Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accorder des autorisations pour copier Amazon EC2 AMIs
Pour copier une AMI basée sur EBS ou sur Amazon S3, vous devez disposer des autorisations IAM suivantes :
+ `ec2:CopyImage` : pour copier l’AMI. Pour les sauvegardes basées sur EBS AMIs, il autorise également la copie des instantanés de sauvegarde de l'AMI.
+ `ec2:CreateTags` : pour baliser l’AMI cible. Pour les instantanés sauvegardés par EBSAMIs, il autorise également à baliser les instantanés de sauvegarde de l'AMI cible.
Si vous copiez une AMI basée sur le stockage d’instances, vous avez besoin des autorisations IAM *supplémentaires* suivantes :
+ `s3:CreateBucket` : pour créer le compartiment S3 dans la région cible pour la nouvelle AMI
+ `s3:PutBucketOwnershipControls`— ACLs Pour activer le compartiment S3 nouvellement créé afin que les objets puissent être écrits avec l'[ACL `aws-exec-read` prédéfinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Pour lire le ACLs bucket source
+ `s3:ListAllMyBuckets`— Pour rechercher un compartiment S3 existant pour AMIs la région cible
+ `s3:GetObject` : pour lire les objets dans le compartiment source
+ `s3:PutObject` : pour écrire les objets dans le compartiment cible
+ `s3:PutObjectAcl` : pour écrire les autorisations pour les nouveaux objets dans le compartiment cible
**Note**
À partir du 28 octobre 2024, vous pouvez définir des autorisations au niveau des ressources pour l’action `CopyImage` sur l’AMI source. Les autorisations au niveau des ressources pour l’AMI cible sont disponibles comme auparavant. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.
## Exemple de politique IAM pour la copie d’une AMI basée sur EBS et le balisage de l’AMI cible ainsi que des instantanés
L’exemple de politique suivant vous autorise à copier n’importe quel AMI basée sur EBS et à baliser l’AMI cible ainsi que ses instantanés de sauvegarde.
**Note**
À partir du 28 octobre 2024, vous pourrez indiquer des instantanés dans l’élément `Resource`. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
}]
}
```
------
## Exemple de politique IAM pour la copie d’une AMI basée sur EBS mais refusant de baliser les nouveaux instantanés
L’autorisation `ec2:CopySnapshot` est automatiquement accordée lorsque vous obtenez l’autorisation `ec2:CopyImage`. L’autorisation de baliser les nouveaux instantanés de sauvegarde peut être explicitement refusée, en remplaçant l’effet `Allow` de l’action `ec2:CreateTags`.
L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur EBS, mais vous interdit de baliser les nouveaux instantanés de sauvegarde de l’AMI cible.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
},
{
"Effect": "Deny",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:::snapshot/*"
}
]
}
```
------
## Exemple de politique IAM pour la copie d’une AMI basée sur Amazon S3 et le balisage de l’AMI cible
L’exemple de politique suivant vous autorise à copier n’importe quelle AMI basée sur Amazon S3 dans le compartiment source spécifié vers la région spécifiée, et à baliser l’AMI cible.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*"
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:PutObjectAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amis-for-{{111122223333}}-in-{{us-east-2}}-{{hash}}"
]
}
]
}
```
------
Pour trouver le nom de ressource Amazon (ARN) du compartiment source AMI, ouvrez la console Amazon EC2 à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), dans le volet de navigation **AMIs**, sélectionnez et recherchez le nom du compartiment dans la colonne **Source**.
**Note**
L’autorisation `s3:CreateBucket` n’est nécessaire que la première fois que vous copiez une AMI basée sur Amazon S3 dans une région individuelle. Ensuite, le compartiment Amazon S3 déjà créé dans la région est utilisé pour stocker toutes les futures copies AMIs que vous copierez dans cette région.