Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs - Amazon Elastic Compute Cloud
Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI und zum Markieren des Ziel-AMI und der SnapshotsBeispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI, aber Verweigerung des Tagging der neuen SnapshotsBeispiel für eine IAM-Richtlinie zum Kopieren eines Amazon S3-gestützten AMI und zum Markieren des Ziel-AMI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs

Um ein EBS-gestütztes oder Amazon S3-gestütztes AMI zu kopieren, benötigen Sie die folgenden IAM-Berechtigungen:

  • ec2:CopyImage – Um das AMI zu kopieren. Für EBS-gestützte Geräte wird damit auch die Erlaubnis erteilt AMIs, die Backing-Snapshots des AMI zu kopieren.

  • ec2:CreateTags – So versehen Sie das Ziel-AMI mit Tags. Für EBS-gestützte Geräte wird außerdem die Erlaubnis erteiltAMIs, die Backing-Snapshots des Ziel-AMIs mit Tags zu versehen.

Wenn Sie ein auf einer Instance-Speicher-gestütztes AMI kopieren, benötigen Sie die folgenden zusätzlichen IAM-Berechtigungen:

  • s3:CreateBucket – Um das S3-Bucket in der Zielregion für das neue AMI zu erstellen

  • s3:GetBucketAcl – Um die ACL-Berechtigungen für den Quell-Bucket zu lesen

  • s3:ListAllMyBuckets— Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden

  • s3:GetObject – Um die Objekte im Quell-Bucket zu lesen

  • s3:PutObject – Um die Objekte in den Ziel-Bucket zu schreiben

  • s3:PutObjectAcl – Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben

Anmerkung

Ab dem 28. Oktober 2024 können Sie Berechtigungen auf Ressourcenebene für die CopyImage-Aktion im Quell-AMI angeben. Berechtigungen auf Ressourcenebene für das Ziel-AMI sind wie bisher verfügbar. Weitere Informationen finden Sie CopyImagein der Tabelle unter Von Amazon definierte Aktionen EC2 in der Service Authorization Reference.

Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI und zum Markieren des Ziel-AMI und der Snapshots

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes EBS-gestützte AMI zu kopieren und das Ziel-AMI und seine Backup-Snapshots mit Tags zu versehen.

Anmerkung

Ab dem 28. Oktober 2024 können Sie Snapshots im Element Resource angeben. Weitere Informationen finden Sie CopyImagein der Tabelle unter Von Amazon definierte Aktionen EC2 in der Service Authorization Reference.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}

Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI, aber Verweigerung des Tagging der neuen Snapshots

Die ec2:CopySnapshot-Berechtigung wird automatisch gewährt, wenn Sie die ec2:CopyImage-Berechtigung erhalten. Die Berechtigung, die neuen Backup-Snapshots mit Tags zu versehen, kann explizit verweigert werden, wodurch der Allow-Effekt der ec2:CreateTags-Aktion außer Kraft gesetzt wird.

Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes EBS-gestützte AMI zu kopieren, aber verweigert Ihnen, das Ziel-AMI und seine Backup-Snapshots mit Tags zu versehen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}

Beispiel für eine IAM-Richtlinie zum Kopieren eines Amazon S3-gestützten AMI und zum Markieren des Ziel-AMI

Die folgende Beispielrichtlinie gewährt Ihnen die Erlaubnis, jedes Amazon S3-gestützte AMI im angegebenen Quell-Bucket in die angegebene Region zu kopieren und das Ziel-AMI zu taggen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash"
            ]
        }
    ]
}

Um den Amazon-Ressourcennamen (ARN) des AMI-Quell-Buckets zu finden, öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/AMIs, wählen Sie im Navigationsbereich und suchen Sie den Bucket-Namen in der Spalte Quelle.

Anmerkung

Die s3:CreateBucket Genehmigung ist nur erforderlich, wenn Sie ein Amazon S3-gestütztes AMI zum ersten Mal in eine einzelne Region kopieren. Danach wird der Amazon S3 S3-Bucket, der bereits in der Region erstellt wurde, verwendet, um alle future Daten zu speichern AMIs , die Sie in diese Region kopieren.