本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予 Amazon EC2 AMI 複製許可
若要複製 EBS 支援的 AMI 或 Amazon S3 支援的 AMI,您需要下列 IAM 許可:
+ `ec2:CopyImage` - 複製 AMI。對於 EBS 支援的 AMI,其還針對 AMI 備份快照授予複製許可。
+ `ec2:CreateTags` - 標記目標 AMI。對於 EBS 支援的 AMI,其還針對目標 AMI 備份快照授予標記許可。
如果您要複製執行個體儲存體支援的 AMI,則需要下列*額外* IAM 許可:
+ `s3:CreateBucket` - 在新 AMI 的目標區域建立 S3 儲存貯體
+ `s3:PutBucketOwnershipControls` – 為新建立的 S3 儲存貯體啟用 ACLs,以便使用`aws-exec-read`[標準 ACL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl) 寫入物件
+ `s3:GetBucketAcl` – 讀取來源儲存貯體ACLs
+ `s3:ListAllMyBuckets` - 為目標區域的 AMI 尋找現有 S3 儲存貯體
+ `s3:GetObject` - 讀取來源儲存貯體物件
+ `s3:PutObject` - 將物件寫入目標儲存貯體
+ `s3:PutObjectAcl` - 將新物件的許可寫入目標儲存貯體
**注意**
自 2024 年 10 月 28 日起,您可在來源 AMI 指定 `CopyImage` 動作的資源層級許可。目標 AMI 的資源層級許可與以前一樣可用。如需詳細資訊,請參閱「服務授權參考」**中 [Amazon EC2 定義的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions)下表中的 **CopyImage**。
## 範例 IAM 政策,用於複製 EBS 支援的 AMI 並標記目標 AMI 和快照
以下範例政策授予您許可,以複製任何 EBS 支援的 AMI 並標記目標 AMI 及其備份快照。
**注意**
自 2024 年 10 月 28 日起,您可在 `Resource` 元素中指定快照。如需詳細資訊,請參閱「服務授權參考」**中 [Amazon EC2 定義的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions)下表中的 **CopyImage**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
}]
}
```
------
## 範例 IAM 政策,用於複製 EBS 支援的 AMI,但禁止標記新快照
當您獲得 `ec2:CopySnapshot` 許可時,系統會自動授予 `ec2:CopyImage` 許可。可明確拒絕授予標記新備份快照的許可,以覆蓋 `ec2:CreateTags` 動作的 `Allow` 效果。
以下範例政策授予您許可,以複製任何 EBS 支援的 AMI,但禁止您標記目標 AMI 的新備份快照。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
},
{
"Effect": "Deny",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:::snapshot/*"
}
]
}
```
------
## 範例 IAM 政策,用於複製 Amazon S3 支援的 AMI 並標記目標 AMI
以下範例政策授予您許可,可將指定來源儲存貯體的任何 Amazon S3 支援的 AMI 複製到指定區域,並標記目標 AMI。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*"
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:PutObjectAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amis-for-{{111122223333}}-in-{{us-east-2}}-{{hash}}"
]
}
]
}
```
------
若要尋找 AMI 來源儲存貯體的 Amazon Resource Name (ARN),請透過 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台,在導覽窗格中選擇 **AMI**,然後在**來源**欄中找到該儲存貯體名稱。
**注意**
只有在您第一次將 Amazon S3 支援的 AMI 複製到個別區域時,才需要 `s3:CreateBucket` 許可。之後,已在區域中建立的 Amazon S3 儲存貯體用來儲存您複製到該區域的所有未來 AMIs。