亚马逊云法人认证 AWS EC2镜像导出教程

导出镜像前的准备工作：这些步骤缺一不可

1. IAM角色配置：给EC2‘发通行证’

别看IAM角色这名字高大上，其实就是个‘云上保安’。你得给它发个通行证，让它能干点活。打开IAM控制台，点‘角色’，然后‘创建角色’。服务选择‘EC2’，接着给它两个权限：ec2:ExportImage和s3:PutObject。记住，权限要像给小朋友发糖，刚好够吃，别多给。比如，别给s3:DeleteObject，免得它把你的桶删了，那可就惨了！

2. S3存储桶设置：找个安全的‘快递箱’

创建S3桶的时候，注意选对区域。导出的AMI必须和S3桶在同一个区域，不然会报错。设置桶策略时，直接上代码：把下面这段策略粘贴进去（记得把my-bucket换成你的桶名）：

{
    \"Version\": \"2012-10-17\",
    \"Statement\": [
        {
            \"Sid\": \"AllowEC2Export\",
            \"Effect\": \"Allow\",
            \"Principal\": {
                \"Service\": \"ec2.amazonaws.com\"
            },
            \"Action\": \"s3:PutObject\",
            \"Resource\": \"arn:aws:s3:::my-bucket/*\",
            \"Condition\": {
                \"StringEquals\": {
                    \"s3:x-amz-acl\": \"bucket-owner-full-control\"
                }
            }
        }
    ]
}

这样，EC2服务就能往桶里丢文件了，就像你把快递交给快递员，他可以顺利放进你的仓库。

3. AMI状态检查：确认你的镜像‘能上路’

先检查你的AMI是不是‘健康’的。打开EC2控制台，找到镜像列表，看看状态是不是‘available’。如果显示‘pending’或者‘deregistered’，那就别急着导出，先搞清楚状态。另外，不是所有AMI都能导出哦，比如Windows Server 2003可能就不行，或者某些自定义镜像可能有坑。这时候就得翻AWS文档了，别自己瞎猜。

动手导出：三步搞定

步骤一：确认AMI状态

亚马逊云法人认证 这一步看似简单，但最容易出错。很多小伙伴急着导出，结果发现AMI状态不对，白忙活。在EC2控制台的镜像列表里，确认状态是‘available’。如果看到‘pending’，说明镜像还在创建中，得等个几分钟。另外，检查AMI的来源，如果是从其他账户导入的，可能无法导出。这时候得问原账户是否有权限。记住，导出前先确认状态，省得后面哭。

步骤二：执行导出命令

打开终端，敲入命令。比如：

aws ec2 export-image --image-id ami-0abcdef1234567890 --disk-format vmdk --s3-export-location Bucket=my-bucket,Key=my-image.vmdk --role-name export-role

这里每个参数都要准确。--image-id是你的AMI ID，去控制台复制过来。--disk-format指定格式，vmdk用于VMware，vhd用于Hyper-V，raw是原始格式。--s3-export-location的格式必须是Bucket=xxx,Key=xxx，等号两边不能有空格。--role-name是之前创建的IAM角色名。如果漏了--role-name，AWS会直接拒绝你，说‘权限不足’。这时候别骂AWS，先检查命令参数。

步骤三：检查导出结果

命令提交后，别急着关终端。运行aws ec2 describe-export-tasks查看进度。导出时间取决于镜像大小，小的几分钟，大的可能几小时。当状态变成‘completed’，就去S3桶里找文件。如果看到my-image.vmdk，说明大功告成！这时候你可以下载到本地，用VMware或VirtualBox打开，继续你的测试。导出成功那一刻，你会觉得之前的麻烦都值了。

避坑指南：常见问题一网打尽

问题1：权限不足？可能是IAM没整明白

遇到‘AccessDenied’错误，先别慌。检查IAM角色的权限策略是否包含ec2:ExportImage和s3:PutObject。有时候，你可能给角色加了错误的权限，比如只给了s3:GetObject，却没给s3:PutObject。另外，S3桶策略里的Principal是否正确设置了ec2.amazonaws.com？还有，Condition里的s3:x-amz-acl必须是bucket-owner-full-control，这个细节很多人漏掉。一旦漏了，即使权限对了，也会报错。这时候，打开S3策略，仔细检查，把Condition补上，再试一次。

问题2：导出格式不支持？

比如，你选了qcow2格式，结果AWS直接说‘Invalid disk format’。这时候别急，AWS支持的格式只有vmdk、vhd、raw三种。Windows系统一般用vhd，Linux用vmdk或raw。如果格式选错，命令直接报错。赶紧查AWS文档确认支持的格式，别自己瞎猜。比如，Windows Server 2019导出，必须用vhd；CentOS可能用vmdk。选对格式，才能导出成功。

问题3：S3桶权限错误？

有时候S3桶策略设置对了，但导出还是失败。可能是因为桶的区域和AMI的区域不一致。比如，AMI在us-east-1，但S3桶在eu-west-1。这时候必须把桶建在同一个区域。另外，桶名不能有大写字母，也不能有特殊字符，比如下划线或空格。AWS对桶名要求严格，必须小写，且只能有字母、数字、连字符。如果桶名错误，导出会失败。还有，确保S3桶的策略中Resource是正确的ARN，比如arn:aws:s3:::my-bucket/*，而不是错误的路径。

导出完成后的小贴士

导出完成后，记得清理一下。导出的镜像文件可能很大，占用S3存储费用。如果不再需要，及时删除。另外，导出的镜像文件可以用于本地虚拟机测试，或者迁移到其他云平台。比如，用VMware导入vmdk文件，或者用VirtualBox导入。不过要注意，不同平台可能需要转换格式，比如vhd转vmdk。这时候可以用qemu-img工具转换。导出镜像只是第一步，后续处理也需要细心。但有了这篇教程，你已经迈出了关键一步。云上搬砖，其实没那么难，只要一步步来，细心点，你就是最靓的仔！