3.33 Copie d'AMI depuis un autre compte AWS

Il est tout à fait possible de partager une AMI avec un autre utilisateur AWS. Partager ne modifie pas la propriété de l'AMI : elle reste à son créateur. Si on copie l'AMI partagée, en revanche, on devient propriétaire d'une nouvelle AMI dans son propre compte.

Pour copier une AMI qu'un autre compte nous a partagée, le propriétaire doit nous avoir donné l'autorisation sur le snapshot du stockage sous-jacent. Concrètement, dans la console, le propriétaire ajoute une autorisation sur l'AMI et coche la case pour partager les snapshots associés.

Les limites du partage d'AMI

• Impossible de copier directement une AMI chiffrée partagée si on n'a pas la clé. Il faut recréer l'AMI avec une clé de chiffrement appartenant au compte cible.
• Impossible de copier directement une AMI Windows ou une AMI provenant du AWS Marketplace. Pour ces cas, la procédure est : (1) lancer une instance à partir de l'AMI partagée, (2) créer une nouvelle AMI à partir de cette instance dans son propre compte.
• Le partage seul donne la possibilité de lancer une instance à partir de l'AMI, mais pas de la copier — il faut explicitement autoriser le partage du snapshot pour permettre la copie.

Dans la console, on ouvre les autorisations de l'AMI et on ajoute un compte AWS (par exemple "utilisateur lambda"). Sans cocher la case "Inclure le snapshot", la personne pourra uniquement lancer une instance ; en cochant cette option, on lui donne les permissions nécessaires pour copier l'AMI complète dans son compte. C'est une notion simple mais importante à bien maîtriser pour la certification.