Crea un'attività di archiviazione delle immagini - Amazon Elastic Compute Cloud
Proteggere il AMIsAutorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs Creazione di attività di archiviazione e ripristino delle immagini

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un'attività di archiviazione delle immagini

Quando archivi un'AMI in un bucket S3, viene creata un'attività di archiviazione dell'immagine. Puoi utilizzare l'attività di archiviazione dell'immagine per monitorare l'avanzamento e l'esito del processo.

Proteggere il AMIs

È importante assicurarsi che il bucket S3 sia configurato con un livello di sicurezza sufficiente per proteggere il contenuto dell'AMI e che la sicurezza venga mantenuta per tutto il tempo che gli oggetti AMI rimangono nel bucket. Se ciò non può essere fatto, l'uso di questi non APIs è consigliato. Assicurarsi che non sia consentito l'accesso pubblico al bucket S3. Ti consigliamo di abilitare la crittografia lato server per i bucket S3 in cui memorizzi AMIs, sebbene non sia richiesta.

Per informazioni su come impostare le impostazioni di sicurezza appropriate per i bucket S3, consultare i seguenti argomenti sulla sicurezza:

Quando gli snapshot AMI vengono copiati nell'oggetto S3, i dati vengono quindi copiati tramite connessioni TLS. È possibile archiviare AMIs con istantanee crittografate, ma le istantanee vengono decrittografate come parte del processo di archiviazione.

Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs

Se i tuoi responsabili IAM eseguiranno l'archiviazione o il ripristino AMIs utilizzando Amazon S3, devi concedere loro le autorizzazioni necessarie.

La seguente policy di esempio include tutte le operazioni necessarie per consentire a un'entità IAM di eseguire le attività di archiviazione e ripristino.

Puoi anche creare policy IAM che consentono alle entità principali l'accesso solo a risorse specifiche. Per altre policy di esempio, consulta la sezione Gestione degli accessi alle AWS risorse nella IAM User Guide.

Nota

Se gli snapshot che compongono l'AMI sono crittografati o se il tuo account è abilitato per la crittografia per impostazione predefinita, l'entità principale IAM deve disporre dell'autorizzazione per usare la chiave KMS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Creazione di attività di archiviazione e ripristino delle immagini

Per archiviare un'AMI in un bucket S3, inizia creando un'attività di archiviazione dell'immagine. Il tempo necessario per completare l'attività dipende dalle dimensioni dell'AMI. Puoi tenere traccia dello stato di avanzamento dell'attività fino all'esito positivo o negativo.

Per creare l'attività di archiviazione delle immagini

Utilizza il comando create-store-image-task. Specificare l'ID AMI e il nome del bucket S3 in cui archiviare l'AMI.

aws ec2 create-store-image-task \
    --image-id ami-1234567890abcdef0 \
    --bucket amzn-s3-demo-bucket

Di seguito è riportato un output di esempio.

{
  "ObjectKey": "ami-1234567890abcdef0.bin"
}
Per descrivere lo stato di avanzamento di un'attività di archiviazione delle immagini

Utilizza il comando describe-store-image-tasks.

aws ec2 describe-store-image-tasks

Di seguito è riportato un output di esempio.

{
    "StoreImageTaskResults": [
        {
            "AmiId": "ami-1234567890abcdef0",
            "Bucket": "amzn-s3-demo-bucket",
            "ProgressPercentage": 17,
            "S3objectKey": "ami-1234567890abcdef0.bin",
            "StoreTaskState": "InProgress",
            "StoreTaskFailureReason": null,
            "TaskStartTime": "2022-01-01T01:01:01.001Z"
        }
    ]
}
Per creare un'attività di archiviazione delle immagini

Utilizza il comando create-restore-image-task. Utilizzando i valori per S3ObjectKey e Bucket dall'output describe-store-image-tasks, specificare la chiave oggetto dell'AMI e il nome del bucket S3 in cui è stata copiata l'AMI. Specificare anche un nome per l'AMI ripristinata. Il nome deve essere univoco AMIs nella regione di questo account.

Nota

L'AMI ripristinata ottiene un nuovo ID AMI.

aws ec2 create-restore-image-task \
    --object-key ami-1234567890abcdef0.bin \
    --bucket amzn-s3-demo-bucket \
    --name "New AMI Name"

Di seguito è riportato un output di esempio.

{
   "ImageId": "ami-0eab20fe36f83e1a8"
}