View a markdown version of this page

Verwenden Sie AMI-Wasserzeichen, um AMIs zu verfolgen und zu identifizieren - Amazon Elastic Compute Cloud
So funktionieren AMI-WasserzeichenErforderliche BerechtigungenEin Wasserzeichen an ein AMI anhängenEin Wasserzeichen von einem AMI trennenAMI-Wasserzeichen anzeigenFiltern Sie AMIs nach Wasserzeichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AMI-Wasserzeichen, um AMIs zu verfolgen und zu identifizieren

Ein AMI-Wasserzeichen ist eine Kennung, die Sie an Ihre privaten AMIs anhängen, um deren Herkunft nachzuverfolgen und Governance-Richtlinien durchzusetzen. Wasserzeichen bleiben während des gesamten AMI-Lebenszyklus bestehen:

  • Wenn Sie ein neues AMI aus einer laufenden Instance erstellen, die von einem AMI mit Wasserzeichen gestartet wurde, erbt das neue AMI das Wasserzeichen.

  • Wenn Sie ein AMI mit Wasserzeichen kopieren, trägt die Kopie das Wasserzeichen.

  • Wenn Sie ein AMI mit Wasserzeichen auf S3 speichern und es wiederherstellen, behält das wiederhergestellte AMI das Wasserzeichen bei.

  • Wenn Sie ein AMI mit Wasserzeichen mit einem anderen Konto teilen, bleibt das Wasserzeichen für den Empfänger sichtbar.

Die Verwendung von AMI-Wasserzeichen hilft Ihnen:

Wichtigste Vorteile

  • Verfolgen Sie die Herkunft über Konten und Regionen hinweg — ermitteln Sie, welche AMIs aus Ihren genehmigten Basis-Images stammen.

  • Filtern und finden Sie verwandte AMIs in Ihren Konten.

  • Unterstützen Sie AMI-Verbraucher dabei, vertrauenswürdige AMIs zu finden und zu identifizieren, die mit einem Projekt oder einer Organisation verknüpft sind.

So funktionieren AMI-Wasserzeichen

AMI-Wasserzeichen sind strukturierte Identifikatoren, die Sie an Ihre AMIs anhängen. Im Folgenden werden die wichtigsten Merkmale von Wasserzeichen beschrieben:

  • Bleibt bestehen — Wenn Sie ein Wasserzeichen an ein AMI anhängen, wird es auf alle abgeleiteten AMIs übertragen.

  • Owner-only— Nur der AMI-Besitzer kann Wasserzeichen an ein AMI anhängen.

  • Für alle sichtbar — Jeder, der Zugriff auf das AMI hat, kann dessen Wasserzeichen sehen.

  • Limit von 5 — Ein AMI kann insgesamt bis zu 5 Wasserzeichen haben.

  • Nicht verfügbar für öffentliche AMIs — Sie können öffentlichen AMIs keine Wasserzeichen hinzufügen oder AMIs veröffentlichen, wenn sie ein Wasserzeichen haben.

  • Filterbar — Sie können AMIs bei der Verwendung nach Wasserzeichen filtern. describe-images

Format des Wasserzeichens

Ein Wasserzeichen ist ein strukturiertes Objekt mit den folgenden Feldern:

  • WatermarkKey— Die eindeutige Kennung für das Wasserzeichen, bestehend aus. account-id:watermark-name Der Konto-ID-Teil ist die 12-stellige AWS Konto-ID des AMI-Besitzers. Der Teil mit dem Wasserzeichen ist ein vom Kunden angegebener Name.

  • SourceImageRegion— Die Region des AMI, an die Sie das Wasserzeichen ursprünglich angehängt haben.

  • SourceImageId— Das AMI, an das Sie ursprünglich das Wasserzeichen angehängt haben.

  • SourceImageCreationDate— Das Erstellungsdatum des AMI, an das Sie ursprünglich das Wasserzeichen angehängt haben.

  • WatermarkCreationTime— Der Zeitstempel, zu dem Sie das Wasserzeichen angebracht haben.

Der Name des Wasserzeichens muss 3—128 Zeichen lang sein und kann alphanumerische Zeichen, Klammern (()), eckige Klammern ([]), Leerzeichen, Punkte (.), Schrägstriche (/), Bindestriche (-), einfache Anführungszeichen ('), At-Zeichen (@) oder Unterstriche (_) enthalten.

Erforderliche Berechtigungen

Um mit AMI-Wasserzeichen arbeiten zu können, benötigen Sie die folgenden IAM-Berechtigungen:

  • ec2:AttachImageWatermark— Um ein Wasserzeichen an ein AMI anzuhängen.

  • ec2:DetachImageWatermark— Um ein Wasserzeichen von einem AMI zu trennen.

  • ec2:DescribeImages— Um Wasserzeichen auf AMIs anzuzeigen.

Ein Wasserzeichen an ein AMI anhängen

Sie können ein Wasserzeichen an ein AMI anhängen, indem Sie die Konsole AWS CLI, das oder PowerShell verwenden.

Console
Um ein Wasserzeichen an ein AMI anzuhängen

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI aus.

  4. Wählen Sie auf der Registerkarte Details im Abschnitt Wasserzeichen die Option Wasserzeichen verwalten aus.

  5. Geben Sie einen Namen für das Wasserzeichen ein und wählen Sie Anhängen.

AWS CLI
Um ein Wasserzeichen an ein AMI anzuhängen

Verwenden Sie den Befehl attach-image-watermark.

aws ec2 attach-image-watermark \
    --image-id ami-1111111111EXAMPLE \
    --image-watermark-name "prod-baseline"

Es folgt eine Beispielausgabe.

{
    "WatermarkKey": "123456789012:prod-baseline"
}
PowerShell
Um ein Wasserzeichen an ein AMI anzuhängen

Verwenden Sie das cmdlet Add-EC2ImageWatermark.

Add-EC2ImageWatermark `
    -ImageId ami-1111111111EXAMPLE `
    -ImageWatermarkName "prod-baseline"

Sie können bis zu 5 Wasserzeichen an ein einzelnes AMI anhängen.

Ein Wasserzeichen von einem AMI trennen

Sie können ein Wasserzeichen von einem AMI trennen, indem Sie die Konsole AWS CLI, das oder verwenden. PowerShell

Console
Um ein Wasserzeichen von einem AMI zu trennen

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI aus.

  4. Wählen Sie auf der Registerkarte Details im Abschnitt Wasserzeichen die Option Wasserzeichen verwalten aus.

  5. Wählen Sie das zu entfernende Wasserzeichen aus und wählen Sie dann Entfernen.

AWS CLI
Um ein Wasserzeichen von einem AMI zu trennen

Verwenden Sie den Befehl detach-image-watermark.

aws ec2 detach-image-watermark \
    --image-id ami-1111111111EXAMPLE \
    --image-watermark-key "111122223333:prod-baseline"
PowerShell
Um ein Wasserzeichen von einem AMI zu trennen

Verwenden Sie das cmdlet Remove-EC2ImageWatermark.

Remove-EC2ImageWatermark `
    -ImageId ami-1111111111EXAMPLE `
    -ImageWatermarkKey "111122223333:prod-baseline"
Anmerkung

Durch das Trennen eines Wasserzeichens von einem AMI wird es nicht aus abgeleiteten AMIs entfernt, die das Wasserzeichen bereits tragen. Um sicherzustellen, dass Wasserzeichen dauerhaft erhalten bleiben, sollten Sie die ec2:DetachImageWatermark Erlaubnis nur vertrauenswürdigen Administratoren erteilen, die Wasserzeichen verwalten müssen.

AMI-Wasserzeichen anzeigen

Sie können Wasserzeichen für ein AMI anzeigen, indem Sie die Konsole AWS CLI, das oder PowerShell verwenden.

Console
So zeigen Sie Wasserzeichen für ein AMI an

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI aus.

  4. Sehen Sie sich die Wasserzeichen im Bereich Wasserzeichen auf der Registerkarte Details an.

AWS CLI
So zeigen Sie Wasserzeichen für ein AMI an

Verwenden Sie den Befehl describe-images.

aws ec2 describe-images \
    --image-ids ami-046863d776a820ccd \
    --region us-east-1

Die Antwort umfasst das ImageWatermarks Array für jedes AMI.

{
    "Images": [
        {
            "ImageId": "ami-046863d776a820ccd",
            "Public": false,
            "OwnerId": "123456789012",
            ...
            "ImageWatermarks": [
                {
                    "WatermarkKey": "111122223333:prod-baseline",
                    "Region": "us-east-1",
                    "SourceImageId": "ami-0b752bf1df193a6c4",
                    "SourceImageCreationDate": "2024-07-10T08:15:00",
                    "CreationDate": "2024-07-12T14:30:00"
                },
                {
                    "WatermarkKey": "222222222222:security-approved",
                    "Region": "eu-north-1",
                    "SourceImageId": "ami-12345678",
                    "SourceImageCreationDate": "2024-06-01T10:00:00",
                    "CreationDate": "2024-06-05T09:45:00"
                }
            ]
        }
    ]
}
PowerShell
So zeigen Sie Wasserzeichen für ein AMI an

Verwenden Sie das cmdlet Get-EC2Image.

(Get-EC2Image -ImageId ami-046863d776a820ccd).ImageWatermarks

Filtern Sie AMIs nach Wasserzeichen

Sie können AMIs mithilfe der Konsole, der Option oder nach Wasserzeichen filtern. AWS CLI PowerShell

Console
Um AMIs nach Wasserzeichen zu filtern

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie in der Suchleiste den Wasserzeichen-Schlüsselfilter aus und geben Sie den Wert für den Wasserzeichenschlüssel ein.

AWS CLI
Um AMIs nach Wasserzeichen zu filtern

Verwenden Sie den Befehl describe-images mit dem image-watermark-key-Filter.

aws ec2 describe-images \
    --filters "Name=image-watermark-key,Values=111122223333:prod-baseline"

Dadurch werden alle AMIs zurückgegeben, auf die Sie Zugriff haben und die das angegebene Wasserzeichen tragen, einschließlich abgeleiteter AMIs, die es durch Kopiervorgänge geerbt haben.

PowerShell
Um AMIs nach Wasserzeichen zu filtern

Verwenden Sie das Get-EC2ImageCmdlet mit dem Parameter. -Filter

Get-EC2Image `
    -Filter @{Name="image-watermark-key"; Values="111122223333:prod-baseline"}

Dadurch werden alle AMIs zurückgegeben, auf die Sie Zugriff haben und die das angegebene Wasserzeichen tragen, einschließlich abgeleiteter AMIs, die es durch Kopiervorgänge geerbt haben.