Création d'une tâche d'imagerie de magasin - Amazon Elastic Compute Cloud
Sécurisation de votre AMIsAutorisations de stockage et de restauration AMIs à l'aide de S3Création de tâches de stockage et de restauration d'images

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une tâche d'imagerie de magasin

Lorsque vous stockez un AMI dans un compartiment S3, une tâche de stockage d'image est créée. Vous pouvez utiliser la tâche de stockage d'images pour suivre la progression et les résultats du processus.

Sécurisation de votre AMIs

Il est important de s'assurer que le compartiment S3 est configuré avec une sécurité suffisante pour sécuriser le contenu du AMI et que la sécurité est maintenue tant que les AMI objets restent dans le compartiment. Si cela n'est pas possible, leur utilisation n'APIsest pas recommandée. Assurez-vous qu’aucun accès public au compartiment S3 n’est autorisé. Nous recommandons d'activer le chiffrement côté serveur pour les compartiments S3 dans lesquels vous les stockezAMIs, bien que cela ne soit pas obligatoire.

Pour plus d’informations sur la définition des paramètres de sécurité appropriés pour vos compartiments S3, consultez les rubriques de sécurité suivantes :

Lorsque les AMI instantanés sont copiés dans l'objet S3, les données sont ensuite copiées via des TLS connexions. Vous pouvez effectuer AMIs un stockage avec des instantanés chiffrés, mais ceux-ci sont déchiffrés dans le cadre du processus de stockage.

Autorisations de stockage et de restauration AMIs à l'aide de S3

Si vos IAM responsables souhaitent stocker ou restaurer à AMIs l'aide d'Amazon S3, vous devez leur accorder les autorisations requises.

L'exemple de politique suivant inclut toutes les actions requises pour permettre à un IAM mandant d'exécuter les tâches de stockage et de restauration.

Vous pouvez également créer des IAM politiques qui accordent aux principaux l'accès à des ressources spécifiques uniquement. Pour d'autres exemples de politiques, voir Gestion de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur.

Note

Si les instantanés qui le constituent AMI sont chiffrés ou si le chiffrement est activé par défaut sur votre compte, votre IAM principal doit être autorisé à utiliser la KMS clé.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Création de tâches de stockage et de restauration d'images

Pour stocker une image AMI dans un compartiment S3, commencez par créer une tâche d'image de stockage. Le temps nécessaire pour terminer la tâche dépend de la taille duAMI. Vous pouvez suivre la progression de la tâche jusqu'à ce qu'elle réussisse ou échoue.

Pour créer la tâche de stockage d'images

Utilisez la create-store-image-taskcommande. Spécifiez l'ID AMI et le nom du compartiment S3 dans lequel vous souhaitez stocker leAMI.

aws ec2 create-store-image-task \
    --image-id ami-1234567890abcdef0 \
    --bucket amzn-s3-demo-bucket

Voici un exemple de sortie.

{
  "ObjectKey": "ami-1234567890abcdef0.bin"
}
Pour décrire la progression de la tâche de stockage d'images

Utilisez la describe-store-image-taskscommande.

aws ec2 describe-store-image-tasks

Voici un exemple de sortie.

{
    "StoreImageTaskResults": [
        {
            "AmiId": "ami-1234567890abcdef0",
            "Bucket": "amzn-s3-demo-bucket",
            "ProgressPercentage": 17,
            "S3objectKey": "ami-1234567890abcdef0.bin",
            "StoreTaskState": "InProgress",
            "StoreTaskFailureReason": null,
            "TaskStartTime": "2022-01-01T01:01:01.001Z"
        }
    ]
}
Pour créer une tâche de restauration d'image

Utilisez la create-restore-image-taskcommande. À l'aide des valeurs pour S3ObjectKey et Bucket depuis la describe-store-image-tasks sortie, spécifiez la clé d'objet AMI et le nom du compartiment S3 dans lequel AMI elle a été copiée. Spécifiez également un nom pour la restaurationAMI. Le nom de ce compte doit être unique AMIs dans la région.

Note

La personne restaurée AMI reçoit un nouvel AMI identifiant.

aws ec2 create-restore-image-task \
    --object-key ami-1234567890abcdef0.bin \
    --bucket amzn-s3-demo-bucket \
    --name "New AMI Name"

Voici un exemple de sortie.

{
   "ImageId": "ami-0eab20fe36f83e1a8"
}