

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Berechtigungen zum Kopieren von Amazon-EC2-AMIs gewähren
<a name="copy-ami-permissions"></a>

Um ein EBS-backed oder ein S3-backed Amazon-AMI zu kopieren, benötigen Sie die folgenden IAM-Berechtigungen:
+ `ec2:CopyImage` – Um das AMI zu kopieren. Für EBS-backed AMIs wird damit auch die Erlaubnis erteilt, die Backing-Snapshots des AMI zu kopieren.
+ `ec2:CreateTags` – So versehen Sie das Ziel-AMI mit Tags. Für EBS-backed AMIs gewährt es auch die Erlaubnis, die Backing-Snapshots des Ziel-AMIs mit Tags zu versehen.

Wenn Sie ein auf einer Instance-Speicher-gestütztes AMI kopieren, benötigen Sie die folgenden *zusätzlichen* IAM-Berechtigungen:
+ `s3:CreateBucket` – Um das S3-Bucket in der Zielregion für das neue AMI zu erstellen
+ `s3:PutBucketOwnershipControls`[— Um ACLs für den neu erstellten S3-Bucket zu aktivieren, sodass Objekte mit der `aws-exec-read` gespeicherten ACL geschrieben werden können](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Um die ACLs für den Quell-Bucket zu lesen
+ `s3:ListAllMyBuckets` – Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden
+ `s3:GetObject` – Um die Objekte im Quell-Bucket zu lesen
+ `s3:PutObject` – Um die Objekte in den Ziel-Bucket zu schreiben
+ `s3:PutObjectAcl` – Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben

**Anmerkung**  
Ab dem 28. Oktober 2024 können Sie Berechtigungen auf Ressourcenebene für die `CopyImage` Aktion auf dem Quell-AMI angeben. Resource-level Berechtigungen für das Ziel-AMI sind nach wie vor verfügbar. Weitere Informationen finden Sie **CopyImage**in der Tabelle unter [Von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) in der *Service Authorization Reference.*

## Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-backed AMI und zum Markieren des Ziel-AMI und der Snapshots
<a name="permissions-to-copy-ebs-backed-ami"></a>

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes EBS-backed AMI zu kopieren und das Ziel-AMI und die zugehörigen Snapshots zu taggen.

**Anmerkung**  
Ab dem 28. Oktober 2024 können Sie Snapshots im Element `Resource` angeben. Weitere Informationen finden Sie **CopyImage**in der Tabelle unter [Von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) in der *Service Authorization Reference.*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}
```

------

## Beispiel für eine IAM-Richtlinie, mit der ein EBS-backed AMI kopiert, aber das Taggen der neuen Snapshots verweigert wird
<a name="permissions-to-copy-ebs-backed-ami-but-deny-tagging-new-snapshots"></a>

Die `ec2:CopySnapshot`-Berechtigung wird automatisch gewährt, wenn Sie die `ec2:CopyImage`-Berechtigung erhalten. Die Berechtigung, die neuen Backup-Snapshots mit Tags zu versehen, kann explizit verweigert werden, wodurch der `Allow`-Effekt der `ec2:CreateTags`-Aktion außer Kraft gesetzt wird.

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jedes EBS-backed AMI zu kopieren, verweigert Ihnen jedoch, die neuen Backing-Snapshots des Ziel-AMI zu taggen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}
```

------

## Beispiel für eine IAM-Richtlinie zum Kopieren eines S3-backed Amazon-AMI und zum Markieren des Ziel-AMI
<a name="permissions-to-copy-instance-store-backed-ami"></a>

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jedes S3-backed Amazon-AMI im angegebenen Quell-Bucket in die angegebene Region zu kopieren und das Ziel-AMI zu taggen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-{{111122223333}}-in-{{us-east-2}}-{{hash}}"
            ]
        }
    ]
}
```

------

Um den Amazon-Ressourcennamen (ARN) des AMI-Quell-Buckets zu finden, öffnen Sie die Amazon EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), wählen Sie im Navigationsbereich **AMIs** und suchen Sie den Bucket-Namen in der Spalte **Source**.

**Anmerkung**  
Die `s3:CreateBucket` Genehmigung ist nur erforderlich, wenn Sie ein S3-backed Amazon-AMI zum ersten Mal in eine einzelne Region kopieren. Danach wird der Amazon S3-Bucket, der bereits in der Region erstellt wurde, zum Speichern aller von Ihnen zukünftig in diese Region kopierten AMIs verwendet.