Comment fonctionne la copie de l’AMI Amazon EC2
La copie d’une AMI source produit une nouvelle AMI identique mais distincte que nous appelons également AMI cible. L’AMI cible possède son propre identifiant AMI. Vous pouvez modifier ou annuler l’enregistrement d’une AMI source sans que cela ait un impact sur l’AMI cible. L’inverse est également vrai.
Dans le cas d’une AMI basée sur EBS, chacun des instantanés de sauvegarde est copié sur un instantané cible identique mais distinct. Si vous copiez une AMI dans une nouvelle région, les instantanés sont des copies complètes (non incrémentielles). Si vous chiffrez des instantanés de sauvegarde non chiffrés ou si vous les chiffrez sur une nouvelle clé KMS, les instantanés sont des copies complètes (non incrémentielles). Les opérations de copie suivantes d’une AMI créent des copies incrémentielles des instantanés de sauvegarde.
Table des matières
Copie entre régions
La copie d’une AMI entre différentes régions géographiques offre les avantages suivants :
-
Déploiement international uniforme : la copie d’une AMI d’une région à l’autre vous permet de lancer des instances uniformes reposant sur la même AMI dans différentes régions.
-
Évolutivité : vous pouvez plus facilement concevoir et créer des applications d’envergure internationale répondant aux besoins de vos utilisateurs, quel que soit l’emplacement.
-
Performances : vous pouvez accroître les performances en distribuant votre application, ainsi qu’en recherchant les composants critiques de votre application plus près de vos utilisateurs. Vous pouvez également bénéficier de fonctions propres aux régions, par exemple les types d’instance ou d’autres services AWS.
-
Disponibilité élevée : vous pouvez concevoir et déployer des applications dans différentes régions AWS afin d’accroître leur disponibilité.
Le diagramme suivant présente la relation entre une AMI source et deux AMI copiées dans des régions différentes, ainsi que les instances EC2 lancées à partir de chacune d’entre elles. Lorsque vous lancez une instance à partir d’une AMI, elle se trouve dans la même région que l’AMI. Si vous modifiez l’AMI source et que vous souhaitez faire apparaître ces modifications dans les AMIs des régions cibles, vous devez recopier l’AMI source dans les régions cibles.
La première fois que vous copiez une AMI basée sur le stockage d’instance dans une région, nous créons un compartiment Amazon S3 pour les AMIs copiées dans cette région. Toutes les AMIs basées sur le stockage d’instance que vous copiez dans cette région sont stockées dans ce compartiment. Les noms des compartiments ont le format suivant : amis-for-account-in-region-hash. olpPar exemple : amis-for-123456789012-in-us-east-2-yhjmxvp6.
Prérequis
Avant de copier une AMI, vous devez veiller à ce que le contenu de l’AMI source ait été mis à jour afin de pouvoir être exécuté dans une région différente. Par exemple, vous devez mettre à jour toutes les chaînes de connexion à la base de données ou des données de configuration d’application similaires de façon à ce qu’elles pointent vers les ressources appropriées. Dans le cas contraire, les instances lancées à partir de la nouvelle AMI dans la région de destination pourraient continuer à utiliser les ressources de la région source, ce qui pourrait avoir un impact sur les performances et les coûts.
Limites
-
Les régions de destination sont limitées à 100 copies d’une AMI à la fois.
-
Vous ne pouvez pas copier une AMI paravirtuelle (PV) dans une région qui ne prend pas en charge les AMI PV. Pour en savoir plus, consultez Types de virtualisation.
Copie entre comptes
Si une AMI d’un autre Compte AWS est partagée avec votre Compte AWS, vous pouvez copier l’AMI partagée. Il s’agit d’une copie entre comptes. L’AMI qui est partagée avec vous est l’AMI source. Lorsque vous copiez l’AMI source, vous créez une nouvelle AMI. Cette nouvelle AMI est souvent appelée AMI cible.
Coûts d’AMI
-
Dans le cas d’une AMI partagée, le compte de l’AMI partagée est facturé au titre du stockage dans la région.
-
Si vous copiez une AMI partagée avec votre compte, vous êtes le propriétaire de l’AMI cible dans votre compte.
-
Le propriétaire de l’AMI source doit s’acquitter des frais de transfert standard d’Amazon EBS ou d’Amazon S3.
-
Vous devez payer pour le stockage de l’AMI cible dans la région de destination.
-
Autorisations d’accès aux ressources
Pour copier une AMI qui a été partagée avec vous à partir d’un autre compte, le propriétaire de l’AMI source doit vous accorder des autorisations de lecture pour le stockage sur lequel est basée l’AMI. Le stockage est soit l’instantané EBS associé (pour une AMI basée sur Amazon EBS) soit un compartiment S3 associé (pour une AMI basée sur le stockage d’instances). Si l’AMI partagée comporte des instantanés chiffrés, le propriétaire doit partager la ou les clés avec vous. Pour plus d’informations sur l’octroi d’autorisations de ressources, pour les instantanés EBS, consultez la section Partager un instantané Amazon EBS avec d’autres Comptes AWS dans le Guide de l’utilisateur d’Amazon EBS, et pour les compartiments S3, consultez la section Gestion de l’identité et de l’accès dans Amazon S3 dans le Guide de l’utilisateur d’Amazon Simple Storage Service.
Note
Les balises associées à l’AMI source ne sont pas copiées entre les comptes sur l’AMI cible.
Chiffrement et copie
Le tableau suivant représente la prise en charge du chiffrement dans divers cas de figure de copie d’AMI. Bien qu’il soit possible de copier un instantané non chiffré pour créer un instantané chiffré, vous ne pouvez pas copier un instantané chiffré et en créer un qui ne soit pas chiffré.
| Scénario | Description | Pris en charge |
|---|---|---|
| 1 | Non chiffré à non chiffré | Oui |
| 2 | Chiffré à chiffré | Oui |
| 3 | Non chiffré à chiffré | Oui |
| 4 | Chiffré à non chiffré | Non |
Note
Le chiffrement pendant l’action CopyImage s’applique uniquement aux AMIs basées sur Amazon EBS. Étant donné qu’une AMI basée sur le stockage d’instances n’utilise pas d’instantanés, vous ne pouvez pas utiliser la copie pour modifier son état de chiffrement.
Lorsque vous copiez une AMI sans spécifier de paramètres de chiffrement, l’instantané de sauvegarde est copié avec son état de chiffrement d’origine par défaut. Par conséquent, si l’AMI source est soutenue par un instantané non chiffré, le cliché cible obtenu sera également déchiffré. De même, si l’instantané de l’AMI source est chiffré, l’instantané cible qui en résulte sera également chiffré à l’aide de la même clé AWS KMS. Pour les AMI basées sur plusieurs instantanés, chaque instantané cible préserve l’état de chiffrement de l’instantané source correspondant.
Pour modifier l’état de chiffrement des instantanés de sauvegarde de la cible lors d’une copie de l’AMI, vous pouvez spécifier des paramètres de chiffrement. L’exemple suivant présente un cas différent de celui par défaut, où les paramètres de chiffrement sont spécifiés avec l’action CopyImage dans le but de modifier l’état de chiffrement de l’AMI cible.
Copier une AMI source non chiffrée vers une AMI cible chiffrée
Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L’action CopyImage est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l’état de chiffrement de l’instantané racine change, de sorte que l’AMI cible est basée sur un instantané racine contenant les mêmes données que l’instantané source, mais chiffrée à l’aide de la clé spécifiée. Vous supportez des coûts de stockage pour les instantanés dans les deux AMI, ainsi que des frais pour toutes les instances que vous lancez à partir de l’une ou l’autre AMI.
Note
L’activation du chiffrement par défaut a le même effet que la définition du paramètre Encrypted sur true pour tous les instantanés de l’AMI.
Définir le paramètre Encrypted chiffre l’instantané unique de cette instance. Si vous ne spécifiez pas le paramètre KmsKeyId, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l’instantané.
Pour plus d’informations sur la copie d’AMIs avec des instantanés chiffrés, consultez Utiliser le chiffrement avec des AMI basées sur EBS.
