Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concedi le autorizzazioni per copiare Amazon EC2 AMIs
Per copiare un’AMI supportata da EBS o da Amazon S3, sono necessarie le seguenti autorizzazioni IAM:
+ `ec2:CopyImage` – Per copiare l'AMI. Per chi è supportato da EBS AMIs, concede anche l'autorizzazione a copiare le istantanee di supporto dell'AMI.
+ `ec2:CreateTags` – Per taggare l'AMI di destinazione. Per le applicazioni supportate da EBSAMIs, concede anche l'autorizzazione a etichettare le istantanee di supporto dell'AMI di destinazione.
Se stai copiando un'AMI supportata da un archivio dell'istanza, sono necessarie le seguenti autorizzazioni IAM *aggiuntive*:
+ `s3:CreateBucket` – Per creare il bucket S3 nella regione di destinazione per la nuova AMI
+ `s3:PutBucketOwnershipControls`[— ACLs Attivare il bucket S3 appena creato in modo che gli oggetti possano essere scritti con l'ACL predefinito `aws-exec-read`](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Per leggere il bucket for the source ACLs
+ `s3:ListAllMyBuckets`— Per trovare un bucket S3 esistente AMIs nella regione di destinazione
+ `s3:GetObject` – Per leggere gli oggetti nel bucket di origine
+ `s3:PutObject` – Per scrivere gli oggetti nel bucket di destinazione
+ `s3:PutObjectAcl` – Per scrivere le autorizzazioni per i nuovi oggetti nel bucket di destinazione
**Nota**
A partire dal 28 ottobre 2024, puoi specificare le autorizzazioni a livello di risorsa per l'azione `CopyImage` sull'AMI di origine. Le autorizzazioni a livello di risorsa per l'AMI di destinazione sono disponibili come in precedenza. Per ulteriori informazioni, consulta la tabella **CopyImage**in [Azioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) nel *Service Authorization* Reference.
## Esempio di policy IAM per copiare un'AMI supportata da EBS e taggare l'AMI di destinazione e gli snapshot
La seguente politica di esempio concede l'autorizzazione a copiare qualsiasi AMI supportata da EBS e taggare l'AMI di destinazione e i relativi snapshot di supporto.
**Nota**
A partire dal 28 ottobre 2024, è possibile specificare gli snapshot nell'elemento `Resource`. Per ulteriori informazioni, consulta la tabella **CopyImage**in [Azioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) nel *Service Authorization* Reference.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
}]
}
```
------
## Esempio di policy IAM per copiare un'AMI supportata da EBS ma per negare di taggare i nuovi snapshot
L'autorizzazione `ec2:CopySnapshot` viene concessa automaticamente quando si ottiene l'autorizzazione `ec2:CopyImage`. L'autorizzazione a taggare i nuovi snapshot di supporto può essere negata esplicitamente, annullando l'effetto `Allow` dell'azione `ec2:CreateTags`.
La seguente politica di esempio concede l'autorizzazione a copiare qualsiasi AMI supportata da EBS, ma nega la possibilità di taggare i nuovi snapshot di supporto dell'AMI di destinazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
},
{
"Effect": "Deny",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:::snapshot/*"
}
]
}
```
------
## Esempio di policy IAM per la copia di un’AMI supportata da Amazon S3 e l’assegnazione di tag all’AMI di destinazione
La seguente policy di esempio concede l’autorizzazione a copiare qualsiasi AMI supportata da Amazon S3 nel bucket di origine specificato nella regione specificata, e assegnare tag all’AMI di destinazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*"
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:PutObjectAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amis-for-{{111122223333}}-in-{{us-east-2}}-{{hash}}"
]
}
]
}
```
------
**Per trovare l'Amazon Resource Name (ARN) del bucket di origine AMI, apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), scegli **AMIs**nel pannello di navigazione e individua il nome del bucket nella colonna Source.**
**Nota**
L’autorizzazione `s3:CreateBucket` è necessaria solo la prima volta che copi un’AMI supportata da Amazon S3 in una singola regione. Dopodiché, il bucket Amazon S3 già creato nella regione viene utilizzato per archiviare tutte le future copie copiate in AMIs quella regione.