Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedere le autorizzazioni per copiare le AMI Amazon EC2
Per copiare un' S3-backed AMI EBS-backed o Amazon, sono necessarie le seguenti autorizzazioni IAM:
-
ec2:CopyImage– Per copiare l'AMI. Per le EBS-backed AMI, concede anche l'autorizzazione a copiare le istantanee di supporto dell'AMI. -
ec2:CreateTags– Per taggare l'AMI di destinazione. Per le EBS-backed AMI, concede anche l'autorizzazione a etichettare le istantanee di supporto dell'AMI di destinazione.
Se stai copiando un'AMI supportata da un archivio dell'istanza, sono necessarie le seguenti autorizzazioni IAM aggiuntive:
-
s3:CreateBucket– Per creare il bucket S3 nella regione di destinazione per la nuova AMI -
s3:PutBucketOwnershipControls— Abilitare gli ACL per il bucket S3 appena creato in modo che gli oggetti possano essere scritti con l'ACL predefinitoaws-exec-read -
s3:GetBucketAcl— Per leggere gli ACL per il bucket di origine -
s3:ListAllMyBuckets– Per trovare un bucket S3 esistente per le AMI nella regione di destinazione -
s3:GetObject– Per leggere gli oggetti nel bucket di origine -
s3:PutObject– Per scrivere gli oggetti nel bucket di destinazione -
s3:PutObjectAcl– Per scrivere le autorizzazioni per i nuovi oggetti nel bucket di destinazione
Nota
A partire dal 28 ottobre 2024, puoi specificare le autorizzazioni a livello di risorsa per l'azione CopyImage sull'AMI di origine. Resource-level le autorizzazioni per l'AMI di destinazione sono disponibili come in precedenza. Per ulteriori informazioni, consulta la tabella CopyImagein Azioni definite da Amazon EC2 nel Service Authorization Reference.
Esempio di policy IAM per copiare un EBS-backed AMI e etichettare l'AMI e le istantanee di destinazione
La seguente politica di esempio ti concede l'autorizzazione a copiare qualsiasi EBS-backed AMI e taggare l'AMI di destinazione e le relative istantanee di supporto.
Nota
A partire dal 28 ottobre 2024, è possibile specificare gli snapshot nell'elemento Resource. Per ulteriori informazioni, consulta la tabella CopyImagein Azioni definite da Amazon EC2 nel Service Authorization Reference.
Esempio di politica IAM per copiare un EBS-backed AMI ma negare l'etichettatura delle nuove istantanee
L'autorizzazione ec2:CopySnapshot viene concessa automaticamente quando si ottiene l'autorizzazione ec2:CopyImage. L'autorizzazione a taggare i nuovi snapshot di supporto può essere negata esplicitamente, annullando l'effetto Allow dell'azione ec2:CreateTags.
La seguente politica di esempio ti concede l'autorizzazione a copiare qualsiasi EBS-backed AMI, ma ti impedisce di taggare le nuove istantanee di supporto dell'AMI di destinazione.
Esempio di policy IAM per copiare un S3-backed AMI Amazon e etichettare l'AMI di destinazione
La seguente politica di esempio ti concede l'autorizzazione a copiare qualsiasi S3-backed AMI Amazon nel bucket di origine specificato nella regione specificata e contrassegnare l'AMI di destinazione.
Per trovare l'Amazon Resource Name (ARN) del bucket di origine AMI, apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/
Nota
L's3:CreateBucketautorizzazione è necessaria solo la prima volta che copi un S3-backed AMI Amazon in una singola regione. Successivamente, il bucket Amazon S3 già creato nella regione viene utilizzato per archiviare tutte le AMIs future copiate in quella regione.