Crea un'attività di archiviazione delle immagini - Amazon Elastic Compute Cloud
Protezione delle AMIAutorizzazioni per l'archiviazione e il ripristino di AMI utilizzando S3Crea un'attività di archiviazione delle immaginiCrea un’attività di ripristino delle immagini

Crea un'attività di archiviazione delle immagini

Quando archivi un'AMI in un bucket S3, viene creata un'attività di archiviazione dell'immagine. Puoi utilizzare l'attività di archiviazione dell'immagine per monitorare l'avanzamento e l'esito del processo.

Protezione delle AMI

È importante assicurarsi che il bucket S3 sia configurato con un livello di sicurezza sufficiente per proteggere il contenuto dell'AMI e che la sicurezza venga mantenuta per tutto il tempo che gli oggetti AMI rimangono nel bucket. Se ciò non è possibile, è preferibile non utilizzare queste API. Assicurarsi che non sia consentito l'accesso pubblico al bucket S3. Si consiglia di abilitare la crittografia lato server per il bucket S3 in cui si archiviano le AMI anche se non è necessario.

Per informazioni su come impostare le impostazioni di sicurezza appropriate per i bucket S3, consultare i seguenti argomenti sulla sicurezza:

Quando gli snapshot AMI vengono copiati nell'oggetto S3, i dati vengono quindi copiati tramite connessioni TLS. È possibile archiviare le AMI con snapshot crittografati, ma gli snapshot vengono poi decrittografati come parte del processo di archiviazione.

Autorizzazioni per l'archiviazione e il ripristino di AMI utilizzando S3

Se le entità principali IAM archiviano o ripristinano le AMI utilizzando Amazon S3, devi concedere loro le autorizzazioni richieste.

La seguente policy di esempio include tutte le operazioni necessarie per consentire a un'entità IAM di eseguire le attività di archiviazione e ripristino.

Puoi anche creare policy IAM che consentono alle entità principali l'accesso solo a risorse specifiche. Per altre policy di esempio, consulta Gestione degli accessi per le risorse AWS nella Guida per l'utente di IAM.

Nota

Se gli snapshot che compongono l'AMI sono crittografati o se il tuo account è abilitato per la crittografia per impostazione predefinita, l'entità principale IAM deve disporre dell'autorizzazione per usare la chiave KMS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Crea un'attività di archiviazione delle immagini

Per archiviare un'AMI in un bucket S3, inizia creando un'attività di archiviazione dell'immagine. Il tempo necessario per completare l'attività dipende dalle dimensioni dell'AMI. Puoi tenere traccia dello stato di avanzamento dell'attività fino all'esito positivo o negativo.

AWS CLI
Per creare l'attività di archiviazione delle immagini

Utilizzare il comando create-store-image-task.

aws ec2 create-store-image-task \
    --image-id ami-0abcdef1234567890 \
    --bucket amzn-s3-demo-bucket

Di seguito è riportato un output di esempio.

{
  "ObjectKey": "ami-0abcdef1234567890.bin"
}
Per descrivere lo stato di avanzamento di un'attività di archiviazione delle immagini

Utilizzare il comando describe-store-image-tasks.

aws ec2 describe-store-image-tasks \
    --image-ids ami-0abcdef1234567890 \
    --query StoreImageTaskResults[].StoreTaskState \
    --output text

Di seguito è riportato un output di esempio.

InProgress
PowerShell
Per creare l'attività di archiviazione delle immagini

Utilizza il cmdlet New-EC2StoreImageTask.

New-EC2StoreImageTask `
    -ImageId ami-0abcdef1234567890 `
    -Bucket amzn-s3-demo-bucket

Di seguito è riportato un output di esempio.

ObjectKey         : ami-0abcdef1234567890.bin
Per descrivere lo stato di avanzamento di un'attività di archiviazione delle immagini

Utilizza il cmdlet Get-EC2StoreImageTask.

(Get-EC2StoreImageTask -ImageId ami-0abcdef1234567890).StoreTaskState

Di seguito è riportato un output di esempio.

InProgress

Crea un’attività di ripristino delle immagini

Devi specificare anche un nome per l’AMI ripristinata. Il nome deve essere univoco per le AMI nella regione per questo account. L'AMI ripristinata ottiene un nuovo ID AMI.

AWS CLI
Per creare un'attività di archiviazione delle immagini

Utilizzare il comando create-restore-image-task.

aws ec2 create-restore-image-task \
    --object-key ami-0abcdef1234567890.bin \
    --bucket amzn-s3-demo-bucket \
    --name "my-restored-ami"

Di seguito è riportato un output di esempio.

{
   "ImageId": "ami-1234567890abcdef0"
}
PowerShell
Per creare un'attività di archiviazione delle immagini

Utilizza il cmdlet New-EC2RestoreImageTask.

New-EC2RestoreImageTask `
    -ObjectKey ami-0abcdef1234567890.bin `
    -Bucket amzn-s3-demo-bucket `
    -Name "my-restored-ami"

Di seguito è riportato un output di esempio.

ImageId         : ami-1234567890abcdef0