

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Accorder des autorisations pour copier des AMI Amazon EC2
<a name="copy-ami-permissions"></a>

Pour copier une EBS-backed ou une S3-backed AMI Amazon, vous devez disposer des autorisations IAM suivantes :
+ `ec2:CopyImage` : pour copier l’AMI. Pour les EBS-backed AMI, il autorise également la copie des instantanés de sauvegarde de l'AMI.
+ `ec2:CreateTags` : pour baliser l’AMI cible. Pour les EBS-backed AMI, il autorise également à baliser les instantanés de sauvegarde de l'AMI cible.

Si vous copiez une AMI basée sur le stockage d’instances, vous avez besoin des autorisations IAM *supplémentaires* suivantes :
+ `s3:CreateBucket` : pour créer le compartiment S3 dans la région cible pour la nouvelle AMI
+ `s3:PutBucketOwnershipControls`— Pour activer les ACL pour le compartiment S3 nouvellement créé afin que les objets puissent être écrits avec l'ACL `aws-exec-read` [prédéfinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Pour lire les ACL du bucket source
+ `s3:ListAllMyBuckets` : pour trouver un compartiment S3 existant pour les AMI dans la région cible
+ `s3:GetObject` : pour lire les objets dans le compartiment source
+ `s3:PutObject` : pour écrire les objets dans le compartiment cible
+ `s3:PutObjectAcl` : pour écrire les autorisations pour les nouveaux objets dans le compartiment cible

**Note**  
À compter du 28 octobre 2024, vous pouvez spécifier des autorisations au niveau des ressources pour l'`CopyImage`action sur l'AMI source. Resource-level les autorisations pour l'AMI cible sont disponibles comme auparavant. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.

## Exemple de politique IAM pour copier une EBS-backed AMI et baliser l'AMI cible et les instantanés
<a name="permissions-to-copy-ebs-backed-ami"></a>

L'exemple de politique suivant vous autorise à copier n'importe quelle EBS-backed AMI et à étiqueter l'AMI cible et ses instantanés de sauvegarde.

**Note**  
À partir du 28 octobre 2024, vous pourrez indiquer des instantanés dans l’élément `Resource`. Pour plus d'informations, consultez **CopyImage**le tableau sous [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans le *Service Authorization* Reference.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}
```

------

## Exemple de politique IAM pour copier une EBS-backed AMI mais refuser de baliser les nouveaux instantanés
<a name="permissions-to-copy-ebs-backed-ami-but-deny-tagging-new-snapshots"></a>

L’autorisation `ec2:CopySnapshot` est automatiquement accordée lorsque vous obtenez l’autorisation `ec2:CopyImage`. L’autorisation de baliser les nouveaux instantanés de sauvegarde peut être explicitement refusée, en remplaçant l’effet `Allow` de l’action `ec2:CreateTags`.

L'exemple de politique suivant vous accorde l'autorisation de copier n'importe quelle EBS-backed AMI, mais vous interdit de baliser les nouveaux instantanés de sauvegarde de l'AMI cible.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}
```

------

## Exemple de politique IAM pour copier une S3-backed AMI Amazon et baliser l'AMI cible
<a name="permissions-to-copy-instance-store-backed-ami"></a>

L'exemple de politique suivant vous autorise à copier n'importe quelle S3-backed AMI Amazon du compartiment source spécifié vers la région spécifiée et à étiqueter l'AMI cible.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-{{111122223333}}-in-{{us-east-2}}-{{hash}}"
            ]
        }
    ]
}
```

------

Pour trouver le nom de ressource Amazon (ARN) du compartiment source AMI, ouvrez la console Amazon EC2 à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), dans le volet de navigation, sélectionnez **AMI** et recherchez le nom du compartiment dans la colonne **Source**.

**Note**  
L'`s3:CreateBucket`autorisation n'est requise que la première fois que vous copiez une Amazon S3-backed AMI dans une région donnée. Après cela, le compartiment Amazon S3 qui est déjà créé dans la région est utilisé pour stocker tous les futurs AMIs que vous copiez dans cette région.