Proteggere AMIs Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs Crea, archivia e ripristina le attività relative alle immagini.

Crea un'attività di archiviazione delle immagini

Quando si archivia un oggetto AMI in un bucket S3, viene creata un'attività di archiviazione dell'immagine. È possibile utilizzare l'attività store image per monitorare l'avanzamento e l'esito del processo.

Indice

Proteggere AMIs
Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs
Crea, archivia e ripristina le attività relative alle immagini.

Proteggere AMIs

È importante assicurarsi che il bucket S3 sia configurato con una sicurezza sufficiente a proteggere il contenuto di AMI e che la sicurezza venga mantenuta finché gli AMI oggetti rimangono nel bucket. Se ciò non è possibile, il loro utilizzo non APIs è consigliato. Assicurarsi che non sia consentito l'accesso pubblico al bucket S3. Ti consigliamo di abilitare la crittografia lato server per i bucket S3 in cui memorizziAMIs, sebbene non sia richiesta.

Per informazioni su come impostare le impostazioni di sicurezza appropriate per i bucket S3, consultare i seguenti argomenti sulla sicurezza:

Quando le AMI istantanee vengono copiate sull'oggetto S3, i dati vengono quindi copiati tramite connessioni. TLS È possibile archiviare AMIs con istantanee crittografate, ma le istantanee vengono decrittografate come parte del processo di archiviazione.

Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs

Se IAM i tuoi principali archivieranno o ripristineranno AMIs utilizzando Amazon S3, devi concedere loro le autorizzazioni necessarie.

La seguente politica di esempio include tutte le azioni necessarie per consentire a un IAM responsabile di eseguire le attività di archiviazione e ripristino.

È inoltre possibile creare IAM politiche che concedano ai responsabili l'accesso solo a risorse specifiche. Per altre politiche di esempio, consulta Gestione degli accessi alle AWS risorse nella Guida per l'IAMutente.

Nota

Se le istantanee che compongono il AMI sono crittografate o se l'account è abilitato alla crittografia per impostazione predefinita, il IAM responsabile deve disporre dell'autorizzazione per utilizzare la KMS chiave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Crea, archivia e ripristina le attività relative alle immagini.

Per archiviare un'immagine AMI in un bucket S3, inizia creando un'attività di archiviazione dell'immagine. Il tempo necessario per completare l'operazione dipende dalla dimensione del. AMI È possibile tenere traccia dello stato di avanzamento dell'attività finché non riesce o fallisce.

Per creare l'operazione di archiviazione delle immagini

Usa il create-store-image-taskcomando. Specificare l'ID AMI e il nome del bucket S3 in cui archiviare il. AMI


aws ec2 create-store-image-task \
    --image-id ami-1234567890abcdef0 \
    --bucket amzn-s3-demo-bucket

Di seguito è riportato un output di esempio.


{
  "ObjectKey": "ami-1234567890abcdef0.bin"
}

Per descrivere lo stato di avanzamento dell'operazione di archiviazione delle immagini

Usa il describe-store-image-taskscomando.


aws ec2 describe-store-image-tasks

Di seguito è riportato un output di esempio.


{
    "StoreImageTaskResults": [
        {
            "AmiId": "ami-1234567890abcdef0",
            "Bucket": "amzn-s3-demo-bucket",
            "ProgressPercentage": 17,
            "S3objectKey": "ami-1234567890abcdef0.bin",
            "StoreTaskState": "InProgress",
            "StoreTaskFailureReason": null,
            "TaskStartTime": "2022-01-01T01:01:01.001Z"
        }
    ]
}

Per creare un'operazione di ripristino dell'immagine

Usa il create-restore-image-taskcomando. Utilizzando i valori per S3ObjectKey e Bucket dall'describe-store-image-tasksoutput, specifica la chiave oggetto del AMI e il nome del bucket S3 in cui AMI è stato copiato. Specificate anche un nome per il ripristino. AMI Il nome di questo account deve essere univoco nella regione. AMIs

Nota

Il ripristinato AMI ottiene un nuovo AMI ID.


aws ec2 create-restore-image-task \
    --object-key ami-1234567890abcdef0.bin \
    --bucket amzn-s3-demo-bucket \
    --name "New AMI Name"

Di seguito è riportato un output di esempio.


{
   "ImageId": "ami-0eab20fe36f83e1a8"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come funzionano l'AMIarchiviazione e il ripristino

Controlla quando AMI è stato usato l'ultima volta