Come funziona la copia delle AMI Amazon EC2
La copia di un'AMI di origine determina la creazione di una nuova AMI identica ma distinta, indicata anche come AMI di destinazione. L'AMI di destinazione ha il proprio ID dell'AMI univoco. Puoi modificare o annullare la registrazione dell'AMI di origine senza alcun effetto sull'AMI di destinazione. È vero anche il contrario.
Con una AMI supportata da EBS, ciascuno dei relativi snapshot di supporto viene copiato in uno snapshot di destinazione identico ma distinto. Se si copia un AMI in una nuova regione, gli snapshot saranno copie complete (non incrementali). Se si crittografano gli snapshot di backup non crittografati o li si crittografa in una nuova chiave KMS, gli snapshot saranno copie complete (non incrementali). Operazioni di copia successive di un AMI restituiscono copie incrementali degli snapshot di backup.
Copia tra regioni
Copiare un'AMI tra regioni geograficamente diverse offre i seguenti vantaggi:
-
Distribuzione globale coerente: la copia di un'AMI da una regione all'altra consente di avviare istanze coerenti in regioni diverse in base alla stessa AMI.
-
Scalabilità: è possibile progettare e creare più facilmente applicazioni di livello mondiale che soddisfino le esigenze degli utenti, indipendentemente dalla loro posizione.
-
Prestazioni: è possibile aumentare le prestazioni distribuendo l'applicazione e localizzandone i componenti critici nelle vicinanze degli utenti. È inoltre possibile usufruire di caratteristiche specifiche per la regione, come i tipi di istanza o altri servizi AWS.
-
Elevata disponibilità: progettare e distribuire applicazioni nelle regioni AWS consente di aumentare la disponibilità.
Il diagramma seguente mostra la relazione tra un'AMI di origine e due AMI copiate in regioni diverse, così come le istanze EC2 avviate da ciascuna. Quando avvii un'istanza da un'AMI, questa risiede nella stessa regione in cui risiede l'AMI. Se modifichi l'AMI di origine e desideri che tali modifiche si riflettano nelle AMIs delle regioni di destinazione, devi copiare nuovamente le AMI di origine nelle regioni di destinazione.
Quando copi per la prima volta un'AMI supportata da instance store in una regione, viene creato un bucket Amazon S3 per le AMIs copiate in quella regione. Tutte le AMIs supportate da instance store che vengono copiate in quella regione vengono memorizzate in questo bucket. I nomi del bucket hanno il formato seguente: amis-for-account-in-regione-hash. Ad esempio: amis-for-123456789012-in-us-east-2-yhjmxvp6.
Prerequisito
Prima di copiare un'AMI devi assicurarti che il contenuto dell'AMI di origine sia aggiornato per supportare l'esecuzione in un'altra regione. Ad esempio è necessario aggiornare tutte le stringhe di connessione al database o i dati di configurazione dell'applicazione simili per individuare le risorse appropriate. Altrimenti, le istanze avviate dalla nuova AMI nella regione di destinazione potrebbero ancora utilizzare le risorse della regione di origine, il che può influire sulle prestazioni e sui costi.
Limitazioni
-
Per le regioni di destinazione è previsto un limite di 100 copie di AMI simultanee.
-
Non puoi copiare un'AMI paravirtuale (PV) in una regione che non supporta questo tipo di AMI. Per ulteriori informazioni, consulta Tipi di virtualizzazione.
Copia tra account
Se un'AMI di un altro utente Account AWS viene condivisa con il tuo Account AWS, puoi copiare l'AMI condivisa. Questa operazione è nota con il nome di copia fra account. L'AMI che viene condivisa con te è l'AMI di origine. Quando si copia l'AMI di origine, si crea una nuova AMI. La nuova AMI viene spesso definita AMI di destinazione.
Costi AMI
-
Per un'AMI condivisa, l'archiviazione nella regione è a carico dell'account dell'AMI condivisa.
-
Se copi un'AMI che viene condivisa con il tuo account, la proprietà dell'AMI di destinazione spetta al tuo account.
-
Al proprietario dell'AMI di origine vengono addebitati i costi di trasferimento standard di Amazon EBS o Amazon S3.
-
Ti viene addebitato il costo per l'archiviazione dell'AMI di destinazione nella regione di destinazione.
-
Autorizzazioni a livello di risorsa
Per copiare un'AMI condivisa con te da un altro account, il proprietario dell'AMI di origine deve concedere le autorizzazioni di lettura per l'archiviazione che supporta l'AMI. L'archiviazione è lo snapshot EBS associato (per un'AMI supportata da Amazon EBS) o un bucket S3 associato (per un'AMI supportata da archivio dell'istanza). Se l'AMI condivisa dispone di snapshot crittografati, il proprietario deve condividere la chiave o le chiavi. Per ulteriori informazioni sulla concessione di autorizzazioni per le risorse, per gli snapshot EBS, consulta Condividi uno snapshot Amazon EBS con altri Account AWS nella Guida per l'utente di Amazon EBS, mentre per i bucket S3 consulta Gestione identità e accessi in Amazon S3 nella Guida per l’utente di Amazon Simple Storage Service.
Nota
I tag assegnati all'AMI di origine non vengono copiati tra account sull'AMI di destinazione.
Crittografia e copia
La tabella seguente mostra il supporto di crittografia in vari scenari di copia di AMI. Sebbene sia possibile copiare uno snapshot non crittografato per produrne uno crittografato, non è possibile copiare uno snapshot crittografato per produrne uno non crittografato.
| Scenario | Descrizione | Supportata |
|---|---|---|
| 1 | Da non crittografato a non crittografato | Sì |
| 2 | Da crittografato a crittografato | Sì |
| 3 | Da non crittografato a crittografato | Sì |
| 4 | Da crittografato a non crittografato | No |
Nota
La crittografia durante l'operazione CopyImage si applica solo ad AMIs supportate da Amazon EBS. Poiché un'AMI supportata dall'archivio dell'istanza non usa gli snapshot, non puoi utilizzare la copia per modificare il suo stato di crittografia.
Quando si copia un'AMI senza specificare i parametri di crittografia, per impostazione predefinita, lo snapshot di supporto viene copiato con il proprio stato di crittografia originario. Pertanto, se l'AMI di origine è supportata da uno snapshot non crittografato, anche lo snapshot di destinazione risultante non sarà crittografato. Analogamente, se lo snapshot dell'AMI di origine è crittografato, anche lo snapshot di destinazione risultante sarà crittografato con la stessa chiave AWS KMS. Per le AMI supportate da più snapshot, ciascuno snapshot di destinazione conserva lo stato di crittografia del suo snapshot di origine corrispondente.
Per modificare lo stato di crittografia degli snapshot di supporto di destinazione durante una copia di AMI, puoi specificare i parametri di crittografia. L'esempio seguente mostra un caso non predefinito, in cui i parametri di crittografia sono specificati con l'operazione CopyImage per modificare lo stato di crittografia dell'AMI di destinazione.
Copia di un'AMI di origine non crittografata in un'AMI di destinazione crittografata
In questo scenario, un'AMI supportata da uno snapshot di root non crittografato viene copiato in un'AMI con uno snapshot di root crittografato. L'operazione CopyImage viene richiamata con due parametri di crittografia, inclusa una chiave gestita dal cliente. Di conseguenza, lo stato di crittografia dello snapshot root cambia, in modo che l'AMI di destinazione sia supportata da uno snapshot root contenente gli stessi dati dello snapshot di origine, ma crittografato utilizzando la chiave specificata. Ti verranno addebitati costi di archiviazione per gli snapshot in entrambe le AMI, nonché addebiti per tutte le istanze avviate da entrambe le AMI.
Nota
L'abilitazione della crittografia per impostazione predefinita ha lo stesso effetto dell'impostazione del parametro Encrypted a true per tutti gli snapshot nell'AMI.
L'impostazione del parametro Encrypted consente di crittografare il singolo snapshot per questa istanza. Se non specifichi il parametro KmsKeyId, per crittografare la copia snapshot viene utilizzata la chiave gestita dal cliente di default.
Per ulteriori informazioni sulla copia di AMIs con snapshot crittografati, consulta Utilizzo della crittografia con le AMI EBS-backed.
