Accorder l'autorisation de copier Amazon EC2 AMIs - Amazon Elastic Compute Cloud
Exemple de politique IAM pour la copie d’une AMI basée sur EBS et le balisage de l’AMI cible ainsi que des instantanésExemple de politique IAM pour la copie d’une AMI basée sur EBS mais refusant de baliser les nouveaux instantanésExemple de politique IAM pour la copie d’une AMI basée sur le stockage d’instances et le balisage de l’AMI cible

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accorder l'autorisation de copier Amazon EC2 AMIs

Pour copier une AMI basée sur EBS ou sur le stockage d’instances, vous devez disposer des autorisations IAM suivantes :

  • ec2:CopyImage : pour copier l’AMI. Pour les sauvegardes basées sur EBS AMIs, il autorise également la copie des instantanés de sauvegarde de l'AMI.

  • ec2:CreateTags : pour baliser l’AMI cible. Pour les instantanés sauvegardés par EBSAMIs, il autorise également à baliser les instantanés de sauvegarde de l'AMI cible.

Si vous copiez une AMI basée sur le stockage d’instances, vous avez besoin des autorisations IAM supplémentaires suivantes :

  • s3:CreateBucket : pour créer le compartiment S3 dans la région cible pour la nouvelle AMI

  • s3:GetBucketAcl : pour lire les autorisations ACL pour le compartiment source

  • s3:ListAllMyBuckets— Pour rechercher un compartiment S3 existant pour AMIs la région cible

  • s3:GetObject : pour lire les objets dans le compartiment source

  • s3:PutObject : pour écrire les objets dans le compartiment cible

  • s3:PutObjectAcl : pour écrire les autorisations pour les nouveaux objets dans le compartiment cible

Note

À partir du 28 octobre 2024, vous pouvez définir des autorisations au niveau des ressources pour l’action CopyImage sur l’AMI source. Les autorisations au niveau des ressources pour l’AMI cible sont disponibles comme auparavant. Pour plus d'informations, consultez CopyImagele tableau sous Actions définies par Amazon EC2 dans le Service Authorization Reference.

Exemple de politique IAM pour la copie d’une AMI basée sur EBS et le balisage de l’AMI cible ainsi que des instantanés

L’exemple de politique suivant vous autorise à copier n’importe quel AMI basée sur EBS et à baliser l’AMI cible ainsi que ses instantanés de sauvegarde.

Note

À partir du 28 octobre 2024, vous pourrez indiquer des instantanés dans l’élément Resource. Pour plus d'informations, consultez CopyImagele tableau sous Actions définies par Amazon EC2 dans le Service Authorization Reference.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}

Exemple de politique IAM pour la copie d’une AMI basée sur EBS mais refusant de baliser les nouveaux instantanés

L’autorisation ec2:CopySnapshot est automatiquement accordée lorsque vous obtenez l’autorisation ec2:CopyImage. L’autorisation de baliser les nouveaux instantanés de sauvegarde peut être explicitement refusée, en remplaçant l’effet Allow de l’action ec2:CreateTags.

L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur EBS, mais vous interdit de baliser les nouveaux instantanés de sauvegarde de l’AMI cible.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}

Exemple de politique IAM pour la copie d’une AMI basée sur le stockage d’instances et le balisage de l’AMI cible

L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur le stockage d’instances dans le compartiment source spécifié vers la région spécifiée, et à baliser l’AMI cible.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-account-in-region-hash"
            ]
        }
    ]
}

Pour trouver le nom de ressource Amazon (ARN) du compartiment source AMI, ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/, dans le volet de navigation AMIs, sélectionnez et recherchez le nom du compartiment dans la colonne Source.

Note

L’autorisation s3:CreateBucket n’est nécessaire que la première fois que vous copiez une AMI basée sur le stockage d’instances dans une région individuelle. Ensuite, le compartiment Amazon S3 déjà créé dans la région est utilisé pour stocker toutes les futures copies AMIs que vous copierez dans cette région.