亚马逊云账号出售 亚马逊EC2跨账号迁移镜像

为什么需要跨账号迁移镜像？

想象一下，你辛辛苦苦搭了个测试环境，结果老板突然说："咱们公司分家啦，测试和生产得用两个账号！" 你瞬间懵了，镜像还在旧账号里，咋整？别慌，这就像你家的烤箱突然搬到隔壁邻居家里，总得有个办法让新邻居也能用上你的配方。跨账号迁移镜像就是解决这类问题的骚操作，无论是公司架构调整、多团队协作，还是安全隔离需求，都能靠它轻松搞定。

准备工作：别让权限卡住你

权限配置：IAM角色和KMS密钥

首先，你得确认双方账号的权限设置。源账号需要给目标账号分享AMI的权限，这可不是随便点个"共享"就行的。打开AWS IAM控制台，找到对应的角色，给目标账号的用户或角色添加权限，比如ec2:ModifyImageAttribute和ec2:CopyImage。但如果你的镜像用KMS加密过，问题就变得有点棘手——这就像把保险柜的钥匙交给邻居，但人家没钥匙孔！这时候得在KMS密钥策略里添加目标账号的ARN，否则复制的时候会报错："对不起，这把钥匙你没权限用"。

记得检查源账号的KMS密钥是否允许目标账号使用。打开KMS控制台，找到对应的密钥，点击"策略"，添加目标账号的ID到"允许操作"里。否则，就算AMI共享了，目标账号复制时也会卡在加密环节，气得直跺脚。

镜像检查：加密与否是关键

在动手前，先看看你的AMI是不是加密的。打开EC2控制台，找到镜像，看"加密"一栏。如果是"是"，那下面的步骤得重点处理密钥；如果是"否"，恭喜你，省事了。不过现实中，90%的镜像都加密了，毕竟安全第一嘛。如果你不确定，就当它加密了，免得后面翻车。

详细迁移步骤：手把手教学

步骤1：源账号共享AMI

进入AWS控制台，打开EC2服务，找到你要迁移的AMI。点击镜像右侧的"操作"，选择"修改镜像权限"。这时候会弹出窗口，输入目标账号ID（注意是数字ID，不是账户名！），勾选"可共享"，点击保存。记住，这里的ID是AWS账户ID，不是IAM用户名！上次我有个同事把IAM用户名填进去，结果死活没共享成功，查了半小时才发现搞错了。

步骤2：处理加密密钥（如果需要）

如果镜像加密了，现在得处理KMS密钥。打开KMS控制台，找到该镜像使用的密钥，点击"策略"，在"策略"页面添加如下内容：

{
  "Sid": "AllowCrossAccountCopy",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::目标账号ID:root"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

注意替换目标账号ID。这里有个容易犯的错：把"arn:aws:iam::目标账号ID:root"写成"目标账号ID"，结果KMS根本不认。一定要用完整的ARN格式。如果你的KMS密钥是自定义策略，可能还需要调整其他权限，比如"kms:DescribeKey"。

步骤3：目标账号复制AMI

切换到目标账号，打开EC2控制台，点击"镜像">"AMI"，然后点击"复制AMI"。在"源AMI"处输入源账号的AMI ID（格式是"账号ID/ami-xxxxx"），或者直接在搜索框里输入AMI ID，AWS会自动识别跨账号共享的镜像。选择目标区域，然后点击"复制"。这时候如果一切顺利，复制任务就启动了，等待几分钟，新镜像就会出现在目标账号的AMI列表里。

如果卡在复制环节，别急，先去检查KMS密钥权限，或者看看源账号的AMI是否已经共享成功。有时候控制台刷新延迟，可以等会儿再试。

常见问题与避坑指南

问题1：复制时提示"UnauthorizedOperation"

这通常是权限问题。检查源账号是否确实共享了AMI，目标账号是否有ec2:CopyImage权限。另外，KMS密钥策略是否正确，特别是Principal部分是否写成了账户ID而不是ARN。

问题2：复制后镜像状态卡在"pending"

这可能是因为源账号的快照还在处理中。先去源账号的EC2控制台，检查快照状态是否正常。有时候快照创建不完全，导致复制失败。等快照状态变成"available"再试。

问题3：区域问题导致迁移失败

AMI只能在同一个区域复制，但跨账号共享的AMI可能在不同区域。比如源账号的AMI在ap-northeast-1，目标账号想复制到eu-west-1，这时候需要先在源账号复制到目标区域，再共享，或者目标账号在源区域复制后再迁移。但更简单的方法是：源账号先复制AMI到目标区域，再共享该区域的AMI给目标账号，这样目标账号直接复制即可。

实战案例：从测试环境到生产环境的迁移

亚马逊云账号出售 上周帮客户做迁移，他们测试账号的AMI要搬到生产账号。测试账号的AMI是加密的，用的KMS密钥默认策略。结果目标账号复制时一直报错，提示KMS权限不足。我检查发现，测试账号的KMS策略只允许自己使用。于是修改策略，添加生产账号的ARN，然后重新复制，成功了。不过有个小插曲：客户以为只要共享AMI就行，结果发现复制后实例启动时找不到加密密钥，原来生产账号的KMS策略没生效，必须明确授权给生产账号的IAM角色。

这次教训告诉我们：跨账号迁移镜像，KMS密钥权限是重中之重。建议在迁移前用AWS CLI验证权限，比如用aws kms describe-key --key-id key-id --region region查看策略是否正确，或者用aws ec2 describe-images --image-ids ami-xxxxx --query 'Images[].BlockDeviceMappings[].Ebs.KmsKeyId'确认密钥ID是否正确。

总结与建议

跨账号迁移镜像的核心就两点：共享AMI和处理KMS权限。只要这两步走对，其他都是小问题。建议用脚本自动化，比如用AWS CLI写个脚本，批量处理多个AMI的共享和复制，省时省力。另外，定期审计权限设置，避免因为权限变更导致迁移失败。毕竟，谁也不想在关键时刻卡在权限问题上，急得满头大汗吧？

最后，记住：AWS的权限系统就像迷宫，但只要按步骤来，总能找到出口。下次迁移时，不妨先列个检查清单，避免踩坑。毕竟，技术人的快乐，就是把复杂的事情简单化，而不是被复杂的事情折磨得怀疑人生。