *Guide de référence AWS sur la gestion des comptes*.
+ Assurez-vous de disposer des informations d’identification nécessaires pour utiliser l’ AWS CLI. Pour plus d’informations, consultez la section [Authentification et contrôle d’accès pour l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) dans le *Guide de l’utilisateur AWS Command Line Interface *.
+ Assurez-vous d’avoir un certificat X.509 et la clé privée correspondante.
  + Si vous avez besoin créer un certificat X.509, consultez la section [Gérer les certificats de signature](set-up-ami-tools.md#ami-tools-managing-certs). Le certificat X.509 et la clé privée sont utilisés pour chiffrer et déchiffrer votre AMI.
  + [Chine (Pékin)] Utilisez le certificat `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-cn-north-1.pem`.
  + [AWS GovCloud (US-West)] Utilisez le `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-gov.pem` certificat.
+ Connectez-vous à votre instance et personnalisez-la. Par exemple, vous pouvez installer des logiciels et des applications, copier des données, supprimer des fichiers temporaires et modifier la configuration Linux.

## Créer une AMI à partir d’une instance Amazon Linux
<a name="amazon_linux_instructions"></a>

Les procédures suivantes décrivent comment créer une AMI à partir d’une instance avec un volume racine de stockage d’instance exécutant Amazon Linux 1. Elles peuvent ne pas fonctionner pour les instances exécutant d’autres distributions Linux.

**Pour se préparer à utiliser les outils AMI (instances HVM uniquement)**

1. Les outils AMI ont besoin de GRUB Legacy pour démarrer correctement. Utilisez la commande suivante pour installer GRUB :

   ```
   [ec2-user ~]$ sudo yum install -y grub
   ```

1. Installez les packages de gestion de partition à l’aide de la commande suivante :

   ```
   [ec2-user ~]$ sudo yum install -y gdisk kpartx parted
   ```

**Pour créer une AMI à partir d’une instance Amazon Linux avec un volume racine de stockage d’instance**

Cette procédure part du principe que vous avez respecté les prérequis dans [Conditions préalables](#bundle-ami-prerequisites).

Dans les commandes suivantes, remplacez chacune *user input placeholder* par vos propres informations.

1. Chargez vos informations d’identification sur votre instance. Nous utilisons ces informations d’identification pour garantir que seuls vous et Amazon EC2 peuvent accéder à votre AMI.

   1. Créez un répertoire temporaire sur votre instance pour vos informations d’identification en suivant ce qui suit :

      ```
      [ec2-user ~]$ mkdir /tmp/cert
      ```

      Ceci vous permet d’exclure vos informations d’identification de l’image créée.

   1. Copiez votre certificat X.509 et votre clé privée correspondante depuis votre ordinateur vers le répertoire `/tmp/cert` de votre instance en utilisant un outil de copie sécurisé tel que [scp](linux-file-transfer-scp.md). L’option `-i my-private-key.pem` de la commande **scp** suivante est la clé privée que vous utilisez pour vous connecter à votre instance avec SSH, et non la clé privée X.509. Exemples :

      ```
      you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem /path/to/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
      pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  717     0.7KB/s   00:00
      cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  685     0.7KB/s   00:00
      ```

   Sinon, étant donné qu’il s’agit de fichiers de texte brut, vous pouvez ouvrir le certificat et la clé dans un éditeur de texte et copier leur contenu dans de nouveaux fichiers dans le répertoire `/tmp/cert`.

1. <a name="step_with_bundle_path_amazon_linux"></a>Préparez le bundle à charger sur Amazon S3 en exécutant la commande [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) depuis votre instance. Assurez-vous de spécifier l’option `-e` pour exclure le répertoire où vos informations d’identification sont stockées. Par défaut, la création d’un bundle exclut les fichiers qui peuvent contenir des informations sensibles. Ces fichiers incluent `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` et `*/.bash_history`. Pour inclure tous ces fichiers, utilisez l’option `--no-filter`. Pour inclure certains de ces fichiers, utilisez l’option `--include`.
**Important**  
Par défaut, le processus de création d’un bundle d’AMI génère un ensemble de fichiers compressés et chiffrés dans le répertoire `/tmp` qui représente le volume racine. Si vous n’avez pas suffisamment d’espace disque libre dans `/tmp` pour stocker le groupe, vous devez spécifier un emplacement différent pour qu’il soit stocké avec l’option `-d /path/to/bundle/storage`. Certaines instances disposent d’un stockage éphémère monté à `/mnt` ou `/media/ephemeral0` que vous pouvez utiliser, ou vous pouvez également créer, joindre et monter un nouveau volume Amazon EBS) afin de stocker l’offre groupé. Pour plus d’informations, consultez la section [Créer un volume Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html) dans le *Guide de l’utilisateur Amazon EBS*.

   1. Vous devez exécuter la commande **ec2-bundle-vol** en tant que racine. Pour la plupart des commandes, vous pouvez utiliser **sudo** afin d’obtenir des autorisations d’un niveau élevé, mais dans ce cas, vous devriez exécuter **sudo -E su** pour conserver vos variables d’environnement.

      ```
      [ec2-user ~]$ sudo -E su
      ```

      Notez que l’invite de commande de Bash vous identifie maintenant en tant qu’utilisateur racine, et que le signe dollar a été remplacé par un hashtag, ce qui indique que vous êtes dans un shell racine :

      ```
      [root ec2-user]#
      ```

   1. Pour créer le bundle AMI, exécutez la commande [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) comme suit :

      ```
      [root ec2-user]# ec2-bundle-vol -k /tmp/cert/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c /tmp/cert/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 123456789012 -r x86_64 -e /tmp/cert --partition gpt
      ```
**Note**  
Pour les régions de Chine (Pékin) et AWS GovCloud (ouest des États-Unis), utilisez le `--ec2cert` paramètre et spécifiez les certificats conformément aux [prérequis](#bundle-ami-prerequisites).

      La création de l’image peut prendre quelques minutes. Lorsque cette commande est exécutée, votre répertoire `/tmp` (ou un répertoire autre que celui par défaut) contient le bundle (`image.manifest.xml`, ainsi que plusieurs `image.part.` *xx* fichiers).

   1. Quittez le shell racine.

      ```
      [root ec2-user]# exit
      ```

1. (Facultatif) Pour ajouter davantage de volumes de stockage d’instance, modifiez les mappages de périphérique de stockage en mode bloc dans le fichier `image.manifest.xml` pour votre AMI. Pour plus d’informations, consultez [Bloquer les mappages d'appareils pour les volumes sur les instances Amazon EC2](block-device-mapping-concepts.md).

   1. Créez une sauvegarde de votre fichier `image.manifest.xml`.

      ```
      [ec2-user ~]$ sudo cp /tmp/image.manifest.xml /tmp/image.manifest.xml.bak
      ```

   1. Reformatez le fichier `image.manifest.xml` pour qu’il soit plus facile à lire et à modifier.

      ```
      [ec2-user ~]$ sudo xmllint --format /tmp/image.manifest.xml.bak > /tmp/image.manifest.xml
      ```

   1. Modifiez les mappages de périphérique de stockage en mode bloc dans `image.manifest.xml` avec un éditeur de texte. L’exemple ci-dessous montre une nouvelle entrée pour le volume de stockage d’instance `ephemeral1`. 
**Note**  
Pour obtenir la liste des fichiers exclus, consultez [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol). 

      ```
          <block_device_mapping>
            <mapping>
              <virtual>ami</virtual>
              <device>sda</device>
            </mapping>
            <mapping>
              <virtual>ephemeral0</virtual>
              <device>sdb</device>
            </mapping>
            <mapping>
              <virtual>ephemeral1</virtual>
              <device>sdc</device>
            </mapping>
            <mapping>
              <virtual>root</virtual>
              <device>/dev/sda1</device>
            </mapping>
          </block_device_mapping>
      ```

   1. Enregistrez le fichier `image.manifest.xml` et quittez votre éditeur de texte.

1. Pour charger votre bundle sur Amazon S3, exécutez la commande [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle) comme suit.

   ```
   [ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m /tmp/image.manifest.xml -a your_access_key_id -s your_secret_access_key
   ```
**Important**  
Pour inscrire votre AMI dans une région autre que US East (N. Virginia), vous devez spécifier à la fois la région cible avec l’option `--region` et un chemin de compartiment qui existe déjà dans la région cible ou un chemin de compartiment unique qui peut être créé dans la région cible.

1. (Facultatif) Une fois que le groupe est chargé sur Amazon S3, vous pouvez le supprimer du répertoire `/tmp` sur l’instance en utilisant la commande **rm** suivante :

   ```
   [ec2-user ~]$ sudo rm /tmp/image.manifest.xml /tmp/image.part.* /tmp/image
   ```
**Important**  
Si vous avez spécifié un chemin avec l’option `-d /path/to/bundle/storage` dans [Step 2](#step_with_bundle_path_amazon_linux), utilisez ce chemin à la place de `/tmp`.

1. Pour inscrire votre AMI, exécutez la commande [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) comme suit.

   ```
   [ec2-user ~]$ aws ec2 register-image --image-location amzn-s3-demo-bucket/bundle_folder/bundle_name/image.manifest.xml --name AMI_name --virtualization-type hvm
   ```
**Important**  
Si vous avez précédemment spécifié une région pour la commande [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle), spécifiez de nouveau cette région pour cette commande.

# Configurer les outils AMI Amazon EC2
<a name="set-up-ami-tools"></a>

Vous pouvez utiliser les outils AMI pour créer et gérer un système Linux basé sur Amazon S3. AMIs Pour utiliser ces outils, vous devez les installer sur votre instance Linux. Les outils AMI sont disponibles sous forme de fichiers RPM et .zip pour les distributions Linux ne prenant pas en charge RPM. 

**Pour installer les outils AMI à l’aide d’un fichier RPM**

1. Installez Ruby en utilisant le gestionnaire de package pour votre distribution de Linux, par exemple yum. Exemples :

   ```
   [ec2-user ~]$ sudo yum install -y ruby
   ```

1. Téléchargez le fichier RPM à l’aide d’un outil tel que wget ou curl. Exemples :

   ```
   [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.noarch.rpm
   ```

1. Vérifiez la signature du fichier RPM en utilisant la commande suivante :

   ```
   [ec2-user ~]$ rpm -K ec2-ami-tools.noarch.rpm
   ```

   La commande ci-dessus doit indiquer que le fichier SHA1 et les MD5 hachages sont. `OK.` Si la commande indique que les hachages le sont`NOT OK`, utilisez la commande suivante pour afficher l'en-tête SHA1 et MD5 les hachages du fichier :

   ```
   [ec2-user ~]$ rpm -Kv ec2-ami-tools.noarch.rpm
   ```

   Comparez ensuite l'en-tête SHA1 et les hachages de votre fichier avec MD5 les hachages vérifiés des outils AMI suivants pour confirmer l'authenticité du fichier :
   + En-tête SHA1 : a1f662d6f25f69871104e6a62187fa4df508f880
   + MD5: 9faff05258064e2f7909b66142de6782

   Si l'en-tête SHA1 et les MD5 hachages de votre fichier correspondent aux hachages vérifiés des outils AMI, passez à l'étape suivante.

1. Installez le fichier RPM à l’aide de la commande suivante:

   ```
   [ec2-user ~]$ sudo yum install ec2-ami-tools.noarch.rpm
   ```

1. Vérifiez l’installation de vos outils AMI avec la commande [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

   ```
   [ec2-user ~]$ ec2-ami-tools-version
   ```
**Note**  
Si vous recevez une erreur de chargement du type « impossible de charger ce fichier -- ec2/amitools/version (LoadError) », passez à l'étape suivante pour ajouter l'emplacement de l'installation de vos outils AMI à votre chemin. `RUBYLIB`

1. (Facultatif) Si vous avez reçu une erreur à l’étape précédente, ajoutez l’emplacement d’installation de vos outils AMI pour votre chemin d’accès `RUBYLIB`.

   1. Exécutez la commande suivante afin de déterminer les chemins à ajouter.

      ```
      [ec2-user ~]$ rpm -qil ec2-ami-tools | grep ec2/amitools/version
      /usr/lib/ruby/site_ruby/ec2/amitools/version.rb
      /usr/lib64/ruby/site_ruby/ec2/amitools/version.rb
      ```

      Dans l’exemple ci-dessus, le fichier manquant à partir de l’erreur de chargement précédente est situé aux emplacements `/usr/lib/ruby/site_ruby` et `/usr/lib64/ruby/site_ruby`.

   1. Ajoutez les emplacements à partir de l’étape précédente pour votre chemin d’accès. `RUBYLIB`

      ```
      [ec2-user ~]$ export RUBYLIB=$RUBYLIB:/usr/lib/ruby/site_ruby:/usr/lib64/ruby/site_ruby
      ```

   1. Vérifiez l’installation de vos outils AMI avec la commande [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

      ```
      [ec2-user ~]$ ec2-ami-tools-version
      ```

**Pour installer les outils AMI à l’aide du fichier .zip**

1. Installez Ruby et décompressez en utilisant le gestionnaire de package pour votre distribution de Linux, comme **apt-get**. Exemples :

   ```
   [ec2-user ~]$ sudo apt-get update -y && sudo apt-get install -y ruby unzip
   ```

1. Téléchargez le fichier .zip à l’aide d’un outil tel que wget ou curl. Exemples :

   ```
   [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip
   ```

1. Décompressez les fichiers dans un répertoire d’installation approprié, tel que `/usr/local/ec2`.

   ```
   [ec2-user ~]$ sudo mkdir -p /usr/local/ec2
   $ sudo unzip ec2-ami-tools.zip -d /usr/local/ec2
   ```

   Notez que le fichier .zip contient un dossier ec2-ami-tools-. *x* *x*. *x*, où*x*. *x*. *x*est le numéro de version des outils (par exemple,`ec2-ami-tools-1.5.7`).

1. Définissez la variable d’environnement `EC2_AMITOOL_HOME` sur le répertoire d’installation des outils. Exemples :

   ```
   [ec2-user ~]$ export EC2_AMITOOL_HOME=/usr/local/ec2/ec2-ami-tools-x.x.x
   ```

1. Ajoutez les outils à votre variable d’environnement `PATH`. Exemples :

   ```
   [ec2-user ~]$ export PATH=$EC2_AMITOOL_HOME/bin:$PATH
   ```

1. Vous pouvez vérifier l’installation de vos outils AMI avec la commande [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

   ```
   [ec2-user ~]$ ec2-ami-tools-version
   ```

## Gérer les certificats de signature
<a name="ami-tools-managing-certs"></a>

Certaines commandes dans les outils AMI nécessitent un certificat de signature (également appelé certificat X.509). Vous devez créer le certificat, puis le télécharger sur AWS. Par exemple, vous pouvez utiliser un outil tiers tel que OpenSSL pour créer le certificat.

**Pour créer un certificat de signature**

1. Installer et configurer OpenSSL.

1. Créez une clé privée à l’aide de la commande `openssl genrsa` et enregistrez la sortie dans un fichier `.pem`. Nous vous recommandons de créer une clé RSA 2048 bits ou 4096 bits.

   ```
   openssl genrsa 2048 > private-key.pem
   ```

1. Générez un certificat à l’aide de la commande `openssl req`.

   ```
   openssl req -new -x509 -nodes -sha256 -days 365 -key private-key.pem -outform PEM -out certificate.pem
   ```

Pour télécharger le certificat sur AWS, utilisez la [upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)commande.

```
aws iam upload-signing-certificate --user-name user-name --certificate-body file://path/to/certificate.pem
```

Pour répertorier les certificats d'un utilisateur, utilisez la [list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)commande :

```
aws iam list-signing-certificates --user-name user-name
```

Pour désactiver ou réactiver un certificat de signature pour un utilisateur, utilisez la [update-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/update-signing-certificate.html)commande. La commande suivante désactive le certificat :

```
aws iam update-signing-certificate --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE --status Inactive --user-name user-name
```

Pour supprimer un certificat, utilisez la [delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)commande suivante :

```
aws iam delete-signing-certificate --user-name user-name --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE
```

# Référence des outils Amazon EC2 AMI
<a name="ami-tools-commands"></a>

Vous pouvez utiliser les commandes des outils AMI pour créer et gérer un système Linux basé sur Amazon S3. AMIs Pour installer les outils, consultez [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md).

Pour plus d’informations sur vos clés d’accès, consultez la section [Gestion des clés d’accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) dans le *Guide de l’utilisateur IAM*.

**Topics**
+ [ec2- ami-tools-version](#ami-tools-version)
+ [ec2-bundle-image](#ami-bundle-image)
+ [ec2-bundle-vol](#ami-bundle-vol)
+ [ec2-delete-bundle](#ami-delete-bundle)
+ [ec2-download-bundle](#ami-download-bundle)
+ [ec2-migrate-manifest](#ami-migrate-manifest)
+ [ec2-unbundle](#ami-unbundle)
+ [ec2-upload-bundle](#ami-upload-bundle)
+ [Options courantes pour les outils AMI](#common-args-ami)

## ec2- ami-tools-version
<a name="ami-tools-version"></a>

### Description
<a name="ami-tools-version-description"></a>

Décrit la version des outils AMI.

### Syntaxe
<a name="ami-tools-version-request"></a>

**ec2-ami-tools-version**

### Output
<a name="ami-tools-version-output"></a>

Informations de version.

### Exemple
<a name="ami-tools-version-response"></a>

Cet exemple de commande affiche les informations de version des outils AMI que vous utilisez.

```
[ec2-user ~]$ ec2-ami-tools-version
1.5.2 20071010
```

## ec2-bundle-image
<a name="ami-bundle-image"></a>

### Description
<a name="bundle-image-description"></a>

Crée une AMI Linux prise en charge par Amazon S3 à partir d’une image du système d’exploitation créée dans un fichier de boucle.

### Syntaxe
<a name="bundle-image-request"></a>

****ec2-bundle-image** -c *path* -k *path* -u *account* -i *path* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [-p *prefix*]** 

### Options
<a name="bundle-image-parameters"></a>

`-c, --cert` *chemin*  
Fichier de certificat de clé publique RSA code PEM de l’utilisateur.  
Obligatoire : oui

`-k, --privatekey` *chemin*  
Chemin d’accès à un fichier de clé RSA codée PEM. Vous devrez également spécifier cette clé pour dissocier ce groupe, conservez-la dans un endroit sûr. Notez qu'il n'est pas nécessaire que la clé soit enregistrée sur votre AWS compte.  
Obligatoire : oui

`-u, --user ` *compte*  
L'identifiant du AWS compte de l'utilisateur, sans tirets.  
Obligatoire : oui

`-i, --image` *chemin*  
Chemin d’accès à l’image à grouper.  
Obligatoire : oui

`-d, --destination` *chemin*  
Répertoire dans lequel vous créez le groupe.  
Par défaut: `/tmp`  
Obligatoire : non

`--ec2cert` *chemin*  
Le chemin d'accès au certificat de clé publique Amazon EC2 X.509 utilisé pour chiffrer le manifeste d'image.  
Les régions `us-gov-west-1`et `cn-north-1` utilisent un certificat de clé publique par défaut. Le chemin d’accès à ce certificat doit être spécifié avec cette option. Le chemin d’accès au certificat varie selon la méthode d’installation des outils AMI. Pour Amazon Linux, les certificats se trouvent à l’adresse `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Si vous avez installé les outils AMI à partir du fichier RPM ou ZIP dans [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md), les certificats se trouvent à l’adresse `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obligatoire : uniquement pour les régions `us-gov-west-1` et `cn-north-1`.

`-r, --arch` *architecture*  
Architecture d’image. Si vous ne fournissez pas l’architecture dans la ligne de commande, vous serez invité à la saisir au début de la création du bundle.  
Valeurs valides : `i386` \$1 `x86_64`  
Obligatoire : non

`--productcodes` *code1,code2,...*  
Codes de produit à attacher à l’image au moment de l’inscription, séparé par des virgules.  
Obligatoire : non

`-B, --block-device-mapping` *mappage*  
Définit la façon dont les périphériques de stockage en mode bloc sont exposés à une instance de AMI si son type d’instance prend en charge le périphérique spécifié.  
Spécifiez une liste séparée par des virgules de paires clé-valeur, où chaque clé est un nom virtuel et chaque valeur le nom de périphérique correspondant. Les noms virtuels incluent les éléments suivants :  
+ `ami`— Périphérique du système de fichiers racine, tel qu’il est vu par l’instance
+ `root`— Périphérique du système de fichiers racine, tel qu’il est vu par le noyau
+ `swap`— Périphérique d’échange, tel qu’il est vu par l’instance
+ `ephemeralN`—Volume de stockage de la nième instance
Obligatoire : non

`-p, --prefix` *prefix*  
Préfixe du nom des fichiers AMI groupés.  
Par défaut : nom du fichier image. Par exemple, si le chemin d’accès de l’image est `/var/spool/my-image/version-2/debian.img`, le préfixe par défaut est `debian.img`.  
Obligatoire : non

`--kernel` *kernel\$1id*  
Obsolète. Utilisez [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) pour définir le noyau.  
Obligatoire : non

`--ramdisk` *ramdisk\$1id*  
Obsolète. Utilisez [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) pour définir le disque RAM le cas échéant.  
Obligatoire : non

### Output
<a name="bundle-image-output"></a>

Messages d’état décrivant les étapes et le statut du processus de groupement.

### Exemple
<a name="bundle-image-response"></a>

Cet exemple crée une AMI groupée à partir d’une image du système d’exploitation qui a été créée dans un fichier de boucle.

```
[ec2-user ~]$ ec2-bundle-image -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -i image.img -d bundled/ -r x86_64
Please specify a value for arch [i386]: 
Bundling image file...
Splitting bundled/image.gz.crypt...
Created image.part.00
Created image.part.01
Created image.part.02
Created image.part.03
Created image.part.04
Created image.part.05
Created image.part.06
Created image.part.07
Created image.part.08
Created image.part.09
Created image.part.10
Created image.part.11
Created image.part.12
Created image.part.13
Created image.part.14
Generating digests for each part...
Digests generated.
Creating bundle manifest...
ec2-bundle-image complete.
```

## ec2-bundle-vol
<a name="ami-bundle-vol"></a>

### Description
<a name="bundle-vol-description"></a>

Crée une AMI Linux prise en charge par Amazon S3 en compressant, effectuant le chiffrement et signant une copie du volume racine de l’instance.

Amazon EC2 tente d'hériter des codes produits, des paramètres du noyau, des paramètres du disque RAM et de bloquer les mappages de périphériques depuis l'instance.

Par défaut, la création d’un bundle exclut les fichiers qui peuvent contenir des informations sensibles. Ces fichiers incluent `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` et `*/.bash_history`. Pour inclure tous ces fichiers, utilisez l’option `--no-filter`. Pour inclure certains de ces fichiers, utilisez l’option `--include`.

Pour plus d’informations, consultez [Création d’une AMI basée sur Amazon S3](creating-an-ami-instance-store.md).

### Syntaxe
<a name="bundle-vol-request"></a>

****ec2-bundle-vol** -c *path* -k *path* -u *account* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [--all] [-e *directory1*,*directory2*,...] [-i *file1*,*file2*,...] [--no-filter] [-p *prefix*] [-s *size*] [--[no-]inherit] [-v *volume*] [-P *type*] [-S *script*] [--fstab *path*] [--generate-fstab] [--grub-config *path*]** 

### Options
<a name="bundle-vol-parameters"></a>

`-c, --cert` *chemin*  
Fichier de certificat de clé publique RSA code PEM de l’utilisateur.  
Obligatoire : oui

`-k, --privatekey ` *chemin*   
Chemin d’accès au fichier de clé RSA codé PEM de l’utilisateur.  
Obligatoire : oui

`-u, --user` *compte*  
L'identifiant du AWS compte de l'utilisateur, sans tirets.  
Obligatoire : oui

`-d, --destination` *destination*  
Répertoire dans lequel vous créez le groupe.  
Par défaut: `/tmp`  
Obligatoire : non

`--ec2cert` *chemin*  
Le chemin d'accès au certificat de clé publique Amazon EC2 X.509 utilisé pour chiffrer le manifeste d'image.  
Les régions `us-gov-west-1`et `cn-north-1` utilisent un certificat de clé publique par défaut. Le chemin d’accès à ce certificat doit être spécifié avec cette option. Le chemin d’accès au certificat varie selon la méthode d’installation des outils AMI. Pour Amazon Linux, les certificats se trouvent à l’adresse `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Si vous avez installé les outils AMI à partir du fichier RPM ou ZIP dans [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md), les certificats se trouvent à l’adresse `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obligatoire : uniquement pour les régions `us-gov-west-1` et `cn-north-1`.

`-r, --arch ` *architecture*  
Architecture de l’image. Si vous ne fournissez pas cette ligne de commande, vous serez invité à la saisir au début de la création du bundle.  
Valeurs valides : `i386` \$1 `x86_64`  
Obligatoire : non

`--productcodes` *code1,code2,...*  
Codes de produit à attacher à l’image au moment de l’inscription, séparé par des virgules.  
Obligatoire : non

`-B, --block-device-mapping` *mappage*  
Définit la façon dont les périphériques de stockage en mode bloc sont exposés à une instance de AMI si son type d’instance prend en charge le périphérique spécifié.  
Spécifiez une liste séparée par des virgules de paires clé-valeur, où chaque clé est un nom virtuel et chaque valeur le nom de périphérique correspondant. Les noms virtuels incluent les éléments suivants :  
+ `ami`— Périphérique du système de fichiers racine, tel qu’il est vu par l’instance
+ `root`— Périphérique du système de fichiers racine, tel qu’il est vu par le noyau
+ `swap`— Périphérique d’échange, tel qu’il est vu par l’instance
+ `ephemeralN`—Volume de stockage de la nième instance
Obligatoire : non

`-a, --all`  
Groupez tous les répertoires, y compris ceux contenus dans les systèmes de fichiers montés à distance.  
Obligatoire : non

`-e, --exclude ` *directory1,directory2,...*  
Liste des chemins absolus de répertoires et fichiers à exclure de l’opération de groupement. Ce paramètre remplace l’option `--all`. Lorsque la commande exclude est spécifié, les répertoires et sous-répertoires répertoriés avec le paramètre ne sont pas groupés avec le volume.  
Obligatoire : non

`-i, --include ` *file1,file2,...*  
Liste des fichiers à inclure dans l’opération de groupement. Les fichiers spécifiés seraient autrement exclus de l’ AMI car ils peuvent contenir des informations sensibles.  
Obligatoire : non

`--no-filter`  
Si ce paramètre est spécifié, nous n’excluons pas les fichiers de l’AMI, car ils peuvent contenir des informations sensibles.  
Obligatoire : non

`-p, --prefix ` *prefix*  
Préfixe du nom des fichiers AMI groupés.  
Par défaut: `image`  
Obligatoire : non

`-s, --size` *taille*  
Taille, en Mo (1024 \$1 1024 octets), du fichier image à créer. La taille maximale est 10 240 Mo.   
Par défaut: 10240  
Obligatoire : non

`--[no-]inherit`  
Indique si l’image doit hériter des métadonnées de l’instance (la valeur par défaut consiste à hériter). Le groupement échoue si vous activez `--inherit`, mais les métadonnées d’instance ne sont pas accessibles.  
Obligatoire : non

`-v, --volume ` *volume*  
Chemin d’accès absolu au volume monté à partir duquel créer le groupe.  
Par défaut : le répertoire racine (/)  
Obligatoire : non

`-P, --partition` *type*  
Indique si l’image de disque doit utiliser une table de partition. Si vous ne spécifiez pas de type de table de partition, la valeur par défaut est le type utilisé sur le périphérique de stockage en mode bloc parent du volume, le cas échéant. Dans le cas contraire, la valeur par défaut est `gpt`.  
Valeurs valides : `mbr` \$1 `gpt` \$1 `none`  
Obligatoire : non

`-S, --script` *script*  
Script de personnalisation à exécuter juste avant de procéder à la création du bundle. Le script doit attendre un seul argument, le point de montage du volume.  
Obligatoire : non

`--fstab` *chemin*  
Chemin d’accès au fichier fstab à grouper dans l’image. Si cela n'est pas spécifié, Amazon EC2 regroupe /etc/fstab.  
Obligatoire : non

`--generate-fstab`  
Regroupe le volume à l'aide d'un fichier fstab EC2 fourni par Amazon.  
Obligatoire : non

`--grub-config`  
Chemin d’accès à un autre fichier de configuration grub à grouper dans l’image. Par défaut, `ec2-bundle-vol` attend `/boot/grub/menu.lst` ou `/boot/grub/grub.conf` pour exister sur l’image clonée. Cette option vous permet de spécifier un chemin d’accès à un autre fichier de configuration grub, qui sera ensuite copié par-dessus les valeurs par défaut (le cas échéant).  
Obligatoire : non

`--kernel` *kernel\$1id*  
Obsolète. Utilisez [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) pour définir le noyau.  
Obligatoire : non

`--ramdisk`*ramdisk\$1id*  
Obsolète. Utilisez [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) pour définir le disque RAM le cas échéant.  
Obligatoire : non

### Output
<a name="bundle-vol-output"></a>

Messages d’état décrivant les étapes et le statut de la création du bundle.

### Exemple
<a name="bundle-vol-response"></a>

Cet exemple crée un groupe AMI par compression, chiffrement et signature d’un instantané du système de fichiers racine de l’ordinateur local. 

```
[ec2-user ~]$ ec2-bundle-vol -d /mnt -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -r x86_64
  Copying / into the image file /mnt/image...
  Excluding:
       sys
       dev/shm
       proc
       dev/pts
       proc/sys/fs/binfmt_misc
       dev
       media
       mnt
       proc
       sys
       tmp/image
       mnt/img-mnt
  1+0 records in
  1+0 records out
  mke2fs 1.38 (30-Jun-2005)
  warning: 256 blocks unused.

  Splitting /mnt/image.gz.crypt...
  Created image.part.00
  Created image.part.01
  Created image.part.02
  Created image.part.03
  ...
  Created image.part.22
  Created image.part.23
  Generating digests for each part...
  Digests generated.
  Creating bundle manifest...
  Bundle Volume complete.
```

## ec2-delete-bundle
<a name="ami-delete-bundle"></a>

### Description
<a name="delete-bundle-description"></a>

Supprime le groupe spécifié du stockage Amazon S3. Une fois que vous supprimez un groupe, vous ne pouvez pas lancer d’instances à partir de l’AMI correspondante.

### Syntaxe
<a name="delete-bundle-request"></a>

****ec2-delete-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] [--url *url*] [--region *region*] [--sigv *version*] [-m *path*] [-p *prefix*] [--clear] [--retry] [-y]** 

### Options
<a name="delete-bundle-parameters"></a>

`-b, --bucket `*bucket*  
Le nom du compartiment Amazon S3 contenant l’AMI groupée, suivi d’un préfixe de chemin facultatif séparé par des « / »  
Obligatoire : oui

`-a, --access-key` *access\$1key\$1id*  
L'ID de la clé d' AWS accès.  
Obligatoire : oui

`-s, --secret-key` *secret\$1access\$1key*  
La clé d'accès AWS secrète.  
Obligatoire : oui

`-t, --delegation-token` *jeton*  
Le jeton de délégation à transmettre à la AWS demande. Pour plus d’informations, consultez la section [Informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dans le *Guide de l’utilisateur IAM*.  
Requis : uniquement lorsque vous utilisez des informations d’identification de sécurité temporaires.  
Par défaut : valeur de la variable d’environnement `AWS_DELEGATION_TOKEN` (si elle est définie).

`--region`*region*  
Région à utiliser dans la signature de la demande.  
Valeur par défaut : `us-east-1`  
Requis : requis si vous utilisez Signature Version 4

`--sigv`*Version*  
Version de signature à utiliser lors de la signature de la demande.  
Valeurs valides : `2` \$1 `4`  
Par défaut: `4`  
Obligatoire : non

`-m, --manifest`*chemin*  
Chemin d’accès au fichier manifeste.  
Requis : vous devez spécifier `--prefix` ou `--manifest`.

`-p, --prefix` *prefix*  
Préfixe du nom de fichier AMI groupé. Fournissez le préfixe entier. Par exemple, si le préfixe est image.img, utilisez `-p image.img`, non `-p image`.  
Requis : vous devez spécifier `--prefix` ou `--manifest`.

`--clear`  
Supprime le compartiment Amazon S3 s’il est vide après la suppression du groupe spécifié.  
Obligatoire : non

`--retry`  
Refait automatiquement des tentatives sur toutes les erreurs Amazon S3, jusqu’à cinq fois par opération.  
Obligatoire : non

`-y, --yes`  
Suppose automatiquement que la réponse à toutes les invites est oui.  
Obligatoire : non

### Output
<a name="delete-bundle-output"></a>

Amazon EC2 affiche des messages d'état indiquant les étapes et le statut du processus de suppression.

### Exemple
<a name="delete-bundle-response"></a>

Cet exemple supprime un groupe de Amazon S3.

```
[ec2-user ~]$ ec2-delete-bundle -b amzn-s3-demo-bucket -a your_access_key_id -s your_secret_access_key
Deleting files:
amzn-s3-demo-bucket/image.manifest.xml
amzn-s3-demo-bucket/image.part.00
amzn-s3-demo-bucket/image.part.01
amzn-s3-demo-bucket/image.part.02
amzn-s3-demo-bucket/image.part.03
amzn-s3-demo-bucket/image.part.04
amzn-s3-demo-bucket/image.part.05
amzn-s3-demo-bucket/image.part.06
Continue? [y/n]
y
Deleted amzn-s3-demo-bucket/image.manifest.xml
Deleted amzn-s3-demo-bucket/image.part.00
Deleted amzn-s3-demo-bucket/image.part.01
Deleted amzn-s3-demo-bucket/image.part.02
Deleted amzn-s3-demo-bucket/image.part.03
Deleted amzn-s3-demo-bucket/image.part.04
Deleted amzn-s3-demo-bucket/image.part.05
Deleted amzn-s3-demo-bucket/image.part.06
ec2-delete-bundle complete.
```

## ec2-download-bundle
<a name="ami-download-bundle"></a>

### Description
<a name="download-bundle-description"></a>

Télécharge le système Linux soutenu par Amazon S3 spécifié AMIs depuis le stockage Amazon S3.

### Syntaxe
<a name="download-bundle-request"></a>

****ec2-download-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* -k *path* [--url *url*] [--region *region*] [--sigv *version*] [-m *file*] [-p *prefix*] [-d *directory*] [--retry]** 

### Options
<a name="download-bundle-parameters"></a>

`-b, --bucket` *compartiment*  
Nom du compartiment Amazon S3 où se trouve le groupe, suivi d’un préfixe de chemin séparé par des « / »-facultatif.  
Obligatoire : oui

`-a, --access-key` *access\$1key\$1id*  
L'ID de la clé d' AWS accès.  
Obligatoire : oui

`-s, --secret-key` *secret\$1access\$1key*  
La clé d'accès AWS secrète.  
Obligatoire : oui

`-k, --privatekey` *chemin*  
Clé privée utilisée pour déchiffrer le manifeste.  
Obligatoire : oui

`--url` *url*  
URL du service Amazon S3.  
Par défaut: `https://s3.amazonaws.com/`  
Obligatoire : non

`--region` *région*  
Région à utiliser dans la signature de la demande.  
Valeur par défaut : `us-east-1`  
Requis : requis si vous utilisez Signature Version 4

`--sigv` *version*  
Version de signature à utiliser lors de la signature de la demande.  
Valeurs valides : `2` \$1 `4`  
Par défaut: `4`  
Obligatoire : non

`-m, --manifest` *file*  
Nom du fichier manifeste (sans le chemin d’accès). Nous vous recommandons de spécifier soit le manifeste (`-m`) soit un préfixe (`-p`).  
Obligatoire : non

`-p, --prefix ` *prefix*  
Préfixe du nom des fichiers AMI groupés.  
Par défaut: `image`  
Obligatoire : non

`-d, --directory ` *directory*  
Répertoire dans lequel le groupe téléchargé est enregistré. Le répertoire doit exister.  
Par défaut : le répertoire de travail actuel.  
Obligatoire : non

 `--retry`   
Refait automatiquement des tentatives sur toutes les erreurs Amazon S3, jusqu’à cinq fois par opération.  
Obligatoire : non

### Output
<a name="download-bundle-output"></a>

Les messages d’état indiquant les différentes étapes du processus de téléchargement s’affichent.

### Exemple
<a name="download-bundle-response"></a>

Cet exemple crée le répertoire `bundled` (à l’aide de la commande Linux **mkdir**) et télécharge le groupe depuis le compartiment Amazon S3 `amzn-s3-demo-bucket`.

```
[ec2-user ~]$ mkdir bundled
[ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d mybundle
Downloading manifest image.manifest.xml from amzn-s3-demo-bucket to mybundle/image.manifest.xml ...
Downloading part image.part.00 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.00 ...
Downloaded image.part.00 from amzn-s3-demo-bucket
Downloading part image.part.01 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.01 ...
Downloaded image.part.01 from amzn-s3-demo-bucket
Downloading part image.part.02 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.02 ...
Downloaded image.part.02 from amzn-s3-demo-bucket
Downloading part image.part.03 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.03 ...
Downloaded image.part.03 from amzn-s3-demo-bucket
Downloading part image.part.04 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.04 ...
Downloaded image.part.04 from amzn-s3-demo-bucket
Downloading part image.part.05 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.05 ...
Downloaded image.part.05 from amzn-s3-demo-bucket
Downloading part image.part.06 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.06 ...
Downloaded image.part.06 from amzn-s3-demo-bucket
```

## ec2-migrate-manifest
<a name="ami-migrate-manifest"></a>

### Description
<a name="migrate-manifest-description"></a>

Modifie une AMI Linux basée sur Amazon S3 (par exemple, son certificat, son noyau et son disque RAM) de sorte qu’elle prenne en charge une autre région.

### Syntaxe
<a name="migrate-manifest-request"></a>

****ec2-migrate-manifest** -c *path* -k *path* -m *path* \$1(-a *access\$1key\$1id* -s *secret\$1access\$1key* --region *region*) \$1 (--no-mapping)\$1 [--ec2cert *ec2\$1cert\$1path*] [--kernel *kernel-id*] [--ramdisk *ramdisk\$1id*]** 

### Options
<a name="migrate-manifest-parameters"></a>

`-c, --cert` *chemin*  
Fichier de certificat de clé publique RSA code PEM de l’utilisateur.  
Obligatoire : oui

`-k, --privatekey` *chemin*  
Chemin d’accès au fichier de clé RSA codé PEM de l’utilisateur.  
Obligatoire : oui

`--manifest` *chemin*  
Chemin d’accès au fichier manifeste.  
Obligatoire : oui

`-a, --access-key` *access\$1key\$1id*  
L'ID de la clé d' AWS accès.  
Requis : requis si vous utilisez le mappage automatique.

`-s, --secret-key ` *secret\$1access\$1key*  
La clé d'accès AWS secrète.  
Requis : requis si vous utilisez le mappage automatique.

`--region` *région*  
Région à rechercher dans le fichier de mappage.  
Requis : requis si vous utilisez le mappage automatique.

`--no-mapping`  
Désactive le mappage automatique des noyaux et disques RAM.  
 Pendant la migration, Amazon EC2 remplace le noyau et le disque RAM du fichier manifeste par un noyau et un disque RAM conçus pour la région de destination. Si le paramètre `--no-mapping` n’est pas fourni, `ec2-migrate-bundle` peut utiliser les opérations `DescribeRegions` et `DescribeImages` pour effectuer les mappages automatiques.   
Requis : requis si vous ne fournissez pas les options `-a`, `-s` et `--region` utilisées pour le mappage automatique.

`--ec2cert` *chemin*  
Le chemin d'accès au certificat de clé publique Amazon EC2 X.509 utilisé pour chiffrer le manifeste d'image.  
Les régions `us-gov-west-1`et `cn-north-1` utilisent un certificat de clé publique par défaut. Le chemin d’accès à ce certificat doit être spécifié avec cette option. Le chemin d’accès au certificat varie selon la méthode d’installation des outils AMI. Pour Amazon Linux, les certificats se trouvent à l'adresse `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Si vous avez installé les outils AMI à partir du fichier ZIP dans [Configurer les outils AMI Amazon EC2](set-up-ami-tools.md), les certificats se trouvent à l’adresse `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obligatoire : uniquement pour les régions `us-gov-west-1` et `cn-north-1`.

`--kernel` *kernel\$1id*  
ID du noyau à sélectionner.  
Nous vous recommandons d’utiliser PV-GRUB au lieu des noyaux et des disques RAM. Pour plus d’informations, consultez la section [Noyaux fournis par l’utilisateur](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) dans le *Guide de l’utilisateur Amazon Linux 2*.
Obligatoire : non

`--ramdisk` *ramdisk\$1id*  
ID du disque RAM à sélectionner.  
Nous vous recommandons d’utiliser PV-GRUB au lieu des noyaux et des disques RAM. Pour plus d’informations, consultez la section [Noyaux fournis par l’utilisateur](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) dans le *Guide de l’utilisateur Amazon Linux 2*.
Obligatoire : non

### Output
<a name="migrate-manifest-output"></a>

Messages d’état décrivant les étapes et le statut du processus de groupement.

### Exemple
<a name="migrate-manifest-response"></a>

Cet exemple copie l’AMI spécifiée dans le fichier manifeste `my-ami.manifest.xml` depuis les États-Unis vers l’Union européenne.

```
[ec2-user ~]$ ec2-migrate-manifest --manifest my-ami.manifest.xml --cert cert-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --privatekey pk-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --region eu-west-1 

Backing up manifest...
Successfully migrated my-ami.manifest.xml It is now suitable for use in eu-west-1.
```

## ec2-unbundle
<a name="ami-unbundle"></a>

### Description
<a name="unbundle-description"></a>

Recrée le groupe à partir d’une AMI Linux basée sur Amazon S3.

### Syntaxe
<a name="unbundle-request"></a>

****ec2-unbundle** -k *path* -m *path* [-s *source\$1directory*] [-d *destination\$1directory*]** 

### Options
<a name="unbundle-parameters"></a>

`-k, --privatekey` *chemin*  
Chemin d’accès à votre fichier de clé RSA codée PEM.  
Obligatoire : oui

`-m, --manifest` *chemin*  
Chemin d’accès au fichier manifeste.  
Obligatoire : oui

`-s, --source` *source\$1directory*  
Répertoire contenant le groupe.  
Par défaut : le répertoire actuel.  
Obligatoire : non

`-d, --destination` *destination\$1directory*  
Répertoire dans lequel dégrouper l’AMI. Le répertoire de destination doit exister.   
Par défaut : le répertoire actuel.  
Obligatoire : non

### Exemple
<a name="unbundle-response"></a>

Cet exemple Linux et UNIX dégroupe l’AMI spécifiée dans le fichier `image.manifest.xml`.

```
[ec2-user ~]$ mkdir unbundled
$ ec2-unbundle -m mybundle/image.manifest.xml -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -s mybundle -d unbundled
$ ls -l unbundled
total 1025008
-rw-r--r-- 1 root root 1048578048 Aug 25 23:46 image.img
```

### Output
<a name="unbundle-output"></a>

Les messages d’état indiquant les différentes étapes du processus de dégroupement s’affichent.

## ec2-upload-bundle
<a name="ami-upload-bundle"></a>

### Description
<a name="upload-bundle-description"></a>

Télécharge le bundle pour une AMI Linux basée sur Amazon S3 sur Amazon S3 et définit les listes de contrôle d'accès appropriées (ACLs) sur les objets chargés. Pour de plus amples informations, veuillez consulter [Création d’une AMI basée sur Amazon S3](creating-an-ami-instance-store.md).

**Note**  
Pour télécharger des objets dans un compartiment S3 pour votre AMI Linux basée sur Amazon S3, vous ACLs devez activer le compartiment. Dans le cas contraire, Amazon ne EC2 sera pas en mesure ACLs de définir les objets à télécharger. Si votre compartiment de destination utilise le paramètre imposé par le propriétaire du compartiment pour la propriété des objets S3, cela ne fonctionnera pas car ils ACLs sont désactivés. Pour plus d'informations, consultez les [sections Contrôle de la propriété des objets et désactivation ACLs de votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).

### Syntaxe
<a name="upload-bundle-request"></a>

****ec2-upload-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] -m *path* [--url *url*] [--region *region*] [--sigv *version*] [--acl *acl*] [-d *directory*] [--part *part*] [--retry] [--skipmanifest]** 

### Options
<a name="upload-bundle-parameters"></a>

`-b, --bucket` *compartiment*  
Nom du compartiment Amazon S3 dans lequel stocker le groupe, suivi d’un préfixe de chemin séparé par des « / » facultatif. Si le compartiment n’existe pas, il est créé si le nom de compartiment est disponible. En outre, si le bucket n'existe pas et que la version des outils AMI est 1.5.18 ou ultérieure, cette commande définit le ACLs bucket.  
Obligatoire : oui

`-a, --access-key` *access\$1key\$1id*  
L'identifiant de votre clé d' AWS accès.  
Obligatoire : oui

`-s, --secret-key` *secret\$1access\$1key*  
Votre clé d'accès AWS secrète.  
Obligatoire : oui

`-t, --delegation-token` *jeton*  
Le jeton de délégation à transmettre à la AWS demande. Pour plus d’informations, consultez la section [Informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dans le *Guide de l’utilisateur IAM*.  
Requis : uniquement lorsque vous utilisez des informations d’identification de sécurité temporaires.  
Par défaut : valeur de la variable d’environnement `AWS_DELEGATION_TOKEN` (si elle est définie).

`-m, --manifest` *chemin*  
Chemin d’accès au fichier manifeste. Le fichier manifeste est créé pendant la création d’un bundle ; il est disponible dans le répertoire contenant le groupe.  
Obligatoire : oui

`--url` *url*  
Obsolète. Utilisez plutôt l’option `--region`, sauf si votre compartiment est limité à l’emplacement `EU` (et pas `eu-west-1`). L’indicateur `--location` est le seul moyen de cibler cette restriction d’emplacement spécifique.  
URL du service de point de terminaison Amazon S3.  
Par défaut: `https://s3.amazonaws.com/`  
Obligatoire : non

`--region` *région*  
Région à utiliser dans la signature de la demande pour le compartiment de destination S3.  
+ Si le compartiment n’existe pas et que vous ne spécifiez pas une région, l’outil crée le compartiment sans contrainte d’emplacement (dans `us-east-1`).
+ Si le compartiment n’existe pas et que vous spécifiez une région, l’outil crée le compartiment dans la région spécifiée.
+ Si le compartiment existe et que vous ne spécifiez pas une région, l’outil utilise emplacement du compartiment.
+ Si le compartiment existe et que vous spécifiez `us-east-1` comme région, l’outil utilise l’emplacement du compartiment sans aucun message d’erreur, tous les fichiers correspondants existants sont écrasés.
+ Si le compartiment existe et que vous spécifiez une région (autre que `us-east-1`) qui ne correspond pas à l’emplacement du compartiment, l’outil se termine avec une erreur.
Si votre compartiment est limité à l’emplacement `EU` (et pas `eu-west-1`), utilisez plutôt l’indicateur `--location`. L’indicateur `--location` est le seul moyen de cibler cette restriction d’emplacement spécifique.  
Valeur par défaut : `us-east-1`  
Requis : requis si vous utilisez Signature Version 4

`--sigv` *version*  
Version de signature à utiliser lors de la signature de la demande.  
Valeurs valides : `2` \$1 `4`  
Par défaut: `4`  
Obligatoire : non

`--acl` *acl*  
Stratégie de liste de contrôle des accès de l’image groupée.  
Valeurs valides : `public-read` \$1 `aws-exec-read`  
Par défaut: `aws-exec-read`  
Obligatoire : non

`-d, --directory` *directory*  
Répertoire contenant les parties de l’AMI groupée.  
Par défaut : le répertoire contenant le fichier manifeste (cf. l’option `-m`).  
Obligatoire : non

`--part` *part*  
Commence le chargement de la partie spécifiée et de toutes les parties suivantes. Par exemple, `--part 04`.  
Obligatoire : non

`--retry`  
Refait automatiquement des tentatives sur toutes les erreurs Amazon S3, jusqu’à cinq fois par opération.  
Obligatoire : non

`--skipmanifest`  
Ne charge pas le fichier manifeste.  
Obligatoire : non

`--location` *location*  
Obsolète. Utilisez plutôt l’option `--region`, sauf si votre compartiment est limité à l’emplacement `EU` (et pas `eu-west-1`). L’indicateur `--location` est le seul moyen de cibler cette restriction d’emplacement spécifique.  
Contrainte d’emplacement du compartiment Amazon S3 de destination. Si le compartiment existe et que vous spécifiez un emplacement qui ne correspond pas à l’emplacement du compartiment, l’outil se termine avec une erreur. Si le compartiment existe et que vous ne spécifiez pas d’emplacement, l’outil utilise emplacement du compartiment. Si le compartiment n’existe pas et que vous spécifiez un emplacement, l’outil crée le compartiment dans l’emplacement spécifié. Si le compartiment n’existe pas et que vous ne spécifiez pas d’emplacement, l’outil crée le compartiment sans contrainte d’emplacement (dans `us-east-1`).   
Par défaut : si `--region` est spécifié, l’emplacement est défini sur cette région spécifiée. Si `--region`n’est pas spécifié, l’emplacement par défaut est `us-east-1`.  
Obligatoire : non

### Output
<a name="upload-bundle-output"></a>

Amazon EC2 affiche des messages d'état indiquant les étapes et le statut du processus de téléchargement.

### Exemple
<a name="upload-bundle-response"></a>

Cet exemple télécharge le groupe spécifié par le fichier manifeste `image.manifest.xml`.

```
[ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key
Creating bucket...
Uploading bundled image parts to the S3 bucket amzn-s3-demo-bucket ...
Uploaded image.part.00
Uploaded image.part.01
Uploaded image.part.02
Uploaded image.part.03
Uploaded image.part.04
Uploaded image.part.05
Uploaded image.part.06
Uploaded image.part.07
Uploaded image.part.08
Uploaded image.part.09
Uploaded image.part.10
Uploaded image.part.11
Uploaded image.part.12
Uploaded image.part.13
Uploaded image.part.14
Uploading manifest ...
Uploaded manifest.
Bundle upload completed.
```

## Options courantes pour les outils AMI
<a name="common-args-ami"></a>

La plupart des outils AMI acceptent les paramètres facultatifs suivants.

`--help, -h`  
Affiche le message d’aide.

`--version`  
Affiche la version et l’avis de droit d’auteur.

`--manual`  
Affiche l’entrée manuelle.

`--batch`  
S’exécute en mode de traitement par lots et supprime les invites interactives.

`--debug`  
Affiche les informations qui peuvent être utiles pour la résolution de problèmes.

# Conversion de votre AMI basée sur Amazon S3 en AMI basée sur Amazon EBS
<a name="Using_ConvertingS3toEBS"></a>

Vous pouvez convertir une image AMI Linux basée sur Amazon S3 que vous possédez en une image AMI Linux basée sur Amazon EBS. 

**Important**  
Vous ne pouvez pas convertir une AMI dont vous n’êtes pas le propriétaire.

**Pour convertir une AMI basée sur Amazon S3 en une AMI basée sur Amazon EBS**

1. Lancez une instance Amazon Linux à partir d’une AMI basée sur des volumes Amazon EBS. Pour de plus amples informations, veuillez consulter [Lancez une instance EC2 à l’aide de l’assistant de lancement d’instance de la console](ec2-launch-instance-wizard.md). Les outils AWS CLI et AMI sont préinstallés sur les instances Amazon Linux.

1. Chargez la clé privée X.509 que vous avez utilisée pour grouper votre AMI basée sur Amazon S3 vers votre instance. Nous utilisons cette clé pour garantir que seuls vous et Amazon EC2 peuvent accéder à votre AMI.

   1. Créez un répertoire temporaire sur votre instance pour votre clé privée X.509 en suivant ce qui suit :

      ```
      [ec2-user ~]$ mkdir /tmp/cert
      ```

   1. Copiez votre clé privée X.509 depuis votre ordinateur vers le répertoire `/tmp/cert` de votre instance en utilisant un outil de copie sécurisé comme [scp](linux-file-transfer-scp.md). Le *my-private-key* paramètre de la commande suivante est la clé privée que vous utilisez pour vous connecter à votre instance via SSH. Par exemple :

      ```
      you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
      pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  717     0.7KB/s   00:00
      ```

1. Configurez vos variables d’environnement pour utiliser l’ AWS CLI. Pour plus d’informations, consultez la section [Variables d’environnement](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).

   1. (Recommandé) Définissez des variables d'environnement pour votre clé AWS d'accès, votre clé secrète et votre jeton de session.

      ```
      [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
      [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
      [ec2-user ~]$ export AWS_SESSION_TOKEN=your_session_token
      ```

   1. Définissez des variables d'environnement pour votre clé AWS d'accès et votre clé secrète.

      ```
      [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
      [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
      ```

1. Préparer un volume Amazon Elastic Block Store (Amazon EBS) pour votre nouvelle AMI.

   1. Créez un volume EBS vide dans la même zone de disponibilité que votre instance à l’aide de la commande [create-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-volume.html). Notez l’ID du volume dans la sortie de la commande.
**Important**  
 Ce volume EBS doit avoir la même taille ou une taille plus importante que le volume racine de stockage d’instance original.

      ```
      aws ec2 create-volume \
          --size 10 \
          --region us-west-2 \
          --availability-zone us-west-2b
      ```

   1. Attachez le volume à votre instance basée sur Amazon EBS en utilisant la commande [attach-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-volume.html).

      ```
      aws ec2 attach-volume \
          --volume-id vol-01234567890abcdef \
          --instance-id i-1234567890abcdef0 \
          --region us-west-2
      ```

1. Créez un dossier pour votre groupe.

   ```
   [ec2-user ~]$ mkdir /tmp/bundle
   ```

1. Téléchargez le groupe pour votre AMI basée sur le stockage d’instance sur `/tmp/bundle` en utilisant la commande [ec2-download-bundle](ami-tools-commands.md#ami-download-bundle).

   ```
   [ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m image.manifest.xml -a $AWS_ACCESS_KEY_ID -s $AWS_SECRET_ACCESS_KEY --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d /tmp/bundle
   ```

1. Reconstituez le fichier image à partir du groupe en utilisant la commande [ec2-unbundle](ami-tools-commands.md#ami-unbundle).

   1. Déplacez les répertoires vers le dossier du groupe.

      ```
      [ec2-user ~]$ cd /tmp/bundle/
      ```

   1. Exécutez la commande [ec2-unbundle](ami-tools-commands.md#ami-unbundle).

      ```
      [ec2-user bundle]$ ec2-unbundle -m image.manifest.xml --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem
      ```

1. Copiez les fichiers depuis l’image dégroupée vers le nouveau volume EBS.

   ```
   [ec2-user bundle]$ sudo dd if=/tmp/bundle/image of=/dev/sdb bs=1M
   ```

1. Examinez le volume pour voir si de nouvelles partitions ont été dégroupées.

   ```
   [ec2-user bundle]$ sudo partprobe /dev/sdb1
   ```

1. Affichez les périphériques de stockage en mode bloc pour trouver le nom du périphérique à monter.

   ```
   [ec2-user bundle]$ lsblk
   NAME         MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
   /dev/sda    202:0    0   8G  0 disk
   └─/dev/sda1 202:1    0   8G  0 part /
   /dev/sdb    202:80   0  10G  0 disk
   └─/dev/sdb1 202:81   0  10G  0 part
   ```

   Dans cet exemple, la partition à monter est `/dev/sdb1`, mais le nom de votre périphérique sera probablement différent. Si votre volume n’est pas partitionné, l’appareil à monter sera similaire à `/dev/sdb` (sans chiffre de fin de partition de périphérique).

1. Créez un point de montage pour le nouveau volume EBS et montez le volume.

   ```
   [ec2-user bundle]$ sudo mkdir /mnt/ebs
   [ec2-user bundle]$ sudo mount /dev/sdb1 /mnt/ebs
   ```

1. Ouvrez le fichier `/etc/fstab` sur le volume EBS avec votre éditeur de texte préféré (comme **vim** ou **nano**) et supprimez toutes les entrées pour les volumes (éphémères) de stockage d’instance. Étant donné que le volume EBS est monté sur `/mnt/ebs`, le fichier `fstab` se situe à l’emplacement `/mnt/ebs/etc/fstab`.

   ```
   [ec2-user bundle]$ sudo nano /mnt/ebs/etc/fstab
   #
   LABEL=/     /           ext4    defaults,noatime  1   1
   tmpfs       /dev/shm    tmpfs   defaults        0   0
   devpts      /dev/pts    devpts  gid=5,mode=620  0   0
   sysfs       /sys        sysfs   defaults        0   0
   proc        /proc       proc    defaults        0   0
   /dev/sdb        /media/ephemeral0       auto    defaults,comment=cloudconfig    0       2
   ```

   Dans cet exemple, la dernière ligne devrait être supprimée.

1. Démontez le volume et détachez-le de l’instance.

   ```
   [ec2-user bundle]$ sudo umount /mnt/ebs
   [ec2-user bundle]$ aws ec2 detach-volume --volume-id vol-01234567890abcdef --region us-west-2
   ```

1. Créez une AMI à partir du nouveau volume EBS comme suit.

   1. Créez un instantané du nouveau volume EBS.

      ```
      [ec2-user bundle]$ aws ec2 create-snapshot --region us-west-2 --description "your_snapshot_description" --volume-id vol-01234567890abcdef
      ```

   1. Vérifiez si votre instantané est terminé.

      ```
      [ec2-user bundle]$ aws ec2 describe-snapshots --region us-west-2 --snapshot-id snap-0abcdef1234567890
      ```

   1. Identifiez l’architecture de processeur, le type de virtualisation et l’image noyau (`aki`) utilisée sur l’AMI originale avec la commande **describe-images**. Pour cette étape, vous avez besoin de l’ID de l’AMI basée sur Amazon S3 d’origine.

      ```
      [ec2-user bundle]$ aws ec2 describe-images --region us-west-2 --image-id ami-0abcdef1234567890 --output text
      IMAGES	x86_64	amazon/amzn-ami-pv-2013.09.2.x86_64-s3	ami-8ef297be	amazon	available	public	machine	aki-fc8f11cc	instance-store	paravirtual	xen
      ```

      Dans cet exemple, l’architecture est `x86_64` et l’ID de l’image noyau est `aki-fc8f11cc`. Utilisez ces valeurs dans l’étape suivante. Si le résultat de la commande ci-dessus liste aussi un ID `ari`, prenez également note de cela.

   1. Enregistrez votre nouvelle AMI avec l’ID d’instantané de votre nouveau volume EBS et les valeurs de l’étape précédente. Si la sortie de la commande précédente a répertorié un ID `ari`, incluez-le dans la commande suivante avec `--ramdisk-id ari_id`.

      ```
      [ec2-user bundle]$ aws ec2 register-image --region us-west-2 --name your_new_ami_name --block-device-mappings DeviceName=device-name,Ebs={SnapshotId=snap-0abcdef1234567890} --virtualization-type paravirtual --architecture x86_64 --kernel-id aki-fc8f11cc --root-device-name device-name
      ```

1. (Facultatif) Après avoir vérifié que vous pouvez lancer une instance à partir de votre nouvelle AMI, vous pouvez supprimer le volume EBS que vous avez créé pour cette procédure.

   ```
   aws ec2 delete-volume --volume-id vol-01234567890abcdef
   ```

# Créer une AMI Amazon EC2 à l’aide de Windows Sysprep
<a name="ami-create-win-sysprep"></a>

L’outil de préparation du système Microsoft (Windows Sysprep) crée une version généralisée du système d’exploitation, la configuration du système spécifique à l’instance étant supprimée avant la capture d’une nouvelle image.

Nous vous recommandons d'utiliser [EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Builder pour automatiser la création, la gestion et le déploiement d'images de serveur personnalisées, sécurisées up-to-date et « dorées » préinstallées et préconfigurées avec des logiciels et des paramètres.

Vous pouvez également utiliser Windows Sysprep pour créer une AMI standardisée à l'aide des agents de lancement Windows : Launch v2, EC2 Launch et EC2 Config. EC2

**Important**  
N’utilisez pas Windows Sysprep pour créer une sauvegarde d’instance. Windows Sysprep supprime les informations spécifiques au système ; la suppression de ces informations peut avoir des conséquences inattendues sur la sauvegarde d’une instance.

Pour résoudre les problèmes liés à Windows Sysprep, consultez [Résolution des problèmes de Sysprep avec les instances Windows d'Amazon EC2](sysprep-troubleshoot.md).

**Topics**
+ [Phases de Windows Sysprep](#sysprep-phases)
+ [Avant de commencer](#sysprep-begin)
+ [Utiliser Windows Sysprep avec Launch v2 EC2](sysprep-using-ec2launchv2.md)
+ [Utiliser Windows Sysprep avec Launch EC2](ec2launch-sysprep.md)
+ [Utiliser Windows Sysprep avec Config EC2](sysprep-using.md)

## Phases de Windows Sysprep
<a name="sysprep-phases"></a>

Windows Sysprep s’exécute selon les phases suivantes :
+ **Généraliser** : l’outil Sysprep supprime les informations et les configurations spécifiques à l’image. Par exemple, Windows Sysprep supprime l’identifiant de sécurité (SID), le nom de l’ordinateur, les journaux d’événements et certains pilotes, pour n’en citer que quelques-uns. Une fois cette phase terminée, le système d’exploitation est prêt à créer une AMI.
**Note**  
Lorsque vous exécutez Windows Sysprep avec les agents de lancement de Windows, le système empêche les pilotes d’être supprimés car `PersistAllDeviceInstalls` est défini par défaut sur « true » (vrai).
+ **Specialize** : la fonctionnalité Plug and Play analyse l’ordinateur et installe les pilotes de tous les périphériques détectés. L’outil Sysprep génère les exigences du système d’exploitation, comme le nom de l’ordinateur et le SID. Vous pouvez éventuellement exécuter des commandes dans cette phase.
+ **Out-of-Box Expérience (OOBE)** : le système exécute une version abrégée du programme d'installation de Windows et vous demande de saisir des informations telles que la langue du système, le fuseau horaire et l'organisation enregistrée. Lorsque vous exécutez Windows Sysprep à l’aide d’agents de lancement de Windows, le fichier de réponse automatise cette phase.

## Avant de commencer
<a name="sysprep-begin"></a>
+ Avant d’exécuter Windows Sysprep, nous vous recommandons de supprimer tous les comptes d’utilisateurs locaux et tous les profils de comptes autres qu’un compte administrateur unique sous lequel Windows Sysprep sera exécuté. Si vous exécutez Windows Sysprep avec des comptes et des profils supplémentaires, un comportement inattendu peut en résulter, y compris la perte de données de profil ou l’échec de Windows Sysprep.
+ En savoir plus sur [la présentation de Sysprep](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--system-preparation--overview).
+ Découvrez [la prise en charge par Sysprep des rôles de serveur](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep-support-for-server-roles).

# Création d'une AMI à l'aide de Windows Sysprep avec Launch v2 EC2
<a name="sysprep-using-ec2launchv2"></a>

Lorsque vous créez une image à partir d'une instance sur laquelle l'agent EC2 Launch v2 est installé, EC2 Launch v2 exécute des tâches spécifiques au fur et à mesure de la préparation de l'image. Cela implique notamment l’utilisation de Windows Sysprep. Pour de plus amples informations, veuillez consulter [Phases de Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

**Topics**
+ [Actions Windows Sysprep](#sysprep-actions-ec2launchv2)
+ [Étapes post-actions Sysprep](#sysprep-post-ec2launchv2)
+ [Exécutez Windows Sysprep avec Launch v2 EC2](#sysprep-gui-procedure-ec2launchv2)

## Actions Windows Sysprep
<a name="sysprep-actions-ec2launchv2"></a>

Windows Sysprep et EC2 Launch v2 exécutent les actions suivantes lors de la préparation d'une image.

1. Lorsque vous sélectionnez **Arrêter avec Sysprep** dans la boîte de dialogue des **paramètres de EC2 lancement**, le système exécute la commande. `ec2launch sysprep`

1. EC2Launch v2 modifie le contenu du `unattend.xml` fichier en lisant la valeur de registre à`HKEY_USERS\.DEFAULT\Control Panel\International\LocaleName`. Ce fichier se trouve dans le répertoire suivant : `C:\ProgramData\Amazon\EC2Launch\sysprep`.

1. Le système exécute `BeforeSysprep.cmd`. Cette commande crée une clé de registre comme suit :

   **reg add "HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Control\$1Terminal Server" /v fDenyTSConnections /t REG\$1DWORD /d 1 /f**

   La clé de registre désactive les connexions RDP jusqu’à ce qu’elles soient réactivées. La désactivation des connexions RDP est une mesure de sécurité nécessaire car, lors de la première session de démarrage après l’exécution de Windows Sysprep, il y a une courte période pendant laquelle RDP autorise les connexions et le mot de passe de l’administrateur est vide.

1. Le service EC2 Launch v2 appelle Windows Sysprep en exécutant la commande suivante :

   **sysprep.exe /oobe /generalize /shutdown /unattend: "C:\$1ProgramData\$1Amazon\$1EC2Launch\$1sysprep\$1unattend.xml"**

### Phase de généralisation
<a name="sysprep-generalize-ec2launchv2"></a>
+ EC2Launch v2 supprime les informations et les configurations spécifiques à l'image, telles que le nom de l'ordinateur et le SID. Si l’instance est membre d’un domaine, elle est supprimée du domaine. Le fichier de réponses `unattend.xml` inclut les paramètres suivants qui affectent cette phase : 
  + **PersistAllDeviceInstalls**: ce paramètre empêche le programme d'installation de Windows de supprimer et de reconfigurer des appareils, ce qui accélère le processus de préparation des images, car Amazon a AMIs besoin de certains pilotes pour fonctionner et la redétection de ces pilotes prendrait du temps.
  + **DoNotCleanUpNonPresentDevices**: ce paramètre conserve les informations Plug-and-Play pour les appareils actuellement absents.
+ Windows Sysprep arrête le système d’exploitation pendant qu’il se prépare à créer l’AMI. Le système lance une nouvelle instance ou démarre l’instance originale.

### Phase de spécialisation
<a name="sysprep-specialize-ec2launchv2"></a>

Le système génère la configuration requise spécifique au système d’exploitation, comme un nom d’ordinateur et un SID. Le système exécute également les actions suivantes en fonction des configurations que vous spécifiez dans le fichier de réponses `unattend.xml`.
+ **CopyProfile**: Windows Sysprep peut être configuré pour supprimer tous les profils utilisateur, y compris le profil administrateur intégré. Ce paramètre conserve le compte d’administrateur intégré afin que les personnalisations que vous effectuez sur ce compte soient transmises à la nouvelle image. La valeur par défaut est `True`.

  **CopyProfile**remplace le profil par défaut par le profil d'administrateur local existant. Tous les comptes auxquels vous vous connectez après avoir exécuté Windows Sysprep reçoivent une copie de ce profil et de son contenu lors de la première connexion. 

  Si vous ne disposez pas de personnalisations de profil utilisateur spécifiques que vous souhaitez reporter à la nouvelle image, définissez ce paramètre sur `False`. Windows Sysprep supprime tous les profils d’utilisateur (ce qui permet d’économiser du temps et de l’espace disque).
+ **TimeZone**: le fuseau horaire est défini sur le temps universel coordonné (UTC) par défaut.
+ **Synchronous command with order 1** : le système exécute la commande suivante, qui active le compte administrateur et spécifie le mot de passe requis :

  ```
  net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES
  ```
+ **Synchronous command with order 2** : le système brouille le mot de passe administrateur. Cette mesure de sécurité est conçue pour empêcher l’instance d’être accessible après la fin de Windows Sysprep si vous n’avez pas configuré la tâche `setAdminAccount`.

  Le système exécute la commande suivante à partir du répertoire local de l’agent de lancement (`C:\Program Files\Amazon\EC2Launch\`).

  ```
  EC2Launch.exe internal randomize-password --username Administrator
  ```
+ Pour activer les connexions de bureau à distance, le système définit la clé de registre Terminal Server `fDenyTSConnections` sur false « faux ».

### Phase OOBE
<a name="sysprep-oobe-ec2launchv2"></a>

1. Le système spécifie les configurations suivantes à l'aide du fichier de réponses de EC2 Launch v2 :
   + `<InputLocale>en-US</InputLocale>`
   + `<SystemLocale>en-US</SystemLocale>`
   + `<UILanguage>en-US</UILanguage>`
   + `<UserLocale>en-US</UserLocale>`
   + `<HideEULAPage>true</HideEULAPage>`
   + `<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>`
   + `<ProtectYourPC>3</ProtectYourPC>`
   + `<BluetoothTaskbarIconEnabled>false</BluetoothTaskbarIconEnabled>`
   + `<TimeZone>UTC</TimeZone>`
   + `<RegisteredOrganization>Amazon.com</RegisteredOrganization>`
   + `<RegisteredOwner>EC2</RegisteredOwner>`
**Note**  
Pendant les phases de généralisation et de spécialisation, EC2 Launch v2 surveille l'état du système d'exploitation. Si EC2 Launch v2 détecte que le système d'exploitation est en phase Sysprep, il publie le message suivant dans le journal système :  
Windows est en cours de configuration. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE

1. Le système exécute EC2 Launch v2.

## Étapes post-actions Sysprep
<a name="sysprep-post-ec2launchv2"></a>

Une fois Windows Sysprep terminé, EC2 Launch v2 envoie le message suivant à la sortie de la console :

```
Windows sysprep configuration complete.
```

EC2Launch v2 exécute ensuite les actions suivantes :

1. Lit le contenu du fichier `agent-config.yml` et exécute les tâches configurées. 

1. Exécute toutes les tâches de l’étape `preReady`.

1. Une fois qu’il a terminé, envoie un message `Windows is ready` aux journaux du système d’instance.

1. Exécute toutes les tâches de l’étape `PostReady`.

Pour plus d'informations sur EC2 Launch v2, consultez[Utiliser l’agent EC2Launch v2 pour effectuer des tâches lors du lancement d’une instance EC2 Windows](ec2launch-v2.md).

## Exécutez Windows Sysprep avec Launch v2 EC2
<a name="sysprep-gui-procedure-ec2launchv2"></a>

Utilisez la procédure suivante pour créer une AMI standardisée à l'aide de Windows Sysprep avec EC2 Launch v2.

1. Dans la console Amazon EC2, localisez l’AMI que vous souhaitez dupliquer.

1. Lancez et connectez-vous à votre instance Windows.

1. Personnalisation des paramètres

   1. Dans le menu **Démarrer** de Windows, recherchez et choisissez les **paramètres Amazon EC2 Launch**. Pour plus d'informations sur les options et les paramètres de la boîte de dialogue des **paramètres d'Amazon EC2 Launch**, consultez[Configuration des paramètres de EC2 Launch v2 pour les instances Windows](ec2launch-v2-settings.md).

   1. Si vous avez apporté des modifications, choisissez **Enregistrer** avant de fermer.

1. Choisissez **Arrêter avec Sysprep** ou **Arrêter sans Sysprep**.

**Lorsque vous êtes invité à confirmer que vous souhaitez exécuter Windows Sysprep et arrêter l'instance, cliquez sur Oui.** EC2Launch v2 exécute Windows Sysprep. Ensuitez, vous êtes déconnecté de l’instance et l’instance est arrêtée. Si vous consultez la page **Instances** de la console Amazon EC2, l’état de l’instance passe de `Running` à `Stopping`, puis à `Stopped`. A ce stade, vous pouvez créer une AMI en toute sécurité à partir de cette instance.

Vous pouvez invoquer manuellement l’outil Windows Sysprep à partir de la ligne de commande en utilisant la commande suivante :

```
"%programfiles%\amazon\ec2launch\ec2launch.exe" sysprep --shutdown=true
```

# Création d'une AMI à l'aide de Windows Sysprep avec Launch EC2
<a name="ec2launch-sysprep"></a>

Lorsque vous créez une image à partir d'une instance sur laquelle l'agent EC2 Launch est installé, EC2 Launch exécute des tâches spécifiques au fur et à mesure de la préparation de l'image. Cela implique notamment l’utilisation de Windows Sysprep. Pour de plus amples informations, veuillez consulter [Phases de Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

EC2Launch propose un fichier de réponses par défaut et des fichiers batch pour Windows Sysprep qui automatisent et sécurisent le processus de préparation des images sur votre AMI. La modification de ces fichiers est facultative. Par défaut, ces fichiers se trouvent dans le répertoire suivant : `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.

**Important**  
N’utilisez pas Windows Sysprep pour créer une sauvegarde d’instance. Windows Sysprep supprime les informations spécifiques au système. Si vous supprimez ces informations, les conséquences peuvent être néfastes pour une sauvegarde d’instance.

**Topics**
+ [EC2Lancer des fichiers de réponses et de commandes pour Windows Sysprep](#ec2launch-sysprep-answer-batch)
+ [Exécuter Windows Sysprep avec Launch EC2](#ec2launch-sysprep-running)
+ [Mettre à jour metadata/KMS les itinéraires pour Server 2016 et versions ultérieures lors du lancement d'une AMI personnalisée](#update-metadata-KMS)

## EC2Lancer des fichiers de réponses et de commandes pour Windows Sysprep
<a name="ec2launch-sysprep-answer-batch"></a>

Le fichier de réponses et les fichiers batch de EC2 lancement pour Windows Sysprep incluent les éléments suivants :

`Unattend.xml`  
Il s’agit du fichier de réponse par défaut. Si vous exécutez `SysprepInstance.ps1` ou choisissez **ShutdownWithSysprep**dans l'interface utilisateur, le système lit le paramètre à partir de ce fichier.

`BeforeSysprep.cmd`  
Personnalisez ce fichier batch pour exécuter des commandes avant que EC2 Launch n'exécute Windows Sysprep.

`SysprepSpecialize.cmd`  
Personnalisez ce fichier de traitement par lots pour exécuter des commandes pendant la phase de spécialisation de Windows Sysprep.

## Exécuter Windows Sysprep avec Launch EC2
<a name="ec2launch-sysprep-running"></a>

Lors de l'installation complète de Windows Server 2016 et versions ultérieures (avec une expérience de bureau), vous pouvez exécuter Windows Sysprep avec EC2 Launch manuellement ou à l'aide de l'application **EC2** Launch Settings.

**Pour exécuter Windows Sysprep à l'aide de l'application Paramètres de lancement EC2**

1. Dans la console Amazon EC2, localisez ou créez une AMI Windows Server 2016 ou ultérieure.

1. Lancez une instance Windows à partir de l’AMI.

1. Connectez-vous à votre instance Windows et personnalisez-la.

1. Recherchez et exécutez l'**EC2LaunchSettings**application. Par défaut, le fichier se trouve dans le répertoire suivant : `C:\ProgramData\Amazon\EC2-Windows\Launch\Settings`.  
![\[Application EC2 Launch Settings\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ec2launch-sysprep.png)

1. Activez ou désactivez les options au besoin. Ces paramètres sont stockés dans le fichier `LaunchConfig.json`.

1. Pour **Mot de passe administrateur**, choisissez l’une des options suivantes :
   + Choisissez **Aléatoire**. EC2Launch génère un mot de passe et le chiffre à l'aide de la clé de l'utilisateur. Le système désactive ce paramètre après le lancement de l’instance afin que ce mot de passe persiste si l’instance est redémarrée, arrêtée ou démarrée.
   + Choisissez **Specify (Spécifier)** et saisissez un mot de passe conforme aux exigences de votre système. Le mot de passe est stocké en clair dans `LaunchConfig.json` sous forme de texte clair et est supprimé après que Windows Sysprep ait défini le mot de passe de l’administrateur. Si vous arrêtez maintenant, le mot de passe est défini immédiatement. EC2Launch chiffre le mot de passe à l'aide de la clé de l'utilisateur.
   + Choisissez **DoNothing**et spécifiez un mot de passe dans le `unattend.xml` fichier. Si vous ne spécifiez pas de mot de passe dans `unattend.xml`, le compte d’administrateur est désactivé.

1. Choisissez **Shutdown with Sysprep (Arrêter avec Sysprep)**.

**Pour exécuter manuellement Windows Sysprep à l'aide de Launch EC2**

1. Dans la console Amazon EC2, localisez ou créez une AMI Windows Server 2016 ou ultérieure (édition Datacenter) que vous souhaitez dupliquer.

1. Lancez et connectez-vous à votre instance Windows.

1. Personnalisez l’instance.

1. Spécifiez les paramètres dans le fichier `LaunchConfig.json`. Par défaut, le fichier se trouve dans le répertoire `C:\ProgramData\Amazon\EC2-Windows\Launch\Config`.

   Pour `adminPasswordType`, spécifiez l’une des valeurs suivantes :  
`Random`  
EC2Launch génère un mot de passe et le chiffre à l'aide de la clé de l'utilisateur. Le système désactive ce paramètre après le lancement de l’instance afin que ce mot de passe persiste si l’instance est redémarrée, arrêtée ou démarrée.  
`Specify`  
EC2Launch utilise le mot de passe que vous spécifiez dans`adminPassword`. Si le mot de passe ne répond pas aux exigences du système, EC2 Lauch génère un mot de passe aléatoire à la place. Le mot de passe est stocké `LaunchConfig.json` en texte clair et est supprimé une fois que Windows Sysprep a défini le mot de passe administrateur. EC2Launch chiffre le mot de passe à l'aide de la clé de l'utilisateur.  
`DoNothing`  
EC2Launch utilise le mot de passe que vous avez indiqué dans le `unattend.xml` fichier. Si vous ne spécifiez pas de mot de passe dans `unattend.xml`, le compte d’administrateur est désactivé.

1. (Facultatif) Spécifiez les paramètres dans le fichier `unattend.xml` et autres fichiers de configuration. Si vous prévoyez une installation avec assistance, vous n’avez pas besoin d’apporter des modifications à ces fichiers. Par défaut, les fichiers se trouvent dans le répertoire suivant : `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.

1. Dans Windows PowerShell, exécutez`./InitializeInstance.ps1 -Schedule`. Par défaut, le script se trouve dans le répertoire suivant : `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. Ce script programme l’instance pour s’initialiser lors du démarrage suivant. Vous devez exécuter ce script avant d’exécuter le script `SysprepInstance.ps1` à l’étape suivante.

1. Dans Windows PowerShell, exécutez`./SysprepInstance.ps1`. Par défaut, le script se trouve dans le répertoire suivant : `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. 

Vous êtes déconnecté de l’instance et l’instance est arrêtée. Si vous consultez la page **Instances** dans la console Amazon EC2, l’état de l’instance passe de `Running` à `Stopping`, puis à `Stopped`. À ce stade, vous pouvez créer une AMI en toute sécurité à partir de cette instance.

## Mettre à jour metadata/KMS les itinéraires pour Server 2016 et versions ultérieures lors du lancement d'une AMI personnalisée
<a name="update-metadata-KMS"></a>

Pour mettre à jour metadata/KMS les itinéraires pour Server 2016 et versions ultérieures lors du lancement d'une AMI personnalisée, effectuez l'une des opérations suivantes :
+ Exécutez l'LaunchSettings interface graphique EC2 (C : \$1 \$1 Amazon ProgramData \$1 EC2-Windows \$1 Launch \$1 Settings \$1 Ec2 LaunchSettings .exe) et sélectionnez l'option permettant d'arrêter avec Windows Sysprep.
+ Exécutez EC2 LaunchSettings et arrêtez-le sans Windows Sysprep avant de créer l'AMI. Cela configure l’exécution des tâches d’initialisation du lancement EC2 au prochain démarrage, ce qui va définir les routes en fonction du sous-réseau pour l’instance.
+ Replanifiez manuellement les tâches d'initialisation d'EC2 Launch avant de créer une AMI à partir de. [PowerShell](ec2launch-config.md#ec2launch-inittasks) 
**Important**  
Prenez note du comportement de réinitialisation du mot de passe par défaut avant de replanifier les tâches.
+ Pour mettre à jour les routes sur une instance en cours d’exécution qui rencontre des échecs d’activation de Windows ou de communication avec les métadonnées de l’instance, consultez [« L’activation de Windows est impossible »](common-messages.md#activate-windows).

# Création d'une AMI à l'aide de Windows Sysprep avec Config EC2
<a name="sysprep-using"></a>

Lorsque vous créez une image à partir d'une instance sur laquelle le service EC2 Config est installé, EC2 Config exécute des tâches spécifiques au fur et à mesure de la préparation de l'image. Cela implique notamment l’utilisation de Windows Sysprep. Pour de plus amples informations, veuillez consulter [Phases de Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

**Topics**
+ [Actions Windows Sysprep](#sysprep-actions)
+ [Étapes post-actions Sysprep](#sysprep-post)
+ [Exécutez Windows Sysprep avec le service Config EC2](#sysprep-gui-procedure)

## Actions Windows Sysprep
<a name="sysprep-actions"></a>

Windows Sysprep et le service EC2 Config exécutent les actions suivantes lors de la préparation d'une image.

1. Si vous choisissez **Fermeture avec Sysprep** dans la boîte de dialogue **Propriétés du service EC2**, le système exécute la commande **ec2config.exe -sysprep**.

1. Le service EC2 Config lit le contenu du `BundleConfig.xml` fichier. Ce fichier se trouve dans le répertoire suivant par défaut : `C:\Program Files\Amazon\Ec2ConfigService\Settings`.

    Le fichier `BundleConfig.xml` contient les paramètres suivants. Vous pouvez modifier les paramètres suivants :
   + **AutoSysprep**: indique s'il faut utiliser Windows Sysprep automatiquement. Vous n’avez pas besoin de modifier cette valeur si vous exécutez Windows Sysprep à partir de la boîte de dialogue « Propriétés du service EC2 ». La valeur par défaut est `No`.
   + **Set RDPCertificate** : définit un certificat auto-signé pour le serveur Remote Desktop. Cela vous permet d’utiliser en toute sécurité le protocole RDP (Remote Desktop Protocol) pour vous connecter à l’instance. Modifiez la valeur sur `Yes` si de nouvelles instances doivent utiliser un certificat. Ce paramètre n’est pas utilisé avec les instances Windows Server 2012 car ces systèmes d’exploitation peuvent générer leurs propres certificats. La valeur par défaut est `No`.
   + **SetPasswordAfterSysprep**: définit un mot de passe aléatoire sur une instance récemment lancée, la chiffre avec la clé de lancement de l'utilisateur et transmet le mot de passe chiffré à la console. Modifiez la valeur sur `No` si de nouvelles instances ne doivent pas être définies sur un mot de passe chiffré aléatoire. La valeur par défaut est `Yes`.
   +  **PreSysprepRunCmd**: emplacement de la commande à exécuter. La commande se trouve dans le répertoire suivant, par défaut : `C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd`

1. Le système exécute `BeforeSysprep.cmd`. Cette commande crée une clé de registre comme suit :

   ```
   reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
   ```

   La clé de registre désactive les connexions RDP jusqu’à ce qu’elles soient réactivées. La désactivation des connexions RDP est une mesure de sécurité nécessaire car, lors de la première session de démarrage après l’exécution de Windows Sysprep, il y a une courte période pendant laquelle RDP autorise les connexions et le mot de passe de l’administrateur est vide.

1. Le service EC2 Config appelle Windows Sysprep en exécutant la commande suivante :

   ```
   sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown
   ```

### Phase de généralisation
<a name="sysprep-generalize"></a>
+ L’outil supprime les informations et les configurations spécifiques à l’image, comme le nom de l’ordinateur et le SID. Si l’instance est membre d’un domaine, elle est supprimée du domaine. Le fichier de réponses `sysprep2008.xml` inclut les paramètres suivants qui affectent cette phase : 
  + **PersistAllDeviceInstalls**: ce paramètre empêche le programme d'installation de Windows de supprimer et de reconfigurer des appareils, ce qui accélère le processus de préparation des images, car Amazon a AMIs besoin de certains pilotes pour fonctionner et la redétection de ces pilotes prendrait du temps.
  + **DoNotCleanUpNonPresentDevices**: ce paramètre conserve les informations Plug-and-Play pour les appareils actuellement absents.
+ Windows Sysprep arrête le système d’exploitation pendant qu’il se prépare à créer l’AMI. Le système lance une nouvelle instance ou démarre l’instance originale.

### Phase de spécialisation
<a name="sysprep-specialize"></a>

Le système génère la configuration requise spécifique au système d’exploitation, comme un nom d’ordinateur et un SID. Le système exécute également les actions suivantes en fonction des configurations que vous spécifiez dans le fichier de réponses sysprep2008.xml.
+ **CopyProfile**: Windows Sysprep peut être configuré pour supprimer tous les profils utilisateur, y compris le profil administrateur intégré. Ce paramètre conserve le compte d’administrateur intégré afin que les personnalisations que vous effectuez sur ce compte soient transmises à la nouvelle image. La valeur par défaut est True.

  **CopyProfile**remplace le profil par défaut par le profil d'administrateur local existant. Tous les comptes connectés après l’exécution de Windows Sysprep recevront une copie de ce profil et de son contenu lors de la première connexion. 

  Si vous ne disposez pas de personnalisations de profil utilisateur spécifiques que vous souhaitez reporter à la nouvelle image, définissez ce paramètre sur False. Windows Sysprep supprime tous les profils d’utilisateur, ce qui permet de gagner du temps et de l’espace disque. 
+ **TimeZone**: le fuseau horaire est défini sur le temps universel coordonné (UTC) par défaut.
+ **Synchronous command with order 1** : le système exécute la commande suivante qui active le compte d’administrateur et spécifie l’exigence d’un mot de passe.

  **net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES**
+ **Synchronous command with order 2** : le système brouille le mot de passe administrateur. Cette mesure de sécurité est conçue pour empêcher l’instance d’être accessible après la fin de Windows Sysprep si vous n’avez pas activé le paramètre ec2setpassword.

  Administrateur C:\$1Program Files \$1 Amazon \$1 Ec2 ConfigService \$1 ScramblePassword .exe » -u
+ **Synchronous command with order 3** : le système exécute la commande suivante :

  C:\$1Program Files \$1 Amazon \$1 Ec2 \$1 Scripts ConfigService \$1 .cmd SysprepSpecializePhase

   Cette commande ajoute la clé de registre suivante qui réactive le RDP :

  reg add « HKEY\$1LOCAL\$1MACHINE \$1 SYSTEM \$1 Control CurrentControlSet \$1 Terminal Server » /v FDeny /t REG\$1DWORD /d 0 /f TSConnections 

### Phase OOBE
<a name="sysprep-oobe"></a>

1. À l'aide du fichier de réponses du service EC2 Config, le système spécifie les configurations suivantes :
   + < InputLocale InputLocale >fr-FR</ >
   + < SystemLocale SystemLocale >fr-FR</ >
   + < UILanguage UILanguage >fr-FR</ >
   + < UserLocale UserLocale >fr-FR</ >
   + <Masquer EULAPage >Vrai</Masquer > EULAPage
   + < HideWirelessSetupIn OOBE>True</ HideWirelessSetupIn OOBE>
   + < NetworkLocation NetworkLocation >Autres</ >
   + < ProtectYour PC>3</ PC> ProtectYour
   + < BluetoothTaskbarIconEnabled BluetoothTaskbarIconEnabled >fauss</ >
   + < TimeZone TimeZone >UTC</ >
   + < RegisteredOrganization RegisteredOrganization >Amazon.com</ >
   + < RegisteredOwner RegisteredOwner >Amazon</ >
**Note**  
Pendant les phases de généralisation et de spécialisation, le service EC2 Config surveille l'état du système d'exploitation. Si EC2 Config détecte que le système d'exploitation est en phase Sysprep, il publie le message suivant dans le journal système :  
EC2ConfigMonitorState: 0 Windows est en cours de configuration. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE

1. Une fois la phase OOBE terminée, le système exécute `SetupComplete.cmd` à partir de l’emplacement suivant : `C:\Windows\Setup\Scripts\SetupComplete.cmd`. Dans Amazon public, AMIs avant avril 2015, ce fichier était vide et n'exécutait rien sur l'image. En public AMIs daté d'après avril 2015, le fichier inclut la valeur suivante :**call "C:\$1Program Files\$1Amazon\$1Ec2ConfigService\$1Scripts\$1PostSysprep.cmd"**.

1. Le système exécute `PostSysprep.cmd`, qui effectue les opérations suivantes :
   + Permet de définir que le mot de passe d’administrateur local ne doit pas expirer. Si le mot de passe expirait, les administrateurs ne pourraient pas se connecter.
   + Définit le nom de la MSSQLServer machine (si elle est installée) afin qu'il soit synchronisé avec l'AMI.

## Étapes post-actions Sysprep
<a name="sysprep-post"></a>

Une fois Windows Sysprep terminé, les services EC2 Config envoient le message suivant à la sortie de la console :

```
Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End
```

EC2Config exécute ensuite les actions suivantes :

1. Permet de lire le contenu du fichier config.xml et de répertorier tous les plugins activés. 

1. Permet d’exécuter simultanément tous les plugins avant que Windows soit prêt.
   + Eco 2 SetPassword
   + Eco 2 SetComputerName
   + Eco 2 InitializeDrives
   + Eco 2 EventLog
   + Ec2ConfigureRDP
   + Sortie EC2 RDPCert
   + Eco 2 SetDriveLetter
   + Eco 2 WindowsActivate
   + Eco 2 DynamicBootVolumeSize

1. Une fois terminé, il envoie un message « Windows is ready » aux journaux systèmes de l’instance.

1. Permet d’exécuter simultanément tous les plugins une fois que Windows est prêt.
   + Amazon CloudWatch Logs 
   + UserData
   + AWS Systems Manager (Systems Manager) 

Pour plus d’informations sur les plugins Windows, consultez [Utiliser le service EC2Config pour effectuer des tâches lors du lancement de l’instance de l’ancien système d’exploitation Windows EC2](ec2config-service.md).

## Exécutez Windows Sysprep avec le service Config EC2
<a name="sysprep-gui-procedure"></a>

Utilisez la procédure suivante pour créer une AMI standardisée à l'aide de Windows Sysprep et du service ConfigEC2.

1. Dans la console Amazon EC2, recherchez ou [créez](creating-an-ami-ebs.md) une AMI que vous souhaitez dupliquer.

1. Lancez et connectez-vous à votre instance Windows.

1. Personnalisez-la.

1. Spécifiez les paramètres de configuration dans le fichier de réponses du service EC2 Config :

   `C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml`

1. Dans le menu **Démarrer** de Windows, sélectionnez **Tous les programmes**, puis **EC2ConfigServiceParamètres**. 

1. Choisissez l’onglet **Image** dans la boîte de dialogue **Ec2 Service Properties**. Pour plus d’informations sur les options et les paramètres de la boîte de dialogue Ec2 Service Properties, consultez [Propriétés du service EC2](ec2config-service.md).

1. Sélectionnez une option pour le mot de passe administrateur, puis sélectionnez **Arrêter avec Sysprep ou **Arrêter** sans Sysprep**. EC2Config modifie les fichiers de paramètres en fonction de l'option de mot de passe que vous avez sélectionnée.
   + **Aléatoire** : EC2 Config génère un mot de passe, le chiffre avec la clé de l'utilisateur et affiche le mot de passe chiffré sur la console. Nous désactivons ce paramètre après le premier lancement afin que ce mot de passe persiste si l’instance est redémarrée, arrêtée ou démarrée.
   + **Specify** : le mot de passe est stocké dans le fichier de réponse de Windows Sysprep sous une forme non chiffrée (texte clair). Lors de l’exécution suivante de Windows Sysprep, le mot de passe de l’administrateur est défini. Si vous arrêtez maintenant, le mot de passe est défini immédiatement. Lorsque le service redémarre, le mot de passe d’administrateur est supprimé. Il est important de vous rappeler ce mot de passe, car vous ne pourrez pas le récupérer ultérieurement.
   + **Continuer à exister** : le mot de passe existant pour le compte administrateur ne change pas lorsque Windows Sysprep est exécuté ou que EC2 Config est redémarré. Il est important de vous rappeler ce mot de passe, car vous ne pourrez pas le récupérer ultérieurement.

1. Choisissez **OK**.

Lorsque vous êtes invité à confirmer que vous souhaitez exécuter Windows Sysprep et arrêter l’instance, cliquez sur **Yes** (Oui). Vous remarquerez que EC2 Config exécute Windows Sysprep. Ensuite, vous êtes déconnecté de l’instance, et l’instance est arrêtée. Si vous consultez la page **Instances** sur la console Amazon EC2, l’état de l’instance passe de `Running` à `Stopping`, puis finalement à `Stopped`. A ce stade, vous pouvez créer une AMI en toute sécurité à partir de cette instance.

Vous pouvez invoquer manuellement l’outil Windows Sysprep à partir de la ligne de commande en utilisant la commande suivante :

```
"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep"" 
```

**Note**  
Les guillemets doubles dans la commande ne sont pas obligatoires si votre shell CMD se trouve déjà dans le répertoire C:\$1Program Files \$1 Amazon \$1 EC2 ConfigService \$1.

Toutefois, vous devez vérifier que les options de fichier XML spécifiées dans le dossier `Ec2ConfigService\Settings` sont correctes. Sinon, vous risquez de ne pas pouvoir vous connecter à l’instance. Pour plus d’informations sur les fichiers de paramètres, consultez [EC2Fichiers de paramètres de configuration](ec2config-service.md#UsingConfigXML_WinAMI). Pour obtenir un exemple de configuration et d’exécution de Windows Sysprep à partir de la ligne de commande, consultez `Ec2ConfigService\Scripts\InstallUpdates.ps1`.

# Copier une AMI Amazon EC2
<a name="CopyingAMIs"></a>

Lorsque vous avez besoin d’une configuration d’instance Amazon EC2 cohérente dans plusieurs régions, vous pouvez utiliser une seule Amazon Machine Image (AMI) comme modèle pour lancer toutes les instances. Cependant, AMIs les ressources sont spécifiques à une région : pour lancer une instance dans une région spécifique, Région AWS l'AMI doit se trouver dans cette région. Par conséquent, pour utiliser la même AMI dans plusieurs régions, vous devez la copier de la région source vers chaque région cible.

La méthode que vous utilisez pour copier une AMI varie selon que vous copiez entre régions *au sein de la même [partition](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition)* ou *entre différentes partitions* :
+ Copie **entre régions : copie** AMIs entre régions *au sein d'une même partition*, par exemple entre les régions de la partition commerciale. Cette méthode de copie est décrite dans la présente rubrique.
+ Copie **entre partitions : copie AMIs ** *d'une partition à une autre*, par exemple de la partition commerciale vers la AWS GovCloud (US) partition. Pour plus d’informations sur cette méthode de copie, consultez la section [Stockage et restauration d’une AMIAutorisé AMIs](ami-store-restore.md).
+ **Copie entre comptes** : créez une copie d'une AMI qu'un autre utilisateur Compte AWS a [partagée avec vous Compte AWS](sharingamis-explicit.md). Cette méthode de copie est décrite dans la présente rubrique.

Le temps nécessaire au déroulement de l’opération de copie pour la copie d’AMI entre régions et entre comptes est estimé dans la mesure du possible. Si vous avez besoin de contrôler le délai d’exécution, vous pouvez spécifier un délai d’exécution compris entre 15 minutes et 48 heures, afin de vous assurer que votre AMI est copiée dans le délai imparti. Des frais supplémentaires s’appliquent pour les opérations de copie d’AMI basées sur le temps. Pour plus d’informations, consultez la section [Copies basées sur le temps](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) dans le *Guide de l’utilisateur Amazon EBS*.

**Topics**
+ [Considérations](#copy-ami-considerations)
+ [Coûts](#copy-ami-costs)
+ [Accorder des autorisations pour copier Amazon EC2 AMIs](copy-ami-permissions.md)
+ [Copier une AMI](#ami-copy-steps)
+ [Arrêter la copie d’une AMI en attente](#ami-copy-stop)
+ [Comment fonctionne la copie de l’AMI Amazon EC2](how-ami-copy-works.md)

## Considérations
<a name="copy-ami-considerations"></a>
+ **Autorisation de copie AMIs** : vous pouvez utiliser les politiques IAM pour accorder ou refuser aux utilisateurs l'autorisation de copier AMIs. À partir du 28 octobre 2024, vous pouvez définir des autorisations au niveau des ressources pour l’action `CopyImage` sur l’AMI source. Les autorisations au niveau des ressources pour la nouvelle AMI sont disponibles comme auparavant.
+ Autorisations de **lancement et autorisations de compartiment Amazon S3** : AWS ne copie pas les autorisations de lancement ou les autorisations de compartiment Amazon S3 de l'AMI source vers la nouvelle AMI. Une fois la copie terminée, vous pouvez appliquer les autorisations de lancement et les permissions de compartiment Amazon S3 à la nouvelle AMI.
+ **Balises** : vous ne pouvez copier que les balises AMI définies par l’utilisateur que vous avez associées à l’AMI source. Les balises système (préfixées par `aws:`) et les balises qdéfinies par l’utilisateur qui sont attachées par d’autres Comptes AWS ne seront pas copiées. Lors de la copie d’une AMI, vous pouvez associer de nouvelles balises à la nouvelle AMI et à ses instantanés de sauvegarde.
+ **Quotas pour les copies d’AMI basées sur le temps** : une fois que vous avez atteint votre *quota de débit cumulé de copies d’instantanés*, les demandes suivantes de copie d’AMI basées sur le temps échouent. Pour plus d’informations, consultez la section [Quotas pour les copies basées sur le temps](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-quota) dans le *Guide de l’utilisateur d’Amazon EBS*.
+ **Copies source-destination prises en charge** : l’emplacement de l’AMI source détermine le droit de copie et les destinations autorisées pour la nouvelle AMI :
  + Si l’AMI source se trouve dans une région, vous pouvez la copier dans cette région, dans une autre région, dans un Outpost associé à cette région ou dans une zone locale de cette région.
  + Si l’AMI source se trouve dans une zone locale, vous pouvez la copier dans cette zone locale, dans la région parente de cette zone locale ou dans certaines autres zones locales dotées de la même région parente.
  + Si l’AMI source se trouve sur un Outpost, vous ne pouvez pas la copier.
+ **Paramètres de la CLI pour la source et la destination** : lors de l’utilisation de la CLI, les paramètres suivants sont pris en charge pour spécifier l’emplacement source de l’AMI à copier et la destination de la nouvelle AMI. Notez que l'opération de copie doit être lancée dans la région de destination ; si vous omettez le `--region` paramètre, la destination utilise la région par défaut configurée dans vos AWS CLI paramètres.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/CopyingAMIs.html)

## Coûts
<a name="copy-ami-costs"></a>

La copie d’une AMI est gratuite si aucun délai d’exécution n’est spécifié. Toutefois, des frais supplémentaires s’appliquent pour les opérations de copie d’AMI basées sur le temps. Pour plus d’informations, consultez la section [Copies basées sur le temps](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-pricing) dans le *Guide de l’utilisateur Amazon EBS*.

Les tarifs standard de stockage et de transfert de données s’appliquent. Si vous copiez une AMI basée sur EBS, des frais seront facturés pour le stockage de tout instantané EBS supplémentaire.

# Accorder des autorisations pour copier Amazon EC2 AMIs
<a name="copy-ami-permissions"></a>

Pour copier une AMI basée sur EBS ou sur Amazon S3, vous devez disposer des autorisations IAM suivantes :
+ `ec2:CopyImage` : pour copier l’AMI. Pour les sauvegardes basées sur EBS AMIs, il autorise également la copie des instantanés de sauvegarde de l'AMI.
+ `ec2:CreateTags` : pour baliser l’AMI cible. Pour les instantanés sauvegardés par EBSAMIs, il autorise également à baliser les instantanés de sauvegarde de l'AMI cible.

Si vous copiez une AMI basée sur le stockage d’instances, vous avez besoin des autorisations IAM *supplémentaires* suivantes :
+ `s3:CreateBucket` : pour créer le compartiment S3 dans la région cible pour la nouvelle AMI
+ `s3:PutBucketOwnershipControls`— ACLs Pour activer le compartiment S3 nouvellement créé afin que les objets puissent être écrits avec l'[ACL `aws-exec-read` prédéfinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Pour lire le ACLs bucket source
+ `s3:ListAllMyBuckets`— Pour rechercher un compartiment S3 existant pour AMIs la région cible
+ `s3:GetObject` : pour lire les objets dans le compartiment source
+ `s3:PutObject` : pour écrire les objets dans le compartiment cible
+ `s3:PutObjectAcl` : pour écrire les autorisations pour les nouveaux objets dans le compartiment cible

**Note**  
À partir du 28 octobre 2024, vous pouvez définir des autorisations au niveau des ressources pour l’action `CopyImage` sur l’AMI source. Les autorisations au niveau des ressources pour l’AMI cible sont disponibles comme auparavant. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.

## Exemple de politique IAM pour la copie d’une AMI basée sur EBS et le balisage de l’AMI cible ainsi que des instantanés
<a name="permissions-to-copy-ebs-backed-ami"></a>

L’exemple de politique suivant vous autorise à copier n’importe quel AMI basée sur EBS et à baliser l’AMI cible ainsi que ses instantanés de sauvegarde.

**Note**  
À partir du 28 octobre 2024, vous pourrez indiquer des instantanés dans l’élément `Resource`. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}
```

------

## Exemple de politique IAM pour la copie d’une AMI basée sur EBS mais refusant de baliser les nouveaux instantanés
<a name="permissions-to-copy-ebs-backed-ami-but-deny-tagging-new-snapshots"></a>

L’autorisation `ec2:CopySnapshot` est automatiquement accordée lorsque vous obtenez l’autorisation `ec2:CopyImage`. L’autorisation de baliser les nouveaux instantanés de sauvegarde peut être explicitement refusée, en remplaçant l’effet `Allow` de l’action `ec2:CreateTags`.

L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur EBS, mais vous interdit de baliser les nouveaux instantanés de sauvegarde de l’AMI cible.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}
```

------

## Exemple de politique IAM pour la copie d’une AMI basée sur Amazon S3 et le balisage de l’AMI cible
<a name="permissions-to-copy-instance-store-backed-ami"></a>

L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur Amazon S3 dans le compartiment source spécifié vers la région spécifiée, et à baliser l’AMI cible.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash"
            ]
        }
    ]
}
```

------

Pour trouver le nom de ressource Amazon (ARN) du compartiment source AMI, ouvrez la console Amazon EC2 à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), dans le volet de navigation **AMIs**, sélectionnez et recherchez le nom du compartiment dans la colonne **Source**.

**Note**  
L’autorisation `s3:CreateBucket` n’est nécessaire que la première fois que vous copiez une AMI basée sur Amazon S3 dans une région individuelle. Ensuite, le compartiment Amazon S3 déjà créé dans la région est utilisé pour stocker toutes les futures copies AMIs que vous copierez dans cette région.

## Copier une AMI
<a name="ami-copy-steps"></a>

Vous avez la possibilité de copier une AMI dont vous êtes propriétaire ou une AMI qui vous a été partagée depuis un autre compte. Pour les combinaisons source et destination prises en charge, consultez la section [Considérations](#copy-ami-considerations).

------
#### [ Console ]

**Pour copier une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation de la console, sélectionnez la région comportant l’AMI.

1. Dans le volet de navigation, choisissez **AMIs**d'afficher la liste des options AMIs disponibles dans la région.

1. Si vous ne voyez pas l’AMI que vous souhaitez copier, choisissez un autre filtre. Vous pouvez filtrer en fonction de **mon AMIs propriétaire**, **d'images privées**, d'**images publiques** et d'**images désactivées**.

1. Sélectionnez l’AMI à copier, puis choisissez **Actions**, **Copier l’AMI**.

1. Sur la page **Copier Amazon Machine Image (AMI)**, spécifiez les informations suivantes :

   1. **AMI copy name** (Nom de la copie de l’AMI) : un nom pour la nouvelle AMI. Vous pouvez inclure les informations relatives au système d’exploitation dans le nom, car Amazon EC2 ne fournit pas ces informations lorsqu’il affiche les détails relatifs à l’AMI.

   1. **AMI copy description** (Description de la copie de l’AMI) : par défaut, la description inclut des informations sur l’AMI source afin que vous puissiez distinguer la copie de l’original. Vous pouvez modifier cette description si nécessaire.

   1. **Région de destination** : région dans laquelle vous souhaitez copier l’AMI. Pour plus d’informations, consultez [Copie entre régions](how-ami-copy-works.md#copy-amis-across-regions) et [Copie entre comptes](how-ami-copy-works.md#copy-ami-across-accounts).

   1. **Copier les balises** : cochez cette case afin d’inclure les balises d’AMI définies par l’utilisateur lors de la copie de l’AMI. Les balises système (préfixées par `aws:`) et les balises qdéfinies par l’utilisateur qui sont attachées par d’autres Comptes AWS ne seront pas copiées.

   1. **Copie basée sur le temps** : vous pouvez spécifier si l’opération de copie doit être effectuée dans un délai spécifique ou dans la mesure du possible, comme suit :
      + Pour effectuer la copie dans un délai spécifique :
        + Sélectionnez **Activer la copie basée sur le temps**.
        + Pour **Durée d’exécution**, saisissez le nombre de minutes (par tranches de 15 minutes) autorisées pour l’opération de copie. La durée d’exécution s’applique à tous les instantanés associés à l’AMI.

          Pour plus d’informations, consultez la section [Copies basées sur le temps](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) dans le *Guide de l’utilisateur Amazon EBS*.
      + Pour arrêter les événements dans la mesure du possible :
        + Laissez la case **Activer la copie basée sur le temps** décochée.

   1. (Basé sur EBS AMIs uniquement) **Chiffrer les instantanés EBS de la copie de l'AMI** : cochez cette case pour chiffrer les instantanés cibles ou pour les rechiffrer à l'aide d'une autre clé. Si le chiffrement par défaut est activé, la case **Chiffrer les instantanés EBS de la copie de l’AMI** est cochée et ne peut pas être décochée. Pour de plus amples informations, veuillez consulter [Chiffrement et copie](how-ami-copy-works.md#ami-copy-encryption).

   1. **Clé KMS (basée sur EBS AMIs uniquement) : clé** KMS à utiliser pour chiffrer les instantanés cibles.

   1. **Balises** : vous pouvez baliser la nouvelle AMI et les nouveaux instantanés à l’aide des mêmes balises, ou vous pouvez les baliser à l’aide de balises différentes.
      + Pour baliser la nouvelle AMI et les nouveaux instantanés à l’aide des *mêmes* balises, sélectionnez **Baliser l’image et les instantanés ensemble**. Les mêmes balises sont appliquées à la nouvelle AMI et à chaque instantané créé.
      + Pour baliser la nouvelle AMI et les nouveaux instantanés à l’aide de balises *différentes*, sélectionnez **Baliser l’image et les instantanés séparément**. Différentes balises sont appliquées à la nouvelle AMI et aux instantanés créés. Cependant, tous les nouveaux instantanés créés reçoivent les mêmes balises ; vous ne pouvez pas attribuer une balise différente à chaque nouvel instantané.

      (Facultatif) Pour ajouter une balise, sélectionnez **Add tag (Ajouter une balise)** et saisissez la clé et la valeur de la balise. Répétez l’opération pour chaque étiquette.

   1. Lorsque vous êtes prêt à copier l’AMI, sélectionnez **Copier l’AMI**.

      L’état initial de la nouvelle AMI est `Pending`. L’opération de copie AMI est terminée lorsque l’état passe à `Available`.

------
#### [ AWS CLI ]

**Pour copier une AMI d’une région vers une autre**  
Utilisez la commande [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l’aide du paramètre `--source-region`. Vous pouvez spécifier la région de destination à l’aide du paramètre `--region` (ou omettre ce paramètre pour utiliser la région par défaut configurée dans vos paramètres AWS CLI ).

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region us-west-2 \
    --name my-ami \
    --region us-east-1
```

Lorsque vous effectuez le chiffrement d’un instantané cible pendant la copie d’une AMI, vous devez spécifier les paramètres supplémentaires suivants : `--encrypted` et `--kms-key-id`.

**Pour copier une AMI d’une région vers une zone locale**  
Utilisez la commande [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source à l’aide du paramètre `--source-region`. Vous spécifiez la zone locale de destination à l’aide du paramètre `--destination-availability-zone` (vous pouvez utiliser `--destination-availability-zone-id` à la place). Notez que vous ne pouvez copier une AMI que d’une région vers une zone locale au sein de cette même région.

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --destination-availability-zone cn-north-1-pkx-1a \
    --name my-ami \
    --region cn-north-1
```

**Pour copier une AMI d’une zone locale vers une région**  
Utilisez la commande [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source à l’aide du paramètre `--source-region`. Vous spécifiez la région de destination à l’aide du paramètre `--region` (ou vous omettez ce paramètre pour utiliser la région par défaut configurée dans vos paramètres AWS CLI ). La zone locale source est supposée à partir de l’emplacement de l’ID d’AMI source spécifié. Notez que vous ne pouvez copier une AMI que depuis une zone locale vers sa région parente.

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --name my-ami \
    --region cn-north-1
```

**Pour copier une AMI d’une zone locale vers une autre**  
Utilisez la commande [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source de la zone locale à l’aide du paramètre `--source-region`. Vous spécifiez la zone locale de destination à l’aide du paramètre `--destination-availability-zone` (vous pouvez utiliser `--destination-availability-zone-id` à la place). La zone locale source est supposée à partir de l’emplacement de l’ID d’AMI source spécifié. Vous spécifiez la région parent de la zone locale de destination à l'aide du `--region` paramètre (ou vous omettez ce paramètre pour utiliser la région par défaut configurée dans vos AWS CLI paramètres).

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --destination-availability-zone cn-north-1-pkx-1a \
    --name my-ami \
    --region cn-north-1
```

------
#### [ PowerShell ]

**Pour copier une AMI d’une région vers une autre**  
Utilisez l’applet de commande [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l’aide du paramètre `-SourceRegion`. Vous pouvez spécifier la région de destination à l'aide du `-Region` paramètre ou de l'applet de commande [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion us-west-2 `
    -Name my-ami `
    -Region us-east-1
```

Lorsque vous effectuez le chiffrement d’un instantané cible pendant la copie d’une AMI, vous devez spécifier les paramètres supplémentaires suivants : `-Encrypted` et `-KmsKeyId`.

**Pour copier une AMI d’une région vers une zone locale**  
Utilisez l’applet de commande [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source à l’aide du paramètre `-SourceRegion`. Vous spécifiez la zone locale de destination à l’aide du paramètre `-DestinationAvailabilityZone` (vous pouvez utiliser `-DestinationAvailabilityZoneId` à la place). Notez que vous ne pouvez copier une AMI que d’une région vers une zone locale au sein de cette même région.

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -DestinationAvailabilityZone cn-north-1-pkx-1a `
    -Name my-ami `
    -Region cn-north-1
```

**Pour copier une AMI d’une zone locale vers une région**  
Utilisez l’applet de commande [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source à l’aide du paramètre `-SourceRegion`. Vous spécifiez la région de destination à l'aide du `-Region` paramètre ou de l'applet de commande [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html). La zone locale source est supposée à partir de l’emplacement de l’ID d’AMI source spécifié. Notez que vous ne pouvez copier une AMI que depuis une zone locale vers sa région parente.

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -Name my-ami `
    -Region cn-north-1
```

**Pour copier une AMI d’une zone locale vers une autre**  
Utilisez l’applet de commande [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Vous devez spécifier à la fois la source et la destination. Vous spécifiez la région source de la zone locale à l’aide du paramètre `-SourceRegion`. Vous spécifiez la zone locale de destination à l’aide du paramètre `-DestinationAvailabilityZone` (vous pouvez utiliser `-DestinationAvailabilityZoneId` à la place). La zone locale source est supposée à partir de l’emplacement de l’ID d’AMI source spécifié. Vous spécifiez la région parent de la zone locale de destination à l'aide du `-Region` paramètre ou de l'applet de commande [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -DestinationAvailabilityZone cn-north-1-pkx-1a `
    -Name my-ami `
    -Region cn-north-1
```

------

## Arrêter la copie d’une AMI en attente
<a name="ami-copy-stop"></a>

Vous pouvez arrêter une copie d’AMI en cours en suivant les procédures suivantes.

------
#### [ Console ]

**Pour arrêter une opération de copie d’AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation, sélectionnez la région de destination dans le sélecteur de régions.

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez l’AMI à arrêter de copier, puis choisissez **Actions**, **Désenregistrer l’AMI**.

1. Lorsque vous êtes invité à confirmer l’opération, choisissez **Deregister AMI** (Annuler l’enregistrement de l’AMI).

------
#### [ AWS CLI ]

**Pour arrêter une opération de copie d’AMI**  
Utilisez la commande [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html).

```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Pour arrêter une opération de copie d’AMI à l’aide de**  
Utilisez l’applet de commande [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html).

```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```

------

# Comment fonctionne la copie de l’AMI Amazon EC2
<a name="how-ami-copy-works"></a>

La copie d’une AMI source produit une nouvelle AMI identique mais distincte que nous appelons également AMI *cible*. L’AMI cible possède son propre identifiant AMI. Vous pouvez modifier ou annuler l’enregistrement d’une AMI source sans que cela ait un impact sur l’AMI cible. L’inverse est également vrai.

Dans le cas d’une AMI basée sur EBS, chacun des instantanés de sauvegarde est copié sur un instantané cible identique mais distinct. Si vous copiez une AMI dans une nouvelle région, les instantanés sont des copies complètes (non incrémentielles). Si vous chiffrez des instantanés de sauvegarde non chiffrés ou si vous les chiffrez sur une nouvelle clé KMS, les instantanés sont des copies complètes (non incrémentielles). Les opérations de copie suivantes d’une AMI créent des copies incrémentielles des instantanés de sauvegarde.

**Topics**
+ [Copie entre régions](#copy-amis-across-regions)
+ [Copie entre comptes](#copy-ami-across-accounts)
+ [Opérations de copie d’AMI basées sur le temps](#ami-time-based)
+ [Chiffrement et copie](#ami-copy-encryption)

## Copie entre régions
<a name="copy-amis-across-regions"></a>

La copie d’une AMI entre différentes régions géographiques offre les avantages suivants :
+ Déploiement international uniforme : la copie d’une AMI d’une région à l’autre vous permet de lancer des instances uniformes reposant sur la même AMI dans différentes régions.
+ Évolutivité : vous pouvez plus facilement concevoir et créer des applications d’envergure internationale répondant aux besoins de vos utilisateurs, quel que soit l’emplacement.
+ Performances : vous pouvez accroître les performances en distribuant votre application, ainsi qu’en recherchant les composants critiques de votre application plus près de vos utilisateurs. Vous pouvez également bénéficier de fonctions propres aux régions, par exemple les types d’instance ou d’autres services  AWS .
+ Disponibilité élevée : vous pouvez concevoir et déployer des applications dans différentes régions AWS afin d’accroître leur disponibilité.

Le diagramme suivant présente la relation entre une AMI source et deux AMI copiées dans des régions différentes, ainsi que les instances EC2 lancées à partir de chacune d’entre elles. Lorsque vous lancez une instance à partir d’une AMI, elle se trouve dans la même région que l’AMI. Si vous apportez des modifications à l'AMI source et souhaitez que ces modifications soient reflétées AMIs dans les régions cibles, vous devez recopier l'AMI source dans les régions cibles.

![\[AMIs copié dans différentes régions\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami_copy.png)


Lorsque vous copiez pour la première fois une AMI basée sur Amazon S3 dans une région, nous créons un compartiment Amazon S3 pour l'AMI AMIs copiée dans cette région. Tous les fichiers sauvegardés par Amazon AMIs S3 que vous copiez dans cette région sont stockés dans ce compartiment. Les noms des compartiments ont le format suivant : amis-for- *account* -in- -*region*. *hash* Par exemple : `amis-for-123456789012-in-us-east-2-yhjmxvp6`.

**Prérequis**  
Avant de copier une AMI, vous devez veiller à ce que le contenu de l’AMI source ait été mis à jour afin de pouvoir être exécuté dans une région différente. Par exemple, vous devez mettre à jour toutes les chaînes de connexion à la base de données ou des données de configuration d’application similaires de façon à ce qu’elles pointent vers les ressources appropriées. Dans le cas contraire, les instances lancées à partir de la nouvelle AMI dans la région de destination pourraient continuer à utiliser les ressources de la région source, ce qui pourrait avoir un impact sur les performances et les coûts.

**Limitations**
+ Les régions de destination sont limitées à 300 opérations de copie d’AMI simultanées. Cette limite s’applique également aux opérations de copie d’AMI basées sur le temps.
+ Vous ne pouvez pas copier une AMI paravirtuelle (PV) dans une région qui ne prend pas en charge la PV. AMIs Pour de plus amples informations, veuillez consulter [Types de virtualisation](ComponentsAMIs.md#virtualization_types).

## Copie entre comptes
<a name="copy-ami-across-accounts"></a>

Si une AMI d'un autre Compte AWS utilisateur est [partagée avec vous Compte AWS](sharingamis-explicit.md), vous pouvez copier l'AMI partagée. Il s’agit d’une copie entre comptes. L’AMI qui est partagée avec vous est l’AMI source. Lorsque vous copiez l’AMI source, vous créez une nouvelle AMI. Cette nouvelle AMI est souvent appelée AMI cible.

**Coûts d’AMI**
+ Dans le cas d’une AMI partagée, le compte de l’AMI partagée est facturé au titre du stockage dans la région.
+ Si vous copiez une AMI partagée avec votre compte, vous êtes le propriétaire de l’AMI cible dans votre compte.
  + Le propriétaire de l’AMI source doit s’acquitter des frais de transfert standard d’Amazon EBS ou d’Amazon S3.
  + Vous devez payer pour le stockage de l’AMI cible dans la région de destination.

**Autorisations d’accès aux ressources**  
Pour copier une AMI qui vous a été partagée depuis un autre compte, le propriétaire de l’AMI source doit vous accorder des autorisations de lecture pour le stockage sur lequel repose l’AMI, et pas seulement pour l’AMI elle-même. Le stockage est soit l’instantané EBS associé (pour une AMI basée sur Amazon EBS) soit un compartiment S3 associé (pour une AMI basée sur Amazon S3). Si l’AMI partagée comporte des instantanés chiffrés, le propriétaire doit partager la ou les clés avec vous. Pour plus d’informations sur l’octroi d’autorisations de ressources, pour les instantanés EBS, consultez la section [Partage d’un instantané Amazon EBS avec d’autres Comptes AWS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) dans le *Guide de l’utilisateur Amazon EBS*, et pour les compartiments S3, consultez la section [Gestion de l’identité et de l’accès dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html) dans le *Guide de l’utilisateur Amazon S3*.

**Note**  
Les balises associées à l’AMI source ne sont pas copiées entre les comptes sur l’AMI cible.

## Opérations de copie d’AMI basées sur le temps
<a name="ami-time-based"></a>

Lorsque vous lancez une opération de copie d’AMI basée sur le temps pour une AMI basée sur EBS avec un seul instantané associé, elle se comporte de la même manière qu’une **opération de copie d’instantané individuelle basée sur le temps**, et les mêmes limites de débit s’appliquent.

Lorsque vous lancez une opération de copie d’AMI basée sur le temps pour une AMI basée sur EBS associée à plusieurs instantanés, elle se comporte de la même manière que les **opérations de copie d’instantanés basées sur le temps simultanées**, et les mêmes limites de débit s’appliquent. Chaque instantané associé donne lieu à une demande de copie d’instantané distincte, chacune de ces demandes contribuant à votre quota de débit cumulé de copies d’instantanés. La durée d’exécution que vous spécifiez s’applique à chaque instantané associé.

Pour plus d’informations, consultez la section [Copies basées sur le temps](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) dans le *Guide de l’utilisateur Amazon EBS*.

## Chiffrement et copie
<a name="ami-copy-encryption"></a>

Le tableau suivant représente la prise en charge du chiffrement dans divers cas de figure de copie d’AMI. Bien qu’il soit possible de copier un instantané non chiffré pour créer un instantané chiffré, vous ne pouvez pas copier un instantané chiffré et en créer un qui ne soit pas chiffré.


| Scénario | Description | Pris en charge | 
| --- | --- | --- | 
| 1 | Non chiffré à non chiffré | Oui | 
| 2 | Chiffré à chiffré | Oui | 
| 3 | Non chiffré à chiffré | Oui | 
| 4 | Chiffré à non chiffré | Non | 

**Note**  
Le chiffrement effectué pendant l'`CopyImage`action s'applique uniquement aux applications soutenues par Amazon AMIs EBS. Étant donné qu’une AMI basée sur Amazon S3 n’utilise pas d’instantanés, vous ne pouvez pas utiliser la copie pour modifier son état de chiffrement.

Lorsque vous copiez une AMI sans spécifier de paramètres de chiffrement, l’instantané de sauvegarde est copié avec son état de chiffrement d’origine par défaut. Par conséquent, si l’AMI source est soutenue par un instantané non chiffré, le cliché cible obtenu sera également déchiffré. De même, si l'instantané de l'AMI source est chiffré, le cliché cible obtenu sera également chiffré par la même AWS KMS clé. En AMIs cas de sauvegarde par plusieurs instantanés, chaque instantané cible conserve l'état de chiffrement de son instantané source correspondant.

Pour modifier l’état de chiffrement des instantanés de sauvegarde de la cible lors d’une copie de l’AMI, vous pouvez spécifier des paramètres de chiffrement. L’exemple suivant présente un cas différent de celui par défaut, où les paramètres de chiffrement sont spécifiés avec l’action `CopyImage` dans le but de modifier l’état de chiffrement de l’AMI cible.

**Copier une AMI source non chiffrée vers une AMI cible chiffrée**

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L’action `CopyImage` est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l’état de chiffrement de l’instantané racine change, de sorte que l’AMI cible est basée sur un instantané racine contenant les mêmes données que l’instantané source, mais chiffrée à l’aide de la clé spécifiée. Vous devez payer des frais de stockage pour les instantanés dans les deux casAMIs, ainsi que des frais pour toutes les instances que vous lancez à partir de l'une ou l'autre des AMI.

**Note**  
L’activation du chiffrement par défaut a le même effet que la définition du paramètre `Encrypted` à `true` pour tous les instantanés de l’AMI.

![\[Copier l’AMI et chiffrer l’instantané à la volée\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)


Définir le paramètre `Encrypted` chiffre l’instantané unique de cette instance. Si vous ne spécifiez pas le paramètre `KmsKeyId`, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l’instantané.

Pour plus d'informations sur la copie à l' AMIs aide d'instantanés chiffrés, consultez[Utilisez le chiffrement avec EBS Backed AMIs](AMIEncryption.md).

# Stocker et restaurer une AMI à l’aide de S3
<a name="ami-store-restore"></a>

Vous pouvez stocker une Amazon Machine Image (AMI) dans un compartiment Amazon S3, copier l’AMI dans un autre compartiment S3, puis la restaurer à partir du compartiment S3. En stockant et en restaurant une AMI à l'aide de compartiments S3, vous pouvez copier AMIs d'une AWS partition à une autre, par exemple de la partition commerciale principale vers la AWS GovCloud (US) partition. Vous pouvez également créer des copies d'archives en les AMIs stockant dans un compartiment S3.

Les options prises en charge APIs pour le stockage et la restauration d'une AMI à l'aide de S3 sont `CreateStoreImageTask``DescribeStoreImageTasks`, et`CreateRestoreImageTask`.

`CopyImage`est l'API recommandée pour copier AMIs *au sein* d'une AWS partition. Toutefois, `CopyImage` ne peut pas copier une AMI vers une *autre* partition.

Pour plus d'informations sur les AWS partitions, consultez *partition* la page [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) du *guide de l'utilisateur IAM*.

**Avertissement**  
Assurez-vous de respecter toutes les lois et exigences commerciales applicables lorsque vous déplacez des données entre des AWS partitions ou des AWS régions, y compris, mais sans s'y limiter, les réglementations gouvernementales applicables et les exigences en matière de résidence des données.

**Topics**
+ [Cas d’utilisation](#use-cases)
+ [Limitations](#ami-store-restore-limitations)
+ [Coûts](#store-restore-costs)
+ [Fonctionnement du stockage et de la restauration de l’AMI](store-restore-how-it-works.md)
+ [Créer une tâche d’image de stockage](work-with-ami-store-restore.md)

## Cas d’utilisation
<a name="use-cases"></a>

**Topics**
+ [Copier une AMI entre AWS des partitions](#copy-to-partition)
+ [Créez des copies d'archives de AMIs](#archival-copies)

### Copier une AMI entre AWS des partitions
<a name="copy-to-partition"></a>

En stockant et en restaurant une AMI à l'aide de compartiments S3, vous pouvez copier une AMI d'une AWS partition à une autre ou d'une AWS région à une autre. Dans l'exemple suivant, vous copiez une AMI de la partition commerciale principale vers la AWS GovCloud (US) partition, en particulier de la `us-east-2` région vers la `us-gov-east-1` région.

Pour copier une AMI d’une partition dans une autre, procédez comme suit :
+ Stockez l’AMI dans un compartiment S3 dans la région actuelle à l’aide de `CreateStoreImageTask`. Dans cet exemple, le compartiment S3 se trouve dans `us-east-2`.
+ Surveillez la progression de la tâche de stockage à l’aide de `DescribeStoreImageTasks`. L’objet devient visible dans le compartiment S3 lorsque la tâche est terminée.
+ Copiez l’objet AMI stocké dans un compartiment S3 de la partition cible à l’aide d’une procédure de votre choix. Dans cet exemple, le compartiment S3 se trouve dans `us-gov-east-1`.
**Note**  
Comme vous avez besoin AWS d'informations d'identification différentes pour chaque partition, vous ne pouvez pas copier un objet S3 directement d'une partition à l'autre. Le processus de copie d’un objet S3 d’une partition vers une autre n’entre pas dans le cadre de cette documentation. Les processus de copie suivants sont fournis à titre d’exemple uniquement. N’hésitez pas à utiliser celui qui répond le mieux à vos exigences de sécurité.  
Pour copier une AMI d’une partition vers une autre, procédez simplement comme suit : [téléchargez l’objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) à partir du compartiment source vers un hôte intermédiaire (par exemple, une instance EC2 ou un ordinateur portable), puis [chargez l’objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) depuis l’hôte intermédiaire vers le compartiment cible. Pour chaque étape du processus, utilisez les AWS informations d'identification de la partition.
Pour une utilisation plus soutenue, n’hésitez pas à développer une application permettant de gérer les copies, en utilisant éventuellement des [téléchargements et des chargements partitionnés](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) S3.
+ Restaurez l’AMI à partir du compartiment S3 dans la partition cible à l’aide de `CreateRestoreImageTask`. Dans cet exemple, le compartiment S3 se trouve dans `us-gov-east-1`.
+ Surveillez la progression de la tâche de restauration en décrivant l’AMI pour vérifier quand son état devient disponible. Vous pouvez également surveiller les pourcentages de progression des instantanés qui composent l’AMI restaurée en décrivant les instantanés.

### Créez des copies d'archives de AMIs
<a name="archival-copies"></a>

Vous pouvez créer des copies d'archives en les AMIs stockant dans un compartiment S3. L’AMI est compressée dans un seul objet dans S3. Toutes les métadonnées AMI (à l’exclusion des informations de partage) sont conservées dans le cadre de l’AMI stockée. Les données AMI sont compressées dans le cadre du processus de stockage. AMIs qui contiennent des données qui peuvent être facilement compressées se traduiront par des objets plus petits dans S3. Pour réduire les coûts, vous pouvez utiliser des niveaux de stockage S3 moins onéreux. Pour plus d’informations, consultez [Classes de stockage Amazon S3](https://aws.amazon.com/s3/storage-classes/) et les [tarifs Amazon S3](https://aws.amazon.com/s3/pricing/)

## Limitations
<a name="ami-store-restore-limitations"></a>
+ Pour stocker une AMI, vous Compte AWS devez soit être propriétaire de l'AMI et de ses instantanés, soit [partager l'AMI et ses instantanés directement avec votre compte](sharingamis-explicit.md). Vous ne pouvez pas stocker une AMI si elle est uniquement [partagée publiquement](sharingamis-intro.md).
+ Seuls les supports EBS AMIs peuvent être stockés à l'aide de ceux-ci. APIs
+ Les systèmes paravirtuels (PV) ne AMIs sont pas pris en charge.
+ La taille d’une AMI (avant compression) pouvant être stockée est limitée à 5 000 Go.
+ Quota de demandes d'images en magasin : 1 200 Go de travail de stockage (données instantanées) en cours.
+ Quota de demandes d'images de restauration : 600 Go de travail de restauration (données de capture instantanée) en cours.
+ Pendant la durée de la tâche de stockage, les instantanés ne doivent pas être supprimés et le principal IAM qui effectue le stockage doit avoir accès aux instantanés. Dans le cas contraire, le processus de stockage échoue.
+ Vous ne pouvez pas créer plusieurs copies d’une AMI dans le même compartiment S3.
+ Une AMI stockée dans un compartiment S3 ne peut pas être restaurée avec son ID d’AMI d’origine. Pour pallier à cela, vous pouvez utiliser l’[alias de l’AMI](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html).
+ Actuellement, le stockage et la restauration ne APIs sont pris en charge qu'à l' AWS Command Line Interface aide AWS des SDK et de l'API Amazon EC2. Vous ne pouvez pas stocker et restaurer une AMI à l’aide de la console Amazon EC2.

## Coûts
<a name="store-restore-costs"></a>

Lorsque vous stockez et restaurez AMIs à l'aide de S3, les services utilisés par le magasin et la restauration APIs, ainsi que le transfert de données, vous sont facturés. Ils APIs utilisent S3 et l'API EBS Direct (utilisée en interne par ceux-ci APIs pour accéder aux données instantanées). Pour en savoir plus, consultez les [tarifs Amazon S3](https://aws.amazon.com/s3/pricing/) et les [tarifs Amazon EBS](https://aws.amazon.com/ebs/pricing/).

# Fonctionnement du stockage et de la restauration de l’AMI
<a name="store-restore-how-it-works"></a>

Pour stocker et restaurer une AMI à l'aide de S3, vous devez utiliser ce qui suit APIs :
+ `CreateStoreImageTask` – Stocke l’AMI dans un compartiment S3
+ `DescribeStoreImageTasks` – Fournit la progression de la tâche de stockage de l’AMI
+ `CreateRestoreImageTask` – Restaure l’AMI à partir d’un compartiment S3

**Topics**
+ [CreateStoreImageTask](#CreateStoreImageTask)
+ [DescribeStoreImageTasks](#DescribeStoreImageTasks)
+ [CreateRestoreImageTask](#CreateRestoreImageTask)
+ [Chemins de fichier](#file-paths-in-s3)

## CreateStoreImageTask
<a name="CreateStoreImageTask"></a>

L’API `CreateStoreImageTask` stocke une AMI sous la forme d’un objet unique dans un compartiment S3.

L’API crée une tâche qui lit toutes les données de l’AMI et de ses instantanés, puis utilise un [chargement partitionné S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) pour stocker les données dans un objet S3. L'API prend tous les composants de l'AMI, y compris la plupart des métadonnées de l' non-Region-specificAMI, et tous les instantanés EBS contenus dans l'AMI, et les regroupe dans un seul objet dans S3. Les données sont compressées dans le cadre du processus de chargement afin de réduire la quantité d’espace utilisé dans S3, de sorte que la taille de l’objet dans S3 peut être inférieure à la somme des tailles des instantanés dans l’AMI.

Si des balises d’AMI et d’instantanés sont visibles pour le compte appelant cette API, elles sont conservées.

L’objet dans S3 possède le même ID que l’AMI, mais avec une extension `.bin`. Les données suivantes sont également stockées en tant que balises de métadonnées S3 sur l’objet S3 : nom de l’AMI, description de l’AMI, date d’enregistrement de l’AMI, compte propriétaire de l’AMI et horodatage pour l’opération de stockage.

Le temps nécessaire à l’exécution de la tâche dépend de la taille de l’AMI. Il dépend également du nombre d’autres tâches en cours car les tâches sont mises en file d’attente. Vous pouvez suivre la progression de la tâche en appelant l’API `DescribeStoreImageTasks`.

La somme des tailles de toutes les données AMIs en cours est limitée à 1 200 Go de données instantanées EBS par compte. La création d’autres tâches est rejetée jusqu’à ce que les tâches en cours soient inférieures à la limite. Par exemple, si une AMI contenant 200 Go de données d’instantanés et une autre AMI contenant 400 Go de données d’instantanés sont actuellement stockées, une autre demande est acceptée, car le total en cours de 600 Go est inférieur à la limite. Mais si une seule AMI contenant 1 200 Go de données instantanées est actuellement stockée, les autres tâches sont rejetées jusqu'à ce qu'elles soient terminées.

## DescribeStoreImageTasks
<a name="DescribeStoreImageTasks"></a>

L’API `DescribeStoreImageTasks` décrit la progression des tâches du stockage de l’AMI. Vous pouvez décrire les tâches pour des tâches spécifiées AMIs. Si vous ne le spécifiez pas AMIs, vous obtenez une liste paginée de toutes les tâches liées aux images du magasin qui ont été traitées au cours des 31 derniers jours.

Pour chaque tâche AMI, la réponse indique si la tâche est `InProgress`, `Completed` ou `Failed`. Pour les tâches `InProgress`, la réponse affiche une progression estimée en pourcentage.

Les tâches sont répertoriées dans l’ordre chronologique inverse.

Actuellement, seules les tâches du mois précédent peuvent être affichées.

## CreateRestoreImageTask
<a name="CreateRestoreImageTask"></a>

L’API `CreateRestoreImageTask` lance une tâche qui restaure une AMI à partir d’un objet S3 précédemment créé à l’aide d’une requête `CreateStoreImageTask`.

La tâche de restauration peut être exécutée dans la même région ou dans une autre région dans laquelle la tâche de stockage a été réalisée.

Le compartiment S3 à partir duquel l’objet AMI est restauré doit se trouver dans la même région que celle dans laquelle la tâche de restauration est demandée. L’AMI est restaurée dans cette région.

L’AMI est restaurée avec ses métadonnées, telles que le nom, la description et les mappages de périphériques de stockage en mode bloc correspondant aux valeurs de l’AMI stockée. Le nom de ce compte doit être unique AMIs dans la région. Si vous n’indiquez pas de nom, la nouvelle AMI reçoit le même nom que l’AMI d’origine. L’AMI obtient un nouvel ID d’AMI qui est généré lors du processus de restauration.

Le temps nécessaire pour terminer la tâche de restauration de l’AMI dépend de la taille de l’AMI. Il dépend également du nombre d’autres tâches en cours car les tâches sont mises en file d’attente. Vous pouvez afficher la progression de la tâche en décrivant l’AMI ([describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)) ou ses instantanés EBS ([describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)). Si la tâche échoue, l’AMI et les instantanés basculent en état d’échec.

La somme des tailles de tous les instantanés AMIs en cours est limitée à 600 Go (sur la base de la taille après restauration) de données instantanées EBS par compte. La création d’autres tâches est rejetée jusqu’à ce que les tâches en cours soient inférieures à la limite.

## Chemins de fichier
<a name="file-paths-in-s3"></a>

Vous pouvez utiliser les chemins des fichiers lors du stockage et de la restauration AMIs, de la manière suivante :
+ Lorsque vous stockez une AMI dans S3, le chemin d’accès au fichier peut être ajouté au nom du compartiment. En interne, le système sépare le chemin d’accès du nom du compartiment, puis ajoute le chemin d’accès à la clé d’objet générée pour stocker l’AMI. Le chemin d’accès complet à l’objet est indiqué dans la réponse à l’appel d’API.
+ Lors de la restauration de l’AMI, étant donné qu’un paramètre de clé d’objet est disponible, le chemin d’accès peut être ajouté au début de la valeur clé de l’objet.

**Exemple : nom du compartiment avec chemin de fichier ajouté**  
Lorsque vous stockez l’AMI, indiquez le chemin d’accès au fichier après le nom du compartiment.

```
amzn-s3-demo-bucket/path1/path2
```

Voici la clé d’objet résultante.

```
path1/path2/ami-0abcdef1234567890.bin
```

Lorsque vous restaurez l’AMI, vous spécifiez à la fois le nom du compartiment et la clé d’objet. Pour obtenir des exemples, consultez [Créer une tâche d’image de stockage](work-with-ami-store-restore.md#create-store-image-task).

# Créer une tâche d’image de stockage
<a name="work-with-ami-store-restore"></a>

Lorsque vous stockez une AMI dans un compartiment S3, une tâche de stockage d’image est créée. Vous pouvez utiliser la tâche de stockage d’images pour contrôler la progression et le résultat du processus.

**Topics**
+ [Sécurisation de votre AMIs](#securing-amis)
+ [Autorisations de stockage et de restauration AMIs à l'aide de S3](#ami-s3-permissions)
+ [Créer une tâche d’image de stockage](#create-store-image-task)
+ [Création d’une tâche de restauration d’image](#create-restore-image-task)

## Sécurisation de votre AMIs
<a name="securing-amis"></a>

Assurez-vous que la sécurité configurée pour le compartiment S3 est suffisante pour sécuriser le contenu de l’AMI et qu’elle sera assurée aussi longtemps que les objets de l’AMI resteront dans le compartiment. Si cela n'est pas possible, leur utilisation n' APIs est pas recommandée. Assurez-vous qu’aucun accès public au compartiment S3 n’est autorisé. Nous recommandons d'activer le [chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) pour les compartiments S3 dans lesquels vous les stockez AMIs, bien que cela ne soit pas obligatoire.

Pour plus d’informations sur la définition des paramètres de sécurité appropriés pour vos compartiments S3, consultez les rubriques de sécurité suivantes :
+ [Blocage de l’accès public à votre stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
+ [Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)
+ [Quelle politique de compartiment S3 puis-je utiliser pour me conformer à la AWS Config règle s3- bucket-ssl-requests-only ?](https://repost.aws/knowledge-center/s3-bucket-policy-for-config-rule)
+ [Activation de la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)

Lorsque les instantanés de l’AMI sont copiés vers l’objet S3, la copie des données s’effectue via des connexions TLS. Vous pouvez effectuer AMIs un stockage avec des instantanés chiffrés, mais ceux-ci sont déchiffrés dans le cadre du processus de stockage.

## Autorisations de stockage et de restauration AMIs à l'aide de S3
<a name="ami-s3-permissions"></a>

Si vos responsables IAM souhaitent stocker ou restaurer à AMIs l'aide d'Amazon S3, vous devez leur accorder les autorisations requises.

L’exemple de politique suivant inclut toutes les actions requises pour permettre à un principal IAM d’exécuter les tâches de stockage et de restauration.

Vous pouvez également créer des politiques IAM qui accordent aux principaux l’accès à des ressources spécifiques uniquement. Pour d'autres exemples de politiques, consultez la section [Gestion de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*.

**Note**  
Si les instantanés qui composent l’AMI sont chiffrés ou si votre compte est activé pour le chiffrement par défaut, votre principal IAM doit être autorisé à utiliser la clé KMS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Créer une tâche d’image de stockage
<a name="create-store-image-task"></a>

Pour stocker une AMI dans un compartiment S3, commencez par créer une tâche de stockage d’image. Le temps nécessaire à l’exécution de la tâche dépend de la taille de l’AMI. Vous pouvez suivre la progression de la tâche jusqu’à ce qu’elle aboutisse ou échoue.

------
#### [ AWS CLI ]

**Pour créer la tâche d’image de stockage**  
Utilisez la commande [create-store-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-store-image-task.html).

```
aws ec2 create-store-image-task \
    --image-id ami-0abcdef1234567890 \
    --bucket amzn-s3-demo-bucket
```

Voici un exemple de sortie.

```
{
  "ObjectKey": "ami-0abcdef1234567890.bin"
}
```

**Pour décrire l’état d’avancement de la tâche de l’image du stockage**  
Utilisez la commande [describe-store-image-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-store-image-tasks.html).

```
aws ec2 describe-store-image-tasks \
    --image-ids ami-0abcdef1234567890 \
    --query StoreImageTaskResults[].StoreTaskState \
    --output text
```

Voici un exemple de sortie.

```
InProgress
```

------
#### [ PowerShell ]

**Pour créer la tâche d’image de stockage**  
Utilisez l’applet de commande [New-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2StoreImageTask.html).

```
New-EC2StoreImageTask `
    -ImageId ami-0abcdef1234567890 `
    -Bucket amzn-s3-demo-bucket
```

Voici un exemple de sortie.

```
ObjectKey         : ami-0abcdef1234567890.bin
```

**Pour décrire l’état d’avancement de la tâche de l’image du stockage**  
Utilisez l’applet de commande [Get-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StoreImageTask.html).

```
(Get-EC2StoreImageTask -ImageId ami-0abcdef1234567890).StoreTaskState
```

Voici un exemple de sortie.

```
InProgress
```

------

## Création d’une tâche de restauration d’image
<a name="create-restore-image-task"></a>

Vous devez spécifier un nom pour l’AMI restaurée. Le nom de ce compte doit être unique AMIs dans la région. L’AMI restaurée obtient un nouvel ID d’AMI.

------
#### [ AWS CLI ]

**Pour créer une tâche de restauration d’image**  
Utilisez la commande [create-restore-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-restore-image-task.html).

```
aws ec2 create-restore-image-task \
    --object-key ami-0abcdef1234567890.bin \
    --bucket amzn-s3-demo-bucket \
    --name "my-restored-ami"
```

Voici un exemple de sortie.

```
{
   "ImageId": "ami-1234567890abcdef0"
}
```

------
#### [ PowerShell ]

**Pour créer une tâche de restauration d’image**  
Utilisez l’applet de commande [New-EC2RestoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RestoreImageTask.html).

```
New-EC2RestoreImageTask `
    -ObjectKey ami-0abcdef1234567890.bin `
    -Bucket amzn-s3-demo-bucket `
    -Name "my-restored-ami"
```

Voici un exemple de sortie.

```
ImageId         : ami-1234567890abcdef0
```

------

# Utiliser l'ascendance d'une AMI pour retracer l'origine d'une AMI
<a name="ami-ancestry"></a>

L'ascendance AMI vous aide à retracer l'origine d'une AMI en renvoyant les régions IDs et les régions de tous ses ancêtres AMIs. Lorsque vous créez ou copiez une AMI, la nouvelle AMI conserve l'ID et la région de son AMI source (parent). Cela vous permet de suivre la chaîne allant AMIs jusqu'à l'AMI racine.

**Principaux avantages**

L'utilisation de l'ascendance AMI vous permet de :
+ Suivez les dérivés de l'AMI pour garantir la conformité avec les politiques internes.
+ Identifiez les vulnérabilités potentielles AMIs lorsqu'un problème de sécurité est détecté dans une AMI ancêtre.
+ Maintenez la visibilité des origines des AMI dans plusieurs régions.

**Topics**
+ [Comment fonctionne AMI Ancestry](#how-ami-ancestry-works)
+ [Considérations](#ami-ancestry-conditions)
+ [Voir l'ascendance AMI](#view-ami-ancestry)
+ [Identifier la source de l’AMI](#identify-source-ami-used-to-create-new-ami)

## Comment fonctionne AMI Ancestry
<a name="how-ami-ancestry-works"></a>

L'ascendance de l'AMI identifie l'AMI parent qui a été utilisée pour créer l'AMI spécifiée, le parent du parent, etc., jusqu'à l'AMI racine. Voici comment cela fonctionne :
+ Chaque AMI affiche l'ID et la région de son AMI source (parent).
+ En commençant par l'AMI que vous avez sélectionnée, la liste des entrées d'ascendance affiche chaque AMI parent dans l'ordre.
+ La liste des entrées d'ascendance remonte jusqu'à ce qu'elle atteigne l'AMI racine. L'AMI racine est l'une des suivantes : 
  + Une AMI publique provenant d'un [fournisseur vérifié](sharing-amis.md#verified-ami-provider) (identifié par son alias de propriétaire, qui est soit `amazon` soit`aws-marketplace`).
  + Un AMI sans ancêtre enregistré. Par exemple, lorsque vous créez une AMI directement [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)à partir d'un ensemble de snapshots, il n'y a aucune AMI source à suivre, contrairement à la création d'une AMI à partir d'une instance.
  + Une AMI dont l'AMI source provient d'une autre [partition](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition).
  + La 50e AMI de la liste. Le nombre maximum de personnes AMIs dans une liste d'ascendance est de 50.

## Considérations
<a name="ami-ancestry-conditions"></a>
+ L'ID et la région de l'AMI source ne sont disponibles que pour les AMIs créations à l'aide de [CreateImage[CopyImage](CopyingAMIs.md#ami-copy-steps)](creating-an-ami-ebs.md#how-to-create-ebs-ami), ou [CreateRestoreImageTask](store-restore-how-it-works.md#CreateRestoreImageTask).
+ Pour une AMIs application créée à l'aide de [CreateImage](creating-an-ami-ebs.md#how-to-create-ebs-ami)(crée une AMI à partir d'une instance), l'ID de l'AMI source est l'ID de l'AMI utilisée pour lancer l'instance.
+ Les informations de l'AMI source ne sont pas disponibles pour :
  + AMIs créés à l'aide de [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)car ils ont été créés à partir d'instantanés.
  + Pour certains plus âgés AMIs.
+ Les informations de l'AMI source sont conservées lorsque :
  + AMIs sont copiés dans toutes les régions.
  +  AMIs Les sources sont désenregistrées (supprimées).
  + Vous n'avez pas accès à la source AMIs.
+ Chaque liste d'ascendance est limitée à 50 AMIs.

## Voir l'ascendance AMI
<a name="view-ami-ancestry"></a>

Vous pouvez consulter l'ascendance d'une AMI en utilisant les méthodes suivantes.

------
#### [ Console ]

**Pour consulter l'ascendance d'un AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez une AMI, puis cliquez sur l'onglet **AMI Ancestry**.

1. Le tableau des **entrées d'ascendance AMI** répertorie tous les éléments de AMIs la liste d'ascendance.
   + **ID AMI** : identifiant de chaque AMI de la liste d'ascendance. La première entrée du tableau est l'AMI sélectionnée, suivie de ses ancêtres.
   + **ID de l'AMI source** : ID de l'AMI à partir de laquelle l'AMI figurant dans la colonne **ID d'AMI** a été créée. Un tiret (**-**) indique la fin de la liste d'ascendance AMI.
   + **Région de l'AMI source** — L' Région AWS endroit où se trouve l'AMI source.
   + **Niveau d'ascendance** : position dans la liste d'ascendance, où :
     + **0 (AMI d'entrée)** indique l'AMI sélectionnée dont vous souhaitez connaître l'ascendance.
     + De plus en plus de personnes indiquent des ancêtres plus âgés.
     + ***n*(AMI d'origine)** indique l'AMI racine, le numéro indiquant la date de la liste d'ascendance.
   + **Date de création : date** de création de l'AMI, au format UTC.
   + Alias du **propriétaire : alias** du propriétaire de l'AMI (par exemple,`amazon`). Un tiret (**-**) indique que l'AMI n'a pas d'alias de propriétaire.

------
#### [ AWS CLI ]

**Pour consulter l'ascendance d'un AMI**  
Utilisez la commande [get-image-ancestry](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-ancestry.html) et spécifiez l’ID d’AMI.

```
aws ec2 get-image-ancestry \
    --image-id ami-1111111111EXAMPLE \
    --region us-east-1
```

Voici un exemple de sortie. La sortie est AMIs répertoriée par ordre d'ascendance : la première entrée est l'AMI spécifiée (entrée), suivie de son parent, du parent, etc., et se termine par l'AMI racine.

```
{
    "ImageAncestryEntries": [
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-1111111111EXAMPLE", // Input AMI
            "SourceImageId": "ami-2222222222EXAMPLE",
            "SourceImageRegion": "us-east-1"

        },
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-2222222222EXAMPLE", // Parent AMI
            "SourceImageId": "ami-3333333333EXAMPLE",
            "SourceImageRegion": "us-east-1"
        },
        ...
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-8888888888EXAMPLE", // Root AMI
            "ImageOwnerAlias": "aws-marketplace",
            "SourceImageId": "ami-9999999999EXAMPLE",
            "SourceImageRegion": "us-east-2"
        }
    ]
}
```

------
#### [ PowerShell ]

**Pour consulter l'ascendance d'un AMI**  
Utilisez l’applet de commande [Get-EC2ImageAncestry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAncestry.html).

```
Get-EC2ImageAncestry -ImageId ami-1111111111EXAMPLE
```

Voici un exemple de sortie. La sortie est AMIs répertoriée par ordre d'ascendance : la première entrée est l'AMI spécifiée (entrée), suivie de son parent, du parent, etc., et se termine par l'AMI racine.

```
ImageAncestryEntries : {
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-1111111111EXAMPLE"    # Input AMI
        SourceImageId = "ami-2222222222EXAMPLE"
        SourceImageRegion = "us-east-1"
    },
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-2222222222EXAMPLE"    # Parent AMI
        SourceImageId = "ami-3333333333EXAMPLE"
        SourceImageRegion = "us-east-1"
    },
    ...
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-8888888888EXAMPLE"    # Root AMI
        ImageOwnerAlias = "aws-marketplace"
        SourceImageId = "ami-9999999999EXAMPLE"
        SourceImageRegion = "us-east-2"
    }
}
```

------

## Identifier la source de l’AMI
<a name="identify-source-ami-used-to-create-new-ami"></a>

Si vous devez uniquement identifier l'AMI parent immédiat (source) utilisée pour créer une AMI, vous pouvez utiliser les méthodes suivantes.

------
#### [ Console ]

**Pour identifier l'AMI source utilisée pour créer l'AMI sélectionnée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez l’AMI pour en afficher les détails.

   Les informations sur l’AMI source apparaissent dans les champs suivants : **Identifiant de l’AMI source** et **Région de l’AMI source**

------
#### [ AWS CLI ]

**Pour identifier l'AMI source utilisée pour créer l'AMI spécifiée**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --region us-east-1 \
    --image-ids ami-0abcdef1234567890 \
    --query "Images[].{ID:SourceImageId,Region:SourceImageRegion}"
```

Voici un exemple de sortie.

```
[
    {
        "ID": "ami-0abcdef1234567890",
        "Region": "us-west-2"
    }
}
```

------
#### [ PowerShell ]

**Pour identifier l'AMI source utilisée pour créer l'AMI spécifiée**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image -ImageId ami-0abcdef1234567890 | Select SourceImageId, SourceImageRegion
```

Voici un exemple de sortie.

```
SourceImageId           SourceImageRegion
-------------           -----------------
ami-0abcdef1234567890 us-west-2
```

------

# Gestion et surveillance de l’utilisation d’une AMI
<a name="ec2-ami-usage"></a>

AWS fournit plusieurs fonctionnalités pour vous aider à gérer et à surveiller efficacement l'utilisation de votre AMI. Vous pouvez suivre les comptes qui utilisent votre compte partagé AMIs, déterminer quand vous avez AMIs été utilisé pour la dernière fois et découvrir quelles ressources de votre compte Compte AWS font référence à des ressources spécifiques AMIs.

Le tableau suivant donne un aperçu des fonctionnalités de gestion et de surveillance de l’utilisation des AMI :


| Fonctionnalité | Cas d’utilisation | Principaux avantages | 
| --- | --- | --- | 
| [Rapports d’utilisation d’AMI](your-ec2-ami-usage.md) | Gagnez en visibilité sur Comptes AWS les personnes qui utilisent votre AMI AMIs et dans quelle mesure chaque AMI est utilisée. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 
| [Suivi de la dernière utilisation](ami-last-launched-time.md) | Vérifier quand votre AMI a été utilisé pour la dernière fois. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 
| [Vérification des références d’AMI](ec2-ami-references.md) | Assurez-vous que vos AWS ressources utilisent les dernières technologies conformes AMIs. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 

**Topics**
+ [Affichage de l’utilisation de votre AMI](your-ec2-ami-usage.md)
+ [Vérifiez la date de la dernière utilisation d’une AMI Amazon EC2](ami-last-launched-time.md)
+ [Identifiez vos ressources en référençant les spécifications AMIs](ec2-ami-references.md)

# Affichage de l’utilisation de votre AMI
<a name="your-ec2-ami-usage"></a>

Si vous partagez vos images Amazon Machine (AMIs) avec d'autres personnes, Comptes AWS que ce soit avec des organisations spécifiques Comptes AWS, des unités organisationnelles (OUs) ou publiquement, vous pouvez voir comment elles AMIs sont utilisées en créant des rapports d'utilisation des AMI. Les rapports fournissent de la visibilité sur :
+ Qui Comptes AWS utilisent vos AMIs EC2 instances internes ou vos modèles de lancement
+ Combien d' EC2 instances ou de modèles de lancement font référence à chaque AMI

Les rapports d'utilisation des AMI vous aident à gérer votre activité AMIs de manière plus efficace en vous aidant à :
+ Identifiez les types Comptes AWS de ressources qui vous référencent AMIs afin de pouvoir vous désinscrire ou désactiver en toute sécurité. AMIs
+ Identifiez les articles non utilisés AMIs pour la désinscription afin de réduire les coûts de stockage.
+ Identifiez ceux que vous utilisez le plus AMIs.

**Topics**
+ [Comment fonctionnent les rapports d’utilisation des AMI](#how-ami-usage-reports-work)
+ [Création d’un rapport d’utilisation d’AMI](#create-ami-usage-reports)
+ [Affichage des rapports d’utilisation d’AMI](#view-ami-usage-reports)
+ [Suppression d’un rapport d’utilisation d’AMI](#delete-ami-usage-reports)
+ [Quotas de rapports](#ami-usage-report-quotas)

## Comment fonctionnent les rapports d’utilisation des AMI
<a name="how-ami-usage-reports-work"></a>

Lorsque vous créez un rapport d’utilisation d’AMI, vous spécifiez :
+ L’AMI faisant l’objet du rapport.
+ Les comptes Comptes AWS à vérifier (comptes spécifiques ou tous les comptes).
+ Les types de ressources à vérifier (EC2 instances, modèles de lancement ou les deux).
+ Pour les modèles de lancement, le nombre de versions à vérifier (par défaut, les 20 versions les plus récentes).

Amazon EC2 crée un rapport distinct pour chaque AMI. Chaque rapport fournit :
+ Liste des utilisateurs Comptes AWS de l'AMI.
+ Le nombre de ressources référençant l’AMI par type de ressource par compte. Notez que pour les modèles de lancement, si une AMI est référencée dans plusieurs versions d’un modèle de lancement, le nombre n’est que de 1.

**Important**  
Lorsque vous générez un rapport d’utilisation d’AMI, il se peut qu’il ne contienne pas l’activité la plus récente. L’activité des instances au cours des dernières 24 heures et l’activité du modèle de lancement au cours des derniers jours peuvent ne pas apparaître dans le rapport.

Amazon supprime EC2 automatiquement un rapport 30 jours après sa création. Vous pouvez télécharger des rapports depuis la EC2 console pour les conserver localement.

## Création d’un rapport d’utilisation d’AMI
<a name="create-ami-usage-reports"></a>

Pour voir comment votre AMI est utilisée, vous devez d’abord créer un rapport d’utilisation d’AMI, en spécifiant les comptes et les types de ressources sur lesquels porte le rapport. Une fois le rapport créé, vous pouvez afficher le contenu du rapport. Vous pouvez également télécharger le rapport depuis la EC2 console.

------
#### [ Console ]

**Pour créer un rapport d’utilisation d’AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez une AMI et choisissez **Actions**, **Utilisation de mes AMI**, **Afficher l’utilisation de mes AMI**.

1. Sur la page **Créer un rapport d’utilisation de mes AMI**, procédez comme suit :

   1. En regard de **Types de ressource**, sélectionnez un ou plusieurs types de ressources sur lesquels porte le rapport.

   1. Pour **Account (Compte) IDs**, sélectionnez l'une des options suivantes :
      + Choisissez **Spécifier les comptes**, IDs puis choisissez **Ajouter un identifiant de compte** pour chaque compte sur lequel vous souhaitez créer un rapport.
      + Choisissez **Inclure tous les comptes** pour créer un rapport sur tous les comptes.

   1. Choisissez **Créer un rapport d’utilisation de mes AMI**.

1. Sur la page AMI, choisissez l’onglet **Utilisation de mes AMI**.

1. Choisissez un ID de rapport pour en afficher les détails.

------
#### [ AWS CLI ]

**Pour créer un rapport d’utilisation d’AMI pour une liste de comptes**  
Utilisez la [create-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image-usage-report.html)commande avec les paramètres obligatoires suivants :
+ `--image-id` : ID de l’AMI sur laquelle porte le rapport.
+ `--resource-types` : les types de ressources à vérifier. Dans l'exemple suivant, les types de ressources à vérifier sont les EC2 instances et les modèles de lancement. En outre, le nombre de versions du modèle de lancement à vérifier est également spécifié (`version-depth=100`).

 Pour créer un rapport sur des comptes spécifiques, utilisez le paramètre `--account-ids` pour spécifier l’ID de chaque compte sur lequel porte le rapport.

```
aws ec2 create-image-usage-report \
    --image-id ami-0abcdef1234567890 \
    --account-ids 111122223333 444455556666 123456789012 \
    --resource-types ResourceType=ec2:Instance \
      'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```

**Pour créer un rapport d’utilisation d’AMI pour tous les comptes**  
Pour créer un rapport portant sur tous les comptes utilisant l’AMI spécifiée, utilisez la même commande, mais omettez le paramètre `--account-ids`.

```
aws ec2 create-image-usage-report \
    --image-id ami-0abcdef1234567890 \
    --resource-types ResourceType=ec2:Instance \
      'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```

Voici un exemple de sortie.

```
{
    "ReportId": "amiur-00b877d192f6b02d0"
}
```

**Pour surveiller le statut de création du rapport**  
Utilisez la [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)commande et spécifiez l'ID du rapport.

```
aws ec2 describe-image-usage-reports --report-ids amiur-00b877d192f6b02d0
```

Voici un exemple de sortie. La valeur initiale du champ `State` est `pending`. Pour pouvoir consulter les entrées du rapport, l’état doit être `available`.

```
{
    "ImageUsageReports": [
        {
            "ImageId": "ami-0e9ae3dc21c2b3a64",
            "ReportId": "amiur-abcae3dc21c2b3999",
            "ResourceTypes": [
                {"ResourceType": "ec2:Instance"}
            ],
            "State": "pending",
            "CreationTime": "2025-09-29T13:27:12.322000+00:00",
            "ExpirationTime": "2025-10-28T13:27:12.322000+00:00"
        }
    ]
}
```

------
#### [ PowerShell ]

**Pour créer un rapport d’utilisation d’AMI pour une liste de comptes**  
Utilisez l'[New-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2ImageUsageReport.html)applet de commande avec les paramètres obligatoires suivants :
+ `-ImageId` : ID de l’AMI sur laquelle porte le rapport.
+ `-ResourceType` : les types de ressources à vérifier. Dans l'exemple suivant, les types de ressources à vérifier sont les EC2 instances et les modèles de lancement. En outre, le nombre de versions du modèle de lancement à vérifier est également spécifié (`'version-depth' = 100`).

 Pour créer un rapport sur des comptes spécifiques, utilisez le paramètre `-AccountId` pour spécifier l’ID de chaque compte sur lequel porte le rapport.

```
New-EC2ImageUsageReport `
    -ImageId ami-0abcdef1234567890 `
    -AccountId 111122223333 444455556666 123456789012 `
    -ResourceType @(
        @{ResourceType = 'ec2:Instance'},
        @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
        })
```

**Pour créer un rapport d’utilisation d’AMI pour tous les comptes**  
Pour créer un rapport portant sur tous les comptes utilisant l’AMI spécifiée, utilisez la même commande, mais omettez le paramètre `-AccountId`.

```
New-EC2ImageUsageReport `
    -ImageId ami-0abcdef1234567890 `
    -ResourceType @(
        @{ResourceType = 'ec2:Instance'},
        @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
        })
```

Voici un exemple de sortie.

```
ReportId
--------
amiur-00b877d192f6b02d0
```

**Pour surveiller le statut de création du rapport**  
Utilisez la [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)commande et spécifiez l'ID du rapport.

```
Get-EC2ImageUsageReport -ReportId amiur-00b877d192f6b02d0
```

Voici un exemple de sortie. La valeur initiale du champ `State` est `pending`. Pour pouvoir consulter les entrées du rapport, l’état doit être `available`.

```
ImageUsageReports
-----------------
{@{ImageId=ami-0e9ae3dc21c2b3a64; ReportId=amiur-abcae3dc21c2b3999; ResourceTypes=System.Object[]; State=pending; CreationTime=2025-09-29; ExpirationTime=2025-10-28}}
```

------

## Affichage des rapports d’utilisation d’AMI
<a name="view-ami-usage-reports"></a>

Vous pouvez consulter tous les rapports d’utilisation que vous avez créés pour une AMI au cours des 30 derniers jours. Amazon supprime EC2 automatiquement un rapport 30 jours après sa création.

Pour chaque rapport, vous pouvez voir ceux Comptes AWS qui utilisent l'AMI, et pour chaque compte, le nombre de ressources référençant l'AMI par type de ressource. Vous pouvez également voir quand la création du rapport a été lancée. Ces informations ne sont disponibles que lorsque le rapport est à l’état **Complet** (console) ou `available` (AWS CLI).

**Important**  
Lorsque vous générez un rapport d’utilisation d’AMI, il se peut qu’il ne contienne pas l’activité la plus récente. L’activité des instances au cours des dernières 24 heures et l’activité du modèle de lancement au cours des derniers jours peuvent ne pas apparaître dans le rapport.

------
#### [ Console ]

**Pour consulter un rapport d’utilisation d’AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez une AMI.

1. Choisissez l’onglet **Mes rapports d’utilisation**.

   La liste des rapports affiche :
   + tous les rapports générés au cours des 30 derniers jours pour l’AMI sélectionnée ;
   + la colonne **Heure de lancement du rapport** indiquant la date à laquelle le rapport a été créé, pour chaque rapport.

1. Choisissez l’ID d’un rapport pour afficher son contenu.

1. Pour revenir à l’onglet **Mes rapports d’utilisation** sur la page de détails de l’AMI, choisissez **Afficher tous les rapports pour cette AMI**.

------
#### [ AWS CLI ]

**Pour répertorier tous les rapports d’utilisation d’AMI pour l’AMI spécifiée**  
Utilisez la [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)commande et spécifiez l'ID de l'AMI pour obtenir la liste de ses rapports.

```
aws ec2 describe-image-usage-reports --image-ids ami-0abcdef1234567890
```

Voici un exemple de sortie. Chaque ID de rapport est répertorié avec les types de ressources qui ont été analysés, ainsi que les dates de création et d’expiration du rapport. Vous pouvez utiliser ces informations pour identifier les rapports dont vous souhaitez consulter les entrées.

```
{
  "ImageUsageReports": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ReportId": "amiur-1111111111111111",
      "ResourceTypes": [
        {
          "ResourceType": "ec2:Instance"
        }
      ],
      "State": "available",
      "CreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ExpirationTime": "2025-10-28T13:27:12.322000+00:00",
      "Tags": []
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ReportId": "amiur-22222222222222222",
      "ResourceTypes": [
        {
          "ResourceType": "ec2:Instance"
        },
        {
          "ResourceType": "ec2:LaunchTemplate"
        }
      ],
      "State": "available",
      "CreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ExpirationTime": "2025-10-30T13:27:12.322000+00:00",
      "Tags": []
    }
  ],
  "NextToken": "opaque"
}
```

**Pour afficher le contenu d’un rapport d’utilisation d’AMI pour l’AMI spécifiée**  
Utilisez la commande [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) et spécifiez l'ID de l'AMI. La réponse renvoie tous les rapports pour l’AMI spécifiée, indiquant les comptes qui ont utilisé l’AMI et le nombre de leurs ressources.

```
aws ec2 describe-image-usage-report-entries --image-ids ami-0abcdef1234567890
```

Voici un exemple de sortie.

```
{
  "ImageUsageReportEntries": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 15,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-1111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 2,
      "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ReportId": "amiur-22222222222222222"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "001100110011",
      "UsageCount": 39,
      "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ReportId": "amiur-22222222222222222"
    }
  ],
  "NextToken": "opaque"
}
```

**Pour afficher le contenu d’un rapport d’utilisation d’AMI pour le rapport spécifié**  
Utilisez la commande [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) et spécifiez l'ID du rapport. La réponse renvoie toutes les entrées du rapport spécifié, indiquant les comptes qui ont utilisé l’AMI et le nombre de leurs ressources.

```
aws ec2 describe-image-usage-report-entries --report-ids amiur-11111111111111111
```

Voici un exemple de sortie.

```
{
  "ImageUsageReportEntries": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 15,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:LaunchTemplate",
      "AccountId": "123412341234",
      "UsageCount": 4,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:LaunchTemplate",
      "AccountId": "001100110011",
      "UsageCount": 2,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    }
  ],
  "NextToken": "opaque"
}
```

------
#### [ PowerShell ]

**Pour répertorier tous les rapports d’utilisation d’AMI pour l’AMI spécifiée**  
Utilisez l'[Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)applet de commande et spécifiez l'ID de l'AMI pour obtenir la liste de ses rapports.

```
Get-EC2ImageUsageReport -ImageId ami-0abcdef1234567890
```

Voici un exemple de sortie. Chaque ID de rapport est répertorié avec les types de ressources qui ont été analysés, ainsi que les dates de création et d’expiration du rapport. Vous pouvez utiliser ces informations pour identifier les rapports dont vous souhaitez consulter les entrées.

```
@{
    ImageUsageReports = @(
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-1111111111111111"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-09-29T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-28T13:27:12.322000+00:00"
        },
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-22222222222222222"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-09-30T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-29T13:27:12.322000+00:00"
        },
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-33333333333333333"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-10-01T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-30T13:27:12.322000+00:00"
        }
    )
    NextToken = "opaque"
}
```

**Pour afficher le contenu d’un rapport d’utilisation d’AMI pour l’AMI spécifiée**  
Utilisez l'[Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)applet de commande et spécifiez l'ID de l'AMI. La réponse renvoie tous les rapports pour l’AMI spécifiée, indiquant les comptes qui ont utilisé l’AMI et le nombre de leurs ressources.

```
Get-EC2ImageUsageReportEntry -ImageId ami-0abcdef1234567890
```

Voici un exemple de sortie.

```
ImageUsageReportEntries : {@{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 15
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-1111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 7
    ReportCreationTime = "2025-09-30T13:27:12.322000+00:00"
    ReportId = "amiur-22222222222222222"
    }...}
NextToken : opaque
```

**Pour afficher le contenu d’un rapport d’utilisation d’AMI pour le rapport spécifié**  
Utilisez l'[Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)applet de commande et spécifiez l'ID du rapport. La réponse renvoie toutes les entrées du rapport spécifié, indiquant les comptes qui ont utilisé l’AMI et le nombre de leurs ressources.

```
Get-EC2ImageUsageReportEntry -ReportId amiur-11111111111111111
```

Voici un exemple de sortie.

```
ImageUsageReportEntries : {@{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 15
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:LaunchTemplate"
    AccountId = "123412341234"
    UsageCount = 4
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:LaunchTemplate"
    AccountId = "************"
    UsageCount = 2
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }}
NextToken : opaque
```

------

## Suppression d’un rapport d’utilisation d’AMI
<a name="delete-ami-usage-reports"></a>

Amazon supprime EC2 automatiquement un rapport 30 jours après sa création. Vous pouvez le supprimer manuellement avant cette date.

------
#### [ Console ]

**Pour supprimer un rapport d’utilisation d’AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez une AMI.

1. Choisissez l’onglet **Utilisation de mes AMI**.

1. Sélectionnez le bouton d’option situé à côté du rapport à supprimer, puis choisissez **Supprimer**.

------
#### [ AWS CLI ]

**Pour supprimer un rapport d’utilisation d’AMI**  
Utilisez la [delete-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-image-usage-report.html)commande et spécifiez l'ID du rapport.

```
aws ec2 delete-image-usage-report --report-id amiur-0123456789abcdefg
```

------
#### [ PowerShell ]

**Pour supprimer un rapport d’utilisation d’AMI**  
Utilisez l'[Remove-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2ImageUsageReport.html)applet de commande et spécifiez l'ID du rapport.

```
Remove-EC2ImageUsageReport -ReportId amiur-0123456789abcdefg
```

------

## Quotas de rapports
<a name="ami-usage-report-quotas"></a>

Les quotas suivants s’appliquent à la création de rapports d’utilisation d’AMI. Les quotas s’appliquent par Région AWS.


| Description | Quota | 
| --- | --- | 
| Rapports d'utilisation de l'AMI en cours (pending) par Compte AWS | 2 000 | 
| Rapports d’utilisation d’AMI en cours (pending) par AMI | 1 | 

# Vérifiez la date de la dernière utilisation d’une AMI Amazon EC2
<a name="ami-last-launched-time"></a>

Amazon EC2 enregistre automatiquement la date et l’heure auxquelles une AMI a été utilisée pour la dernière fois pour lancer une instance. [Si vous disposez d’une AMI qui n’a pas été utilisée pour lancer une instance depuis longtemps, examinez si l’AMI est un bon candidat pour le [désenregistrement](deregister-ami.md) ou l’obsolescence](ami-deprecate.md).

**Considérations**
+ Lorsque l’AMI est utilisée pour le démarrage d’une instance, un délai de 24 heures s’écoule avant que cette utilisation ne soit signalée.
+ Vous devez être le propriétaire de l’AMI pour obtenir la dernière heure à laquelle l’AMI a été lancé.
+ Les données d’utilisation d’une AMI sont disponibles à partir d’avril 2017.

------
#### [ Console ]

**Pour afficher la dernière heure de lancement d’une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** (M’appartenant).

1. Cochez la case correspondant à l’AMI.

1. Dans l’onglet **Détails**, recherchez **Heure du dernier lancement**.

------
#### [ AWS CLI ]

**Pour afficher la dernière heure de lancement en décrivant l’AMI**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Si `LastLaunchedTime` n’est pas présent dans la sortie, vérifiez que vous possédez l’AMI.

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].LastLaunchedTime \
    --output text
```

Voici un exemple de sortie.

```
2025-02-17T20:22:19Z
```

**Pour afficher l’attribut de l’heure de dernier lancement d’une AMI**  
Utilisez la commande [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html). Vous devez être le propriétaire de l’AMI spécifiée.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute lastLaunchedTime \
    --query LastLaunchedTime.Value \
    --output text
```

Voici un exemple de sortie.

```
2025-02-17T20:22:19Z
```

------
#### [ PowerShell ]

**Pour afficher la dernière heure de lancement en décrivant l’AMI**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Si `LastLaunchedTime` n’est pas présent dans la sortie, vérifiez que vous possédez l’AMI.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).LastLaunchedTime
```

Voici un exemple de sortie.

```
2025-02-17T20:22:19Z
```

**Pour afficher l’attribut de l’heure de dernier lancement d’une AMI**  
Utilisez l’applet de commande [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html). Vous devez être le propriétaire de l’AMI spécifiée.

```
(Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LastLaunchedTime).LastLaunchedTime
```

Voici un exemple de sortie.

```
2025-02-17T20:22:19Z
```

------

# Identifiez vos ressources en référençant les spécifications AMIs
<a name="ec2-ami-references"></a>

Vous pouvez identifier vos AWS ressources qui font référence à des Amazon Machine Images (AMIs) spécifiées, qu'elles AMIs soient publiques ou privées, ou qu'elles soient propriétaires. Cette visibilité vous permet de vous assurer que vos ressources utilisent les dernières normes de conformité AMIs.

**Principaux avantages**

Grâce à la vérification des références à l’AMI, vous :
+ Vérifiez l'utilisation de AMIs dans votre compte.
+ Vérifiez où des informations spécifiques AMIs sont référencées.
+ Maintenez la conformité en mettant à jour vos ressources pour faire référence aux dernières nouveautésAMIs.

 
**Topics**
+ [Ressources prises en charge](#ec2-ami-references-supported-resources)
+ [Fonctionnement des vérifications de références d’une AMI](#how-ami-references-works)
+ [Autorisations IAM requises](#ami-references-required-permissions)
+ [Étapes de vérification des références d’une AMI](#ami-reference-procedures)

## Ressources prises en charge
<a name="ec2-ami-references-supported-resources"></a>

Les références à une AMI peuvent être vérifiées dans :
+ Instances EC2
+ Modèles de lancement
+ Paramètres SSM
+ Recettes d’images Image Builder
+ Recettes de conteneurs Image Builder

## Fonctionnement des vérifications de références d’une AMI
<a name="how-ami-references-works"></a>

**Opération de base**

Lorsque vous exécutez une vérification de références d’une AMI, vous :
+ Spécifiez les AMIs éléments à vérifier.
+ Choisissez les types de ressources à analyser.
+ Recevez une liste de vos ressources qui font référence aux informations spécifiées AMIs.

**Sélection du type de ressource**

Dans la console, vous sélectionnez les types de ressources à analyser.

Dans la CLI, vous spécifiez les types de ressources à analyser à l’aide de l’un ou des deux paramètres CLI suivants :
+ `IncludeAllResourceTypes` : analyse tous les types de ressources prises en charge.
+ `ResourceTypes` : analyse les types de ressources que vous avez spécifiés.

**Définition de la portée de la réponse**

Vous pouvez définir la réponse pour les instances EC2 et les modèles de lancement en personnalisant les valeurs `ResourceTypeOptions` à l’aide du paramètre `ResourceTypes`. La console et le paramètre `IncludeAllResourceTypes` utilisent tous deux des valeurs d’option par défaut. Lorsque `ResourceTypes` et `IncludeAllResourceTypes` sont utilisées ensemble, les valeurs des options `ResourceTypes` ont priorité sur les valeurs par défaut.

Les valeurs par défaut sont les suivantes :


| Type de ressource | Option de définition de la portée (`OptionName`) | Objectif | Valeurs par défaut pour `OptionValue` et la console | 
| --- | --- | --- | --- | 
| Instances EC2 | state-name | Filtrer par état de l’instance | pending, running, shutting-down, terminated, stopping, stopped (tous les états) | 
| Modèles de lancement | version-depth | Spécifiez le nombre de versions du modèle de lancement à vérifier (à partir de la version la plus récente) | 10 (versions les plus récentes) | 

## Autorisations IAM requises
<a name="ami-references-required-permissions"></a>

Pour utiliser l'DescribeImageReferencesAPI afin d'identifier les ressources qui font référence à des ressources spécifiées AMIs, vous devez disposer des autorisations IAM suivantes pour décrire les ressources :
+ `ec2:DescribeInstances`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ssm:DescribeParameters`
+ `ssm:GetParameters`
+ `imagebuilder:ListImageRecipes`
+ `imagebuilder:ListContainerRecipes`
+ `imagebuilder:GetContainerRecipe`

**Exemple de politique IAM pour l’utilisation de l’API DescribeImageReferences**  
L’exemple de politique suivant vous accorde les autorisations nécessaires pour utiliser l’API DescribeImageReferences, qui inclut les autorisations pour décrire les instances EC2, les modèles de lancement, les paramètres de Systems Manager, les recettes d’images Image Builder et les recettes de conteneur Image Builder.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
```

------

**Important**  
Nous vous recommandons vivement d'utiliser la stratégie AWS gérée [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html)plutôt que de la créer vous-même. La création d’une politique IAM personnalisée qui ne fournit que les autorisations requises nécessite du temps et de l’expertise, et nécessitera des mises à jour à mesure que de nouveaux types de ressources seront disponibles.  
La politique gérée `AmazonEC2ImageReferencesAccessPolicy` :  
Accorde toutes les autorisations nécessaires pour utiliser l’API DescribeImageReferences (notamment les autorisations permettant de décrire les instances EC2, les modèles de lancement, les paramètres de Systems Manager, le conteneur Image Builder et les recettes d’images).
Prend automatiquement en charge les nouveaux types de ressources dès qu’ils sont disponibles (ce qui est particulièrement important lors de l’utilisation du paramètre `IncludeAllResourceTypes`).
Vous pouvez associer la politique `AmazonEC2ImageReferencesAccessPolicy` à vos identités IAM (utilisateurs, groupes et rôles).   
Pour voir les autorisations incluses dans cette politique, consultez la section [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html) dans la *Référence des politiques gérées par AWS *.

## Étapes de vérification des références d’une AMI
<a name="ami-reference-procedures"></a>

Utilisez les procédures suivantes pour identifier les AWS ressources auxquelles les références sont spécifiées AMIs.

------
#### [ Console ]

**Pour identifier les ressources faisant référence aux spécifications AMIs**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez-en une ou plusieurs AMIs pour vérifier les références.

1. Choisissez **Actions**, **Utilisation de l’AMI**, **Afficher les ressources référencées**.

1. Sur la AMIs page **Afficher les ressources référençant la sélection** :

   1. En regard de **Types de ressource**, sélectionnez un ou plusieurs types de ressources.

   1. Choisissez **Afficher les ressources**.

1. La AMIs section **Ressources faisant référence à la sélection** apparaît. La liste affiche les ressources faisant référence aux informations spécifiées AMIs. Chaque ligne fournit les informations suivantes :
   + **ID d’AMI** : ID de l’AMI référencée.
   + **Type de ressource** : type de ressource de la ressource référençant l’AMI.
   + **ID de ressource** : ID de la ressource référençant l’AMI.

------
#### [ AWS CLI ]

**Pour vérifier les références d’AMI pour des types de ressources spécifiques**  
Utilisez la commande [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) avec le paramètre `--resource-types`. L’exemple suivant vérifie les instances EC2 (en fonction de l’état d’instance), les modèles de lancement (limités aux 20 versions de modèles de lancement les plus récents) et d’autres types de ressources spécifiques.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'
```

Voici un exemple de sortie.

```
{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
```

**Pour vérifier les références d’AMI pour tous les types de ressources pris en charge**  
Utilisez la commande [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) avec le paramètre `--include-all-resource-types`.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
```

**Pour vérifier les références à l’AMI pour tous les types de ressources pris en charge et les options spécifiques**  
Utilisez la [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)commande avec les `--resource-types` paramètres `--include-all-resource-types` et. Cet exemple vérifie tous les types de ressources tout en limitant la réponse des instances EC2 aux instances en cours d’exécution ou en attente.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
```

------
#### [ PowerShell ]

**Pour vérifier les références d’AMI pour des types de ressources spécifiques**  
Utilisez l'[Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)applet de commande avec le `-ResourceType` paramètre. L’exemple suivant vérifie les instances EC2 (en fonction de l’état d’instance), les modèles de lancement (limités aux 20 versions de modèles de lancement les plus récents) et d’autres types de ressources spécifiques.

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
```

**Pour vérifier les références d’AMI pour tous les types de ressources pris en charge**  
Utilisez l'[Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)applet de commande avec le `-IncludeAllResourceTypes` paramètre.

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
```

**Pour vérifier les références à l’AMI pour tous les types de ressources pris en charge et les options spécifiques**  
Utilisez l'[Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)applet de commande avec les paramètres `-IncludeAllResourceTypes` et`-ResourceType`. Cet exemple vérifie tous les types de ressources tout en limitant la réponse des instances EC2 aux instances en cours d’exécution ou en attente.

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )
```

------

# Dépréciation d'une Amazon AMI EC2
<a name="ami-deprecate"></a>

Vous pouvez rendre obsolète une AMI pour indiquer qu’elle ne doit pas être utilisée. Vous pouvez également spécifier une date d’obsolescence future pour une AMI, indiquant quant elle ne devra plus être utilisée. Par exemple, vous pouvez rendre obsolète une AMI qui ne fait plus l’objet d’une maintenance active, ou qui a été remplacée par une version plus récente. Par défaut, les versions obsolètes n'apparaissent AMIs pas dans les listes d'AMI, ce qui empêche les nouveaux utilisateurs de les utiliser. out-of-date AMIs Toutefois, des utilisateurs existants et des services de lancement, tels que des modèles de lancement et des groupes Auto Scaling, peuvent continuer à utiliser une AMI obsolète en spécifiant son ID. Pour supprimer l’AMI afin que les utilisateurs et les services ne puissent plus l’utiliser, vous devez la [désinscrire](deregister-ami.md).

Une fois qu’une AMI est obsolète :
+ Pour les utilisateurs de l'AMI, l'AMI obsolète n'apparaît pas dans les appels d'[DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)API, sauf si vous spécifiez son ID ou si vous spécifiez que l'AMI obsolète doit AMIs apparaître. Les propriétaires d'AMI continuent d'être considérés comme obsolètes AMIs dans les appels d'[DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)API.
+ Pour les utilisateurs de l'AMI, l'AMI obsolète ne peut pas être sélectionnée via la EC2 console. Par exemple, une AMI obsolète n’apparaît pas dans le catalogue des AMI dans l’assistant d’instance de lancement. Les propriétaires d'AMI continuent d'être considérés comme obsolètes AMIs dans la EC2 console.
+ Pour les utilisateurs de l'AMI, si vous connaissez l'ID d'une AMI obsolète, vous pouvez continuer à lancer des instances à l'aide de l'AMI obsolète à l'aide de l'API, de la CLI ou du. SDKs
+ Les services de lancement, tels que les modèles de lancement et les groupes Auto Scaling, peuvent continuer à faire référence à des services obsolètes AMIs.
+ EC2 les instances lancées à l'aide d'une AMI devenue obsolète par la suite ne sont pas affectées et peuvent être arrêtées, démarrées et redémarrées.

Vous pouvez déprécier à la fois le privé et le public. AMIs

**Topics**
+ [Coûts](#ami-deprecate-costs)
+ [Considérations](#ami-deprecate-limitations)
+ [Rendre obsolète une AMI](#deprecate-ami)
+ [Décrire ce qui est obsolète AMIs](#describe-deprecate-ami)
+ [Annuler l'obsolescence de l'AMI](#cancel-deprecate-ami)

## Coûts
<a name="ami-deprecate-costs"></a>

Lorsque vous rendez obsolète une AMI, celle-ci n’est pas supprimée. Le propriétaire de l’AMI continue de payer pour les instantanés de celle-ci. Pour arrêter de payer pour les instantanés, le propriétaire de l’AMI doit supprimer celle-ci en la [désinscrivant](deregister-ami.md).

## Considérations
<a name="ami-deprecate-limitations"></a>
+ Pour rendre obsolète une AMI, vous devez en être le propriétaire.
+ AMIs qui n'ont pas été utilisés récemment pour lancer une instance peuvent être de bons candidats à la dépréciation ou au désenregistrement. Pour de plus amples informations, veuillez consulter [Vérifiez la date de la dernière utilisation d’une AMI Amazon EC2](ami-last-launched-time.md).
+ Vous pouvez créer des politiques d'AMI basées sur EBS pour Amazon Data Lifecycle Manager afin d'automatiser la dépréciation des politiques d'AMI basées sur EBS. AMIs Pour plus d’informations, consultez la section [Politiques de cycle de vie](https://docs.aws.amazon.com/ebs/latest/userguide/ami-policy.html).
+ Par défaut, la date d'obsolescence de tous les publics AMIs est fixée à deux ans à compter de la date de création de l'AMI. Vous pouvez définir la date d’obsolescence à moins de deux ans. Pour annuler la date d’obsolescence ou pour la repousser, vous devez rendre l’AMI privée en [la partageant avec des comptes AWS spécifiques](sharingamis-explicit.md) uniquement.

## Rendre obsolète une AMI
<a name="deprecate-ami"></a>

Vous pouvez rendre obsolète une AMI à une date et une heure spécifiques. Vous devez être propriétaire de l’AMI.

La limite supérieure pour la date de dépréciation est fixée à 10 ans, sauf dans le cas du public AMIs, où la limite supérieure est de 2 ans à compter de la date de création. Vous ne pouvez pas spécifier une date dans le passé.

------
#### [ Console ]

**Pour rendre obsolète une AMI à une date spécifique ()**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le navigateur de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** (M’appartenant).

1. Sélectionnez l’AMI, puis choisissez **Actions**, **Manage AMI Deprecation** (Gérer l’obsolescence de l’AMI). Vous pouvez en sélectionner plusieurs AMIs pour définir la même date d'obsolescence de plusieurs AMIs à la fois.

1. Cochez la case **Enable** (Activer), puis saisissez la date et l’heure d’obsolescence. 

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour rendre obsolète une AMI à une date spécifique ()**  
Utilisez la commande [enable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deprecation.html). Si vous spécifiez une valeur pour les secondes, Amazon EC2 arrondit les secondes à la minute la plus proche.

```
aws ec2 enable-image-deprecation \
    --image-id ami-0abcdef1234567890 \
    --deprecate-at "2025-04-15T13:17:12.000Z"
```

------
#### [ PowerShell ]

**Pour rendre obsolète une AMI à une date spécifique ()**  
Utilisez l’applet de commande [Enable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeprecation.html). Si vous spécifiez une valeur pour les secondes, Amazon EC2 arrondit les secondes à la minute la plus proche.

```
Enable-EC2ImageDeprecation `
    -ImageId ami-0abcdef1234567890 `
    -DeprecateAt 2025-04-15T13:17:12.000Z
```

------

## Décrire ce qui est obsolète AMIs
<a name="describe-deprecate-ami"></a>

Vous pouvez afficher la date et l'heure de dépréciation d'une AMI et filtrer AMIs par date de dépréciation.

------
#### [ Console ]

**Pour afficher la date d’obsolescence d’une AMI (console)**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le navigateur de gauche, choisissez **AMIs**, puis sélectionnez l'AMI.

1. Vérifiez le champ **Deprecation time** (Date d’obsolescence) (si vous avez coché la case à côté de l’AMI, il se situe sur l’onglet **Details** (Détails)). Le champ affiche la date et l’heure d’obsolescence de l’AMI. Si le champ est vide, l’AMI n’est pas obsolète.

**Pour filtrer AMIs par date de dépréciation**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le navigateur de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **M'appartenant** ou **Images privées** (les images privées incluent AMIs celles qui sont partagées avec vous et celles qui vous appartiennent).

1. Dans la barre de recherche, saisissez **Deprecation time** (lorsque vous saisissez les lettres, le filtre **Deprecation time** (Heure d’obsolescence) apparaît), puis choisissez un opérateur, une date et une heure.

------
#### [ AWS CLI ]

Lorsque vous décrivez tout AMIs, les résultats varient selon que vous êtes un utilisateur ou le propriétaire de l'AMI.
+ **Utilisateur AMI** — Par défaut, lorsque vous décrivez tout AMIs, les objets obsolètes partagés avec vous mais AMIs qui ne vous appartiennent pas sont exclus. Pour inclure les éléments obsolètes AMIs dans les résultats, spécifiez l'`--include-deprecated`option.
+ **Propriétaire de l'AMI** : lorsque vous décrivez tout AMIs AMIs ce que vous possédez, y compris les objets obsolètes AMIs, sont inclus. Vous ne pouvez pas exclure les objets obsolètes AMIs que vous possédez en utilisant cette option. `--no-include-deprecated`

**À inclure « obsolète » AMIs lors de la description de tout AMIs pour un compte**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante.

```
aws ec2 describe-images 
    --owners 123456789012 \   
    --include-deprecated
```

**Pour décrire la version obsolète de votre AMIs compte**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante.

```
aws ec2 describe-images \
    --owners self \
    --query "Images[?DeprecationTime!=null].ImageId" \
    --output text
```

Voici un exemple de sortie.

```
ami-0abcdef1234567890
```

**Pour décrire la date d’obsolescence d’une AMI ()**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante. Si `DeprecationTime` n’apparaît pas dans la sortie, l’AMI n’est pas obsolète et son obsolescence n’est pas prévue à une date postérieure.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].DeprecationTime \
    --output text
```

Voici un exemple de sortie.

```
2025-05-01T00:00:00.000Z
```

------
#### [ PowerShell ]

**Pour répertorier les éléments obsolètes de votre AMIs compte**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -Owner self | Where-Object {$_.DeprecationTime -ne $null}).ImageId
```

Voici un exemple de sortie.

```
ami-0abcdef1234567890
```

**Pour décrire la date d’obsolescence d’une AMI ()**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Si `DeprecationTime` n’apparaît pas dans la sortie, l’AMI n’est pas obsolète et son obsolescence n’est pas prévue à une date postérieure.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).DeprecationTime
```

Voici un exemple de sortie.

```
2025-05-01T00:00:00.000Z
```

------

## Annuler l'obsolescence de l'AMI
<a name="cancel-deprecate-ami"></a>

Vous pouvez annuler l’obsolescence d’une AMI, avec pour effet de supprimer la date et l’heure d’obsolescence. Pour ce faire, vous devez être le propriétaire de l’AMI.

------
#### [ Console ]

**Pour annuler l’obsolescence d’une AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le navigateur de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** (M’appartenant).

1. Sélectionnez l’AMI, puis choisissez **Actions**, **Manage AMI Deprecation** (Gérer l’obsolescence de l’AMI). Vous pouvez en sélectionner plusieurs AMIs pour annuler la dépréciation de plusieurs d'un AMIs coup.

1. Décochez la case **Enable** (Activer), puis choisissez **Save** (Enregistrer).

------
#### [ AWS CLI ]

**Pour annuler l’obsolescence d’une AMI**  
Utilisez la commande [disable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deprecation.html) suivante.

```
aws ec2 disable-image-deprecation --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Pour annuler l’obsolescence d’une AMI**  
Utilisez l’applet de commande [Disable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeprecation.html).

```
Disable-EC2ImageDeprecation -ImageId ami-0abcdef1234567890
```

------

# Désactiver une EC2 AMI Amazon
<a name="disable-an-ami"></a>

Vous pouvez désactiver une AMI pour empêcher son utilisation pour le lancement d’instances. Vous ne pouvez pas lancer de nouvelles instances à partir d’une AMI désactivée. Vous pouvez réactiver une AMI désactivée afin qu’elle puisse être réutilisée pour le lancement d’instances.

Vous pouvez désactiver à la fois le mode privé et le mode public AMIs.

Pour réduire les coûts de stockage pour les sauvegardes EBS désactivées AMIs qui sont rarement utilisées, mais qui doivent être conservées à long terme, vous pouvez archiver les instantanés associés. Pour plus d’informations, consultez la section [Archiver les instantanés Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) dans le *Guide de l’utilisateur Amazon EBS*.

**Topics**
+ [Comment fonctionne la désactivation de l’AMI](#how-disable-ami-works)
+ [Coûts](#ami-disable-costs)
+ [Conditions préalables](#ami-disable-prerequisites)
+ [Autorisations IAM requises](#ami-disable-iam-permissions)
+ [Désactiver une AMI](#disable-ami)
+ [Décrire les personnes handicapées AMIs](#describe-disabled-ami)
+ [Réactiver une AMI désactivée](#re-enable-a-disabled-ami)

## Comment fonctionne la désactivation de l’AMI
<a name="how-disable-ami-works"></a>

**Avertissement**  
La désactivation d’une AMI supprime toutes ses autorisations de lancement.

**Lorsqu’une AMI est désactivée :**
+ L’état de l’AMI passe à `disabled`.
+ Une AMI désactivée ne peut pas être partagée. Si une AMI était publique ou précédemment partagée, elle devient privée. Si une AMI a été partagée avec une Compte AWS organisation ou une unité organisationnelle, celle-ci perd l'accès à l'AMI désactivée. 
+ Par défaut, une AMI désactivée n’apparaît pas dans les appels d’API [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html).
+ Une AMI désactivée n’apparaît pas dans le filtre de la console **M’appartenant**. Pour trouver cette option désactivée AMIs, utilisez le filtre de la console **Images désactivées**.
+ Il n'est pas possible de sélectionner une AMI désactivée pour les lancements d'instances dans la EC2 console. Par exemple, une AMI désactivée n’apparaît pas dans le catalogue d’AMI dans l’assistant de lancement d’instance ou lors de la création d’un modèle de lancement.
+ Les services de lancement, tels que les modèles de lancement et les groupes Auto Scaling, peuvent continuer à faire référence à des services désactivés AMIs. Les lancements d'instance suivants à partir d'une AMI désactivée échoueront. Nous vous recommandons donc de mettre à jour les modèles de lancement et les groupes Auto Scaling pour qu'ils ne soient disponibles AMIs qu'en référence.
+ EC2 les instances précédemment lancées à l'aide d'une AMI désactivée par la suite ne sont pas affectées et peuvent être arrêtées, démarrées et redémarrées.
+ Vous ne pouvez pas supprimer les instantanés associés à la désactivation AMIs. Toute tentative de suppression d’un instantané associé entraîne l’erreur `snapshot is currently in use`.

**Lorsqu’une AMI est réactivée :**
+ L’état de l’AMI passe à `available`, et elle peut être utilisée pour lancer des instances.
+ L’AMI peut être partagée.
+ Les Comptes AWS, les organisations et les unités organisationnelles qui ont perdu l’accès à l’AMI lorsqu’elle a été désactivée n’y ont pas accès à nouveau automatiquement, mais l’AMI peut à nouveau être partagée avec eux.

## Coûts
<a name="ami-disable-costs"></a>

Lorsque vous désactivez une AMI, celle-ci n’est pas supprimée. Si l’AMI est une AMI basée sur EBS, vous continuez à payer pour les instantanés EBS de l’AMI. Si vous souhaitez conserver l’AMI, vous pouvez peut-être réduire vos coûts de stockage en archivant les instantanés. Pour plus d’informations, consultez la section [Archiver les instantanés Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) dans le *Guide de l’utilisateur Amazon EBS*. Si vous ne souhaitez pas conserver l’AMI et ses instantanés, vous devez annuler l’enregistrement de l’AMI et supprimer les instantanés. Pour de plus amples informations, veuillez consulter [Annuler l’inscription d’une AMI](deregister-ami.md).

## Conditions préalables
<a name="ami-disable-prerequisites"></a>

Pour désactiver ou réactiver une AMI, vous devez en être le propriétaire.

## Autorisations IAM requises
<a name="ami-disable-iam-permissions"></a>

Pour désactiver et réactiver une AMI, vous devez disposer des autorisations IAM suivantes :
+ `ec2:DisableImage`
+ `ec2:EnableImage`

## Désactiver une AMI
<a name="disable-ami"></a>

Vous pouvez désactiver une AMI à l'aide de la EC2 console ou du AWS Command Line Interface (AWS CLI). Pour ce faire, vous devez être le propriétaire de l’AMI.

------
#### [ Console ]

**Pour désactiver une AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** (M’appartenant).

1. Sélectionnez l’AMI, puis choisissez **Actions**, **Désactiver l’AMI**. Vous pouvez en sélectionner plusieurs AMIs à désactiver simultanément.

1. Dans la fenêtre **Désactiver l’AMI**, choisissez **Désactiver l’AMI**.

------
#### [ AWS CLI ]

**Pour désactiver une AMI**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html) suivante.

```
aws ec2 disable-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Pour désactiver une AMI**  
Utilisez l’applet de commande [Disable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2Image.html).

```
Disable-EC2Image -ImageId ami-0abcdef1234567890
```

------

## Décrire les personnes handicapées AMIs
<a name="describe-disabled-ami"></a>

Vous pouvez afficher les informations désactivées AMIs dans la EC2 console et en utilisant le AWS CLI.

Vous devez être le propriétaire de l'AMI pour que la vue soit désactivée AMIs. Comme AMIs les personnes handicapées deviennent privées, vous ne pouvez pas les afficher AMIs si vous n'en êtes pas le propriétaire.

------
#### [ Console ]

**Pour afficher désactivé AMIs**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Images désactivées**.  
![\[Le filtre « Images désactivées ».\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-filter-by-disabled-images.png)

------
#### [ AWS CLI ]

Par défaut, lorsque vous décrivez tout AMIs, les personnes handicapées ne AMIs sont pas incluses dans les résultats. Pour inclure les désactivés AMIs dans les résultats, spécifiez l'`--include-disabled`option. Le champ `State` correspondant à une AMI indique `disabled` si l’AMI est désactivée.

**À inclure « désactivé » AMIs lors de la description AMIs de tout pour un compte**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante.

```
aws ec2 describe-images \
    --owners 123456789012 \
    --include-disabled
```

**Pour répertorier les personnes handicapées AMIs de votre compte**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante.

```
aws ec2 describe-images \
    --owners self \
    --include-disabled \
    --filters Name=state,Values=disabled \
    --query Images[].ImageId \
    --output text
```

Voici un exemple de sortie.

```
ami-0abcdef1234567890
```

**Pour décrire l’état d’une AMI**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) suivante. Si `DeprecationTime` n’apparaît pas dans la sortie, l’AMI n’est pas obsolète et son obsolescence n’est pas prévue à une date postérieure.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].State \
    --output text
```

Voici un exemple de sortie.

```
disabled
```

------
#### [ PowerShell ]

Par défaut, lorsque vous décrivez tout AMIs, les personnes handicapées ne AMIs sont pas incluses dans les résultats. Pour inclure les désactivés AMIs dans les résultats, spécifiez le `-IncludeDisabled` paramètre. Le champ `State` correspondant à une AMI indique `disabled` si l’AMI est désactivée.

**Pour répertorier les personnes handicapées AMIs de votre compte**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image `
    -Owner self `
    -IncludeDisabled $true | Where-Object {$_.State -eq "disabled"}).ImageId
```

Voici un exemple de sortie.

```
ami-0abcdef1234567890
```

**Pour décrire l’état d’une AMI**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).State.Value
```

Voici un exemple de sortie.

```
disabled
```

------

## Réactiver une AMI désactivée
<a name="re-enable-a-disabled-ami"></a>

Vous pouvez réactiver une AMI désactivée. Pour ce faire, vous devez être le propriétaire de l’AMI.

------
#### [ Console ]

**Pour réactiver une AMI désactivée**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **AMIs**.

1. Dans la barre de filtre, choisissez **Images désactivées**.

1. Sélectionnez l’AMI, puis choisissez **Actions**, **Activer l’AMI**. Vous pouvez en sélectionner plusieurs AMIs pour en réactiver plusieurs AMIs à la fois.

1. Dans la fenêtre **Activer l’AMI**, sélectionnez **Activer**.

------
#### [ AWS CLI ]

**Pour réactiver une AMI désactivée**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html) suivante.

```
aws ec2 enable-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Pour réactiver une AMI désactivée**  
Utilisez l’applet de commande [Enable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2Image.html).

```
Enable-EC2Image -ImageId ami-0abcdef1234567890
```

------

# Annuler l’inscription d’une AMI Amazon EC2
<a name="deregister-ami"></a>

Lorsque vous annulez l’inscription d’une AMI, Amazon EC2 la supprime définitivement. Après cette opération, vous ne pouvez pas utiliser l’AMI pour lancer de nouvelles instances. Vous pouvez envisager d’annuler l’inscription d’une AMI lorsque vous ne l’utilisez plus.

[Pour vous protéger contre l’annulation accidentelle ou malveillante de l’inscription d’une AMI, vous pouvez activer la protection contre l’annulation de l’inscription.](ami-deregistration-protection.md) Si vous annulez accidentellement l’inscription d’une AMI basée sur EBS, vous pouvez utiliser la [Corbeille](https://docs.aws.amazon.com/ebs/latest/userguide/recycle-bin.html) pour la restaurer, à condition de le faire dans le délai imparti avant qu’elle ne soit définitivement supprimée.

Lorsque vous annulez l’inscription d’une AMI, vous pouvez éventuellement supprimer simultanément ses instantanés. Toutefois, si un instantané est associé à plusieurs AMIs, il ne sera pas supprimé même s'il est spécifié pour la suppression, bien que l'AMI soit toujours désenregistrée. Tout instantané non supprimé continuera à générer des frais de stockage.

L’annulation de l’inscription d’une AMI n’a aucun effet sur les instances qui ont été lancées à partir de l’AMI. Vous pouvez continuer à utiliser ces instances. Par défaut, l’annulation de l’inscription d’une AMI n’a pas non plus d’effet sur les instantanés qui ont été créés pendant le processus de création de l’AMI. Vous continuerez à supporter des coûts d’utilisation pour ces instances et des coûts de stockage pour les instantanés. Par conséquent, pour éviter d’engager des frais inutiles, nous vous recommandons de mettre fin à toutes les instances et de supprimer tous les instantanés dont vous n’avez pas besoin. Vous pouvez supprimer les instantanés automatiquement lors de l’annulation de l’inscription ou manuellement après l’annulation de l’inscription. Pour de plus amples informations, veuillez consulter [Évitez les coûts liés aux ressources non utilisées](#delete-unneeded-resources-to-avoid-unnecessary-costs).

Pour les instances lancées à partir d'une AMI qui est ensuite désenregistrée, vous pouvez toujours consulter des informations de haut niveau sur l'AMI à l'aide de la commande. `describe-instance-image-metadata` AWS CLI Pour de plus amples informations, veuillez consulter [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html).

**Topics**
+ [Considérations](#deregister-ami-considerations)
+ [Annuler l’inscription d’une AMI](#deregister-an-ami)
+ [Évitez les coûts liés aux ressources non utilisées](#delete-unneeded-resources-to-avoid-unnecessary-costs)
+ [Protéger une AMI Amazon EC2 contre l’annulation de l’inscription](ami-deregistration-protection.md)

## Considérations
<a name="deregister-ami-considerations"></a>
+ Vous ne pouvez pas annuler l’enregistrement d’une AMI qui n’est pas détenue par votre compte.
+ Vous ne pouvez pas utiliser Amazon EC2 pour annuler l'enregistrement d'une AMI gérée par le service. AWS Backup Utilisez-le plutôt AWS Backup pour supprimer les points de restauration correspondants dans le coffre de sauvegarde. Pour plus d’informations, consultez [Suppression des sauvegardes](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) dans le *Guide du développeur AWS Backup *.

## Annuler l’inscription d’une AMI
<a name="deregister-an-ami"></a>

Vous pouvez annuler l'enregistrement basé sur EBS et sur Amazon S3. AMIs AMIs Pour les sauvegardes basées sur EBS AMIs, vous pouvez éventuellement supprimer les instantanés associés en même temps. Toutefois, si un instantané est associé à un autre AMIs, il ne sera pas supprimé même s'il est spécifié pour la suppression.

------
#### [ Console ]

**Pour annuler l’inscription d’une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** pour répertorier les images disponibles AMIs, ou choisissez **Disabled images** pour répertorier vos images handicapées AMIs.

1. Sélectionnez l’AMI dont l’inscription doit être annulée.

1. Choisissez **Actions**, **Deregister AMI** (Annuler l’enregistrement de l’AMI).

1. (Facultatif) Pour supprimer les instantanés associés lors de l’annulation de l’inscription, cochez la case **Supprimer les instantanés associés**.
**Note**  
Si un instantané est associé à un autre AMIs, il n'est pas supprimé, même si la case est cochée.

1. Choisissez **Annuler l’inscription**.

   Plusieurs minutes peuvent être nécessaires pour que la console supprime l’AMI de la liste. Choisissez **Refresh** pour actualiser le statut.

------
#### [ AWS CLI ]

**Pour annuler l’inscription d’une AMI**  
Utilisez la commande [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) suivante.

```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```

**Pour annuler l’inscription d’une AMI et supprimer les instantanés associés**  
Utilisez la commande [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) suivante et spécifiez le paramètre. `--delete-associated-snapshots` Notez que si un instantané est associé à un autre AMIs, il n'est pas supprimé, même si vous spécifiez ce paramètre.

```
aws ec2 deregister-image \
    --image-id ami-0abcdef1234567890 \
    --delete-associated-snapshots
```

------
#### [ PowerShell ]

**Pour annuler l’inscription d’une AMI**  
Utilisez l’applet de commande [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html).

```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```

**Pour annuler l’inscription d’une AMI et supprimer les instantanés associés**  
Utilisez l'[Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)applet de commande et spécifiez le `-DeleteAssociatedSnapshots` paramètre. Notez que si un instantané est associé à un autre AMIs, il n'est pas supprimé, même si vous spécifiez ce paramètre.

```
Unregister-EC2Image `
    -ImageId ami-0abcdef1234567890 `
    -DeleteAssociatedSnapshots
```

------

## Évitez les coûts liés aux ressources non utilisées
<a name="delete-unneeded-resources-to-avoid-unnecessary-costs"></a>

Par défaut, l’annulation de l’inscription d’une AMI ne supprime pas toutes les ressources qui sont associées à l’AMI. Ces ressources incluent les instantanés pour les fichiers sauvegardés par EBS AMIs et les fichiers d'Amazon S3 pour les fichiers sauvegardés par Amazon S3. AMIs Lorsque vous annulez l’inscription d’une AMI, vous ne mettez pas fin aux instances lancées à partir de l’AMI.

Vous continuerez à supporter des coûts pour le stockage des instantanés et des fichiers, et vous supporterez des coûts pour toutes les instances en cours d’exécution.

Pour éviter ces types de coûts inutiles, nous vous recommandons de supprimer toutes les ressources dont vous n’avez pas besoin.

**Soutenu par EBS AMIs**
+ Supprimez les instantanés associés lors de l’annulation de l’inscription de l’AMI. Pour de plus amples informations, veuillez consulter [Annuler l’inscription d’une AMI](#deregister-an-ami).
+ Si vous annulez l’inscription d’une AMI sans supprimer les instantanés associés, vous pouvez [supprimer les instantanés](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-snapshot.html#ebs-delete-snapshot) manuellement. L’instantané du volume racine de l’instance créé lors de la création de l’AMI a le format de description suivant :

  ```
  Created by CreateImage(i-1234567890abcdef0) for ami-0abcdef1234567890
  ```
+ Si vous n’avez plus besoin des instances lancées depuis l’AMI, vous pouvez les [arrêter](Stop_Start.md#starting-stopping-instances) ou les [résilier](terminating-instances.md#terminating-instances-console). Pour répertorier les instances, filtrez en fonction de l’ID de l’AMI.

**Soutenu par Amazon S3 AMIs**
+ Supprimez l’offre groupée dans Amazon S3 à l’aide de la commande [ec2-delete-bundle](ami-tools-commands.md#ami-delete-bundle) (outils de l’AMI).
+ Si le compartiment Amazon S3 est vide après avoir supprimé le bundle et que vous n’en avez plus besoin, vous pouvez [supprimer le compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).
+ Si vous n’avez plus besoin des instances lancées à partir de l’AMI, vous pouvez les [résilier](terminating-instances.md#terminating-instances-console). Pour répertorier les instances, filtrez en fonction de l’ID de l’AMI.

# Protéger une AMI Amazon EC2 contre l’annulation de l’inscription
<a name="ami-deregistration-protection"></a>

Vous pouvez mettre en place *la protection contre l’annulation de l’inscription* d’une AMI afin d’empêcher toute suppression accidentelle ou malveillante. Lorsque vous mettez en place une protection contre l’annulation de l’inscription, aucun utilisateur ne peut annuler l’inscription de l’AMI, quelles que soient les autorisations IAM dont il dispose. Si vous souhaitez annuler l’inscription de l’AMI, vous devez d’abord désactiver la protection contre l’annulation de l’inscription.

Lorsque vous mettez en place la protection contre l’annulation de l’inscription d’une AMI, vous avez la possibilité d’inclure un temps de stabilisation de 24 heures. Il s’agit de la période pendant laquelle la protection contre l’annulation de l’inscription reste en vigueur après que vous l’avez désactivée. Pendant ce temps de stabilisation, il est impossible d’annuler l’inscription de l’AMI. À la fin du temps de stabilisation, il est possible d’annuler l’inscription de l’AMI.

La protection contre le désenregistrement est désactivée par défaut sur tous les appareils existants et nouveaux. AMIs

## Mettre en place la protection contre l’annulation de l’inscription
<a name="enable-deregistration-protection"></a>

Utilisez les procédures suivantes pour mettre en place la protection contre l’annulation de l’inscription.

------
#### [ Console ]

**Activation de la protection contre l’annulation de l’inscription**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** pour répertorier les images disponibles AMIs, ou choisissez **Disabled images** pour répertorier vos images handicapées AMIs.

1. Sélectionnez l’AMI sur laquelle vous souhaitez activer la protection contre l’annulation de l’inscription, puis choisissez **Actions**, **Gérer la protection contre l’annulation de l’inscription de l’AMI**.

1. Dans la boîte de dialogue **Gérer la protection contre l’annulation de l’inscription de l’AMI**, vous pouvez activer la protection contre l’annulation de l’inscription avec ou sans le temps de stabilisation. Choisissez l’une des options suivantes :
   + **Activer avec un temps de stabilisation de 24 heures** : avec un temps de stabilisation, il est impossible d’annuler l’inscription de l’AMI pendant 24 heures lorsque la protection contre l’annulation de l’inscription est désactivée.
   + **Activation sans un temps de stabilisation** : sans un temps de stabilisation, il est possible d’annuler l’inscription de l’AMI immédiatement lorsque la protection contre l’annulation de l’inscription est désactivée.

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Activation de la protection contre l’annulation de l’inscription**  
Utilisez la commande [enable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deregistration-protection.html). Pour activer le temps de stabilisation facultatif, incluez l’option `--with-cooldown`.

```
aws ec2 enable-image-deregistration-protection \
    --image-id ami-0abcdef1234567890 \
    --with-cooldown
```

------
#### [ PowerShell ]

**Activation de la protection contre l’annulation de l’inscription**  
Utilisez l’applet de commande [Enable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeregistrationProtection.html). Pour activer le temps de stabilisation facultatif, définissez le paramètre `-WithCooldown` sur `true`.

```
Enable-EC2ImageDeregistrationProtection `
    -ImageId ami-0abcdef1234567890 `
    -WithCooldown $true
```

------

## Désactiver la protection contre l’annulation de l’inscription
<a name="disable-deregistration-protection"></a>

Utilisez les procédures suivantes pour désactiver la protection contre l’annulation de l’inscription.

Si vous avez choisi d’inclure un temps de stabilisation de 24 heures lorsque vous avez activé la protection contre l’annulation de l’inscription pour l’AMI, lorsque vous désactivez la protection contre l’annulation de l’inscription, vous ne pourrez pas immédiatement annuler l’inscription de l’AMI. Le temps de stabilisation est la période de 24 heures pendant laquelle la protection contre l’annulation de l’inscription reste en vigueur même après que vous l’avez désactivée. Pendant ce temps de stabilisation, il est impossible d’annuler l’inscription de l’AMI. À l’issue du temps de stabilisation, il est possible d’annuler l’inscription de l’AMI.

------
#### [ Console ]

**Désactivation de la protection contre l’annulation de l’inscription**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Dans la barre de filtre, choisissez **Owned by me** pour répertorier les images disponibles AMIs, ou choisissez **Disabled images** pour répertorier vos images handicapées AMIs.

1. Sélectionnez l’AMI pour désactiver la protection l’annulation de l’inscription, puis choisissez **Actions**, **Gérer la protection l’annulation de l’inscription de l’AMI**.

1. **Dans la boîte de dialogue **Gérer la protection l’annulation de l’inscription de l’AMI**, choisissez Désactiver**.

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Désactivation de la protection contre l’annulation de l’inscription**  
Utilisez la commande [disable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deregistration-protection.html).

```
aws ec2 disable-image-deregistration-protection --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Désactivation de la protection contre l’annulation de l’inscription**  
Utilisez l’applet de commande [Disable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeregistrationProtection.html).

```
Disable-EC2ImageDeregistrationProtection -ImageId ami-0abcdef1234567890
```

------

# Comportement au lancement de l’instance en fonction des modes de démarrage Amazon EC2
<a name="ami-boot"></a>

Lorsqu’un ordinateur démarre, le premier logiciel qu’il exécute est responsable d’initialiser la plateforme et de fournir une interface permettant au système d’exploitation d’effectuer des opérations spécifiques à la plateforme.

Dans Amazon EC2, deux variantes du logiciel de mode de démarrage sont prises en charge : l’interface UEFI (Unified Extensible Firmware Interface) et le BIOS hérité.

**Paramètres de mode de démarrage possible sur une AMI**  
Une AMI peut avoir l’une des valeurs de paramètre de mode de démarrage suivantes : `uefi`, `legacy-bios` ou `uefi-preferred`. Le paramètre de mode d’amorçage de l’AMI est facultatif. En l'absence AMIs de paramètre de mode de démarrage, les instances lancées à partir de ces derniers AMIs utilisent la valeur du mode de démarrage par défaut du type d'instance.

**Objectif du paramètre de mode d’amorçage de l’AMI**  
Le paramètre de mode de démarrage de l’AMI signale à Amazon EC2 le mode de démarrage à utiliser lors du lancement d’une instance. Lorsque le paramètre de mode de démarrage est défini sur `uefi`, EC2 tente de lancer l’instance sur l’UEFI. Si le système d’exploitation n’est pas configuré pour prendre en charge l’UEFI, le lancement de l’instance échoue.

**Paramètre de mode de démarrage d’UEFI préféré**  
Vous pouvez créer un système AMIs qui supporte à la fois l'UEFI et le BIOS Legacy en utilisant le paramètre de mode de `uefi-preferred` démarrage. Lorsque le paramètre de mode de démarrage est défini sur `uefi-preferred` et si le type d’instance prend en charge l’UEFI, l’instance est lancée sur l’UEFI. Si le type d’instance ne prend pas en charge l’UEFI, l’instance est lancée sur le BIOS hérité.

**Avertissement**  
Certaines fonctionnalités, comme UEFI Secure Boot, ne sont disponibles que sur les instances qui démarrent sur l’UEFI. Lorsque vous utilisez le paramètre de mode de démarrage d’AMI `uefi-preferred` avec un type d’instance qui ne prend pas en charge l’UEFI, l’instance est lancée en tant que BIOS hérité et la fonctionnalité dépendante de l’UEFI est désactivée. Si vous vous appuyez sur la disponibilité d’une fonctionnalité dépendante de l’UEFI, définissez le paramètre du mode de démarrage de votre AMI sur `uefi`.

**Modes de démarrage par défaut pour les types d’instance**
+ Types d’instances Graviton : UEFI
+ Types d’instances Intel et AMD : BIOS hérité

**Soutien à la zone**  
Le démarrage UEFI n’est pas pris en charge dans les zones Wavelength.

**Topics**
+ [Conditions requises pour lancer une instance EC2 en mode de démarrage UEFI](launch-instance-boot-mode.md)
+ [Déterminer le paramètre du mode de démarrage d’une AMI Amazon EC2](ami-boot-mode.md)
+ [Déterminer les modes de démarrage pris en charge par un type d’instance EC2](instance-type-boot-mode.md)
+ [Déterminer le mode de démarrage d’une instance EC2](instance-boot-mode.md)
+ [Déterminer le mode de démarrage du système d’exploitation de votre instance EC2](os-boot-mode.md)
+ [Définir le mode de démarrage d’une AMI Amazon EC2](set-ami-boot-mode.md)
+ [Variables UEFI pour les instances Amazon EC2](uefi-variables.md)
+ [Démarrage sécurisé de l’UEFI pour les instances Amazon EC2](uefi-secure-boot.md)

# Conditions requises pour lancer une instance EC2 en mode de démarrage UEFI
<a name="launch-instance-boot-mode"></a>

Le mode de démarrage d’une instance est déterminé par la configuration de l’AMI, le système d’exploitation qu’elle contient et le type d’instance. Pour lancer une instance en mode de démarrage UEFI, vous devez satisfaire aux exigences suivantes.

**AMI**  
L’AMI doit être configurée pour l’UEFI comme suit :  
+ **Système d’exploitation** : le système d’exploitation contenu dans l’AMI doit être configuré pour utiliser UEFI sinon, le lancement de l’instance échouera. Pour de plus amples informations, veuillez consulter [Déterminer le mode de démarrage du système d’exploitation de votre instance EC2](os-boot-mode.md).
+ **Paramètre du mode de démarrage de l’AMI** : le paramètre de mode de démarrage de l’AMI doit être défini sur `uefi` ou `uefi-preferred`. Pour de plus amples informations, veuillez consulter [Déterminer le paramètre du mode de démarrage d’une AMI Amazon EC2](ami-boot-mode.md).
**Linux** — Les systèmes Linux suivants AMIs prennent en charge l'UEFI :  
+ Amazon Linux 2023
+ Amazon Linux 2 (types d’instances de Graviton uniquement)
Pour les autres systèmes Linux AMIs, vous devez [configurer l'AMI](set-ami-boot-mode.md), importer l'AMI via [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/) ou importer l'AMI via. [CloudEndure](https://docs.cloudendure.com/)  
**Windows** : les systèmes Windows suivants AMIs prennent en charge l'UEFI :  
+ Windows\$1Server-2025-\$1 (sauf avec le préfixe de nom) AMIs `BIOS-`
+ TPM-Windows\$1Server-2022-English-Full-Base
+ TPM-Windows\$1Server-2022-English-Core-Base
+ TPM-Windows\$1Server-2019-English-Full-Base
+ TPM-Windows\$1Server-2019-English-Core-Base
+ TPM-Windows\$1Server-2016-English-Full-Base
+ TPM-Windows\$1Server-2016-English-Core-Base

**Type d’instance**  
Toutes les instances basées sur le système AWS Nitro sont compatibles avec UEFI et Legacy BIOS, à l'exception des suivantes : instances bare metal, G4ad, P4, u-3tb1, u-6tb1 DL1, u-9tb1, u-9tb1, u-12tb1, u-18tb1, u-24tb1 et. VT1 Pour de plus amples informations, veuillez consulter [Déterminer les modes de démarrage pris en charge par un type d’instance EC2](instance-type-boot-mode.md).

Le tableau suivant montre que le mode de démarrage d’une instance (indiqué par la colonne **Mode de démarrage de l’instance résultante**) est déterminé par une combinaison du paramètre de mode de démarrage de l’AMI (colonne 1), de la configuration du mode de démarrage du système d’exploitation contenu dans l’AMI (colonne 2) et de la prise en charge du mode de démarrage du type d’instance (colonne 3).


| Paramètre de mode de démarrage AMI | Configuration du mode de démarrage du système d’exploitation | Prise en charge du mode de démarrage du type d’instance | Mode de démarrage de l’instance résultante | 
| --- | --- | --- | --- | 
| UEFI | UEFI | UEFI | UEFI | 
| BIOS hérité | BIOS hérité | BIOS hérité | BIOS hérité | 
| UEFI préférée | UEFI | UEFI | UEFI | 
| UEFI préférée | UEFI | UEFI et BIOS hérité | UEFI | 
| UEFI préférée | BIOS hérité | BIOS hérité | BIOS hérité | 
| UEFI préférée | BIOS hérité | UEFI et BIOS hérité | BIOS hérité | 
| Aucun mode de démarrage spécifié – ARM | UEFI | UEFI | UEFI | 
| Aucun mode de démarrage spécifié – x86 | BIOS hérité | UEFI et BIOS hérité | BIOS hérité | 

# Déterminer le paramètre du mode de démarrage d’une AMI Amazon EC2
<a name="ami-boot-mode"></a>

Le paramètre de mode d’amorçage de l’AMI est facultatif. Une AMI peut avoir l’une des valeurs de paramètre de mode de démarrage suivantes : `uefi`, `legacy-bios` ou `uefi-preferred`.

Certains AMIs n'ont pas de paramètre de mode de démarrage. Lorsqu’une AMI n’a pas de paramètre de mode de démarrage, les instances lancées à partir de l’AMI utilisent la valeur par défaut du type d’instance, qui est `uefi` sur Graviton et `legacy-bios` sur les types d’instance Intel et AMD.

------
#### [ Console ]

**Pour déterminer le paramètre de mode de démarrage d’une AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation **AMIs**, choisissez, puis sélectionnez l'AMI.

1. Vérifiez le champ **Mode de démarrage**.
   + Une valeur **uefi** indique que l’AMI prend en charge UEFI.
   + Une valeur **uefi-preferred** indique que l’AMI prend en charge l’UEFI et le BIOS hérité.
   + S’il n’existe aucune valeur, les instances lancées à partir de l’AMI utilisent la valeur par défaut du type d’instance.

**Pour déterminer le paramètre de mode de démarrage d’une AMI au lancement d’une instance**  
Lors du lancement d’une instance à l’aide de l’assistant de lancement d’instance, à l’étape de sélection d’une AMI, vérifiez le champ **Mode de démarrage**. Pour de plus amples informations, veuillez consulter [Images d’applications et de systèmes d’exploitation (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami).

------
#### [ AWS CLI ]

**Pour déterminer le paramètre de mode de démarrage d’une AMI**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) pour déterminer le mode de démarrage d'une AMI.

```
aws ec2 describe-images \
    --region us-east-1 \
    --image-id ami-0abcdef1234567890 \
    --query Images[].BootMode \
    --output text
```

Voici un exemple de sortie.

```
uefi
```

Dans la sortie, une valeur `uefi` indique que l’AMI prend en charge l’UEFI. Une valeur de `uefi-preferred` indique que l’AMI prend en charge l’UEFI et le BIOS hérité. S’il n’existe aucune valeur, les instances lancées à partir de l’AMI utilisent la valeur par défaut du type d’instance.

------
#### [ PowerShell ]

**Pour déterminer le paramètre de mode de démarrage d’une AMI**  
Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html) pour déterminer le mode de démarrage d’une AMI.

```
Get-EC2Image -Region us-east-1 `
    -ImageId ami-0abcdef1234567890 | Format-List Name, BootMode, TpmSupport
```

Voici un exemple de sortie.

```
Name       : TPM-Windows_Server-2016-English-Full-Base-2023.05.10
BootMode   : uefi
TpmSupport : v2.0
```

Dans la sortie, une valeur `BootMode` indique le mode de démarrage de l’AMI. Une valeur de `uefi` indique que l’AMI prend en charge UEFI. Une valeur de `uefi-preferred` indique que l’AMI prend en charge l’UEFI et le BIOS hérité. S’il n’existe aucune valeur, les instances lancées à partir de l’AMI utilisent la valeur par défaut du type d’instance.

------

# Déterminer les modes de démarrage pris en charge par un type d’instance EC2
<a name="instance-type-boot-mode"></a>

Vous pouvez déterminer les modes de démarrage pris en charge par un type d’instance.

La console Amazon EC2 n’affiche pas les modes de démarrage pris en charge par un type d’instance.

------
#### [ AWS CLI ]

Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html) pour déterminer les modes de démarrage pris en charge d’un type d’instance. Le paramètre `--query` filtre la sortie pour ne renvoyer que les modes de démarrage pris en charge.

L’exemple suivant montre que le type d’instance spécifié prend en charge les modes de démarrage UEFI et BIOS hérité.

```
aws ec2 describe-instance-types \
    --instance-types m5.2xlarge \
    --query "InstanceTypes[*].SupportedBootModes"
```

Voici un exemple de sortie.

```
[
    [
        "legacy-bios",
        "uefi"
    ]
]
```

L’exemple suivant montre que `t2.xlarge` ne prend en charge que le BIOS hérité.

```
aws ec2 describe-instance-types \
    --instance-types t2.xlarge \
    --query "InstanceTypes[*].SupportedBootModes"
```

Voici un exemple de sortie.

```
[
    [
        "legacy-bios"
    ]
]
```

------
#### [ PowerShell ]

Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html) pour déterminer les modes de démarrage pris en charge par un type d’instance.

L’exemple suivant montre que `m5.2xlarge` prend en charge les modes de démarrage de l’UEFI et du BIOS hérité.

```
Get-EC2InstanceType -InstanceType m5.2xlarge | Format-List InstanceType, SupportedBootModes
```

Voici un exemple de sortie.

```
InstanceType       : m5.2xlarge
SupportedBootModes : {legacy-bios, uefi}
```

L’exemple suivant montre que `t2.xlarge` ne prend en charge que le BIOS hérité.

```
Get-EC2InstanceType -InstanceType t2.xlarge | Format-List InstanceType, SupportedBootModes
```

Voici un exemple de sortie.

```
InstanceType       : t2.xlarge
SupportedBootModes : {legacy-bios}
```

------

**Pour déterminer les types d’instances qui prennent en charge l’UEFI**  
Vous pouvez déterminer les types d’instance qui prennent en charge l’UEFI. La console Amazon EC2 n’affiche pas la prise en charge UEFI par un type d’instance.

------
#### [ AWS CLI ]

Les types d’instance disponibles varient selon l’ Région AWS. Pour voir les types d'instances disponibles qui prennent en charge l'UEFI dans une région, utilisez la [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)commande. Incluez le paramètre `--filters` pour étendre les résultats aux types d’instance qui prennent en charge lUEFI et le paramètre `--query` pour étendre la sortie à la valeur de `InstanceType`.

```
aws ec2 describe-instance-types \
    --filters Name=supported-boot-mode,Values=uefi \
    --query "InstanceTypes[*].[InstanceType]" --output text | sort
```

------
#### [ PowerShell ]

Les types d’instance disponibles varient selon l’ Région AWS. Pour voir les types d'instances disponibles qui prennent en charge l'UEFI dans une région, utilisez l'[Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)applet de commande.

```
Get-EC2InstanceType | `
	Where-Object {$_.SupportedBootModes -Contains "uefi"} | `
	Sort-Object InstanceType | `
	Format-Table InstanceType -GroupBy CurrentGeneration
```

------

**Pour déterminer les types d’instance qui prennent en charge le démarrage sécurisé de l’UEFI et qui conservent les variables non volatiles**  
Les instances du matériel nu ne prennent pas en charge le démarrage sécurisé de l’UEFI et les variables non volatiles, de sorte que ces exemples les excluent de la sortie. Pour plus d’informations sur UEFI Secure Boot, consultez [Démarrage sécurisé de l’UEFI pour les instances Amazon EC2](uefi-secure-boot.md).

------
#### [ AWS CLI ]

Utilisez la [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)commande et excluez les instances bare metal de la sortie.

```
aws ec2 describe-instance-types \
    --filters Name=supported-boot-mode,Values=uefi Name=bare-metal,Values=false \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
```

------
#### [ PowerShell ]

Utilisez l'[Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)applet de commande et excluez les instances bare metal de la sortie.

```
Get-EC2InstanceType | `
    Where-Object { `
        $_.SupportedBootModes -Contains "uefi" -and `
        $_.BareMetal -eq $False
        } | `
    Sort-Object InstanceType  | `
    Format-Table InstanceType, SupportedBootModes, BareMetal, `
        @{Name="SupportedArchitectures"; Expression={$_.ProcessorInfo.SupportedArchitectures}}
```

------

# Déterminer le mode de démarrage d’une instance EC2
<a name="instance-boot-mode"></a>

Le mode de démarrage d’une instance est affiché dans le champ **Mode de démarrage** de la console Amazon EC2, et par le paramètre `currentInstanceBootMode` de l’ AWS CLI.

Lorsqu’une instance est lancée, la valeur de son paramètre de mode de démarrage est déterminée par la valeur du paramètre de mode de démarrage de l’AMI utilisée pour la lancer, comme suit :
+ Une AMI avec un paramètre de mode de démarrage défini sur `uefi` crée une instance avec un paramètre `currentInstanceBootMode` de `uefi`.
+ Une AMI avec un paramètre de mode de démarrage défini sur `legacy-bios` crée une instance avec un paramètre `currentInstanceBootMode` de ` legacy-bios`.
+ Une AMI dont le paramètre de mode de démarrage est `uefi-preferred` crée une instance avec un paramètre `currentInstanceBootMode` de `uefi` si le type d’instance prend en charge l’UEFI ; sinon, elle crée une instance avec un paramètre `currentInstanceBootMode` de `legacy-bios`.
+ Une AMI sans valeur de paramètre de mode de démarrage crée une instance avec une valeur de paramètre de `currentInstanceBootMode` qui dépend du fait que l’architecture de l’AMI est ARM ou x86 et du mode de démarrage pris en charge du type d’instance. Le mode de démarrage par défaut est `uefi` sur les types d’instance Graviton et `legacy-bios` sur les types d’instance Intel et AMD.

------
#### [ Console ]

**Pour déterminer le mode de démarrage d’une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **instances**, puis sélectionnez votre instance.

1. Sous l’onglet **Détails**, vérifiez le champ **Mode de démarrage**.

------
#### [ AWS CLI ]

**Pour déterminer le mode de démarrage d’une instance**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) pour déterminer le mode de démarrage d’une instance. Vous pouvez également déterminer le mode de démarrage de l'AMI qui a été utilisée pour créer l'instance. 

```
aws ec2 describe-instances \
    --region us-east-1 \
    --instance-ids i-1234567890abcdef0 \
    --query Reservations[].Instances[].BootMode \
    --output text
```

Voici un exemple de sortie.

```
uefi
```

------
#### [ PowerShell ]

**Pour déterminer le mode de démarrage d’une instance**  
Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html) pour déterminer le mode de démarrage d’une instance. Vous pouvez également déterminer le mode de démarrage de l’AMI qui a été utilisée pour créer l’instance. 

```
(Get-EC2Instance `
    -InstanceId i-1234567890abcdef0).Instances | Format-List BootMode, CurrentInstanceBootMode, InstanceType, ImageId
```

Voici un exemple de sortie.

```
BootMode                : uefi
CurrentInstanceBootMode : uefi
InstanceType            : c5a.large
ImageId                 : ami-0abcdef1234567890
```

------

# Déterminer le mode de démarrage du système d’exploitation de votre instance EC2
<a name="os-boot-mode"></a>

Le mode de démarrage de l’AMI guide Amazon EC2 vers le mode de démarrage à utiliser pour démarrer une instance. Pour savoir si le système d’exploitation de votre instance est configuré pour l’UEFI, vous devez vous connecter à votre instance en utilisant SSH (instances Linux) ou RDP (instances Windows).

Utilisez les instructions fournies pour le système d’exploitation de votre instance.

## Linux
<a name="os-boot-mode-linux"></a>

**Pour déterminer le mode de démarrage du système d’exploitation de l’instance**

1. [Connectez-vous à votre instance Linux à l’aide de SSH](connect-linux-inst-ssh.md).

1. Pour afficher le mode de démarrage du système d’exploitation, essayez l’une des méthodes suivantes :
   + Exécutez la commande suivante.

     ```
     [ec2-user ~]$ sudo /usr/sbin/efibootmgr
     ```

     Sortie attendue d’une instance démarrée en mode de démarrage UEFI

     ```
     BootCurrent: 0001
     Timeout: 0 seconds
     BootOrder: 0000,0001
     Boot0000* UiApp
     Boot0001* UEFI Amazon Elastic Block Store vol-xyz
     ```
   + Exécutez la commande suivante pour vérifier l’existence du répertoire `/sys/firmware/efi`. Ce répertoire n’existe que si l’instance démarre à l’aide de l’UEFI. Si le répertoire n’existe pas, la commande renvoie `Legacy BIOS Boot Detected`.

     ```
     [ec2-user ~]$ [ -d /sys/firmware/efi ] && echo "UEFI Boot Detected" || echo "Legacy BIOS Boot Detected"
     ```

     Sortie attendue d’une instance démarrée en mode de démarrage UEFI

     ```
     UEFI Boot Detected
     ```

     Sortie attendue d’une instance démarrée en mode de démarrage BIOS hérité

     ```
     Legacy BIOS Boot Detected
     ```
   + Exécutez la commande suivante pour vérifier qu’EFI apparaît dans la sortie `dmesg`.

     ```
     [ec2-user ~]$ dmesg | grep -i "EFI"
     ```

     Sortie attendue d’une instance démarrée en mode de démarrage UEFI

     ```
     [    0.000000] efi: Getting EFI parameters from FDT:
     [    0.000000] efi: EFI v2.70 by EDK II
     ```

## Windows
<a name="os-boot-mode-windows"></a>

**Pour déterminer le mode de démarrage du système d’exploitation de l’instance**

1. [Connectez-vous à votre instance Windows à l’aide de RDP](connecting_to_windows_instance.md).

1. Accédez à **Informations système** et vérifiez la ligne **Mode BIOS**.  
![\[Fenêtre d’informations système affichant la ligne du mode BIOS sélectionnée. La valeur du mode BIOS est « hérité ».\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/BIOS-mode-win.png)

# Définir le mode de démarrage d’une AMI Amazon EC2
<a name="set-ami-boot-mode"></a>

Par défaut, une AMI hérite du mode de démarrage de l’instance EC2 utilisée pour créer l’AMI. Par exemple, si vous créez une AMI à partir d’une instance EC2 fonctionnant sur un BIOS hérité, le mode de démarrage de la nouvelle AMI est `legacy-bios`. Si vous créez une AMI à partir d’une instance EC2 avec un mode de démarrage `uefi-preferred`, le mode de démarrage de la nouvelle AMI sera `uefi-preferred`.

Lorsque vous enregistrez une AMI, vous pouvez définir le mode de démarrage de l’AMI sur `uefi`, `legacy-bios` ou `uefi-preferred`.

Lorsque le mode de démarrage de l’AMI est défini sur `uefi-preferred`, l’instance démarre comme suit : 
+ Pour les types d’instance qui prennent en charge à la fois l’UEFI et le BIOS hérité (par exemple, `m5.large`), l’instance démarre à l’aide de l’UEFI.
+ Pour les types d’instance qui prennent en charge uniquement le BIOS hérité (par exemple, `m4.large`), l’instance démarre à l’aide du BIOS hérité.

Si vous définissez le mode de démarrage de l’AMI sur `uefi-preferred`, le système d’exploitation doit prendre en charge le démarrage de l’UEFI et du BIOS hérité.

Pour convertir une instance existante basée sur le BIOS hérité en UEFI, ou une instance existante basée sur UEFI en BIOS hérité, vous devez d’abord modifier le volume et le système d’exploitation de l’instance afin qu’ils prennent en charge le mode de démarrage sélectionné. Créez ensuite un instantané du volume. Et pour finir, créez une AMI à partir de l’instantané

**Considérations**
+ La définition du paramètre de mode de démarrage de l’AMI ne configure pas automatiquement le système d’exploitation pour le mode de démarrage spécifié. Vous devez d’abord apporter les modifications appropriées au volume et au système d’exploitation de l’instance afin de prendre en charge le démarrage à l’aide du mode de démarrage sélectionné. Sinon, l’AMI résultante ne sera pas utilisable. Par exemple, si vous convertissez une instance Windows basée sur le BIOS Legacy en UEFI, vous pouvez utiliser l'[MBR2outil GPT](https://learn.microsoft.com/en-us/windows/deployment/mbr-to-gpt) de Microsoft pour convertir le disque système de MBR en GPT. Les modifications requises sont spécifiques au système d’exploitation. Pour plus d’informations, consultez le manuel de votre système d’exploitation.
+ Vous ne pouvez pas utiliser la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) ou l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html) pour créer une AMI prenant en charge à la fois [NitroTPM](nitrotpm.md) et UEFI préférée.
+ Certaines fonctionnalités, comme UEFI Secure Boot, ne sont disponibles que sur les instances qui démarrent sur l’UEFI. Lorsque vous utilisez le paramètre de mode de démarrage de l’AMI `uefi-preferred` avec un type d’instance qui ne prend pas en charge l’UEFI, l’instance démarre en mode BIOS hérité et la fonctionnalité dépendante de l’UEFI est désactivée. Si vous vous appuyez sur la disponibilité d’une fonctionnalité dépendante de l’UEFI, définissez le paramètre du mode de démarrage de votre AMI sur `uefi`.

------
#### [ AWS CLI ]

**Pour définir le mode de démarrage d’une AMI**

1. Apporter des modifications appropriées au volume et au système d’exploitation de l’instance pour prendre en charge le démarrage via le mode de démarrage sélectionné. Les modifications requises sont spécifiques au système d’exploitation. Pour plus d’informations, consultez le manuel de votre système d’exploitation.
**Avertissement**  
Si vous n’effectuez pas cette étape, l’AMI ne sera pas utilisable.

1. Pour trouver l’ID de volume de l’instance, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html). Vous allez créer un instantané de ce volume à l’étape suivante.

   ```
   aws ec2 describe-instances \
       --instance-ids i-1234567890abcdef0 \
       --query Reservations[].Instances[].BlockDeviceMappings
   ```

   Voici un exemple de sortie.

   ```
   [
       [
           {
               "DeviceName": "/dev/xvda",
               "Ebs": {
                   "AttachTime": "2024-07-11T01:05:51+00:00",
                   "DeleteOnTermination": true,
                   "Status": "attached",
                   "VolumeId": "vol-1234567890abcdef0"
               }
           }
       ]
   ]
   ```

1. Pour créer un instantané du volume, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html). Utilisez l’ID de volume de l’étape précédente.

   ```
   aws ec2 create-snapshot \
       --volume-id vol-01234567890abcdef \
       --description "my snapshot"
   ```

   Voici un exemple de sortie.

   ```
   {
       "Description": "my snapshot",
       "Encrypted": false,
       "OwnerId": "123456789012",
       "Progress": "",
       "SnapshotId": "snap-0abcdef1234567890",
       "StartTime": "",
       "State": "pending",
       "VolumeId": "vol-01234567890abcdef",
       "VolumeSize": 30,
       "Tags": []
   }
   ```

1. Attendez que l’état de l’instantané soit `completed` avant de passer à l’étape suivante. Pour obtenir l’état de l’instantané, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) avec l’ID d’instantané obtenu à l’étape précédente.

   ```
   aws ec2 describe-snapshots \
       --snapshot-ids snap-0abcdef1234567890 \
       --query Snapshots[].State \
       --output text
   ```

   Voici un exemple de sortie.

   ```
   completed
   ```

1. Pour créer une AMI, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Utilisez la valeur `SnapshotId` de la sortie de **CreateSnapshot**.
   + Pour définir le mode de démarrage sur UEFI, ajoutez le paramètre `--boot-mode` avec une valeur de `uefi`.

     ```
     aws ec2 register-image \
        --description "my image" \
        --name "my-image" \
        --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
        --root-device-name /dev/sda1 \
        --virtualization-type hvm \
        --ena-support \
        --boot-mode uefi
     ```
   + Pour définir le mode de démarrage sur `uefi-preferred`, définissez la valeur de `--boot-mode` sur `uefi-preferred`

     ```
     aws ec2 register-image \
        --description "my description" \
        --name "my-image" \
        --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
        --root-device-name /dev/sda1 \
        --virtualization-type hvm \
        --ena-support \
        --boot-mode uefi-preferred
     ```

1. (Facultatif) Pour vérifier que l’AMI nouvellement créée possède le mode de démarrage que vous avez spécifié, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

   ```
   aws ec2 describe-images \
       --image-id ami-1234567890abcdef0 \
       --query Images[].BootMode \
       --output text
   ```

   Voici un exemple de sortie.

   ```
   uefi
   ```

------
#### [ PowerShell ]

**Pour définir le mode de démarrage d’une AMI**

1. Apporter des modifications appropriées au volume et au système d’exploitation de l’instance pour prendre en charge le démarrage via le mode de démarrage sélectionné. Les modifications requises sont spécifiques au système d’exploitation. Pour plus d’informations, consultez le manuel de votre système d’exploitation.
**Avertissement**  
Si vous n’effectuez pas cette étape, l’AMI ne sera pas utilisable.

1. Pour rechercher l’ID de volume de l’instance, utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).

   ```
   (Get-EC2Instance `
       -InstanceId i-1234567890abcdef0).Instances.BlockDeviceMappings.Ebs
   ```

   Voici un exemple de sortie.

   ```
   AssociatedResource  : 
   AttachTime          : 7/11/2024 1:05:51 AM
   DeleteOnTermination : True
   Operator            : 
   Status              : attached
   VolumeId            : vol-01234567890abcdef
   ```

1. Pour créer un instantané du volume, utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html). Utilisez l’ID de volume de l’étape précédente.

   ```
   New-EC2Snapshot `
       -VolumeId vol-01234567890abcdef `
       -Description "my snapshot"
   ```

   Voici un exemple de sortie.

   ```
   AvailabilityZone          : 
   Description               : my snapshot
   Encrypted                 : False
   FullSnapshotSizeInBytes   : 0
   KmsKeyId                  : 
   OwnerId                   : 123456789012
   RestoreExpiryTime         : 
   SnapshotId                : snap-0abcdef1234567890
   SseType                   : 
   StartTime                 : 4/25/2025 6:08:59 PM
   State                     : pending
   StateMessage              : 
   VolumeId                  : vol-01234567890abcdef
   VolumeSize                : 30
   ```

1. Attendez que l’état de l’instantané soit `completed` avant de passer à l’étape suivante. Pour connaître l’état de l’instantané, utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) avec l’ID d’instantané obtenu à l’étape précédente.

   ```
   (Get-EC2Snapshot `
       -SnapshotId snap-0abcdef1234567890).State.Value
   ```

   Voici un exemple de sortie.

   ```
   completed
   ```

1. Pour créer une AMI, utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html). Utilisez la valeur `SnapshotId` de la sortie de **New-EC2Snapshot**.
   + Pour définir le mode de démarrage sur UEFI, ajoutez le paramètre `-BootMode` avec une valeur de `uefi`.

     ```
     $block = @{SnapshotId=snap-0abcdef1234567890}
     Register-EC2Image ` 
        -Description "my image" `
        -Name "my-image" `
        -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
        -RootDeviceName /dev/xvda `
        -EnaSupport $true `
        -BootMode uefi
     ```
   + Pour définir le mode de démarrage sur `uefi-preferred`, définissez la valeur de `-BootMode` sur `uefi-preferred`

     ```
     $block = @{SnapshotId=snap-0abcdef1234567890}
     Register-EC2Image ` 
        -Description "my image" `
        -Name "my-image" `
        -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
        -RootDeviceName /dev/xvda `
        -EnaSupport $true `
        -BootMode uefi-preferred
     ```

1. (Facultatif) Pour vérifier que l’AMI nouvellement créée dispose du mode de démarrage que vous avez spécifié, utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

   ```
   (Get-EC2Image `
       -ImageId ami-1234567890abcdef0).BootMode.Value
   ```

   Voici un exemple de sortie.

   ```
   uefi
   ```

------

# Variables UEFI pour les instances Amazon EC2
<a name="uefi-variables"></a>

Lorsque vous lancez une instance pour laquelle le mode de démarrage est défini sur UEFI, un magasin clé-valeur pour les variables est créé. Le magasin peut être utilisé par UEFI et le système d’exploitation d’instances pour stocker des variables UEFI.

Les variables UEFI sont utilisées par le chargeur de démarrage et le système d’exploitation pour configurer le démarrage précoce du système. Ils permettent au système d’exploitation de gérer certains paramètres du processus de démarrage, tels que l’ordre de démarrage ou la gestion des clés de UEFI Secure Boot.

**Avertissement**  
Toute personne pouvant se connecter à l'instance (et potentiellement à tout logiciel exécuté sur l'instance), ou toute personne autorisée à utiliser l'[GetInstanceUefiData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetInstanceUefiData.html)API sur l'instance, peut lire les variables. Vous ne devez jamais stocker de données sensibles, telles que des mots de passe ou des informations personnelles identifiables, dans le magasin de variables UEFI.

**Persistance des variables UEFI**
+ Pour les instances lancées le 10 mai 2022 ou avant, les variables UEFI sont effacées au redémarrage ou à l’arrêt.
+ Pour les instances lancées le 11 mai 2022 ou après, les variables UEFI marquées comme non volatiles sont conservées au redémarrage et à l’arrêt/démarrage.
+ Les instances matériel nu ne préservent pas les variables non volatiles UEFI dans les opérations d’arrêt/démarrage de l’instance.

# Démarrage sécurisé de l’UEFI pour les instances Amazon EC2
<a name="uefi-secure-boot"></a>

UEFI Secure Boot s'appuie sur le processus de démarrage sécurisé de longue date d'Amazon EC2 et fournit des fonctionnalités defense-in-depth supplémentaires qui aident les clients à protéger leurs logiciels contre les menaces persistantes après les redémarrages. Il garantit que l’instance démarre uniquement le logiciel signé avec des clés de chiffrement. Les clés sont stockées dans la base de données de clés du [Magasin de variables non volatiles UEFI](uefi-variables.md). UEFI Secure Boot empêche la modification non autorisée du flux de démarrage de l’instance.

**Topics**
+ [Comment fonctionne le démarrage sécurisé de l’UEFI avec les instances Amazon EC2](how-uefi-secure-boot-works.md)
+ [Exigences relatives au démarrage sécurisé UEFI sur Amazon EC2](launch-instance-with-uefi-sb.md)
+ [Vérifiez si une instance Amazon EC2 est activée pour le démarrage sécurisé de l’UEFI](verify-uefi-secure-boot.md)
+ [Créer une AMI Linux avec des clés de démarrage sécurisé de l’UEFI personnalisées](create-ami-with-uefi-secure-boot.md)
+ [Créez le blob AWS binaire pour UEFI Secure Boot](aws-binary-blob-creation.md)

# Comment fonctionne le démarrage sécurisé de l’UEFI avec les instances Amazon EC2
<a name="how-uefi-secure-boot-works"></a>

UEFI Secure Boot est une fonction spécifiée dans UEFI, qui permet de vérifier l’état de la chaîne de démarrage. Elle est conçue pour garantir que seuls les binaires UEFI vérifiés cryptographiquement sont exécutés après l’auto-initialisation du microprogramme. Ces binaires incluent les pilotes UEFI et le chargeur de démarrage principal, ainsi que des composants chargés en série.

UEFI Secure Boot spécifie quatre bases de données clés, qui sont utilisées dans une chaîne de confiance. Les bases de données sont stockées dans le magasin de variables UEFI.

La chaîne de confiance est la suivante :

**Base de données de clés de plateforme (PK, Platform Key)**  
La base de données PK est la source de la confiance. Elle contient une clé PK publique unique utilisée dans la chaîne de confiance pour mettre à jour la base de données KEK (Key Exchange Key).  
Pour modifier la base de données PK, vous devez disposer de la clé privée PK pour signer une demande de mise à jour. Cela inclut la suppression de la base de données PK en écrivant une clé PK vide.

**Base de données de clés d’échange de clés (KEK)**  
La base de données KEK est une liste de clés KEK publiques utilisées dans la chaîne de confiance pour mettre à jour les bases de données de signature (db) et de liste d’exclusion (dbx).  
Pour modifier la base de données publique KEK, vous devez disposer de la clé privée PK pour signer une demande de mise à jour.

**Base de données de signature (db)**  
La base de données est une liste de clés publiques et de hachages utilisés dans la chaîne de confiance pour valider tous les binaires de démarrage UEFI.  
Pour modifier la base de données db, vous devez disposer de la clé privée PK ou de l’une des clés privées KEK pour signer une demande de mise à jour.

**Base de données de liste d’exclusion de signature (dbx)**  
La base de données dbx est une liste de clés publiques et de hachages binaires qui ne sont pas fiables et sont utilisés dans la chaîne de confiance comme fichier de révocation.  
La base de données dbx est toujours prioritaire sur toutes les autres bases de données clés.  
Pour modifier la base de données dbx, vous devez disposer de la clé privée PK ou de l’une des clés privées KEK pour signer une demande de mise à jour.  
Le Forum de UEFI maintient une dbx accessible au public pour de nombreux binaires et certificats connus pour être mauvais à l’adresse [https://uefi.org/revocationlistfile](https://uefi.org/revocationlistfile).

**Important**  
UEFI Secure Boot impose la validation des signatures sur tous les binaires UEFI. Pour permettre l’exécution d’un binaire UEFI dans UEFI Secure Boot, vous le signez avec l’une des clés privées db décrites ci-dessus.

Par défaut, UEFI Secure Boot est désactivé et le système est en mode `SetupMode`. Lorsque le système est en mode `SetupMode`, toutes les variables clés peuvent être mises à jour sans signature cryptographique. Lorsque le PK est défini, le démarrage sécurisé UEFI est activé et est quitté. SetupMode 

# Exigences relatives au démarrage sécurisé UEFI sur Amazon EC2
<a name="launch-instance-with-uefi-sb"></a>

Lorsque vous [lancez une instance Amazon EC2](LaunchingAndUsingInstances.md) avec une AMI et un type d’instance pris en charge, cette instance validera automatiquement les binaires de démarrage de l’UEFI par rapport à sa base de données de démarrage sécurisé de l’UEFI. Aucune configuration supplémentaire n’est requise. Vous pouvez également configurer UEFI Secure Boot sur une instance après le lancement.

**Note**  
UEFI Secure Boot protège votre instance et son système d’exploitation contre les modifications du flux de démarrage. Si vous créez une nouvelle AMI à partir d’une AMI source pour laquelle le démarrage sécurisé de l’UEFI est activé et que vous modifiez certains paramètres au cours du processus de copie, par exemple en modifiant `UefiData` dans l’AMI, vous pouvez désactiver le démarrage sécurisé de l’UEFI.

**Topics**
+ [Soutenu AMIs](#uefi-amis)
+ [Types d’instance pris en charge](#uefi-instance)

## Soutenu AMIs
<a name="uefi-amis"></a>

**Linux AMIs**  
Pour lancer une instance Linux, l’AMI Linux doit avoir activée le démarrage sécurisé de l’UEFI.

Amazon Linux prend en charge le démarrage sécurisé UEFI à partir de la AL2023 version 2023.1. Toutefois, le démarrage sécurisé UEFI n'est pas activé par défaut. AMIs Pour plus d'informations, consultez la section [UEFI Secure Boot](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) dans le guide de l'*AL2023 utilisateur*. Les anciennes versions d'Amazon Linux AMIs ne sont pas activées pour le démarrage sécurisé UEFI. Pour utiliser une AMI supportée, vous devez effectuer plusieurs étapes de configuration sur votre propre AMI Linux. Pour de plus amples informations, veuillez consulter [Créer une AMI Linux avec des clés de démarrage sécurisé de l’UEFI personnalisées](create-ami-with-uefi-secure-boot.md).

**Fenêtres AMIs**  
Pour lancer une instance Windows, l’AMI Windows doit avoir activée le démarrage sécurisé de l’UEFI. *Pour trouver une AMI AWS Windows préconfigurée pour le démarrage sécurisé UEFI à l'aide de clés Microsoft, voir [Rechercher un serveur Windows AMIs configuré avec NitroTPM et UEFI Secure Boot](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) dans le manuel Windows Reference.AWS AMIs *

Actuellement, l'importation sur Windows avec UEFI Secure Boot à l'aide de la commande [import-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html) n'est pas prise en charge.

## Types d’instance pris en charge
<a name="uefi-instance"></a>

Tous les types d’instances virtualisées qui prennent en charge l’UEFI prennent également en charge le démarrage sécurisé de l’UEFI. Pour connaître les types d’instances prenant en charge UEFI Secure Boot, consultez [Conditions requises pour le mode de démarrage UEFI](launch-instance-boot-mode.md).

**Note**  
Les types d’instance matériel nu ne prennent pas en charge UEFI Secure Boot.

# Vérifiez si une instance Amazon EC2 est activée pour le démarrage sécurisé de l’UEFI
<a name="verify-uefi-secure-boot"></a>

Vous pouvez utiliser les procédures suivantes pour déterminer si un Amazon EC2 est activé pour le démarrage sécurisé de l’UEFI.

## Instances Linux
<a name="verify-uefi-secure-boot-linux"></a>

Vous pouvez utiliser l’utilitaire `mokutil` pour vérifier si une instance Linux est activée pour UEFI Secure Boot. Si `mokutil` n’est pas installé sur votre instance, vous devez l’installer. Pour les instructions d’installation d’Amazon Linux 2, consultez la section [Rechercher et installer des suites logicielles sur une instance Amazon Linux 2](https://docs.aws.amazon.com/linux/al2/ug/find-install-software.html). Pour les autres distributions Linux, consultez leur documentation spécifique.

**Pour vérifier si une instance Linux est activée pour UEFI Secure Boot**  
Connectez-vous à votre instance et exécutez la commande suivante en tant que `root` dans une fenêtre de terminal.

```
mokutil --sb-state 
```

Voici un exemple de sortie.
+ Si UEFI Secure Boot est activé, la sortie contient `SecureBoot enabled`.
+ Si UEFI Secure Boot n’est pas activé, la sortie contient `SecureBoot disabled` ou `Failed to read SecureBoot`.

## instances Windows
<a name="verify-uefi-secure-boot-windows"></a>

**Pour vérifier si une instance Windows est activée pour UEFI Secure Boot**

1. Connectez-vous à votre instance.

1. Ouvrez l’outil msinfo32.

1. Vérifiez le champ **Secure Boot State** (État du démarrage sécurisé). Si le démarrage sécurisé de l’UEFI est activé, la valeur est **Prise en charge**, comme le montre l’image suivante.  
![\[État de démarrage sécurisé dans Informations système.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/secure-boot-state-win.png)

Vous pouvez également utiliser l' PowerShell applet de commande Windows `Confirm-SecureBootUEFI` pour vérifier l'état du démarrage sécurisé. Pour plus d'informations sur l'applet de commande, consultez la section [Confirm- SecureBoot UEFI dans la documentation Microsoft](https://learn.microsoft.com/en-us/powershell/module/secureboot/confirm-securebootuefi).

# Créer une AMI Linux avec des clés de démarrage sécurisé de l’UEFI personnalisées
<a name="create-ami-with-uefi-secure-boot"></a>

Ces instructions vous montrent comment créer une AMI Linux avec démarrage sécurisé de l’UEFI et clés privées personnalisées. Amazon Linux prend en charge le démarrage sécurisé UEFI à partir de la AL2023 version 2023.1. Pour plus d'informations, consultez [UEFI Secure Boot on AL2023 dans le](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) guide de l'*utilisateur Amazon Linux 2023*.

**Important**  
La procédure suivante est destinée **uniquement aux utilisateurs avancés**. Vous devez posséder une connaissance suffisante de SSL et du flux de démarrage de distribution Linux pour utiliser ces procédures.

**Conditions préalables**
+ Les outils suivants seront utilisés :
  + OpenSSL : [https://www.openssl.org/](https://www.openssl.org/)
  + [éfivar — éfivar https://github.com/rhboot/](https://github.com/rhboot/efivar)
  + [efitools — https://git.kernel. org/pub/scm/linux/kernel/git/jejb/efitools.git/](https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/)
  + Commande [get-instance-uefi-data](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html)
+ Votre instance Linux doit avoir été lancée avec une AMI Linux qui prend en charge le mode de démarrage UEFI et contient des données non volatiles.

Les instances nouvellement créées sans clés UEFI Secure Boot sont créées dans `SetupMode`, ce qui vous permet d’inscrire vos propres clés. Certaines AMIs sont préconfigurées avec UEFI Secure Boot et vous ne pouvez pas modifier les clés existantes. Si vous souhaitez modifier les clés, vous devez créer une nouvelle AMI basée sur l’AMI d’origine.

Vous pouvez propager les clés dans le magasin de variables de deux manières, décrites dans les options A et B suivantes. L’option A décrit comment le faire depuis l’instance, en imitant le flux de matériel réel. L’option B décrit comment créer un blob binaire, qui est ensuite transmis en tant que fichier codé en base64 lorsque vous créez l’AMI. Pour les deux options, vous devez d’abord créer les trois paires de clés utilisées pour la chaîne de confiance.

**Topics**
+ [Tâche 1 : création d’une paire de clés](#uefi-secure-boot-create-three-key-pairs)
+ [Tâche 2 – Option A : ajout de clés au magasin de variables depuis l’instance](#uefi-secure-boot-optionA)
+ [Tâche 2 – Option B : création d’un blob binaire contenant un magasin de variables prérempli](#uefi-secure-boot-optionB)

## Tâche 1 : création d’une paire de clés
<a name="uefi-secure-boot-create-three-key-pairs"></a>

UEFI Secure Boot repose sur les trois bases de données de clés suivantes, qui sont utilisées dans une chaîne de confiance : la clé de plateforme (PK), la clé d’échange de clés (KEK) et la base de données de signatures (db).¹

Vous créez chaque clé sur l’instance. Pour préparer les clés publiques dans un format valide pour la norme UEFI Secure Boot, vous créez un certificat pour chaque clé. `DER` définit le format SSL (codage binaire d’un format). Vous convertissez ensuite chaque certificat en liste de signatures UEFI, qui est le format binaire compris par UEFI Secure Boot. Enfin, vous signez chaque certificat avec la clé correspondante.

**Topics**
+ [Préparez-vous à créer les paires de clés](#uefisb-prepare-to-create-key-pairs)
+ [Paire de clés 1 : créer la clé de plateforme (PK)](#uefisb-create-key-pair-1)
+ [Paire de clés 2 : créer la clé d’échange de clés (KEK)](#uefisb-create-key-pair-2)
+ [Paire de clés 3 : créez la base de données de signatures (db)](#uefisb-create-key-pair-3)
+ [Signez l’image de démarrage (noyau) avec la clé privée](#uefi-secure-boot-sign-kernel)

### Préparez-vous à créer les paires de clés
<a name="uefisb-prepare-to-create-key-pairs"></a>

Avant de créer les paires de clés, créez un identifiant unique global (GUID) à utiliser lors de la génération de clés.

1. [Connectez-vous à l’instance.](connect.md)

1. Exécutez la commande suivante dans un shell.

   ```
   uuidgen --random > GUID.txt
   ```

### Paire de clés 1 : créer la clé de plateforme (PK)
<a name="uefisb-create-key-pair-1"></a>

La PK est la fondation de la confiance pour les instances UEFI Secure Boot. La PK privée est utilisée pour mettre à jour la KEK, qui peut à son tour être utilisée pour ajouter des clés autorisées à la base de données de signatures (db).

La norme X.509 est utilisée pour créer la paire de clés. Pour plus d’informations sur la norme, veuillez consulter [X.509](https://en.wikipedia.org/wiki/X.509) sur *Wikipédia*.

**Pour créer la PK**

1. Créez la clé. Vous devez nommer la variable `PK`.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout PK.key -new -x509 -sha256 -days 3650 -subj "/CN=Platform key/" -out PK.crt
   ```

   Les paramètres suivants sont spécifiés :
   + `-keyout PK.key` : le fichier de clé privée.
   + `-days 3650` : le nombre de jours de validité du certificat.
   + `-out PK.crt` : le certificat utilisé pour créer la variable UEFI.
   + `CN=Platform key` : le nom commun (CN) de la clé. Vous pouvez saisir le nom de votre propre organisation à la place de*Platform key*.

1. Créez le certificat.

   ```
   openssl x509 -outform DER -in PK.crt -out PK.cer
   ```

1. Convertissez le certificat en liste de signatures UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" PK.crt PK.esl
   ```

1. Signez la liste de signatures UEFI avec la PK privée (auto-signée).

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt PK PK.esl PK.auth
   ```

### Paire de clés 2 : créer la clé d’échange de clés (KEK)
<a name="uefisb-create-key-pair-2"></a>

La KEK privée est utilisée pour ajouter des clés à la base de données, qui est la liste des signatures autorisées à démarrer sur le système. 

**Pour créer la KEK**

1. Créez la clé.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=Key Exchange Key/" -out KEK.crt
   ```

1. Créez le certificat.

   ```
   openssl x509 -outform DER -in KEK.crt -out KEK.cer
   ```

1. Convertissez le certificat en liste de signatures UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" KEK.crt KEK.esl
   ```

1. Signez la liste de signatures avec la PK privée.

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt KEK KEK.esl KEK.auth
   ```

### Paire de clés 3 : créez la base de données de signatures (db)
<a name="uefisb-create-key-pair-3"></a>

La liste db contient des clés autorisées qui sont habilitées à être démarrées sur le système. Pour modifier la liste, la KEK privée est nécessaire. Les images de démarrage seront signées avec la clé privée créée au cours de cette étape.

**Pour créer la db**

1. Créez la clé.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=Signature Database key/" -out db.crt
   ```

1. Créez le certificat.

   ```
   openssl x509 -outform DER -in db.crt -out db.cer
   ```

1. Convertissez le certificat en liste de signatures UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" db.crt db.esl
   ```

1. Signez la liste de signatures avec la KEK privée.

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k KEK.key -c KEK.crt db db.esl db.auth
   ```

### Signez l’image de démarrage (noyau) avec la clé privée
<a name="uefi-secure-boot-sign-kernel"></a>

Pour Ubuntu 22.04, les images suivantes nécessitent des signatures.

```
/boot/efi/EFI/ubuntu/shimx64.efi
/boot/efi/EFI/ubuntu/mmx64.efi
/boot/efi/EFI/ubuntu/grubx64.efi
/boot/vmlinuz
```

**Pour signer une image**  
Utilisez la syntaxe suivante pour signer une image.

```
sbsign --key db.key --cert db.crt --output /boot/vmlinuz /boot/vmlinuz
```

**Note**  
Vous devez signer tous les nouveaux noyaux. *`/boot/vmlinuz`* sera généralement un lien symbolique vers le dernier noyau installé.

Reportez-vous à la documentation de votre distribution pour connaître votre chaîne de démarrage et les images requises.

¹ Merci à la ArchWiki communauté pour tout le travail qu'elle a accompli. Les commandes permettant de créer le PK, de créer le KEK, de créer la base de données et de signer l'image proviennent de la section [Création de clés](https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Creating_keys), rédigée par l'équipe de ArchWiki maintenance et and/or les ArchWiki contributeurs.

## Tâche 2 – Option A : ajout de clés au magasin de variables depuis l’instance
<a name="uefi-secure-boot-optionA"></a>

Une fois que vous avez créé les [trois paires de clés](#uefi-secure-boot-create-three-key-pairs), vous pouvez vous connecter à votre instance et ajouter les clés au magasin de variables depuis l’instance en effectuant les étapes suivantes. Vous pouvez également suivre les étapes décrites dans [Tâche 2 – Option B : création d’un blob binaire contenant un magasin de variables prérempli](#uefi-secure-boot-optionB).

**Topics**
+ [Étape 1 : lancer une instance qui prend en charge le démarrage sécurisé de UEFI](#step1-launch-uefi-sb)
+ [Étape 2 : configurer une instance pour prendre en charge UEFI Secure Boot](#step2-launch-uefi-sb)
+ [Étape 3 : créer une AMI à partir de l’instance](#step3-launch-uefi-sb)

### Étape 1 : lancer une instance qui prend en charge le démarrage sécurisé de UEFI
<a name="step1-launch-uefi-sb"></a>

Lorsque vous [lancez une instance](LaunchingAndUsingInstances.md) avec les conditions préalables suivantes, l’instance sera alors prête à être configurée pour prendre en charge UEFI Secure Boot. Vous pouvez uniquement activer la prise en charge de UEFI Secure Boot sur une instance au lancement. Vous ne pouvez pas l’activer ultérieurement.

**Conditions préalables**
+ **AMI** : l’AMI Linux doit prendre en charge le mode de démarrage UEFI. Pour vérifier que l’AMI prend en charge le mode de démarrage UEFI, le paramètre du mode de démarrage de l’AMI doit être **uefi**. Pour de plus amples informations, veuillez consulter [Déterminer le paramètre du mode de démarrage d’une AMI Amazon EC2](ami-boot-mode.md).

  Notez que AWS seul Linux est AMIs configuré pour prendre en charge l'UEFI pour les types d'instances basés sur Graviton. AWS ne fournit actuellement pas de système Linux x86\$164 prenant en charge le mode de AMIs démarrage UEFI. Vous pouvez configurer votre propre AMI afin de prendre en charge le mode de démarrage UEFI pour toutes les architectures. Pour configurer votre propre AMI afin de prendre en charge le mode de démarrage UEFI, vous devez effectuer plusieurs étapes de configuration sur votre propre AMI Linux. Pour de plus amples informations, veuillez consulter [Définir le mode de démarrage d’une AMI Amazon EC2](set-ami-boot-mode.md).
+ **Type d’instance** : tous les types d’instances virtualisées prenant en charge UEFI prennent également en charge UEFI Secure Boot. Les types d’instance matériel nu ne prennent pas en charge UEFI Secure Boot. Pour connaître les types d’instances prenant en charge UEFI Secure Boot, consultez [Conditions requises pour le mode de démarrage UEFI](launch-instance-boot-mode.md).
+ Lancez votre instance après la sortie d’UEFI Secure Boot. Seules les instances lancées après le 10 mai 2022 (lorsque UEFI Secure Boot a été publié) peuvent prendre en charge UEFI Secure Boot.

Une fois que vous avez lancé votre instance, vous pouvez vérifier qu’elle est prête à être configurée pour prendre en charge UEFI Secure Boot (en d’autres termes, vous pouvez passer à l’[étape 2](#step2-launch-uefi-sb)) en vérifiant si les données UEFI sont présentes. La présence de données UEFI indique que les données non volatiles sont persistantes.

**Pour vérifier si votre instance est prête pour l’étape 2**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) et spécifiez l’ID de l’instance.

```
aws ec2 get-instance-uefi-data --instance-id i-1234567890abcdef0
```

L’instance est prête pour l’étape 2 si des données UEFI sont présentes dans la sortie. Si la sortie est vide, l’instance ne peut pas être configurée pour prendre en charge UEFI Secure Boot. Cela peut se produire si votre instance a été lancée avant que la prise en charge UEFI Secure Boot soit disponible. Lancez une nouvelle instance et réessayez.

### Étape 2 : configurer une instance pour prendre en charge UEFI Secure Boot
<a name="step2-launch-uefi-sb"></a>

#### Inscrivez les paires de clés dans votre magasin de variables UEFI sur l’instance
<a name="step2a-launch-uefi-sb"></a>

**Avertissement**  
Vous devez signer vos images de démarrage *après* avoir inscrit les clés, sinon vous ne pourrez pas démarrer votre instance.

Après avoir créé les listes de signatures UEFI signées (`PK`, `KEK` et `db`), elles doivent être inscrites dans le microprogramme UEFI.

Écriture dans la variable `PK` n’est possible que si :
+ Aucune PK n’est encore inscrite, ce qui est indiqué si la variable `SetupMode` est `1`. Pour vérifier cela, utilisez la commande suivante. La sortie est soit `1`, soit `0`.

  ```
  efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode 
  ```
+ La nouvelle PK est signée par la clé privée de la PK existante.

**Pour inscrire les clés dans votre magasin de variables UEFI**  
Les commandes suivantes doivent être exécutées sur l’instance.

Si cette option SetupMode est activée (la valeur est`1`), les clés peuvent être inscrites en exécutant les commandes suivantes sur l'instance :

```
[ec2-user ~]$ efi-updatevar -f db.auth db
```

```
[ec2-user ~]$ efi-updatevar -f KEK.auth KEK
```

```
[ec2-user ~]$ efi-updatevar -f PK.auth PK
```

**Pour vérifier que UEFI Secure Boot est activé**  
Pour vérifier que le démarrage sécurisé de UEFI est activé, suivez les étapes de la section [Vérifiez si une instance Amazon EC2 est activée pour le démarrage sécurisé de l’UEFI](verify-uefi-secure-boot.md).

Vous pouvez désormais exporter votre magasin de variables UEFI avec la commande CLI [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html), ou vous pouvez passer à l’étape suivante et signez vos images de démarrage pour redémarrer dans une instance compatible avec UEFI Secure Boot.

### Étape 3 : créer une AMI à partir de l’instance
<a name="step3-launch-uefi-sb"></a>

Pour créer une AMI à partir de l'instance, vous pouvez utiliser la console ou l'`CreateImage`API, la CLI ou SDKs. Pour des instructions sur l’utilisation de la console, consultez [Créer une AMI basée sur Amazon EBS](creating-an-ami-ebs.md). Pour les instructions relatives à l'API, consultez [CreateImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html).

**Note**  
L’API `CreateImage` copie automatiquement le magasin de variables UEFI de l’instance vers l’AMI. La console utilise l’API `CreateImage`. Une fois que vous lancez des instances à l’aide de cette AMI, elles auront le même magasin de variables UEFI.

## Tâche 2 – Option B : création d’un blob binaire contenant un magasin de variables prérempli
<a name="uefi-secure-boot-optionB"></a>

Une fois que vous avez créé les [trois paires de clés](#uefi-secure-boot-create-three-key-pairs), vous pouvez créer un blob binaire contenant un magasin de variables prérempli contenant les clés Secure Boot UEFI. Vous pouvez également suivre les étapes décrites dans [Tâche 2 – Option A : ajout de clés au magasin de variables depuis l’instance](#uefi-secure-boot-optionA).

**Avertissement**  
Vous devez signer vos images de démarrage *avant* d’inscrire les clés, sinon vous ne pourrez pas démarrer votre instance.

**Topics**
+ [Étape 1 : créer un nouveau magasin de variables ou mettre à jour un stockage existant](#uefi-secure-boot-create-or-update-variable)
+ [Étape 2 : charger le blob binaire lors de la création d’AMI](#uefi-secure-boot-upload-binary-blob-on-ami-creation)

### Étape 1 : créer un nouveau magasin de variables ou mettre à jour un stockage existant
<a name="uefi-secure-boot-create-or-update-variable"></a>

Vous pouvez créer le magasin de variables *hors ligne* sans instance en cours d’exécution à l’aide de l’outil python-uefivars. L’outil peut créer un nouveau magasin de variables à partir de vos clés. Le script prend actuellement en charge le EDK2 format, le AWS format et une représentation JSON qui est plus facile à modifier avec des outils de niveau supérieur.

**Pour créer le magasin de variables hors ligne sans instance en cours d’exécution**

1. Téléchargez l’outil en cliquant sur le lien suivant.

   ```
   https://github.com/awslabs/python-uefivars
   ```

1. Créez un nouveau magasin de variables à partir de vos clés en exécutant la commande suivante. Cela créera un blob binaire codé en base64 dans .bin. *your\$1binary\$1blob* L’outil prend également en charge la mise à jour d’un blob binaire via le paramètre `-I`.

   ```
   ./uefivars.py -i none -o aws -O your_binary_blob.bin -P PK.esl -K KEK.esl --db db.esl --dbx dbx.esl
   ```

### Étape 2 : charger le blob binaire lors de la création d’AMI
<a name="uefi-secure-boot-upload-binary-blob-on-ami-creation"></a>

Utilisez [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) pour transmettre vos données de magasin de variables UEFI. Pour le paramètre `--uefi-data`, spécifiez votre blob binaire et pour le paramètre `--boot-mode`, spécifiez `uefi`.

```
aws ec2 register-image \
    --name uefi_sb_tpm_register_image_test \
    --uefi-data $(cat your_binary_blob.bin) \
    --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId=snap-0123456789example,DeleteOnTermination=true}" \
    --architecture x86_64 \
    --root-device-name /dev/sda1 \
    --virtualization-type hvm \
    --ena-support \
    --boot-mode uefi
```

# Créez le blob AWS binaire pour UEFI Secure Boot
<a name="aws-binary-blob-creation"></a>

Vous pouvez utiliser les étapes suivantes pour personnaliser les variables Secure Boot UEFI lors de la création de l’AMI. La KEK utilisée dans ces étapes est en date de septembre 2021. Si Microsoft met à jour la KEK, vous devez utiliser la KEK la plus récente.

**Pour créer le AWS blob binaire**

1. Créez une liste de signatures PK vide.

   ```
   touch empty_key.crt
   cert-to-efi-sig-list empty_key.crt PK.esl
   ```

1. Téléchargez les certificats KEK.

   ```
   https://go.microsoft.com/fwlink/?LinkId=321185
   ```

1. Enveloppez les certificats KEK dans une liste de signatures UEFI (`siglist`).

   ```
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt 
   ```

1. Téléchargez les certificats db de Microsoft.

   ```
   https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
   https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt
   ```

1. Générez la liste de signatures db.

   ```
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
   cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl
   ```

1. Le forum Unified Extensible Firmware Interface ne fournit plus les fichiers DBX. Ils sont désormais fournis par Microsoft le GitHub. Téléchargez la dernière mise à jour DBX depuis le référentiel de mises à jour Microsoft Secure Boot à l'adresse [https://github.com/microsoft/secureboot\$1objects](https://github.com/microsoft/secureboot_objects).

1. Décompressez le binaire de mise à jour signé.

   Créez `SplitDbxContent.ps1` à l’aide du contenu du script ci-dessous. Vous pouvez également installer le script depuis [PowerShell Gallery](https://www.powershellgallery.com/packages/SplitDbxContent/1.0) à l'aide de`Install-Script -Name SplitDbxContent`.

   ```
   <#PSScriptInfo
    
   .VERSION 1.0
    
   .GUID ec45a3fc-5e87-4d90-b55e-bdea083f732d
    
   .AUTHOR Microsoft Secure Boot Team
    
   .COMPANYNAME Microsoft
    
   .COPYRIGHT Microsoft
    
   .TAGS Windows Security
    
   .LICENSEURI
    
   .PROJECTURI
    
   .ICONURI
    
   .EXTERNALMODULEDEPENDENCIES
    
   .REQUIREDSCRIPTS
    
   .EXTERNALSCRIPTDEPENDENCIES
    
   .RELEASENOTES
   Version 1.0: Original published version.
    
   #>
   
   <#
   .DESCRIPTION
    Splits a DBX update package into the new DBX variable contents and the signature authorizing the change.
    To apply an update using the output files of this script, try:
    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite'
   .EXAMPLE
   .\SplitDbxAuthInfo.ps1 DbxUpdate_x64.bin
   #>
   
   
   # Get file from script input
   $file  = Get-Content -Encoding Byte $args[0]
   
   # Identify file signature
   $chop = $file[40..($file.Length - 1)]
   if (($chop[0] -ne 0x30) -or ($chop[1] -ne 0x82 )) {
       Write-Error "Cannot find signature"
       exit 1
   }
   
   # Signature is known to be ASN size plus header of 4 bytes
   $sig_length = ($chop[2] * 256) + $chop[3] + 4
   $sig = $chop[0..($sig_length - 1)]
   
   if ($sig_length -gt ($file.Length + 40)) {
       Write-Error "Signature longer than file size!"
       exit 1
   }
   
   # Content is everything else
   $content = $file[0..39] + $chop[$sig_length..($chop.Length - 1)]
   
   # Write signature and content to files
   Set-Content -Encoding Byte signature.p7 $sig
   Set-Content -Encoding Byte content.bin $content
   ```

   Utilisez le script pour décompresser les fichiers DBX signés.

   ```
   PS C:\Windows\system32> SplitDbxContent.ps1 .\dbx.bin
   ```

   Cela produit deux fichiers : `signature.p7` et `content.bin`. Utilisez `content.bin` à l’étape suivante.

1. Créez un magasin de variables UEFI à l’aide du script `uefivars.py`.

   ```
   ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/content.bin 
   ```

1. Vérifiez le blob binaire et le magasin de variables UEFI.

   ```
   ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less
   ```

1. Vous pouvez mettre à jour le blob en le transmettant à nouveau au même outil.

   ```
   ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/content.bin
   ```

   Sortie attendue

   ```
   Replacing PK
   Replacing KEK
   Replacing db
   Replacing dbx
   ```

# Utilisez le chiffrement avec EBS Backed AMIs
<a name="AMIEncryption"></a>

AMIs qui sont soutenus par des instantanés Amazon EBS peuvent tirer parti du chiffrement Amazon EBS. Les instantanés de volumes de données et racine peuvent être chiffrés et attachés à une AMI. Vous pouvez lancer des instances et copier des images avec une prise en charge complète du chiffrement EBS. Les paramètres de chiffrement pour ces opérations sont pris en charge dans toutes les régions où ils AWS KMS sont disponibles.

Les instances EC2 avec des volumes EBS chiffrés sont lancées de AMIs la même manière que les autres instances. De plus, lorsque vous lancez une instance à partir d’une AMI basée sur des instantanés EBS non chiffrés, vous pouvez chiffrer une partie ou l’ensemble des volumes pendant le lancement. 

À l'instar des volumes EBS, les instantanés AMIs peuvent être chiffrés par défaut AWS KMS key ou selon une clé gérée par le client que vous spécifiez. Dans tous les cas, vous devez être autorisé à utiliser la clé KMS sélectionnée.

AMIs avec des instantanés chiffrés, ils peuvent être partagés entre AWS comptes. Pour de plus amples informations, veuillez consulter [Comprendre l’utilisation des AMI partagées dans Amazon EC2](sharing-amis.md).

**Topics**
+ [Scénarios de lancement d’instances](#AMI-encryption-launch)
+ [Scénarios de copie d’images](#AMI-encryption-copy)

## Scénarios de lancement d’instances
<a name="AMI-encryption-launch"></a>


Les instances Amazon EC2 sont lancées à AMIs l'aide de l'`RunInstances`action avec des paramètres fournis par le biais du mappage de périphériques par blocs, soit au moyen de l'API AWS Management Console ou de la CLI Amazon EC2, soit directement à l'aide de celle-ci. Pour de plus amples informations, veuillez consulter [Bloquer les mappages d'appareils pour les volumes sur les instances Amazon EC2](block-device-mapping-concepts.md). Pour des exemples de contrôle du mappage des périphériques en mode bloc à partir du AWS CLI, voir [Lancer, répertorier et résilier des instances EC2](https://docs.aws.amazon.com/cli/latest/userguide/cli-services-ec2-instances.html).

Par défaut, sans paramètres de chiffrement explicites, une action `RunInstances` conserve l’état de chiffrement existant des instantanés source d’une AMI lors de la restauration des volumes EBS à partir de ceux-ci. Si le chiffrement par défaut est activé, tous les volumes créés à partir de l’AMI (que ce soit à partir d’instantanés chiffrés ou non) sont chiffrés. Si le chiffrement par défaut n’est pas activé, l’instance conserve l’état de chiffrement de l’AMI.

Vous pouvez également lancer une instance et, simultanément, appliquer un nouvel état de chiffrement aux volumes créés en spécifiant les paramètres de chiffrement. Dans un tel cas, les comportements suivants sont observés :

**Lancement sans paramètres de chiffrement**
+ Un instantané non chiffré est restauré dans un volume non chiffré, sauf si le chiffrement par défaut est activé, auquel cas tous les volumes nouvellement créés seront chiffrés.
+ Un instantané non chiffré que vous possédez est restauré dans un volume qui est chiffré avec la même clé KMS.
+ Un instantané chiffré qui ne vous appartient pas (par exemple, l'AMI est partagée avec vous) est restauré sur un volume chiffré par la clé KMS par défaut de votre AWS compte.

Les comportements par défaut peuvent être ignorés en spécifiant les paramètres de chiffrement. Les paramètres disponibles sont `Encrypted` et `KmsKeyId`. La définition du seul paramètre `Encrypted` produit les effets suivants :

**Comportements en cas de lancement d’instance avec le paramètre `Encrypted` défini, mais sans spécifier le paramètre `KmsKeyId`**
+ Un instantané non chiffré est restauré dans un volume EBS qui est chiffré avec la clé KMS par défaut de votre compte AWS .
+ Un instantané chiffré que vous possédez est restauré dans un volume EBS qui est chiffré avec la même clé KMS. (En d’autres mots, le paramètre `Encrypted` est sans effet.)
+ Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est restauré sur un volume chiffré par la clé KMS par défaut de votre AWS compte. (En d’autres mots, le paramètre `Encrypted` est sans effet.)

La définition des paramètres `Encrypted` et `KmsKeyId` vous permet de spécifier une clé clé KMS autre que la clé par défaut pour une opération de chiffrement. Les comportements suivants sont observés :

**Instance avec définition des paramètres `Encrypted` et `KmsKeyId`**
+ Un instantané non chiffré est restauré dans un volume EBS qui est chiffré avec la clé KMS spécifiée.
+ Un instantané chiffré est restauré dans un volume EBS qui est chiffré non pas avec la clé KMS d’origine mais avec la clé KMS spécifiée.

L’envoi de `KmsKeyId` sans définir également le paramètre `Encrypted` génère une erreur.

Les sections suivantes fournissent des exemples de lancement d'instances à l' AMIs aide de paramètres de chiffrement autres que ceux par défaut. Dans chacun de ces scénarios, les paramètres fournis à l’action `RunInstances` entraînent un changement de l’état de chiffrement pendant la restauration d’un volume à partir d’un instantané.

Pour plus d’informations sur l’utilisation de la console pour lancer une instance à partir d’une AMI, consultez la section [Lancement d’une instance Amazon EC2](LaunchingAndUsingInstances.md).

### Chiffrement d’un volume pendant le lancement
<a name="launch1"></a>

Dans cet exemple, une AMI basée sur un instantané non chiffré est utilisée pour lancer une instance EC2 avec un volume EBS chiffré.

![\[Lancement d’une instance et chiffrement d’un volume à la volée.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-launch-convert.png)


Le paramètre `Encrypted` seul entraîne le chiffrement du volume pour cette instance. Le paramètre `KmsKeyId` est facultatif. Si aucun ID de clé KMS n'est spécifié, la clé KMS par défaut du AWS compte est utilisée pour chiffrer le volume. Pour chiffrer le volume avec une autre clé clé KMS que vous possédez, fournissez le paramètre `KmsKeyId`. 

### Rechiffrement d’un volume pendant le lancement
<a name="launch2"></a>

Dans cet exemple, une AMI basée sur un instantané chiffré est utilisée pour lancer une instance EC2 avec un volume EBS chiffré à l’aide d’une nouvelle clé KMS. 

![\[Lancement d’une instance et rechiffrement d’un volume à la volée.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-launch-encrypted.png)


Si vous possédez l’AMI et que vous ne spécifiez pas de paramètres de chiffrement, l’instance obtenue dispose d’un volume chiffré avec la même clé KMS que l’instantané. Si l’AMI est partagée avec vous mais que vous n’en êtes pas propriétaire, et si vous ne spécifiez pas de paramètres de chiffrement, le volume est chiffré avec votre clé KMS par défaut. Avec les paramètres de chiffrement fournis, comme illustré, le volume est chiffré avec la clé KMS spécifiée.

### Modification de l’état de chiffrement de plusieurs volumes pendant le lancement
<a name="launch3"></a>

Dans cet exemple plus complexe, une AMI basée sur plusieurs instantanés (chacun avec son propre état de chiffrement) est utilisée pour lancer une instance EC2 avec un volume nouvellement chiffré et un volume rechiffré.

![\[Chiffrement et rechiffrement de plusieurs volumes pendant le lancement.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-launch-mixed.png)


Dans ce scénario, l’action `RunInstances` reçoit des paramètres de chiffrement pour chacun des instantanés source. Lorsque tous les paramètres de chiffrement sont spécifiés, l’instance créée est la même, que vous possédiez ou non l’AMI.

## Scénarios de copie d’images
<a name="AMI-encryption-copy"></a>

Les Amazon EC2 AMIs sont copiés à l'aide de l'`CopyImage`action, soit via soit directement à l'aide de l'API AWS Management Console ou de la CLI Amazon EC2.

Par défaut, sans paramètres de chiffrement explicites, une action `CopyImage` conserve l’état de chiffrement existant des instantanés source d’une AMI lors de la copie. Vous pouvez également copier une AMI et, simultanément, appliquer un nouvel état de chiffrement à ses instantanés EBS associés en spécifiant les paramètres de chiffrement. Dans un tel cas, les comportements suivants sont observés :

**Copie sans paramètres de chiffrement**
+ Un instantané non chiffré est copié dans un autre instantané non chiffré, sauf si le chiffrement par défaut est activé, auquel cas tous les instantanés nouvellement créés seront chiffrés.
+ Un instantané chiffré que vous possédez est copié dans un instantané chiffré avec la même clé KMS.
+ Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est copié dans un instantané chiffré par la clé KMS par défaut de votre AWS compte.

Tous ces comportements par défaut peuvent être ignorés en spécifiant les paramètres de chiffrement. Les paramètres disponibles sont `Encrypted` et `KmsKeyId`. La définition du seul paramètre `Encrypted` produit les effets suivants :

**Comportements en cas de copie-image avec le paramètre `Encrypted` défini, mais pas le paramètre `KmsKeyId`**
+ Un instantané non chiffré est copié dans un instantané chiffré avec la clé KMS par défaut du compte AWS .
+ Un instantané chiffré est copié dans un instantané chiffré avec la même clé KMS. (En d’autres mots, le paramètre `Encrypted` est sans effet.)
+ Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est copié sur un volume chiffré à l'aide de la clé KMS par défaut de votre AWS compte. (En d’autres mots, le paramètre `Encrypted` est sans effet.)

La définition des paramètres `Encrypted` et `KmsKeyId` vous permet de spécifier une clé clé KMS gérée par le client pour une opération de chiffrement. Les comportements suivants sont observés :

**Comportements en cas de copie-image avec les paramètres `Encrypted` et `KmsKeyId` définis**
+ Un instantané non chiffré est copié dans un instantané chiffré avec la clé KMS spécifiée.
+ Un instantané chiffré est copié dans un instantané qui est chiffré non pas avec la clé KMS d’origine mais avec la clé KMS spécifiée.

L’envoi de `KmsKeyId` sans définir également le paramètre `Encrypted` génère une erreur.

La section suivante fournit un exemple de copie d’une AMI avec des paramètres de chiffrement personnalisés, ce qui entraîne un changement de l’était de chiffrement.

Pour obtenir des instructions détaillées sur l’utilisation de la console, consultez la section [Copier une AMI Amazon EC2](CopyingAMIs.md).

### Chiffrement d’une image non chiffrée pendant la copie
<a name="copy-unencrypted-to-encrypted"></a>

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L’action `CopyImage` est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l’état de chiffrement de l’instantané racine change, de sorte que l’AMI cible est basée sur un instantané racine contenant les mêmes données que l’instantané source, mais chiffrée à l’aide de la clé spécifiée. Vous devez payer des frais de stockage pour les instantanés dans les deux casAMIs, ainsi que des frais pour toutes les instances que vous lancez à partir de l'une ou l'autre des AMI.

**Note**  
L’activation du chiffrement par défaut a le même effet que la définition du paramètre `Encrypted` à `true` pour tous les instantanés de l’AMI.

![\[Copier l’AMI et chiffrer l’instantané à la volée\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)


Définir le paramètre `Encrypted` chiffre l’instantané unique de cette instance. Si vous ne spécifiez pas le paramètre `KmsKeyId`, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l’instantané.

**Note**  
Vous pouvez également copier une image avec plusieurs instantanés et configurer l’état de chiffrement de chacun individuellement.

# Comprendre l’utilisation des AMI partagées dans Amazon EC2
<a name="sharing-amis"></a>

*A shared AMI* (une AMI partagée) est une AMI créée et mise à disposition par un développeur afin que d’autres développeurs puissent l’utiliser. L’une des façons les plus simples de se lancer avec Amazon EC2 est d’utiliser une AMI partagée qui possède les composants dont vous avez besoin, puis d’y ajouter du contenu personnalisé. Vous pouvez également créer les vôtres AMIs et les partager avec d'autres. 

Vous utilisez une AMI partagée à vos propres risques. Amazon ne peut se porter garant de l’intégrité ou de la sécurité des AMI partagées par d’autres utilisateurs Amazon EC2. Par conséquent, vous devez traiter le code partagé AMIs comme tout code étranger que vous pourriez envisager de déployer dans votre propre centre de données, et faire preuve de diligence raisonnable. Nous vous recommandons d’obtenir une AMI auprès d’une source de confiance, telle qu’un fournisseur vérifié.

## Fournisseur vérifié
<a name="verified-ami-provider"></a>

Dans la console Amazon EC2, les sites publics AMIs appartenant à Amazon ou à un partenaire Amazon vérifié sont marqués comme fournisseur **vérifié**.

Vous pouvez également utiliser la AWS CLI commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) pour identifier le public provenant AMIs d'un fournisseur vérifié. Les images publiques appartenant à Amazon ou à un partenaire vérifié ont un propriétaire disposant d’un pseudonyme, qui est soit `amazon`, `aws-backup-vault` soit `aws-marketplace`. Dans la sortie CLI, ces valeurs apparaissent pour `ImageOwnerAlias`. Les autres utilisateurs ne peuvent pas créer d'alias AMIs. Cela vous permet de trouver facilement des informations AMIs auprès d'Amazon ou de partenaires vérifiés.

Pour devenir un fournisseur vérifié, vous devez vous inscrire en tant que vendeur sur le AWS Marketplace. Une fois enregistré, vous pouvez répertorier votre AMI sur la page AWS Marketplace. Pour plus d’informations, voir [Démarrer en tant que vendeur](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) et [Produits AMI](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) dans le *Guide du vendeur AWS Marketplace *.

**Topics**
+ [Fournisseur vérifié](#verified-ami-provider)
+ [Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2](usingsharedamis-finding.md)
+ [Préparez-vous à utiliser le partage AMIs pour Linux](usingsharedamis-confirm.md)
+ [Contrôlez la découverte et l'utilisation des AMI dans Amazon EC2 avec Allowed AMIs](ec2-allowed-amis.md)
+ [Mettez votre AMI à la disposition du public pour qu’il puisse l’utiliser dans Amazon EC2](sharingamis-intro.md)
+ [Comprendre bloquer l'accès public pour AMIs](block-public-access-to-amis.md)
+ [Partager une AMI avec des organisations et des unités organisationnelles](share-amis-with-organizations-and-OUs.md)
+ [Partager une AMI avec des AWS comptes spécifiques](sharingamis-explicit.md)
+ [Annuler le partage d'une AMI avec votre Compte AWS](cancel-sharing-an-AMI.md)
+ [Recommandations pour créer un système Linux partagé AMIs](building-shared-amis.md)

**Si vous recherchez des informations sur d’autres sujets**
+ Pour plus d’informations sur la création d’une AMI, consultez [Création d’une AMI basée sur Amazon S3](creating-an-ami-instance-store.md) ou [Créer une AMI basée sur Amazon EBS](creating-an-ami-ebs.md).
+ Pour plus d’informations sur la création, la livraison et la maintenance de vos applications sur le AWS Marketplace, consultez la [AWS Marketplace Documentation](https://docs.aws.amazon.com/marketplace/) (Documentation de ).

# Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2
<a name="usingsharedamis-finding"></a>

Vous pouvez utiliser la console Amazon EC2 ou la ligne de commande pour trouver des AMI partagées publiques ou privées qui seront utilisées avec vos instances Amazon EC2.

AMIs sont une ressource régionale. Lorsque vous recherchez une AMI partagée (publique ou privée), vous devez la rechercher dans la même région que celle à partir de laquelle elle est partagée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée, puis partagez-la. Pour de plus amples informations, veuillez consulter [Copier une AMI Amazon EC2](CopyingAMIs.md).

------
#### [ Console ]

La console fournit un champ de filtre d’AMI. Vous pouvez également affiner vos recherches à l’aide des filtres fournis dans le champ **Recherche**.

**Pour rechercher une AMI partagée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Dans le premier filtre, choisissez l’une des options suivantes :
   + **Images privées** : répertorie toutes AMIs les images partagées avec vous.
   + **Images publiques** — Répertorie toutes les images publiques AMIs.

1. (Facultatif) Pour n’afficher que les images publiques d’Amazon, sélectionnez le champ **Recherche**, puis, dans les options du menu, sélectionnez **Alias du propriétaire**, puis **=**, et enfin **amazon**.

1. (Facultatif) Ajoutez des filtres pour étendre votre recherche AMIs en fonction de vos besoins.

**Pour rechercher une AMI publique partagée par un [fournisseur vérifié](sharing-amis.md#verified-ami-provider)**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **Catalogue AMI**.

1. Choisissez **Community AMIs**.

1. Dans le volet **Affiner les résultats**, sélectionnez **Fournisseur vérifié**. L'étiquette du **fournisseur vérifié** indique qu'il s' AMIs agit d'Amazon ou d'un partenaire vérifié.

------
#### [ AWS CLI ]

Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) pour créer une liste. AMIs Vous pouvez étendre la liste aux types AMIs qui vous intéressent, comme le montrent les exemples suivants.

**Pour répertorier tous les publics AMIs**  
La commande suivante répertorie tous les publics AMIs, y compris ceux AMIs que vous possédez.

```
aws ec2 describe-images --executable-users all
```

**Pour répertorier AMIs avec des autorisations de lancement explicites**  
La commande suivante répertorie celles AMIs pour lesquelles vous disposez d'autorisations de lancement explicites. Cette liste n'inclut aucun de ceux AMIs que vous possédez.

```
aws ec2 describe-images --executable-users self
```

**Pour une liste AMIs appartenant à des fournisseurs vérifiés**  
La commande suivante répertorie les fournisseurs AMIs détenus par des [fournisseurs vérifiés](sharing-amis.md#verified-ami-provider). Les fournisseurs publics AMIs détenus par des fournisseurs vérifiés (Amazon ou des partenaires vérifiés) ont un alias de propriétaire, qui apparaît sous `amazon` la forme ou `aws-marketplace` dans le champ du compte. `aws-backup-vault` Cela vous permet de trouver facilement AMIs des fournisseurs vérifiés. Les autres utilisateurs ne peuvent pas créer d'aliasAMIs.

```
aws ec2 describe-images \
    --owners amazon aws-marketplace \
    --query 'Images[*].[ImageId]' \
    --output text
```

**Pour répertorier les AMIs personnes détenues par un compte**  
La commande suivante répertorie les AMIs propriétés détenues par le spécifié Compte AWS.

```
aws ec2 describe-images --owners 123456789012
```

**Pour définir le périmètre à AMIs l'aide d'un filtre**  
Pour réduire le nombre d'affichages AMIs, utilisez un filtre pour ne répertorier que les types AMIs qui vous intéressent. Par exemple, utilisez le filtre suivant pour afficher uniquement les fichiers basés sur EBS AMIs.

```
--filters "Name=root-device-type,Values=ebs"
```

------
#### [ PowerShell ]

Utilisez l'[Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)applet de commande (Outils pour Windows PowerShell) pour créer une liste. AMIs Vous pouvez étendre la liste aux types AMIs qui vous intéressent, comme le montrent les exemples suivants.

**Pour répertorier tous les publics AMIs**  
La commande suivante répertorie tous les publics AMIs, y compris ceux AMIs que vous possédez.

```
Get-EC2Image -ExecutableUser all
```

**Pour répertorier AMIs avec des autorisations de lancement explicites**  
La commande suivante répertorie celles AMIs pour lesquelles vous disposez d'autorisations de lancement explicites. Cette liste n'inclut aucun de ceux AMIs que vous possédez.

```
Get-EC2Image -ExecutableUser self
```

**Pour une liste AMIs appartenant à des fournisseurs vérifiés**  
La commande suivante répertorie les fournisseurs AMIs détenus par des [fournisseurs vérifiés](sharing-amis.md#verified-ami-provider). Les fournisseurs publics AMIs détenus par des fournisseurs vérifiés (Amazon ou des partenaires vérifiés) ont un alias de propriétaire, qui apparaît sous `amazon` la forme ou `aws-marketplace` dans le champ du compte. `aws-backup-vault` Cela vous permet de trouver facilement AMIs des fournisseurs vérifiés. Les autres utilisateurs ne peuvent pas créer d'aliasAMIs.

```
Get-EC2Image -Owner amazon aws-marketplace
```

**Pour répertorier les AMIs personnes détenues par un compte**  
La commande suivante répertorie les AMIs propriétés détenues par le spécifié Compte AWS.

```
Get-EC2Image -Owner 123456789012
```

**Pour définir le périmètre à AMIs l'aide d'un filtre**  
Pour réduire le nombre d'affichages AMIs, utilisez un filtre pour ne répertorier que les types AMIs qui vous intéressent. Par exemple, utilisez le filtre suivant pour afficher uniquement les fichiers basés sur EBS AMIs.

```
-Filter @{Name="root-device-type"; Values="ebs"}
```

------

# Préparez-vous à utiliser le partage AMIs pour Linux
<a name="usingsharedamis-confirm"></a>

Avant d’utiliser une AMI partagée pour Linux, suivez les étapes ci-après afin de vous assurer qu’il n’y a pas d’informations d’identification pré-installées qui permettraient un accès non désiré à votre instance par un tiers, ni de journalisation à distance préconfigurée susceptible de transmettre des données sensibles à un tiers. Consultez la documentation portant sur la distribution Linux utilisée par l’AMI pour en savoir plus sur la façon d’améliorer la sécurité du système.

Afin de vous assurer que vous ne perdiez pas accidentellement accès à votre instance, nous vous recommandons d’initier deux sessions SSH et de conserver la seconde session ouverte jusqu’à ce que vous retiriez les informations d’identification que vous ne reconnaissez pas, et que vous confirmiez que vous pouvez toujours vous connecter à votre instance à l’aide de SSH.

1. Identifiez et désactivez toute clé SSH publique non-autorisée. La seule clé dans le fichier devrait être la clé que vous avez utilisée pour lancer l’AMI. La commande suivante localise les fichiers `authorized_keys` :

   ```
   [ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;
   ```

1. Désactivez l’authentification basée sur mot de passe pour l’utilisateur racine. Ouvrez le fichier `sshd_config` et éditez la ligne `PermitRootLogin` de la façon suivante :

   ```
   PermitRootLogin without-password
   ```

   L’alternative est de désactiver la possibilité de se connecter à l’instance en tant qu’utilisateur racine :

   ```
   PermitRootLogin No
   ```

   Redémarrez le service sshd.

1. Vérifiez si d’autres utilisateurs peuvent se connecter à votre instance. Les utilisateurs disposant de privilèges de superutilisateur sont particulièrement dangereux. Supprimez ou verrouillez le mot de passe de tout compte inconnu.

1. Vérifiez s’il y a des ports ouverts que vous n’utilisez pas et des services de réseau en cours d’exécution en attente de connexions entrantes.

1. Pour empêcher la journalisation à distance préconfigurée, vous devez supprimer le fichier de configuration existant et redémarrer le service `rsyslog`. Par exemple :

   ```
   [ec2-user ~]$ sudo rm /etc/rsyslog.conf
   [ec2-user ~]$ sudo service rsyslog restart
   ```

1. Vérifiez que toutes les tâches cron sont légitimes.

Si vous découvrez une AMI publique qui présente selon vous un risque de sécurité, contactez l’équipe de sécurité AWS . Pour plus d’informations, consultez le [Centre de sécuritéAWS](https://aws.amazon.com/security/).

# Contrôlez la découverte et l'utilisation des AMI dans Amazon EC2 avec Allowed AMIs
<a name="ec2-allowed-amis"></a>

Pour contrôler la découverte et l'utilisation d'Amazon Machine Images (AMIs) par les utilisateurs de votre site Compte AWS, vous pouvez utiliser la AMIs fonctionnalité *Autorisé*. Vous spécifiez les critères qui AMIs doivent être remplis pour être visibles et disponibles dans votre compte. Lorsque les critères sont activés, les utilisateurs qui lancent des instances ne verront et n'auront accès AMIs qu'aux instances conformes aux critères spécifiés. Par exemple, vous pouvez spécifier une liste de fournisseurs d'AMI fiables comme critère, et seuls AMIs ces fournisseurs seront visibles et utilisables.

Avant d'activer les AMIs paramètres autorisés, vous pouvez activer le *mode audit* pour prévisualiser ce qui AMIs sera visible ou non et disponible pour utilisation. Cela vous permet d'affiner les critères selon vos besoins afin de garantir que seuls les critères prévus AMIs sont visibles et disponibles pour les utilisateurs de votre compte. En outre, utilisez la [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)commande pour rechercher les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés. Ces informations peuvent vous aider à décider de mettre à jour vos configurations de lancement afin de les rendre conformes AMIs (par exemple, en spécifiant une autre AMI dans un modèle de lancement) ou d'ajuster vos critères pour les autoriser AMIs.

Vous spécifiez les AMIs paramètres autorisés au niveau du compte, soit directement dans le compte, soit en utilisant une politique déclarative. Ces paramètres doivent être configurés dans chaque Région AWS où vous souhaitez contrôler l’utilisation de l’AMI. L’utilisation d’une politique déclarative vous permet d’appliquer les paramètres à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier les paramètres directement dans un compte. Cette rubrique décrit la procédure à suivre pour configurer les paramètres directement à l’intérieur d’un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

**Note**  
La AMIs fonctionnalité Autorisée contrôle uniquement la découverte et l'utilisation des informations publiques AMIs ou AMIs partagées avec votre compte. Cela ne limite pas la AMIs propriété de votre compte. Quels que soient les critères que vous définissez, les AMIs données créées par votre compte sont toujours détectables et utilisables par les utilisateurs de votre compte.

**Principaux avantages d'Allowed AMIs**
+ **Conformité et sécurité** : les utilisateurs ne peuvent découvrir et utiliser AMIs que ceux qui répondent aux critères spécifiés, ce qui réduit le risque d'utilisation non conforme des AMI.
+ **Gestion efficace** : en réduisant le nombre d'autorisations AMIs, la gestion des autres devient plus facile et plus efficace.
+ **Implémentation centralisée au niveau du compte** : configurez les AMIs paramètres autorisés au niveau du compte, soit directement dans le compte, soit par le biais d'une politique déclarative. Il s’agit d’un moyen centralisé et efficace de contrôler l’utilisation des AMI sur l’ensemble du compte.

**Topics**
+ [Comment AMIs fonctionne Allowed](#how-allowed-amis-works)
+ [Meilleures pratiques pour la mise en œuvre d'Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Autorisations IAM requises](#iam-permissions-for-allowed-amis)
+ [Gérer les paramètres pour Autorisé AMIs](manage-settings-allowed-amis.md)

## Comment AMIs fonctionne Allowed
<a name="how-allowed-amis-works"></a>

Pour contrôler ce qui AMIs peut être découvert et utilisé dans votre compte, vous définissez un ensemble de critères par rapport auxquels évaluer le AMIs. Les critères sont composés d’un ou de plusieurs `ImageCriterion`, comme le montre le diagramme suivant. Une explication suit le schéma.

![\[Hiérarchie des AMIs ImageCriteria configurations autorisées.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)


La configuration comporte trois niveaux :
+ **1** : valeurs des paramètres
  + Paramètres à valeurs multiples :
    + `ImageProviders`
    + `ImageNames`
    + `MarketplaceProductCodes`

      Un AMI peut correspondre à *n’importe quelle* valeur autorisée dans un paramètre.

      Exemple : `ImageProviders` = `amazon` **OU** compte `111122223333` **OU** compte `444455556666` (La logique d’évaluation des valeurs des paramètres n’est pas indiquée dans le diagramme.)
  + Paramètres à valeur unique :
    + `CreationDateCondition`
    + `DeprecationTimeCondition`
+ **2** : `ImageCriterion`
  + Regroupe plusieurs paramètres avec la logique **AND**.
  + Une AMI doit correspondre à *tous les* paramètres compris dans un `ImageCriterion` pour être autorisée.
  + Exemple : `ImageProviders` = `amazon` **ET** `CreationDateCondition` = 300 jours ou moins
+ **3** : `ImageCriteria`
  + Regroupe plusieurs `ImageCriterion` avec une logique **OU**.
  + Une AMI peut correspondre à *n’importe quel* `ImageCriterion` pour être autorisée.
  + Forme la configuration complète par rapport à laquelle AMIs sont évaluées. 

**Topics**
+ [AMIs Paramètres autorisés](#allowed-amis-criteria)
+ [AMIs Configuration autorisée](#allowed-amis-json-configuration)
+ [Comment les critères sont évalués](#how-allowed-amis-criteria-are-evaluated)
+ [Restrictions](#allowed-amis-json-configuration-limits)
+ [AMIs Opérations autorisées](#allowed-amis-operations)

### AMIs Paramètres autorisés
<a name="allowed-amis-criteria"></a>

Les paramètres suivants peuvent être configurés pour créer un `ImageCriterion` :

`ImageProviders`  
Les fournisseurs d'AMI AMIs autorisés.  
Les valeurs valides sont des alias définis par et AWS Compte AWS IDs, comme suit :  
+ `amazon`— Un alias identifiant AMIs créé par Amazon ou des fournisseurs vérifiés
+ `aws-marketplace`— Un alias qui identifie les fournisseurs vérifiés AMIs créés dans le AWS Marketplace
+ `aws-backup-vault`— Un alias qui identifie les sauvegardes AMIs résidant dans des comptes AWS Backup Vault logiquement séparés. Si vous utilisez la fonction AWS Backup logically airgap vault, assurez-vous que cet alias est inclus en tant que fournisseur d'AMI.
+ Compte AWS IDs — Un ou plusieurs chiffres à 12 chiffres Compte AWS IDs
+ `none`— Indique que seuls les comptes AMIs créés par votre compte peuvent être découverts et utilisés. Le public ou le partage ne AMIs peuvent pas être découverts et utilisés. Lorsqu’il est précisé, aucun autre critère ne peut être spécifié.

`ImageNames`  
Les noms des personnes autorisées AMIs, en utilisant des correspondances exactes ou des caractères génériques (`?`ou`*`).

`MarketplaceProductCodes`  
Les codes de AWS Marketplace produit sont autorisés AMIs.

`CreationDateCondition`  
L'âge maximum autorisé AMIs.

`DeprecationTimeCondition`  
Période maximale depuis la dépréciation de Allowed. AMIs

Pour connaître les valeurs et les contraintes valides pour chaque critère, consultez [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)le manuel *Amazon EC2 API* Reference.

### AMIs Configuration autorisée
<a name="allowed-amis-json-configuration"></a>

La configuration de base d'Allowed AMIs est la `ImageCriteria` configuration qui définit les critères d'autorisation AMIs. La structure JSON suivante montre les paramètres qui peuvent être spécifiés :

```
{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}
```

#### ImageCriteria exemple
<a name="allowed-amis-json-configuration-example"></a>

L’exemple `ImageCriteria` suivant en configure quatre `ImageCriterion`. Une AMI est autorisée si elle correspond à l’un de ces `ImageCriterion`. Pour plus d’informations sur la manière dont les critères sont évalués, consultez la section [Comment les critères sont évalués](#how-allowed-amis-criteria-are-evaluated).

```
{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}
```

### Comment les critères sont évalués
<a name="how-allowed-amis-criteria-are-evaluated"></a>

Le tableau suivant explique les règles d’évaluation qui déterminent si une AMI est autorisée, en montrant comment l’opérateur `AND` ou `OR` est appliqué à chaque niveau :


| Mode d’évaluation | Opérateur | Exigence à remplir pour que l’AMI soit autorisée | 
| --- | --- | --- | 
| Valeurs des paramètres pour ImageProviders, ImageNames et MarketplaceProductCodes | OR | L’AMI doit correspondre à au moins une valeur dans chaque liste de paramètres | 
| ImageCriterion | AND | L’AMI doit correspondre à tous les paramètres de chaque ImageCriterion | 
| ImageCriteria | OR | L’AMI doit correspondre à l’un des ImageCriterion | 

En utilisant les règles d’évaluation précédentes, voyons comment les appliquer à l’[ImageCriteria exemple](#allowed-amis-json-configuration-example) :
+ `ImageCriterion`1 : Permet d' AMIs avoir le code AWS Marketplace du produit `abcdefg1234567890`

  `OR`
+ `ImageCriterion`2 : AMIs Autorise répondant à ces deux critères :
  + Appartenant au compte `123456789012` `OR` `123456789013`
    + `AND`
  + Créée au cours des 300 derniers jours

  `OR`
+ `ImageCriterion`3 : AMIs Autorise répondant à ces deux critères :
  + Détenue par le compte `123456789014`
    + `AND`
  + Nommée d’après le modèle `golden-ami-*`

  `OR`
+ `ImageCriterion`4 : AMIs Autorise répondant à ces deux critères :
  + Publiée par Amazon ou des fournisseurs vérifiés (spécifiés par l’alias `amazon`)
    + `AND`
  + Non obsolète (nombre maximum de jours depuis la date d’obsolescence) `0`

### Restrictions
<a name="allowed-amis-json-configuration-limits"></a>

L’`ImageCriteria` peut inclure jusqu’à :
+ 10 `ImageCriterion`

Chaque `ImageCriterion` peut inclure jusqu’à :
+ 200 valeurs pour `ImageProviders`
+ 50 valeurs pour `ImageNames` 
+ 50 valeurs pour `MarketplaceProductCodes` 

**Exemple de limites**

En utilisant l’exemple de [ImageCriteria exemple](#allowed-amis-json-configuration-example) qui précède :
+ Il existe 4 `ImageCriterion`. Il est possible d’en ajouter jusqu’à 6 de plus pour atteindre la limite de 10.
+ Dans le premier `ImageCriterion`, il y a 1 valeur pour `MarketplaceProductCodes`. Il est possible d’en ajouter jusqu’à 49 de plus à ce `ImageCriterion` pour atteindre la limite de 50.
+ Dans le second `ImageCriterion`, il y a 2 valeurs pour `ImageProviders`. Il est possible d’en ajouter jusqu’à 198 de plus à ce `ImageCriterion` pour atteindre la limite de 200.
+ Dans le troisième `ImageCriterion`, il y a 1 valeur pour `ImageNames`. Il est possible d’en ajouter jusqu’à 49 de plus à ce `ImageCriterion` pour atteindre la limite de 50.

### AMIs Opérations autorisées
<a name="allowed-amis-operations"></a>

La AMIs fonctionnalité Autorisé possède trois états opérationnels pour gérer les critères d'image : **activé**, **désactivé** et **mode audit**. Ces modes vous permettent d’activer ou de désactiver les critères d’image, ou de les réviser si nécessaire.

**Activé**

Lorsque l'option AMIs Autorisé est activée : 
+ Les `ImageCriteria` sont appliqués.
+ Seules les AMI autorisées sont détectables dans la console EC2 et utilisent ainsi des images (par APIs exemple, qui décrivent, copient, stockent ou exécutent d'autres actions utilisant des images).
+ Les instances ne peuvent être lancées qu'à l'aide de la commande allowed AMIs.

**Désactivé**

Lorsque l'option AMIs Autorisé est désactivée : 
+ Les `ImageCriteria` ne sont pas appliqués.
+ Aucune restriction n’est imposée à la découverte ou à l’utilisation de l’AMI. 

**Mode d’audit**

 En mode d’audit :
+ Les `ImageCriteria` sont appliqués, mais aucune restriction n’est imposée à la découverte ou à l’utilisation de l’AMI.
+ Dans la console EC2, pour chaque AMI, le champ **Image autorisée** affiche **Oui** ou **Non** pour indiquer si l'AMI sera détectable et disponible pour les utilisateurs du compte lorsque Autorisé AMIs est activé.
+ Dans la ligne de commande, la réponse `"ImageAllowed": false` à l'`describe-image`opération inclut `"ImageAllowed": true` ou indique si l'AMI sera détectable et disponible pour les utilisateurs du compte lorsque Autorisé AMIs est activé.
+ Dans la console EC2, le catalogue AMI affiche **Non autorisé** à AMIs côté de la mention Non détectable ou inaccessible aux utilisateurs du compte lorsque Autorisé AMIs est activé.

## Meilleures pratiques pour la mise en œuvre d'Allowed AMIs
<a name="best-practice-for-implementing-allowed-amis"></a>

Lors de la mise en œuvre d'Allowed AMIs, tenez compte de ces meilleures pratiques pour garantir une transition en douceur et minimiser les perturbations potentielles de votre AWS environnement.

1. **Activer le mode Audit**

   Commencez par activer Autorisé AMIs en mode audit. Cet état vous permet de voir lesquels AMIs seraient affectés par vos critères sans réellement restreindre l'accès, offrant ainsi une période d'évaluation sans risque.

1. **Définir les AMIs critères autorisés**

   Déterminez avec soin les fournisseurs d’AMI qui respectent les politiques de sécurité, les exigences en matière de conformité et les besoins opérationnels de votre organisation.
**Note**  
Lorsque vous utilisez des services AWS gérés, tels qu'Amazon ECS, Amazon EKS ou AWS Lambda Managed Instances, nous vous recommandons de spécifier l'`amazon`alias à autoriser AMIs créé par. AWS Ces services dépendent des instances publiées par Amazon AMIs pour lancer des instances.   
Soyez prudent lorsque vous définissez des `CreationDateCondition` restrictions pour n'importe lequel AMIs. La définition de conditions de date trop restrictives (par exemple, si elles AMIs doivent dater de moins de 5 jours) peut entraîner l'échec du lancement des instances si celles-ci AMIs, qu'elles proviennent de fournisseurs AWS ou d'autres fournisseurs, ne sont pas mises à jour dans les délais que vous avez spécifiés.  
Nous vous recommandons d’associer `ImageNames` à `ImageProviders` pour un meilleur contrôle et une meilleure spécificité. L’utilisation des `ImageNames` seuls peut compromettre l’identification unique d’une AMI.

1. **Vérifier l’impact sur les processus opérationnels prévus**

   Vous pouvez utiliser la console ou la CLI pour identifier les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés. Ces informations peuvent vous aider à décider de mettre à jour vos configurations de lancement afin de les rendre conformes AMIs (par exemple, en spécifiant une autre AMI dans un modèle de lancement) ou d'ajuster vos critères pour les autoriser AMIs.

   Console : utilisez la AWS Config règle [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) pour vérifier si des instances en cours d'exécution ou arrêtées ont été lancées avec des instances AMIs répondant à vos critères autorisés AMIs. **La règle est **NON\$1COMPLIANT si** une AMI ne répond pas aux AMIs critères autorisés, et COMPLIANT si c'est le cas.** La règle ne fonctionne que lorsque le AMIs paramètre Autorisé est défini sur **Activé** ou **en mode audit**.

   CLI : exécutez la [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)commande et filtrez la réponse pour identifier les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés.

   Pour des instructions sur l’utilisation de la CLI, consultez la section [Rechercher les instances lancées depuis AMIs qui ne sont pas autorisées](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).

1. **Activer Autorisé AMIs**

   Une fois que vous avez confirmé que les critères n'affecteront pas les processus métier attendus, activez Autorisé AMIs.

1. **Surveiller les lancements d’instances**

   Continuez à surveiller les lancements d' AMIs instances depuis vos applications et les services AWS gérés que vous utilisez, tels qu'Amazon EMR, Amazon ECR, Amazon EKS et. AWS Elastic Beanstalk Vérifiez l'absence de problèmes inattendus et apportez les modifications nécessaires aux AMIs critères autorisés.

1. **Nouveau pilote AMIs**

   Pour tester des tiers AMIs qui ne respectent pas vos AMIs paramètres autorisés actuels, nous vous AWS recommandons les approches suivantes :
   + Utilisez un compte distinct Compte AWS : créez un compte sans accès aux ressources critiques de votre entreprise. Assurez-vous que le AMIs paramètre Autorisé n'est pas activé dans ce compte, ou que les personnes que AMIs vous souhaitez tester sont explicitement autorisées, afin de pouvoir les tester. 
   + Testez dans une autre région Région AWS : utilisez une région dans laquelle les tiers AMIs sont disponibles, mais dans laquelle vous n'avez pas encore activé les AMIs paramètres autorisés. 

   Ces approches permettent de garantir la sécurité des ressources critiques de votre entreprise pendant que vous en testez de nouvelles. AMIs

## Autorisations IAM requises
<a name="iam-permissions-for-allowed-amis"></a>

Pour utiliser la AMIs fonctionnalité Autorisé, vous devez disposer des autorisations IAM suivantes :
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`

# Gérer les paramètres pour Autorisé AMIs
<a name="manage-settings-allowed-amis"></a>

Vous pouvez gérer les paramètres d'Autorisé AMIs. Ces paramètres sont définis par région et par compte.

**Topics**
+ [Activer Autorisé AMIs](#enable-allowed-amis-criteria)
+ [Définissez les AMIs critères autorisés](#update-allowed-amis-criteria)
+ [Désactiver Autorisé AMIs](#disable-allowed-amis-criteria)
+ [Obtenez les AMIs critères autorisés](#identify-allowed-amis-state-and-criteria)
+ [Trouvez AMIs ceux qui sont autorisés](#identify-amis-that-meet-allowed-amis-criteria)
+ [Rechercher les instances lancées depuis AMIs qui ne sont pas autorisées](#identify-instances-with-allowed-AMIs)

## Activer Autorisé AMIs
<a name="enable-allowed-amis-criteria"></a>

Vous pouvez activer Autorisé AMIs et spécifier AMIs les critères autorisés. Nous vous recommandons de commencer en mode audit, qui vous AMIs indiquera les personnes susceptibles d'être affectées par les critères sans pour autant restreindre l'accès.

------
#### [ Console ]

**Pour activer Autorisé AMIs**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Autorisé AMIs**.

1. Dans l' AMIsonglet **Autorisé**, choisissez **Gérer**.

1. Pour les ** AMIs paramètres autorisés**, choisissez **Mode audit** ou **Activé**. Nous vous recommandons de commencer en mode audit, de tester les critères, puis de revenir à cette étape pour activer Autorisé AMIs.

1. (Facultatif) Pour **Critères AMI**, saisissez les critères au format JSON.

1. Choisissez **Mettre à jour**.

------
#### [ AWS CLI ]

**Pour activer Autorisé AMIs**  
Utilisez la commande [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```

Pour activer le mode d’audit à la place, spécifiez `audit-mode` au lieu de `enabled`.

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```

------
#### [ PowerShell ]

**Pour activer Autorisé AMIs**  
Utilisez l’applet de commande [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```

Pour activer le mode d’audit à la place, spécifiez `audit-mode` au lieu de `enabled`.

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```

------

## Définissez les AMIs critères autorisés
<a name="update-allowed-amis-criteria"></a>

Après avoir activé AMIs Autorisé, vous pouvez définir ou remplacer les AMIs critères autorisés.

Pour obtenir la configuration correcte et les valeurs valides, consultez les sections [AMIs Configuration autorisée](ec2-allowed-amis.md#allowed-amis-json-configuration) et [AMIs Paramètres autorisés](ec2-allowed-amis.md#allowed-amis-criteria).

------
#### [ Console ]

**Pour définir les AMIs critères autorisés**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Autorisé AMIs**.

1. Dans l' AMIsonglet **Autorisé**, choisissez **Gérer**.

1. Pour **Critères AMI**, saisissez les critères au format JSON.

1. Choisissez **Mettre à jour**.

------
#### [ AWS CLI ]

**Pour définir les AMIs critères autorisés**  
Utilisez la allowed-images-settings commande [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) et spécifiez le fichier JSON contenant les AMIs critères autorisés.

```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```

------
#### [ PowerShell ]

**Pour définir les AMIs critères autorisés**  
Utilisez l'[Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)applet de commande et spécifiez le fichier JSON contenant les critères autorisés AMIs.

```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```

------

## Désactiver Autorisé AMIs
<a name="disable-allowed-amis-criteria"></a>

Vous pouvez désactiver Autorisé AMIs comme suit.

------
#### [ Console ]

**Pour désactiver Autorisé AMIs**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Autorisé AMIs**.

1. Dans l' AMIsonglet **Autorisé**, choisissez **Gérer**.

1. Pour les ** AMIs paramètres autorisés**, choisissez **Désactivé**.

1. Choisissez **Mettre à jour**.

------
#### [ AWS CLI ]

**Pour désactiver Autorisé AMIs**  
Utilisez la commande [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).

```
aws ec2 disable-allowed-images-settings
```

------
#### [ PowerShell ]

**Pour désactiver Autorisé AMIs**  
Utilisez l’applet de commande [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).

```
Disable-EC2AllowedImagesSetting
```

------

## Obtenez les AMIs critères autorisés
<a name="identify-allowed-amis-state-and-criteria"></a>

Vous pouvez obtenir l'état actuel du AMIs paramètre Autorisé et des AMIs critères autorisés.

------
#### [ Console ]

**Pour obtenir l' AMIs état et les critères autorisés**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Autorisé AMIs**.

1. Dans l' AMIsonglet **Autorisé**, ** AMIs les paramètres autorisés** sont définis sur **Activé****, Désactivé** ou **Mode audit**.

1. Si l'état Autorisé AMIs est **activé** ou **en mode audit**, **les critères AMI** affichent les critères AMI au format JSON.

------
#### [ AWS CLI ]

**Pour obtenir l' AMIs état et les critères autorisés**  
Utilisez la commande [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).

```
aws ec2 get-allowed-images-settings
```

Dans l’exemple de sortie suivant, l’état est `audit-mode` et les critères d’image sont définis dans le compte.

```
{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
```

------
#### [ PowerShell ]

**Pour obtenir l' AMIs état et les critères autorisés**  
Utilisez l’applet de commande [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).

```
Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```

Dans l’exemple de sortie suivant, l’état est `audit-mode` et les critères d’image sont définis dans le compte.

```
State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0
```

------

## Trouvez AMIs ceux qui sont autorisés
<a name="identify-amis-that-meet-allowed-amis-criteria"></a>

Vous pouvez trouver ceux AMIs qui sont autorisés ou non selon les AMIs critères autorisés actuels.

**Note**  
 AMIs Autorisé doit être en mode audit.

------
#### [ Console ]

**Pour vérifier si une AMI répond aux AMIs critères autorisés**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez l’AMI.

1. Dans l’onglet **Détails** (si vous avez sélectionné la case à cocher) ou dans la zone de résumé (si vous avez sélectionné l’identifiant de l’AMI), recherchez le champ **Image autorisée**.
   + **Oui** — L'AMI répond aux AMIs critères autorisés. Cette AMI sera accessible aux utilisateurs de votre compte une fois que vous aurez activé AutoriséAMIs.
   + **Non** — L'AMI ne répond pas aux AMIs critères autorisés.

1. Dans le panneau de navigation, sélectionnez **Catalogue AMI**.

   Une AMI marquée comme **Non autorisée** indique une AMI qui ne répond pas aux AMIs critères autorisés. Cette AMI ne sera ni visible ni disponible pour les utilisateurs de votre compte lorsque l'option AMIs Autoriser est activée.

------
#### [ AWS CLI ]

**Pour vérifier si une AMI répond aux AMIs critères autorisés**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text
```

Voici un exemple de sortie.

```
True
```

**Pour trouver AMIs ceux qui répondent aux AMIs critères autorisés**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId
```

Voici un exemple de sortie.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------
#### [ PowerShell ]

**Pour vérifier si une AMI répond aux AMIs critères autorisés**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```

Voici un exemple de sortie.

```
True
```

**Pour trouver AMIs ceux qui répondent aux AMIs critères autorisés**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId
```

Voici un exemple de sortie.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------

## Rechercher les instances lancées depuis AMIs qui ne sont pas autorisées
<a name="identify-instances-with-allowed-AMIs"></a>

Vous pouvez identifier les instances lancées à l'aide d'une AMI qui ne répond pas aux AMIs critères autorisés.

------
#### [ Console ]

**Pour vérifier si une instance a été lancée à l’aide d’une AMI non autorisée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance.

1. Dans l’onglet **Détails**, sous **Détails de l’instance**, recherchez **Image autorisée**.
   + **Oui** — L'AMI répond aux AMIs critères autorisés.
   + **Non** — L'AMI ne répond pas aux AMIs critères autorisés.

------
#### [ AWS CLI ]

**Pour rechercher les instances lancées à l'aide de AMIs celles qui ne sont pas autorisées**  
Utilisez la commande [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) avec le filtre `image-allowed`.

```
aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table
```

Voici un exemple de sortie.

```
--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
```

------
#### [ PowerShell ]

**Pour rechercher les instances lancées à l'aide de AMIs celles qui ne sont pas autorisées**  
Utilisez l’applet de commande [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).

```
Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```

Voici un exemple de sortie.

```
InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```

------
#### [ AWS Config ]

Vous pouvez ajouter la AWS Config règle **ec2- instance-launched-with-allowed -ami**, la configurer selon vos besoins, puis l'utiliser pour évaluer vos instances.

Pour plus d'informations, consultez les [sections Ajout de AWS Config règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) et [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) dans le manuel du *AWS Config développeur*.

------

# Mettez votre AMI à la disposition du public pour qu’il puisse l’utiliser dans Amazon EC2
<a name="sharingamis-intro"></a>

Vous pouvez rendre votre AMI accessible au public en la partageant avec tout le monde Comptes AWS.

Si vous souhaitez empêcher le partage public de votre AMIs, vous pouvez activer le *blocage de l'accès public pour AMIs*. Cela bloque toute tentative de rendre publique une AMI, ce qui permet d’empêcher tout accès non autorisé à l’AMI et toute utilisation abusive potentielle des données de l’AMI. Notez que l'activation du blocage de l'accès public n'affecte pas AMIs ceux qui sont déjà accessibles au public ; ils restent accessibles au public. Pour de plus amples informations, veuillez consulter [Comprendre bloquer l'accès public pour AMIs](block-public-access-to-amis.md).

Afin d’autoriser uniquement des comptes spécifiques à utiliser votre AMI pour lancer des instances, consultez la rubrique [Partager une AMI avec des AWS comptes spécifiques](sharingamis-explicit.md).

**Topics**
+ [Considérations](#considerations-for-sharing-public-AMIs)
+ [Partager une AMI avec tous les AWS comptes (partager publiquement)](#share-an-ami-publicly)

## Considérations
<a name="considerations-for-sharing-public-AMIs"></a>

Tenez compte des éléments suivants avant de rendre une AMI publique.
+ **Propriété** — Pour rendre une AMI publique, vous Compte AWS devez être propriétaire de l'AMI.
+ **Région** — AMIs sont une ressource régionale. Lorsque vous partagez une AMI, elle est uniquement disponible dans la région à partir de laquelle vous l’avez partagée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée puis partagez-la. Pour de plus amples informations, veuillez consulter [Copier une AMI Amazon EC2](CopyingAMIs.md).
+ **Bloquer l'accès public** — Pour partager publiquement une AMI, le [blocage de l'accès public AMIs](block-public-access-to-amis.md) doit être désactivé dans chaque région dans laquelle l'AMI sera partagée publiquement. Après avoir partagé publiquement l'AMI, vous pouvez réactiver le blocage de l'accès public AMIs pour empêcher tout partage public ultérieur de votre AMIs.
+ **Certains ne AMIs peuvent pas être rendus publics** — Si votre AMI inclut l'un des composants suivants, vous ne pouvez pas le rendre public (mais vous pouvez [partager l'AMI avec des personnes spécifiques Comptes AWS](sharingamis-explicit.md)) :
  + Volumes chiffrés
  + Instantanés de volumes chiffrés
  + Codes produits
+ **Évitez d’exposer des données sensibles** : pour éviter d’exposer des données sensibles lorsque vous partagez une AMI, consultez les normes de sécurités spécifiées dans [Recommandations pour créer un système Linux partagé AMIs](building-shared-amis.md) et suivez les actions recommandées.
+ **Utilisation** : lorsque vous partagez une AMI, les utilisateurs peuvent uniquement lancer des instances à partir de l’AMI. Ils ne peuvent pas la supprimer, la partager ou la modifier. Toutefois, après avoir lancé une instance à l’aide de votre AMI, ils peuvent créer une AMI à partir de l’instance lancée.
+ **Obsolation automatique** : par défaut, la date d'obsolescence de tous les publics AMIs est fixée à deux ans à compter de la date de création de l'AMI. Vous pouvez définir la date d’obsolescence à moins de deux ans. Pour annuler la date de dépréciation ou pour la déplacer à une date ultérieure, vous devez rendre l'AMI privée en la [partageant](sharingamis-explicit.md) uniquement avec des personnes spécifiques. Comptes AWS
+ **Supprimer les éléments obsolètes AMIs** : une fois qu'une AMI publique a atteint sa date d'obsolescence, si aucune nouvelle instance n'a été lancée depuis l'AMI pendant six mois ou plus, la propriété de partage publique est AWS finalement supprimée afin que les versions obsolètes AMIs n'apparaissent pas dans les listes d'AMI publiques.
+ **Facturation** : vous n'êtes pas facturé lorsque votre AMI est utilisée par d'autres personnes Comptes AWS pour lancer des instances. Les comptes qui lancent des instances à l’aide de l’AMI sont facturés pour les instances qu’ils lancent.

## Partager une AMI avec tous les AWS comptes (partager publiquement)
<a name="share-an-ami-publicly"></a>

Une fois qu'une AMI est rendue publique, elle est disponible dans la **communauté** de la console, AMIs à laquelle vous pouvez accéder depuis le **catalogue d'AMI** dans le navigateur de gauche de la console EC2 ou lorsque vous lancez une instance à l'aide de la console. Notez qu'une AMI peut mettre un certain temps à apparaître dans **la communauté AMIs** après l'avoir rendue publique. 

------
#### [ Console ]

**Pour rendre une AMI publique**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez votre AMI dans la liste, puis choisissez **Actions** et **Edit AMI permissions** (Modifier des autorisations d’AMI).

1. Sous **Disponibilité de l’AMI**, choisissez **Publique**.

1. Sélectionnez **Enregistrer les modifications**.

------
#### [ AWS CLI ]

Chaque AMI possède une `launchPermission` propriété qui contrôle qui Comptes AWS, outre celle du propriétaire, est autorisée à utiliser cette AMI pour lancer des instances. En modifiant la `launchPermission` propriété d'une AMI, vous pouvez la rendre publique (ce qui accorde des autorisations de lancement à tous Comptes AWS) ou la partager uniquement avec les personnes Comptes AWS que vous spécifiez.

Vous pouvez ajouter ou supprimer un compte IDs dans la liste des comptes autorisés à lancer une AMI. Pour rendre l’AMI publique, spécifiez le groupe `all`. Vous pouvez spécifier à la fois des autorisations de lancement publiques et explicites.

**Pour rendre une AMI publique**

1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) comme suit pour ajouter le groupe `all` à la liste `launchPermission` pour l’AMI spécifiée.

   ```
   aws ec2 modify-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --launch-permission "Add=[{Group=all}]"
   ```

1. Pour vérifier les autorisations de lancement de l’AMI, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html).

   ```
   aws ec2 describe-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --attribute launchPermission
   ```

1. (Facultatif) Pour rendre l’AMI de nouveau privée, supprimez le groupe `all` de ses autorisations de lancement. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

   ```
   aws ec2 modify-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --launch-permission "Remove=[{Group=all}]"
   ```

------
#### [ PowerShell ]

Chaque AMI possède une `launchPermission` propriété qui contrôle qui Comptes AWS, outre celle du propriétaire, est autorisée à utiliser cette AMI pour lancer des instances. En modifiant la `launchPermission` propriété d'une AMI, vous pouvez la rendre publique (ce qui accorde des autorisations de lancement à tous Comptes AWS) ou la partager uniquement avec les personnes Comptes AWS que vous spécifiez.

Vous pouvez ajouter ou supprimer un compte IDs dans la liste des comptes autorisés à lancer une AMI. Pour rendre l’AMI publique, spécifiez le groupe `all`. Vous pouvez spécifier à la fois des autorisations de lancement publiques et explicites.

**Pour rendre une AMI publique**

1. Utilisez la commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) comme suit pour ajouter le groupe `all` à la liste `launchPermission` pour l’AMI spécifiée.

   ```
   Edit-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission `
       -OperationType add `
       -UserGroup all
   ```

1. Pour vérifier les autorisations de lancement d’une AMI, utilisez la commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html) suivante.

   ```
   Get-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission
   ```

1. (Facultatif) Pour rendre l’AMI de nouveau privée, supprimez le groupe `all` de ses autorisations de lancement. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

   ```
   Edit-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission `
       -OperationType remove `
       -UserGroup all
   ```

------

# Comprendre bloquer l'accès public pour AMIs
<a name="block-public-access-to-amis"></a>

Pour empêcher le partage public de votre compte AMIs, vous pouvez activer le *blocage de l'accès public AMIs* au niveau du compte.

Lorsque le blocage de l’accès public est activé, toute tentative de rendre publique une AMI est automatiquement bloquée. Toutefois, si vous en avez déjà un AMIs, il reste accessible au public.

Pour partager publiquement AMIs, vous devez désactiver le blocage de l'accès public. Lorsque vous avez terminé de partager, il est recommandé de réactiver le blocage de l'accès public afin d'empêcher tout partage public involontaire de votre compte. AMIs

**Note**  
Ce paramètre est configuré au niveau du compte, soit directement dans le compte, soit à l’aide d’une politique déclarative. Il doit être configuré dans chacun des Région AWS endroits où vous souhaitez empêcher le partage public de votre AMIs. L’utilisation d’une politique déclarative vous permet d’appliquer le paramètre à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier le paramètre directement dans un compte. Cette rubrique décrit comment configurer le paramètre directement dans un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

Vous pouvez limiter les autorisations IAM à un utilisateur administrateur afin qu'il soit le seul à pouvoir activer ou désactiver le blocage de l'accès public pour AMIs.

**Topics**
+ [Paramètres par défaut](#block-public-access-to-amis-default-settings)
+ [Gérez le paramètre de blocage de l'accès public pour AMIs](manage-block-public-access-for-amis.md)

## Paramètres par défaut
<a name="block-public-access-to-amis-default-settings"></a>

Le AMIs paramètre **Bloquer l'accès public** est activé ou désactivé par défaut selon que votre compte est nouveau ou existant, et si vous êtes public AMIs. Le tableau suivant répertorie les paramètres par défaut :


| AWS compte | Bloquer l'accès public pour le paramètre AMIs par défaut | 
| --- | --- | 
| Nouveaux comptes | Activé | 
|  Comptes existants non publics AMIs ¹  | Activé | 
|  Comptes existants avec un ou plusieurs comptes publics AMIs  | Désactivé | 

¹ Si un ou plusieurs comptes étaient publics AMIs le 15 juillet 2023 ou après cette date, le **blocage de l'accès public AMIs** est désactivé par défaut pour votre compte, même si vous les avez ensuite tous rendus AMIs privés.

# Gérez le paramètre de blocage de l'accès public pour AMIs
<a name="manage-block-public-access-for-amis"></a>

Vous pouvez gérer le paramètre de blocage de l’accès public pour vos AMI afin de contrôler si elles peuvent être partagées publiquement. Vous pouvez activer, désactiver ou afficher l’état actuel du blocage de l’accès public pour vos AMI à l’aide de la console Amazon EC2 ou de AWS CLI.

## Afficher l'état du blocage de l'accès public pour AMIs
<a name="get-block-public-access-state-for-amis"></a>

Pour savoir si le partage public de votre compte AMIs est bloqué, vous pouvez consulter l'état du blocage de l'accès public pour AMIs. Vous devez consulter l'état Région AWS dans lequel vous souhaitez voir si le partage public de votre compte AMIs est bloqué.

**Autorisations requises**  
Pour obtenir le paramètre actuel de blocage de l'accès public pour AMIs, vous devez disposer de l'autorisation `GetImageBlockPublicAccessState` IAM.

------
#### [ Console ]

**Pour afficher l'état du blocage de l'accès public AMIs dans la région spécifiée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation (en haut de l'écran), sélectionnez la région pour laquelle vous souhaitez afficher l'état du blocage de l'accès public AMIs.

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Protection et sécurité des données**.

1. Sous **Bloquer l'accès public pour AMIs**, cochez le champ **Accès public**. La valeur est **Nouveau partage public bloqué** ou **Nouveau partage public autorisé**.

------
#### [ AWS CLI ]

**Pour obtenir l'état de blocage de l'accès public pour AMIs**  
Utilisez la commande [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). La valeur est `block-new-sharing` ou `unblocked`.

**Exemple : pour une région spécifique**

```
aws ec2 get-image-block-public-access-state --region us-east-1
```

Le champ `ManagedBy` indique l’entité qui a configuré le paramètre. Dans cet exemple, `account` indique que le paramètre a été configuré directement dans le compte. Une valeur de `declarative-policy` signifierait que le paramètre a été configuré par une politique déclarative. Pour plus d’informations, consultez la rubrique [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

```
{
    "ImageBlockPublicAccessState": "block-new-sharing",
    "ManagedBy": "account"
}
```

**Exemple : pour toutes les régions de votre compte**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-image-block-public-access-state \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Voici un exemple de sortie.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       unblocked
eu-west-3        block-new-sharing
...
```

------
#### [ PowerShell ]

**Pour obtenir l'état de blocage de l'accès public pour AMIs**  
Utilisez l’applet de commande [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html). La valeur est `block-new-sharing` ou `unblocked`.

**Exemple : pour une région spécifique**

```
Get-EC2ImageBlockPublicAccessState -Region us-east-1
```

Voici un exemple de sortie.

```
block-new-sharing
```

**Exemple : pour toutes les régions de votre compte**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
        [PSCustomObject]@{
            Region   = $_
            PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_)
        }
} | `
Format-Table -AutoSize
```

Voici un exemple de sortie.

```
Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...
```

------

## Activer le blocage de l'accès public pour AMIs
<a name="enable-block-public-access-for-amis"></a>

Pour empêcher le partage public de votre compte AMIs, activez le blocage de l'accès public AMIs au niveau du compte. Vous devez activer le blocage de l'accès public pour AMIs chaque élément Région AWS dans lequel vous souhaitez empêcher le partage public de votre AMIs. Si vous en avez déjà un AMIs, il restera accessible au public.

**Autorisations requises**  
Pour activer le paramètre de blocage de l'accès public pour AMIs, vous devez disposer de l'autorisation `EnableImageBlockPublicAccess` IAM.

**Considérations**
+ La configuration de ce paramètre peut prendre jusqu’à 10 minutes. Pendant ce temps, si vous demandez l’état de l’accès public, la réponse est `unblocked`. Une fois la configuration terminée, la réponse est `block-new-sharing`.

------
#### [ Console ]

**Pour activer le blocage de l'accès public AMIs dans la région spécifiée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation (en haut de l'écran), sélectionnez la région pour laquelle vous souhaitez activer le blocage de l'accès public AMIs.

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Protection et sécurité des données**.

1. Sous **Bloquer l'accès public pour AMIs**, choisissez **Gérer**.

1. Cochez la case **Bloquer les nouveaux partages publics**, puis sélectionnez **Mettre à jour**.

------
#### [ AWS CLI ]

**Pour activer le blocage de l'accès public pour AMIs**  
Utilisez la commande [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html).

**Exemple : pour une région spécifique**

```
aws ec2 enable-image-block-public-access \
--region us-east-1 \
--image-block-public-access-state block-new-sharing
```

Voici un exemple de sortie.

```
{ 
    "ImageBlockPublicAccessState": "block-new-sharing"
}
```

**Exemple : pour toutes les régions de votre compte**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 enable-image-block-public-access \
            --region $region \
            --image-block-public-access-state block-new-sharing \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Voici un exemple de sortie.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       block-new-sharing
eu-west-3        block-new-sharing
...
```

------
#### [ PowerShell ]

**Pour activer le blocage de l'accès public pour AMIs**  
Utilisez la commande [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html).

**Exemple : pour une région spécifique**

```
Enable-EC2ImageBlockPublicAccess `
    -Region us-east-1 `
    -ImageBlockPublicAccessState block-new-sharing
```

Voici un exemple de sortie.

```
Value
-----
block-new-sharing
```

**Exemple : pour toutes les régions de votre compte**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (
        Enable-EC2ImageBlockPublicAccess `
         -Region $_ `
         -ImageBlockPublicAccessState block-new-sharing)
    }
} | `
Format-Table -AutoSize
```

Voici un exemple de sortie.

```
Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...
```

------

## Désactiver le blocage de l'accès public pour AMIs
<a name="disable-block-public-access-for-amis"></a>

Pour permettre aux utilisateurs de votre compte de le partager publiquement AMIs, désactivez le blocage de l'accès public au niveau du compte. Vous devez désactiver le blocage de l'accès public pour AMIs chaque élément Région AWS dans lequel vous souhaitez autoriser le partage public de votreAMIs.

**Autorisations requises**  
Pour désactiver le paramètre de blocage de l'accès public pour AMIs, vous devez disposer de l'autorisation `DisableImageBlockPublicAccess` IAM.

**Considérations**
+ La configuration de ce paramètre peut prendre jusqu’à 10 minutes. Pendant ce temps, si vous demandez l’état de l’accès public, la réponse est `block-new-sharing`. Une fois la configuration terminée, la réponse est `unblocked`.

------
#### [ Console ]

**Pour désactiver le blocage de l'accès public AMIs dans la région spécifiée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la barre de navigation (en haut de l'écran), sélectionnez la région pour laquelle vous souhaitez désactiver le blocage de l'accès public AMIs.

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Protection et sécurité des données**.

1. Sous **Bloquer l'accès public pour AMIs**, choisissez **Gérer**.

1. Décochez la case **Bloquer les nouveaux partages publics**, puis sélectionnez **Mettre à jour**.

1. Saisissez **confirm** lorsque vous êtes invité à confirmer, puis choisissez **Autoriser le partage public**.

------
#### [ AWS CLI ]

**Pour désactiver le blocage de l'accès public pour AMIs**  
Utilisez la commande [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html).

**Exemple : pour une région spécifique**

```
aws ec2 disable-image-block-public-access --region us-east-1
```

Voici un exemple de sortie.

```
{
   "ImageBlockPublicAccessState": "unblocked"
}
```

**Exemple : pour toutes les régions de votre compte**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 disable-image-block-public-access \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Voici un exemple de sortie.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       unblocked
eu-north-1       unblocked
eu-west-3        unblocked
...
```

------
#### [ PowerShell ]

**Pour désactiver le blocage de l'accès public pour AMIs**  
Utilisez l’applet de commande [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html).

**Exemple : pour une région spécifique**

```
Disable-EC2ImageBlockPublicAccess -Region us-east-1
```

Voici un exemple de sortie.

```
Value
-----
unblocked
```

**Exemple : pour toutes les régions de votre compte**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_)
    }
} | `
Format-Table -AutoSize
```

Voici un exemple de sortie.

```
Region         PublicAccessState
------         -----------------
ap-south-1     unblocked
eu-north-1     unblocked
eu-west-3      unblocked
...
```

------

# Partager une AMI avec des organisations et des unités organisationnelles
<a name="share-amis-with-organizations-and-OUs"></a>

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)est un service de gestion de comptes qui vous permet de consolider plusieurs comptes au Comptes AWS sein d'une organisation que vous créez et gérez de manière centralisée. Vous pouvez partager une AMI avec une organisation ou une unité organisationnelle (UO) que vous avez créée, en plus de [la partager avec des comptes spécifiques](sharingamis-explicit.md).

L’organisation est une entité que vous créez pour consolider et gérer vos Comptes AWS de manière centralisée. Vous pouvez organiser les comptes dans une structure arborescente hiérarchique, avec une [racine](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) au sommet et des [unités organisationnelles](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) imbriquées sous la racine de l’organisation. Chaque compte peut être ajouté directement à la racine ou placé dans l'un des comptes de la hiérarchie. OUs Pour en savoir plus, consultez la section [Terminologie et concepts relatifs àAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) du *Guide de l’utilisateur AWS Organizations *.

Lorsque vous partagez une AMI avec une organisation ou une UO, tous les comptes enfants ont accès à l’AMI. Par exemple, dans le diagramme suivant, l’AMI est partagée avec une unité d’organisation de niveau supérieur (indiquée par la flèche au niveau du numéro **1**). Tous les comptes OUs et qui sont imbriqués sous cette unité d'organisation de premier niveau (indiqués par la ligne pointillée au numéro **2**) ont également accès à l'AMI. Les comptes de l’organisation et de l’UO en dehors de la ligne pointillée (indiqués par le numéro **3**) n’ont pas accès à l’AMI car ils ne sont pas enfants de l’UO avec laquelle l’AMI est partagée.

![\[L'AMI est partagée avec une unité d'organisation, et tous les enfants OUs et comptes ont accès à l'AMI.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)


**Topics**
+ [Considérations](#considerations-org-ou)
+ [Obtenir l’ARN d’une organisation ou d’une unité organisationnelle](get-org-ou-ARN.md)
+ [Autoriser les organisations OUs à utiliser une clé KMS](allow-org-ou-to-use-key.md)
+ [Gérer le partage de l’AMI avec une organisation ou une UO](share-amis-org-ou-manage.md)

## Considérations
<a name="considerations-org-ou"></a>

Tenez compte des points suivants lors du partage AMIs avec des organisations ou unités organisationnelles spécifiques.
+ **Propriété** : pour partager une AMI, votre Compte AWS doit être propriétaire de l’AMI.
+ **Limites de partage** : le propriétaire de l'AMI peut partager une AMI avec n'importe quelle organisation ou unité d'organisation, y compris OUs les organisations dont il n'est pas membre.

  Pour connaître le nombre maximal d’entités avec lesquelles une AMI peut être partagée au sein d’une région, consultez les [quotas de service Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Balises** : vous ne pouvez pas partager de balises définies par l’utilisateur (balises que vous associez à une AMI). Lorsque vous partagez une AMI, les balises définies par l'utilisateur ne sont accessibles Compte AWS à aucun membre d'une organisation ou d'une unité d'organisation avec laquelle l'AMI est partagée.
+ **Format ARN** : lorsque vous spécifiez une organisation ou une UO dans une commande, veillez à utiliser le format ARN approprié. Vous obtiendrez une erreur si vous spécifiez uniquement l’ID, par exemple si vous spécifiez uniquement `o-123example` ou `ou-1234-5example`.

  Formats ARN corrects :
  + ARN de l’organisation : `arn:aws:organizations::111122223333:organization/organization-id`
  + ARN de l’UO : `arn:aws:organizations::111122223333:ou/organization-id/ou-id`

  Où :
  + *`111122223333`* est un exemple d’ID de compte à 12 chiffres pour le compte de gestion. Si vous ne connaissez pas le numéro de compte de gestion, vous pouvez décrire l’organisation ou l’unité d’organisation pour obtenir l’ARN, qui inclut le numéro de compte de gestion. Pour plus d’informations, consultez [Obtenir l’ARN d’une organisation ou d’une unité organisationnelle](get-org-ou-ARN.md).
  + *`organization-id`* est l’ID de l’organisation, par exemple, `o-123example`.
  + *`ou-id`* est l’ID de l’unité d’organisation, par exemple, `ou-1234-5example`.

  Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) dans le *guide de l'utilisateur IAM*.
+ **Chiffrement et clés** : vous pouvez partager des AMIs données soutenues par des instantanés chiffrés et non chiffrés.
  + Les instantanés chiffrés doivent être chiffrés à l’aide d’une clé gérée par le client. Vous ne pouvez pas partager ceux AMIs qui sont sauvegardés par des instantanés chiffrés à l'aide de la clé AWS gérée par défaut.
  + Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez autoriser les organisations ou OUs utiliser les clés gérées par le client qui ont été utilisées pour chiffrer les instantanés. Pour de plus amples informations, veuillez consulter [Autoriser les organisations OUs à utiliser une clé KMS](allow-org-ou-to-use-key.md).
+ **Région** — AMIs sont une ressource régionale. Lorsque vous partagez une AMI, elle est uniquement disponible dans la région à partir de laquelle vous l’avez partagée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée puis partagez-la. Pour plus d’informations, consultez [Copier une AMI Amazon EC2](CopyingAMIs.md).
+ **Utilisation** : lorsque vous partagez une AMI, les utilisateurs peuvent uniquement lancer des instances à partir de l’AMI. Ils ne peuvent pas la supprimer, la partager ou la modifier. Toutefois, après avoir lancé une instance à l’aide de votre AMI, ils peuvent créer une AMI à partir de l’instance lancée.
+ **Facturation** : vous n'êtes pas facturé lorsque votre AMI est utilisée par d'autres personnes Comptes AWS pour lancer des instances. Les comptes qui lancent des instances à l’aide de l’AMI sont facturés pour les instances qu’ils lancent.

# Obtenir l’ARN d’une organisation ou d’une unité organisationnelle
<a name="get-org-ou-ARN"></a>

L'organisation et l'unité organisationnelle ARNs contiennent le numéro de compte de gestion à 12 chiffres. Si vous ne connaissez pas le numéro de compte de gestion, vous pouvez décrire l’organisation ou l’unité d’organisation pour obtenir l’ARN de chacune. Dans les exemples suivants, `123456789012` est l’ID du compte de gestion.

**Autorisations requises**  
Avant de pouvoir obtenir le ARNs, vous devez être autorisé à décrire les organisations et les unités organisationnelles. La politique suivante fournit l’autorisation nécessaire.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

------
#### [ AWS CLI ]

**Pour obtenir l’ARN d’une organisation**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Ajoutez l’option `--query` pour ne renvoyer que l’ARN de l’organisation.

```
aws organizations describe-organization --query 'Organization.Arn'
```

Voici un exemple de sortie.

```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```

**Pour obtenir l’ARN d’une unité d’organisation**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Utilisez le paramètre `--query` pour ne renvoyer que l’ARN de l’unité organisationnelle.

```
aws organizations describe-organizational-unit \
    --organizational-unit-id ou-a123-b4567890 \
    --query 'OrganizationalUnit.Arn'
```

Voici un exemple de sortie.

```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```

------
#### [ PowerShell ]

**Pour obtenir l’ARN d’une organisation**  
Utilisez l'ORGOrganizationapplet de commande [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html).

```
(Get-ORGOrganization).Arn
```

Voici un exemple de sortie.

```
arn:aws:organizations::123456789012:organization/o-1234567abc
```

**Pour obtenir l’ARN d’une unité d’organisation**  
Utilisez l'applet de commande [Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).

```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```

Voici un exemple de sortie.

```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```

------

# Autoriser les organisations OUs à utiliser une clé KMS
<a name="allow-org-ou-to-use-key"></a>

Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez également autoriser les organisations ou unités organisationnelles (OUs) à utiliser les clés KMS utilisées pour chiffrer les instantanés.

**Note**  
Les instantanés chiffrés doivent être chiffrés à l’aide d’une clé *gérée par le client*. Vous ne pouvez pas partager ceux AMIs qui sont sauvegardés par des instantanés chiffrés à l'aide de la clé AWS gérée par défaut.

Pour contrôler l’accès à la clé KMS, dans la [stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), vous pouvez utiliser les clés de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) pour n’autoriser que des principaux spécifiques à effectuer les actions spécifiées. Un principal peut être un utilisateur, un rôle IAM, un utilisateur fédéré ou un utilisateur Compte AWS root.

Les clés de condition sont utilisées comme suit :
+ `aws:PrincipalOrgID` : Autorise tout principal appartenant à l’organisation représentée par l’ID spécifié.
+ `aws:PrincipalOrgPaths`— Autorise tout principal appartenant aux chemins OUs représentés par les chemins spécifiés.

Pour autoriser une organisation (y compris OUs les comptes qui lui appartiennent) à utiliser une clé KMS, ajoutez la déclaration suivante à la politique de clé.

```
{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}
```

Pour donner à une autorisation spécifique OUs (et aux comptes qui y appartiennent) l'autorisation d'utiliser une clé KMS, vous pouvez utiliser une politique similaire à l'exemple suivant.

```
{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:CreateGrant"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}
```

Pour plus d’exemples de déclarations de condition, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) dans le *Guide de l’utilisateur IAM*. 

Pour plus d’informations sur l’accès intercomptes, consultez la section [Autoriser les utilisateurs d’autres comptes à utiliser une clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) dans le *Guide du développeur AWS Key Management Service * (langue française non garantie).

# Gérer le partage de l’AMI avec une organisation ou une UO
<a name="share-amis-org-ou-manage"></a>

Vous pouvez gérer le partage de l’AMI avec les organisations et les unités d’organisation (UO) afin de contrôler si elles peuvent lancer des instances Amazon EC2.

## Afficher les organisations OUs avec lesquelles une AMI est partagée
<a name="decribe-ami-launch-permissions"></a>

Vous pouvez trouver les organisations OUs avec lesquelles vous avez partagé votre AMI.

------
#### [ Console ]

**Pour vérifier avec quelles organisations et OUs vous avez partagé votre AMI**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez votre AMI dans la liste, cliquez sur l'onglet **Autorisations** et faites défiler l'écran jusqu'à **Organisations OUs partagées/**.

   Pour découvrir AMIs ceux qui sont partagés avec vous, consultez[Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

**Pour vérifier avec quelles organisations et OUs vous avez partagé votre AMI**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) avec l’attribut `launchPermission`.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

Voici un exemple de réponse.

```
{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}
```

------
#### [ PowerShell ]

**Pour vérifier avec quelles organisations et OUs vous avez partagé votre AMI**  
Utilisez l’applet de commande [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).

```
Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Partager une IAM avec une organisation ou une UO
<a name="share-amis-org-ou"></a>

Vous pouvez partager une AMI avec une organisation ou une UO.

**Note**  
Vous n’avez pas besoin de partager les instantanés (snapshots) Amazon EBS qu’une AMI référence afin de partager l’AMI. Seule l’AMI elle-même doit être partagée, et le système fournit automatiquement à l’instance l’accès aux instantanés EBS référencés pour le lancement. Toutefois, vous n’avez pas besoin de partager les clés KMS utilisées pour chiffrer les instantanés référencés par l’AMI. Pour de plus amples informations, veuillez consulter [Autoriser les organisations OUs à utiliser une clé KMS](allow-org-ou-to-use-key.md).

------
#### [ Console ]

**Pour partager une AMI avec une organisation ou une unité d’organisation**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez votre AMI dans la liste, puis choisissez **Actions (Actions)**, **Edit AMI permissions (Modifier des autorisations d’AMI)**.

1. Sous **AMI availability** (Disponibilité de l’AMI), choisissez **Private** (Privée).

1. À côté de **Organisations partagées/ OUs**, choisissez Ajouter un **ARN organization/OU **.

1. Pour **Organization/OU ARN** (ARN d’organisation/d’UO), saisissez l’ARN de l’organisation ou de l’UO avec laquelle vous souhaitez partager l’AMI, puis choisissez **Share AMI** (Partager l’AMI). Notez que vous devez spécifier l’ARN complet, pas seulement l’ID.

   Pour partager cette AMI avec plusieurs organisations OUs, répétez cette étape jusqu'à ce que vous ayez ajouté toutes les organisations requises ou OUs.

1. Lorsque vous avez terminé, sélectionnez **Save Changes (Enregistrer les modifications)**.

1. (Facultatif) Pour afficher les organisations ou OUs avec lesquelles vous avez partagé l'AMI, sélectionnez l'AMI dans la liste, choisissez l'onglet **Autorisations** et faites défiler l'écran vers le bas jusqu'à **Organisations OUs partagées/**. Pour découvrir AMIs ceux qui sont partagés avec vous, consultez[Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

**Pour partager une AMI avec une organisation**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) pour octroyer des autorisations de lancement pour l’AMI spécifiée à l’organisation spécifiée.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Pour partager une AMI avec une UO**  
La [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)commande accorde des autorisations de lancement pour l'AMI spécifiée à l'unité d'organisation spécifiée. Notez que vous devez spécifier l’ARN complet, pas seulement l’ID.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```

------
#### [ PowerShell ]

Utilisez la [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)commande (Outils pour Windows PowerShell) pour partager une AMI, comme indiqué dans les exemples suivants.

**Pour partager une AMI avec une organisation ou une unité d’organisation**  
La commande suivante accorde des autorisations de lancement pour l’AMI spécifiée à l’organisation spécifiée.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType add `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Pour arrêter le partage d’une AMI avec une organisation ou une unité d’organisation**  
La commande suivante supprime les autorisations de lancement pour l’AMI spécifiée dans l’organisation spécifiée :

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Pour arrêter de partager une AMI avec toutes les organisations OUs, et Comptes AWS**  
La commande suivante retire toutes les autorisations de lancement publiques et explicites pour l’AMI spécifiée. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Arrêter le partage d’une AMI avec une organisation ou une UO
<a name="stop-sharing-amis-org-ou"></a>

Vous pouvez arrêter le partage d’une AMI avec une organisation ou une UO.

**Note**  
Vous ne pouvez pas arrêter le partage d’une AMI avec un compte spécifique si elle se trouve dans une organisation ou une unité d’organisation avec laquelle une AMI est partagée. Si vous essayez d’arrêter le partage de l’AMI en supprimant les autorisations de lancement du compte, Amazon EC2 renvoie un message de succès. Toutefois, l’AMI continue d’être partagée avec le compte.

------
#### [ Console ]

**Pour arrêter le partage d’une AMI avec une organisation ou une unité d’organisation**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez votre AMI dans la liste, puis choisissez **Actions (Actions)**, **Edit AMI permissions (Modifier des autorisations d’AMI)**.

1. Sous **Organisations partagées/ OUs**, sélectionnez les organisations ou OUs avec lesquelles vous souhaitez arrêter de partager l'AMI, puis choisissez **Supprimer** la sélection.

1. Lorsque vous avez terminé, sélectionnez **Save Changes (Enregistrer les modifications)**.

1. (Facultatif) Pour confirmer que vous avez arrêté de partager l'AMI avec les organisations ou sélectionnez l'AMI dans la listeOUs, choisissez l'onglet **Autorisations** et faites défiler l'écran vers le bas jusqu'à **Organisations OUs partagées/**.

------
#### [ AWS CLI ]

**Pour arrêter le partage d’une AMI avec une organisation ou une unité d’organisation**  
Utilisez la commande [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Cet exemple supprime les autorisations de lancement pour l’AMI spécifiée de l’organisation spécifiée.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Pour arrêter de partager une AMI avec toutes les organisations OUs, et Comptes AWS**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Cet exemple supprime toutes les autorisations de lancement publiques et explicites de l’AMI spécifiée. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

```
aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

------
#### [ PowerShell ]

**Pour arrêter le partage d’une AMI avec une organisation ou une unité d’organisation**  
Utilisez l’applet de commande [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). Cet exemple supprime les autorisations de lancement pour l’AMI spécifiée de l’organisation spécifiée.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Pour arrêter de partager une AMI avec toutes les organisations OUs, et Comptes AWS**  
Utilisez l’applet de commande [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). Cet exemple supprime toutes les autorisations de lancement publiques et explicites de l’AMI spécifiée. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LaunchPermission
```

------

# Partager une AMI avec des AWS comptes spécifiques
<a name="sharingamis-explicit"></a>

Vous pouvez partager une AMI avec un utilisateur spécifique Comptes AWS sans la rendre publique. Tout ce dont vous avez besoin, c'est du Compte AWS IDs.

Un Compte AWS identifiant est un numéro à 12 chiffres, par exemple`012345678901`, qui identifie de manière unique un Compte AWS. Pour plus d’informations, consultez la section [Afficher les identifiants d’ Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) dans le *Guide de référence Gestion de compte AWS *.


## Considérations
<a name="considerations-for-sharing-AMI-with-accounts"></a>

Tenez compte des points suivants lorsque vous partagez AMIs avec des personnes spécifiques Comptes AWS.
+ **Propriété** : pour partager une AMI, votre Compte AWS doit être propriétaire de l’AMI.
+ **Sharing limits** (Limites de partage) : pour connaître le nombre maximal d’entités avec lesquelles une AMI peut être partagée au sein d’une région, consultez les [quotas de service Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Balises** : vous ne pouvez pas partager de balises définies par l’utilisateur (balises que vous associez à une AMI). Lorsque vous partagez une AMI, les balises définies par l'utilisateur ne sont pas accessibles aux personnes avec Compte AWS lesquelles l'AMI est partagée.
+ **Instantanés** : vous n’avez pas besoin de partager les instantanés Amazon EBS auxquels une AMI fait référence pour partager l’AMI. Vous pouvez partager uniquement l’AMI elle-même ; le système fournit à l’instance l’accès aux instantanés EBS référencés pour le lancement. Cependant, vous devez partager toutes les clés KMS utilisées pour le chiffrement des instantanés auxquels une AMI fait référence. Pour plus d’informations, consulter la rubrique [Partager un instantané Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) dans le *Guide de l’utilisateur Amazon EBS*.
+ **Chiffrement et clés** : vous pouvez partager des AMIs données soutenues par des instantanés chiffrés et non chiffrés.
  + Les instantanés chiffrés doivent être chiffrés avec une clé KMS. Vous ne pouvez pas partager ceux AMIs qui sont sauvegardés par des instantanés chiffrés à l'aide de la clé AWS gérée par défaut.
  + Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez Comptes AWS autoriser l'utilisation des clés KMS utilisées pour chiffrer les instantanés. Pour de plus amples informations, veuillez consulter [Autoriser les organisations OUs à utiliser une clé KMS](allow-org-ou-to-use-key.md). Pour configurer la politique de clé dont vous avez besoin pour lancer des instances Auto Scaling lorsque vous utilisez une clé gérée par le client pour le chiffrement, consultez la section [AWS KMS key Politique requise pour une utilisation avec des volumes chiffrés](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) dans le guide de l'*utilisateur Amazon EC2 Auto Scaling*. 
+ **Région** — AMIs sont une ressource régionale. Lorsque vous partagez une AMI, elle n’est disponible que dans la région concernée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée puis partagez-la. Pour plus d’informations, consultez [Copier une AMI Amazon EC2](CopyingAMIs.md).
+ **Utilisation** : lorsque vous partagez une AMI, les utilisateurs peuvent uniquement lancer des instances à partir de l’AMI. Ils ne peuvent pas la supprimer, la partager ou la modifier. Toutefois, une fois qu’ils ont lancé une instance à l’aide de votre AMI, ils peuvent alors créer une AMI à partir de leur instance.
+ **Copie partagée AMIs** : si les utilisateurs d'un autre compte souhaitent copier une AMI partagée, vous devez leur accorder des autorisations de lecture pour le stockage qui soutient l'AMI. Pour de plus amples informations, veuillez consulter [Copie entre comptes](how-ami-copy-works.md#copy-ami-across-accounts).
+ **Facturation** : vous n'êtes pas facturé lorsque votre AMI est utilisée par d'autres personnes Comptes AWS pour lancer des instances. Les comptes qui lancent des instances à l’aide de l’AMI sont facturés pour les instances qu’ils lancent.

------
#### [ Console ]

**Pour donner des autorisations de lancement explicites**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez votre AMI dans la liste, puis choisissez **Actions (Actions)**, **Edit AMI permissions (Modifier des autorisations d’AMI)**.

1. Choisissez **Private (Privé)**.

1. Sous **Shared accounts** (Comptes partagés), choisissez **Add account ID** (Ajouter un ID de compte).

1. Dans **Compte AWS ID**, entrez l' Compte AWS ID avec lequel vous souhaitez partager l'AMI, puis choisissez **Partager l'AMI**.

   Pour partager cette AMI avec plusieurs comptes, répétez les étapes 5 et 6 jusqu'à ce que vous ayez ajouté tous les comptes requis IDs.

1. Lorsque vous avez terminé, choisissez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Pour afficher l'AMI Compte AWS IDs avec laquelle vous avez partagé l'AMI, sélectionnez l'AMI dans la liste, puis cliquez sur l'onglet **Autorisations**. Pour découvrir AMIs ceux qui sont partagés avec vous, consultez[Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) pour partager une AMI comme illustré dans les exemples suivants.

**Pour donner des autorisations de lancement explicites**  
L’exemple suivant octroie les autorisations de lancement pour l’AMI spécifiée à l’ Compte AWS spécifié.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{UserId=123456789012}]"
```

**Pour supprimer des autorisations de lancement données à un compte**  
L’exemple suivant retire les autorisations de lancement pour l’AMI spécifiée de l’ Compte AWS spécifié.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{UserId=123456789012}]"
```

**Pour supprimer toutes les autorisations de lancement**  
L’exemple suivant retire toutes les autorisations de lancement pour l’AMI spécifiée du compte spécifié. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

```
aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

------
#### [ PowerShell ]

Utilisez la [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)commande (Outils pour Windows PowerShell) pour partager une AMI, comme indiqué dans les exemples suivants.

**Pour donner des autorisations de lancement explicites**  
L’exemple suivant octroie les autorisations de lancement pour l’AMI spécifiée à l’ Compte AWS spécifié.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 ` 
    -Attribute launchPermission `
    -OperationType add `
    -UserId "123456789012"
```

**Pour supprimer des autorisations de lancement données à un compte**  
L’exemple suivant retire les autorisations de lancement pour l’AMI spécifiée de l’ Compte AWS spécifié.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission -OperationType remove `
    -UserId "123456789012"
```

**Pour supprimer toutes les autorisations de lancement**  
L’exemple suivant retire toutes les autorisations de lancement publiques et explicites de l’AMI spécifiée. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

# Annuler le partage d'une AMI avec votre Compte AWS
<a name="cancel-sharing-an-AMI"></a>

Une Amazon Machine Image (AMI) peut être [partagée avec des Comptes AWS spécifiques](sharingamis-explicit.md) en ajoutant les comptes aux autorisations de lancement de l’AMI. Si une AMI a été partagée avec vous Compte AWS et que vous ne souhaitez plus qu'elle soit partagée avec votre compte, vous pouvez supprimer votre compte des autorisations de lancement de l'AMI. Pour ce faire, exécutez la `cancel-image-launch-permission` AWS CLI commande. Lorsque vous exécutez cette commande, vous Compte AWS êtes privé des autorisations de lancement pour l'AMI spécifiée. Pour trouver ceux AMIs qui sont partagés avec vous Compte AWS, consultez[Rechercher des AMI partagées qui seront utilisées pour les instances Amazon EC2](usingsharedamis-finding.md).

Vous pouvez annuler le partage d’une AMI avec votre compte, par exemple pour réduire la probabilité de lancer une instance avec une AMI inutilisée ou obsolète qui a été partagée avec vous. Lorsque vous annulez le partage d’une AMI avec votre compte, celle-ci n’apparaît plus dans les listes d’AMI de la console EC2 ni dans la sortie de [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) (langue française non garantie).

**Topics**
+ [Limitations](#cancel-sharing-an-AMI-limitations)
+ [Annulation du partage d’une AMI avec votre compte](#cancel-image-launch-permission)

## Limitations
<a name="cancel-sharing-an-AMI-limitations"></a>
+ Vous pouvez supprimer votre compte des autorisations de lancement d'une AMI partagée Compte AWS uniquement avec vous. Vous ne pouvez pas l'utiliser `cancel-image-launch-permission` pour retirer votre compte des autorisations de lancement d'une [AMI partagée avec une organisation ou une unité organisationnelle (UO)](share-amis-with-organizations-and-OUs.md) ou pour supprimer l'accès au public AMIs.
+ Vous ne pouvez pas supprimer définitivement votre compte des autorisations de lancement d’une AMI. Un propriétaire d’AMI peut à nouveau partager une AMI avec votre compte.
+ AMIs sont une ressource régionale. Lors de l’exécution de `cancel-image-launch-permission`, vous devez spécifier la région dans laquelle se trouve l’AMI. Spécifiez la région dans la commande ou utilisez la [variable d' AWS\$1DEFAULT\$1REGION environnement](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
+ Seuls les SDK AWS CLI et permettent de supprimer votre compte des autorisations de lancement d'une AMI. La console EC2 ne prend pas actuellement en charge cette fonction.

## Annulation du partage d’une AMI avec votre compte
<a name="cancel-image-launch-permission"></a>

**Note**  
Une fois que vous avez annulé le partage d’une AMI avec votre compte, vous ne pouvez pas le rétablir. Pour rétablir l’accès à l’AMI, le propriétaire de l’AMI doit la partager avec votre compte.

------
#### [ AWS CLI ]

**Pour annuler le partage d’une AMI avec votre compte**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html).

```
aws ec2 cancel-image-launch-permission \
    --image-id ami-0abcdef1234567890 \
    --region us-east-1
```

------
#### [ PowerShell ]

**Pour annuler le partage d’une AMI avec votre compte**  
Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html).

```
Stop-EC2ImageLaunchPermission `
    -ImageId ami-0abcdef1234567890 `
    -Region us-east-1
```

------

# Recommandations pour créer un système Linux partagé AMIs
<a name="building-shared-amis"></a>

Suivez les instructions suivantes pour réduire la surface d'attaque et améliorer la fiabilité de ce AMIs que vous créez.

**Important**  
Aucune liste de consignes de sécurité ne peut être exhaustive. Créez votre partage AMIs avec soin et prenez le temps de réfléchir aux endroits où vous pourriez exposer des données sensibles.

**Topics**
+ [Désactivation des connexions distantes basées sur un mot de passe pour l’utilisateur root](#public-amis-disable-password-logins-for-root)
+ [Désactivation de l’accès local à la racine](#restrict-root-access)
+ [Suppression des paires de clés de l’hôte SSH](#remove-ssh-host-key-pairs)
+ [Installation d’informations d’identification publiques](#public-amis-install-credentials)
+ [Désactiver les vérifications DNS sshd (facultatif)](#public-amis-disable-ssh-dns-lookups)
+ [Supprimer les données sensibles](#public-amis-protect-yourself)

Si vous créez AMIs pour cela AWS Marketplace, consultez la section [Meilleures pratiques en matière de création AMIs](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) dans le *Guide du AWS Marketplace vendeur* pour connaître les directives, les politiques et les meilleures pratiques.

## Désactivation des connexions distantes basées sur un mot de passe pour l’utilisateur root
<a name="public-amis-disable-password-logins-for-root"></a>

En utilisant un mot de passe racine fixe pour une AMI publique, un risque de sécurité peut rapidement apparaître. Même le fait de compter sur les utilisateurs pour changer le mot de passe après leur première connexion laisse une petite place à une opportunité d’abus potentiel. 

Pour résoudre ce problème, désactivez les connexions à distance basées sur mot de passe pour l’utilisateur racine.

**Pour désactiver les connexions à distance basées sur un mot de passe pour l’utilisateur root**

1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte et localisez la ligne suivante :

   ```
   #PermitRootLogin yes
   ```

1. Changez la ligne en :

   ```
   PermitRootLogin without-password
   ```

   L’emplacement de ce fichier de configuration peut varier pour votre distribution, ou si vous n’exécutez pas OpenSSH. Si tel est le cas, consultez la documentation appropriée. 

## Désactivation de l’accès local à la racine
<a name="restrict-root-access"></a>

Lorsque vous travaillez avec le partage AMIs, il est recommandé de désactiver les connexions root directes. Pour ce faire, connectez-vous à votre instance en cours d’exécution et entrez la commande suivante :

```
[ec2-user ~]$ sudo passwd -l root
```

**Note**  
Cette commande n’a pas d’impact sur l’utilisation de `sudo`.

## Suppression des paires de clés de l’hôte SSH
<a name="remove-ssh-host-key-pairs"></a>

 Si vous prévoyez de partager une AMI issue d’une AMI publique, supprimez les paires de clés de l’hôte SSH existantes situées dans `/etc/ssh`. Cela oblige SSH à générer de nouvelles paires de clés SSH uniques lorsque quelqu'un lance une instance à l'aide de votre AMI, ce qui améliore la sécurité et réduit le risque d'attaques « man-in-the-middle ». 

Supprimez tous les fichiers clés suivants présents dans votre système.
+  ssh\$1host\$1dsa\$1key 
+  ssh\$1host\$1dsa\$1key.pub 
+  ssh\$1host\$1key 
+  ssh\$1host\$1key.pub 
+  ssh\$1host\$1rsa\$1key 
+  ssh\$1host\$1rsa\$1key.pub 
+ ssh\$1host\$1ecdsa\$1key
+ ssh\$1host\$1ecdsa\$1key.pub
+ ssh\$1host\$1ed25519\$1key
+ ssh\$1host\$1ed25519\$1key.pub

Vous pouvez supprimer tous ces fichiers en toute sécurité avec la commande suivante.

```
[ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub
```

**Avertissement**  
Les utilitaires de suppression sécurisée tels que **shred** peuvent ne pas supprimer toutes les copies d’un fichier de votre support de stockage. Des copies cachées de fichiers peuvent être crées par les systèmes de fichiers de journalisation (dont Amazon Linux default ext4), les instantanés (snapshots), les sauvegardes, RAID et la mise en cache temporaire. Pour plus d’informations, consultez la [documentation shred](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html).

**Important**  
Si vous oubliez de supprimer les paires de clés de l’hôte SSH existantes de votre AMI publique, notre processus routinier d’audit vous informe ainsi que tous les clients exécutant des instances de votre AMI du risque de sécurité potentiel. Au terme d’une courte période de grâce, nous marquons l’AMI comme privée. 

## Installation d’informations d’identification publiques
<a name="public-amis-install-credentials"></a>

Après avoir configuré l’AMI pour empêcher la connexion à l’aide d’un mot de passe, vous devez vous assurer que les utilisateurs peuvent se connecter à l’aide d’un autre mécanisme. 

Amazon EC2 permet aux utilisateurs de spécifier un nom de paire de clés publique-privée au moment de lancer une instance. Lorsqu’un nom de paire de clés valide est fourni à l’appel de l’API `RunInstances` (ou par les outils API de ligne de commande), la clé publique (la portion de la paire de clés qu’Amazon EC2 conserve sur le serveur après un appel à `CreateKeyPair` ou `ImportKeyPair`) est rendue disponible pour l’instance via une requête HTTP sur les métadonnées d’instance. 

Pour se connecter via SSH, votre AMI doit récupérer la valeur clé au moment du démarrage et la joindre à `/root/.ssh/authorized_keys` (ou l’équivalent pour tout autre compte utilisateur sur l’AMI). Les utilisateurs peuvent lancer des instances de votre AMI avec votre paire de clés et se connecter sans avoir besoin de mot de passe racine. 

De nombreuses distributions, dont Amazon Linux et Ubuntu, utilisent le package `cloud-init` pour injecter des informations d’identification de clé publiques pour un utilisateur configuré. Si votre distribution ne prend pas en charge `cloud-init`, vous pouvez ajouter le code suivant à un script de démarrage système (tel que `/etc/rc.local`) pour extraire la clé publique que vous avez spécifiée au lancement pour l’utilisateur racine.

**Note**  
Dans l’exemple suivant, l’adresse IP http://169.254.169.254/ est une adresse lien-local et elle n’est valide que depuis l’instance.

------
#### [ IMDSv2 ]

```
if [ ! -d /root/.ssh ] ; then
        mkdir -p /root/.ssh
        chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
        cat /tmp/my-key >> /root/.ssh/authorized_keys
        chmod 700 /root/.ssh/authorized_keys
        rm /tmp/my-key
fi
```

------
#### [ IMDSv1 ]

```
if [ ! -d /root/.ssh ] ; then
        mkdir -p /root/.ssh
        chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
        cat /tmp/my-key >> /root/.ssh/authorized_keys
        chmod 700 /root/.ssh/authorized_keys
        rm /tmp/my-key
fi
```

------

 Cela peut être appliqué à n’importe quel utilisateur. Il n’est pas nécessaire de la limiter à l’utilisateur `root`.

**Note**  
La création d’un nouveau bundle d’une instance basée sur cette AMI inclut la clé avec laquelle elle a été lancée. Pour éviter l’inclusion de la clé, vous devez vider (ou supprimer) le fichier `authorized_keys` ou exclure ce fichier du nouveau bundle. 

## Désactiver les vérifications DNS sshd (facultatif)
<a name="public-amis-disable-ssh-dns-lookups"></a>

Désactiver les vérifications DNS sshd affaiblit quelque peu votre sécurité sshd. Toutefois, si la résolution DNS échoue, les connexions SSH continuent de fonctionner. Si vous ne désactivez pas les vérifications sshd, les échecs de résolution DNS empêchent toutes les connexions. 

**Pour désactiver les vérifications DNS sshd**

1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte et localisez la ligne suivante :

   ```
   #UseDNS yes
   ```

1. Changez la ligne en : 

   ```
   UseDNS no
   ```

**Note**  
L’emplacement de ce fichier de configuration peut varier pour votre distribution, ou si vous n’exécutez pas OpenSSH. Si tel est le cas, consultez la documentation appropriée. 

## Supprimer les données sensibles
<a name="public-amis-protect-yourself"></a>

Nous déconseillons de stocker des données ou logiciels sensibles sur toute AMI que vous partagez. Les utilisateurs qui lancent une AMI partagée peuvent être en mesure de la regrouper et de l’enregistrer comme étant la leur. Suivez ces consignes pour vous permettre d’éviter de vous exposer à des risques de sécurité facilement négligés : 
+ Nous recommandons d’utiliser l’option `--exclude directory` sur `ec2-bundle-vol` pour éviter tout répertoire et sous-répertoire contenant des informations secrètes que vous ne souhaiteriez pas inclure dans votre regroupement. En particulier, excluez toutes les paires de public/private clés SSH et tous les `authorized_keys` fichiers SSH appartenant à l'utilisateur lors du regroupement de l'image. Le public Amazon les AMIs stocke `/root/.ssh` pour l'utilisateur root et `/home/user_name/.ssh/` pour les utilisateurs réguliers. Pour de plus amples informations, veuillez consulter [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
+ Supprimez toujours l’historique shell avant la création d’un bundle. Si vous essayez de réaliser plusieurs téléchargements de regroupement dans une même AMI, l’historique shell contient votre clé d’accès. L’exemple ci-après devrait être la dernière commande que vous avez exécutée avant de créer un bundle depuis l’instance.

  ```
  [ec2-user ~]$ shred -u ~/.*history
  ```
**Avertissement**  
Les limites de **shred** décrites dans l’avertissement ci-dessus s’appliquent également ici.   
Ayez à l’esprit que bash inscrit l’historique de la session en cours sur le disque au moment de quitter. Si vous vous déconnectez de votre instance après avoir supprimé `~/.bash_history` et si vous vous reconnectez ensuite, vous constaterez que `~/.bash_history` a été recréé et contient toutes les commandes que vous avez exécutées durant votre session précédente.  
D’autres programmes en dehors de bash inscrivent les historiques sur le disque. Soyez prudent et retirez ou excluez tous les fichiers et répertoires dot superflus.
+ La création d’une offre groupée pour une instance en cours d’exécution nécessite votre clé privée et un certificat X.509. Mettez ces éléments et toutes les autres informations d’identification dans un endroit qui n’est pas regroupé (comme par exemple le stockage d’instances).

# Surveillez les événements de l'AMI à l'aide d'Amazon EventBridge
<a name="monitor-ami-events"></a>

Lorsque l'état d'une Amazon Machine Image (AMI) change, Amazon EC2 génère un événement qui est envoyé à Amazon EventBridge (anciennement Amazon CloudWatch Events). Les événements sont envoyés au bus d' EventBridge événements par défaut au format JSON. Vous pouvez utiliser Amazon EventBridge pour détecter ces événements et y réagir. Pour ce faire, vous devez créer des règles EventBridge qui déclenchent une action en réponse à un événement. Par exemple, vous pouvez créer une EventBridge règle qui détecte la fin du processus de création de l'AMI, puis qui invoque une rubrique Amazon SNS pour vous envoyer une notification par e-mail.

Amazon EC2 génère un `EC2 AMI State Change` événement lorsqu'une AMI entre dans l'un des états suivants :
+ `available`
+ `failed`
+ `deregistered`
+ `disabled`

Les événements sont générés sur la base du meilleur effort.

Le tableau suivant répertorie les opérations d’AMI et les états dans lesquels une AMI peut basculer. Dans le tableau, **Oui** indique les états dans lesquels l’AMI peut basculer lors de l’exécution de l’opération correspondante.


| Opérations de l’AMI | available | failed | deregistered | disabled | 
| --- | --- | --- | --- | --- | 
| CopyImage | Oui | Oui |  |  | 
|  CreateImage  |  Oui  |  Oui  |  |  | 
|  CreateRestoreImageTask  | Oui | Oui |  |  | 
| DeregisterImage |  |  |  Oui  |  | 
|  DisableImage  |  |  |  |  Oui  | 
|  EnableImage  |  Oui  |  |  |  | 
| RegisterImage | Oui | Oui |  |  | 

**Événements EC2 AMI State Change**
+ [Détails de l’événement](#ami-events)
+ [Événements available](#ami-event-available)
+ [Événements failed](#ami-event-failed)
+ [Événements deregistered](#ami-event-deregistered)
+ [Événements disabled](#ami-event-disabled)

## Détails de l’événement
<a name="ami-events"></a>

Vous pouvez utiliser les champs suivants dans l’événement afin de créer des règles qui déclenchent une action :

`"source": "aws.ec2"`  
Indique que l'événement provient d'Amazon EC2.

`"detail-type": "EC2 AMI State Change"`  
Identifie le nom de l’événement.

`"detail": { "ImageId": "ami-0abcdef1234567890", "State": "available", }`  
Fournit l’identifiant de l’AMI et l’état de l’AMI (`available`, `failed`, `deregistered`, ou `disabled`).

Pour plus d'informations, consultez les informations suivantes dans le *guide de EventBridge l'utilisateur Amazon* :
+ [ EventBridge Événements Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)
+ [Modèles d' EventBridge événements Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)
+ [ EventBridge Règles d'Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)

*Pour un didacticiel sur la création d'une fonction Lambda et d'une EventBridge règle qui exécute la fonction Lambda, consultez [Tutoriel : enregistrez l'état d'une EC2 instance Amazon EventBridge à l'aide](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-log-ec2-instance-state.html) du manuel du développeur.AWS Lambda *

## Événements available
<a name="ami-event-available"></a>

Voici un exemple d'événement EC2 généré par Amazon lorsque l'AMI entre dans l'`available`état suivant une `EnableImage` opération réussie `CreateImage` `CopyImage` `RegisterImage``CreateRestoreImageTask`,, ou.

`"State": "available"` indique que l’opération a réussi.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "available",
        "ErrorMessage": ""
    }
}
```

## Événements failed
<a name="ami-event-failed"></a>

Voici un exemple d'événement EC2 généré par Amazon lorsque l'AMI entre dans l'`failed`état suite à un échec `CreateImage` ou à une `CreateRestoreImageTask` opération. `CopyImage` `RegisterImage`

Les champs suivants fournissent des informations pertinentes :
+ `"State": "failed"` : indique que l’opération a échoué.
+ `"ErrorMessage": ""` : indique la raison de l’échec de l’opération.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "failed",
        "ErrorMessage": "Description of failure"
    }
}
```

## Événements deregistered
<a name="ami-event-deregistered"></a>

Voici un exemple d'événement EC2 généré par Amazon lorsque l'AMI entre dans l'`deregistered`état suivant une `DeregisterImage` opération réussie. Si l’opération échoue, aucun événement n’est généré. Tout échec est immédiatement connu, car `DeregisterImage` est une opération synchrone.

`"State": "deregistered"` indique que l’opération `DeregisterImage` a réussi.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "deregistered",
        "ErrorMessage": ""
    }
}
```

## Événements disabled
<a name="ami-event-disabled"></a>

Voici un exemple d'événement EC2 généré par Amazon lorsque l'AMI entre dans l'`disabled`état suivant une `DisableImage` opération réussie. Si l’opération échoue, aucun événement n’est généré. Tout échec est immédiatement connu, car `DisableImage` est une opération synchrone.

`"State": "disabled"` indique que l’opération `DisableImage` a réussi.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "disabled",
        "ErrorMessage": ""
    }
}
```

# Comprendre les informations de facturation d’AMI
<a name="ami-billing-info"></a>

Il existe de nombreuses Amazon Machine Images (AMIs) parmi lesquelles choisir lors du lancement de vos instances, et elles prennent en charge une variété de plateformes et de fonctionnalités de systèmes d'exploitation. Pour comprendre l'impact de l'AMI que vous choisissez lors du lancement de votre instance sur le résultat net de votre AWS facture, vous pouvez rechercher la plate-forme du système d'exploitation et les informations de facturation associées. Faites ceci avant de lancer des instances Spot ou à la demande, ou d’acheter une Instance réservée.

Voici deux exemples qui illustrent en quoi une recherche préalable de votre AMI peut vous aider à choisir l’AMI qui correspond le mieux à vos besoins :
+ Pour les Instances Spot, vous pouvez utiliser les **détails de la plateforme** sur l’AMI pour confirmer que l’AMI est prise en charge pour les Instances Spot.
+ Lorsque vous achetez une Instance réservée, vous pouvez vous assurer que vous sélectionnez la plateforme du système d’exploitation (**Platform**) qui correspond aux **détails de la plateforme** sur l’AMI.

Pour plus d'informations sur la tarification des instances, consultez [ EC2 les tarifs Amazon](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Champs d’informations de facturation d’AMI](billing-info-fields.md)
+ [Recherche des détails de facturation et d’utilisation d’AMI](view-billing-info.md)
+ [Vérifier les frais d’AMI sur votre facture](verify-ami-charges.md)

# Champs d’informations de facturation d’AMI
<a name="billing-info-fields"></a>

Les champs suivants fournissent les informations de facturation associées à une AMI :

Platform details (Détails de la plateforme)  
 Détails de la plateforme associée au code de facturation de l’AMI. Par exemple, `Red Hat Enterprise Linux`.

Usage operation (Opération d’utilisation)  
Le fonctionnement de l' EC2 instance Amazon et le code de facturation associé à l'AMI. Par exemple, `RunInstances:0010`. **L'opération d'utilisation** correspond à la colonne [LineItem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation) de votre rapport sur les AWS coûts et l'utilisation (CUR) et dans l'API [AWS Price](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/price-changes.html) List.

Vous pouvez consulter ces champs sur la page **Instances** ou sur la **AMIs**page de la EC2 console Amazon, ou dans la réponse renvoyée par la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)

## Exemples de données : opération d’utilisation par plateforme
<a name="billing-info"></a>

Le tableau suivant répertorie certains détails de la plateforme et les valeurs des opérations d'utilisation qui peuvent être affichés sur les **instances** ou les **AMIs**pages de la EC2 console Amazon, ou dans la réponse renvoyée par la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)


| Platform details (Détails de la plateforme) | Usage operation (Opération d’utilisation) 2 | 
| --- | --- | 
|  Linux/UNIX  |  RunInstances  | 
|  Red Hat BYOL Linux  |  RunInstances:00g03  | 
|  Red Hat Enterprise Linux  |  RunInstances:0010  | 
|  Red Hat Enterprise Linux with HA  |  RunInstances:1010  | 
|  Red Hat Enterprise Linux with SQL Server Standard and HA  |  RunInstances:1014  | 
|  Red Hat Enterprise Linux with SQL Server Enterprise and HA  |  RunInstances:1110  | 
|  Red Hat Enterprise Linux with SQL Server Standard  |  RunInstances:0014  | 
|  Red Hat Enterprise Linux with SQL Server Web  |  RunInstances:0210  | 
|  Red Hat Enterprise Linux with SQL Server Enterprise  |  RunInstances:0110  | 
|  SQL Server Enterprise  |  RunInstances:0100  | 
|  SQL Server Standard  |  RunInstances:0004  | 
|  SQL Server Web  |  RunInstances:0200  | 
|  SUSE Linux  |  RunInstances:000g  | 
| Ubuntu Pro |  RunInstances:0g00  | 
|  Windows  |  RunInstances:0002  | 
|  Windows BYOL  |  RunInstances:0800  | 
|  Windows with SQL Server Enterprise1  |  RunInstances:0102  | 
|  Windows with SQL Server Standard1  |  RunInstances:0006  | 
|  Windows with SQL Server Web1  |  RunInstances:0202  | 

1 Si deux licences logicielles sont associées à une AMI, le champ **Platform details** (Détails de la plateforme) affiche les deux.

2 Si vous utilisez des instances Spot, la valeur de votre rapport [https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)sur les AWS coûts et l'utilisation peut être différente de la valeur de l'**opération d'utilisation** répertoriée ici. Par exemple, s'il s'`[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`affiche`RunInstances:0010:SV006`, cela signifie qu'Amazon exécute Red Hat Enterprise Linux Spot Instance-Hour dans l' EC2 est des États-Unis (Virginie du Nord) dans la zone 6.

3 Ceci apparaît comme RunInstances (Linux/UNIX) dans vos rapports d’utilisation.

# Recherche des détails de facturation et d’utilisation d’AMI
<a name="view-billing-info"></a>

Les propriétés suivantes peuvent vous aider à vérifier les frais d’AMI sur votre facture :
+ **Platform details (Détails de la plateforme)**
+ **Usage operation (Opération d’utilisation)**
+ **ID D’AMI**

------
#### [ Console ]

**Pour rechercher les informations de facturation d’une AMI**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, sélectionnez **AMIs**.

1. Sélectionnez l’AMI.

1. Sous l’onglet **Détails** recherchez **Détails de la plateforme** et **Opération d’utilisation**.

**Pour rechercher les informations de facturation d’une instance**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance.

1. Dans l’onglet **Détails**, développez **Détails de l’instance** et recherchez **Détails de la plateforme** et **Opération d’utilisation**.

------
#### [ AWS CLI ]

**Pour rechercher les informations de facturation d’une AMI**  
Utilisez la commande [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query "Images[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```

Voici un exemple de sortie pour une AMI Linux.

```
[
    {
        "PlatformDetails": "Linux/UNIX",
        "UsageOperation": "RunInstances"
    }
]
```

**Pour rechercher les informations de facturation d’une instance**  
Utilisez la commande [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).

```
aws ec2 describe-instances \
    --instance-ids i-1234567890abcdef0 \
    --query "Reservations[].Instances[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```

Voici un exemple de sortie pour une instance Windows.

```
[
    {
        "PlatformDetails": "Windows",
        "UsageOperation": "RunInstances:0002"
    }
]
```

------
#### [ PowerShell ]

**Pour rechercher les informations de facturation d’une AMI**  
Utilisez l’applet de commande [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -ImageId ami-0abcdef1234567890 | `
    Format-List PlatformDetails, UsageOperation
```

Voici un exemple de sortie pour une AMI Linux.

```
PlatformDetails : Linux/UNIX
UsageOperation  : RunInstances
```

**Pour rechercher les informations de facturation d’une instance**  
Utilisez l’applet de commande [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).

```
(Get-EC2Instance `
    -InstanceId i-1234567890abcdef0).Instances | `
    Format-List PlatformDetails, UsageOperation
```

Voici un exemple de sortie pour une instance Windows.

```
PlatformDetails : Windows
UsageOperation  : RunInstances:0002
```

------

# Vérifier les frais d’AMI sur votre facture
<a name="verify-ami-charges"></a>

Pour vous assurer de ne pas encourir de coûts imprévus, vous pouvez vérifier que les informations de facturation d'une instance figurant dans votre rapport sur les AWS coûts et l'utilisation (CUR) correspondent aux informations de facturation associées à l'AMI que vous avez utilisée pour lancer l'instance.

Pour vérifier les informations de facturation, recherchez l’ID d’instance dans votre rapport de coût et d’utilisation et vérifiez la valeur correspondante dans la colonne `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. La valeur doit correspondre à la valeur de **Usage operation (Opération d’utilisation)** associée à l’AMI.

Par exemple, l’AMI `ami-0123456789EXAMPLE` contient les informations de facturation suivantes :
+ **Platform details (Détails de la plateforme** = `Red Hat Enterprise Linux`
+ **Opération d’utilisation** = `RunInstances:0010`

Si vous avez lancé une instance à l’aide de cette AMI, vous pouvez trouver l’ID d’instance dans votre rapport d’utilisation et de coût et vérifier la valeur correspondante dans la colonne `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. Dans cet exemple. la valeur devrait être `RunInstances:0010`.

# Quotas d'AMI sur Amazon EC2
<a name="ami-quotas"></a>

Les quotas suivants s'appliquent à la création et au partage AMIs. Les quotas s’appliquent par Région AWS.


****  

| Nom du quota | Description | Quota par défaut par région | 
| --- | --- | --- | 
| AMIs | Le nombre maximum de sites publics et privés AMIs autorisés par région. Il s'agit notamment des produits disponibles, en attente AMIs, désactivés et AMIs placés dans la corbeille. | 50 000 | 
| Public AMIs | Le nombre maximum de visiteurs autorisés par région AMIs, y compris le public se trouvant AMIs dans la corbeille. | 5 | 
| Partage d’AMI | Nombre maximum d'entités (organisations, unités organisationnelles (OUs) et comptes) avec lesquelles une AMI peut être partagée dans une région. Notez que si vous partagez une AMI avec une organisation ou une UO, le nombre de comptes dans l’organisation ou l’UO ne compte pas dans le quota. | 1 000 | 

Si vous dépassez vos quotas et que vous souhaitez en créer ou partager davantage AMIs, vous pouvez effectuer les opérations suivantes :
+ Si vous dépassez votre AMIs quota total AMIs ou public, pensez à annuler l'enregistrement des images non utilisées.
+ Si vous dépassez votre AMIs quota public, pensez à en rendre un ou plusieurs publics AMIs privés.
+ Si vous dépassez votre quota de partage d'AMI, envisagez de le partager AMIs avec une organisation ou une unité d'organisation plutôt qu'avec des comptes séparés.
+ Demandez une augmentation de quota pour AMIs.

## Demandez une augmentation de quota pour AMIs
<a name="request-ami-quota-increase"></a>

Si vous avez besoin d'un quota supérieur au quota par défaut pour AMIs, vous pouvez demander une augmentation de quota.

**Pour demander une augmentation de quota pour AMIs**

1. Ouvrez la console Service Quotas sur [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/).

1. Dans le panneau de navigation, choisissez **Services AWS **.

1. Choisissez **Amazon Elastic Compute Cloud (Amazon EC2)** dans la liste ou saisissez le nom du service dans le champ de recherche.

1. Choisissez le quota d’AMI pour demander une augmentation. Les quotas d’AMI que vous pouvez sélectionner sont les suivants :
   + AMIs
   + Publique AMIs
   + Partage d’AMI

1. Choisissez **Request quota increase** (Demander une augmentation de quota).

1. Pour **Change quota value** (Modifier la valeur du quota), saisissez la nouvelle valeur du quota, puis sélectionnez **Request** (Demander).

Pour afficher les demandes en attente ou récemment résolues, choisissez **Dashboard (Tableau de bord)** dans le volet de navigation. Pour les demandes en attente, choisissez l’état de la demande pour ouvrir le reçu de la demande. L’état initial d’une demande est **Pending** (En attente). Une fois que le statut est passé à **Quota requested** (Quota demandé), vous verrez le numéro du cas sous **Support Center case number** (Numéro de cas du centre de support). Choisissez le numéro de dossier pour ouvrir le billet pour votre demande.

Une fois la demande résolue, la **Applied quota value (Valeur de quota appliquée)** pour le quota est définie selon la nouvelle valeur.

Pour plus d’informations, consultez le [Guide de l’utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).