Amazon EC2 AMI 複製的運作方式 - Amazon Elastic Compute Cloud
跨區域複製跨帳戶複製加密和複製

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2 AMI 複製的運作方式

複製來源 AMI 會產生相同但獨立的新 AMI,我們也稱之為目標 AMI。目標 AMI 有其唯一 AMI ID。您可變更來源 AMI 或取消註冊,不會影響目標 AMI。反之亦然。

藉由 EBS 支援的 AMI,每個備份快照會複製成相同但完全獨立的目標快照。如果您複製 AMI 到新區域,則快照為完整 (非增量) 複本。如果您加密未加密的備份快照,或將其加密為新的 KMS 金鑰,則快照為完整 (非增量) 複本。AMI 的後續複製作業會產生備份快照的增量複本。

跨區域複製

跨越地理區域複製 AMI,具有下列優點:

  • 一致的全球部署:將 AMI 從一個區域複製到另一個區域,可讓您以相同 AMI 在不同區域啟動一致的執行個體。

  • 擴展能力:無論使用者的位置,設計並建置滿足全球使用者需求的應用程式將變得更輕鬆。

  • 效能:您可分散應用程式,並將應用程式的重要元件放置於靠近使用者的位置,藉此增加效能。您亦可運用區域特定的功能,例如執行個體類型或其他 AWS 服務。

  • 高可用性:您可跨 AWS 區域設計並部署應用程式,增加可用性。

下圖顯示來源 AMI 和兩個位於不同區域之複製 AMI 之間的關係,以及從每個 AMI 啟動的 EC2 執行個體。從 AMI 啟動執行個體時,其所處位置與該 AMI 的區域相同。若您變更來源 AMI 並希望在目標區域的 AMIs 反映這些變更,您必須將來源 AMI 重新複製到目標區域。

複製到不同區域的 AMI

首次將執行個體後端 AMI 複製到某個區域時,我們會為複製到該區域的 Amazon S3 建立 AMIs 儲存貯體。所有複製到該區域的執行個體後端 AMIs,都會存放於此儲存貯體。儲存貯體名稱為下列格式:amis-for-account-in-region-hash。例如:amis-for-123456789012-in-us-east-2-yhjmxvp6

先決條件

複製 AMI 前,您必須確認來源 AMI 的內容已更新為可支援在不同區域運作。例如,您應更新資料庫連線字串或類似的應用程式組態資料,以指向適當的資源。否則,目的地區域內新 AMI 所啟動的執行個體,仍可能會使用來源區域的資源,影響效能和成本。

限制

  • 目的地區域限制為 300 個並行 AMI 複本。

  • 您無法將全虛擬化 (PV) AMI 複製到不支援 PV AMI 的區域。如需詳細資訊,請參閱虛擬化類型

跨帳戶複製

如果來自另一個 的 AMI AWS 帳戶 與 共用 AWS 帳戶,您可以複製共用的 AMI。這稱為跨帳戶複製。與您共用的 AMI 是來源 AMI。當您複製來源 AMI 時,您將建立新 AMI。新 AMI 通常稱為目標 AMI。

AMI 費用

  • 對於共用 AMI,會向共用 AMI 的帳戶收取該區域的儲存費用。

  • 若您複製與您的帳戶共享的 AMI,則您是您帳戶內目標 AMI 的擁有者。

    • 來源 AMI 的擁有者需支付標準 Amazon EBS 或 Amazon S3 傳輸費用。

    • 我們會向您收取目的地區域的目標 AMI 儲存費用。

資源許可

若要從另一個帳戶複製已與您共用的 AMI,來源 AMI 的擁有者必須授予您支援 AMI 的儲存體的讀取許可。該儲存體為相關聯的 EBS 快照 (Amazon EBS 支援的 AMI) 或相關聯的 S3 儲存貯體 (執行個體儲存體支援的 AMI)。如果共用 AMI 具有加密的快照,則擁有者必須與您共用金鑰。如需授予資源許可的詳細資訊,請參閱《Amazon EBS 使用者指南》中的將 Amazon EBS 快照與其他 共用 AWS 帳戶,以及》Amazon S3 使用者指南》中的 Amazon S3 的身分和存取管理。 Amazon S3

注意

連接到來源 AMI 的標籤不會跨帳戶複製到目標 AMI。

加密和複製

下表說明各種 AMI 複製案例支援的加密。雖然您可將未加密快照複製為加密快照,但是無法將加密快照複製為未加密快照。

案例 描述 支援
1 未加密到未加密
2 加密到加密
3 未加密到加密
4 加密到未加密
注意

CopyImage 動作期間的加密僅適用於 Amazon EBS 後端 AMIs。因為執行個體儲存體支援的 AMI 不使用快照,所以您無法透過複製來變更其加密狀態。

當您在不指定加密參數的情況下複製 AMI 時,預設會以其原始加密狀態複製後備快照。因此,如果來源 AMI 由未加密的快照支援,則產生的目標快照也將未加密。同樣地,如果來源 AMI 的快照已加密,則產生的目標快照也會由相同的 AWS KMS 金鑰加密。對於由多個快照支援的 AMI,每個目標快照都會保留其對應來源快照的加密狀態。

若要在 AMI 複製期間變更目標備份快照的加密狀態,您可指定加密參數。下列範例顯示非預設情況,其中指定了加密參數並執行 CopyImage 動作以變更目標 AMI 的加密狀態。

將未加密來源 AMI 複製到加密目標 AMI

在此案例中,未加密根快照所支援的 AMI 將複製到具有加密根快照的 AMI。透過兩個加密參數叫用 CopyImage 動作,包括客戶受管金鑰。因此,根快照的加密狀態會變更,目標 AMI 會受到包含與來源快照相同資料的根快照支援,但使用指定的金鑰進行加密。您需要為兩個 AMI 中的快照支付儲存成本,以及從任一 AMI 啟動的任何執行個體的費用。

注意

啟用預設加密,這與在 AMI 中針對所有快照將 Encrypted 參數設定為 true 具有相同效果。

快速複製 AMI 並加密快照

設定 Encrypted 參數會加密此執行個體的單一快照。若您未指定 KmsKeyId 參數,則會使用預設的客戶受管金鑰來加密快照複本。

如需複製具有加密快照的 AMIs 的詳細資訊,請參閱對 EBS 支援的 AMI 使用加密