Steuern Sie die Entdeckung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs - Amazon Elastic Compute Cloud
So funktioniert „Zulässig“ AMIs Bewährte Methoden für die Implementierung von Allowed AMIsErforderliche IAM-Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie die Entdeckung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs

Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion Zugelassen verwenden. Sie geben Kriterien an, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden.

Bevor Sie die AMIs Einstellungen für Zulässig aktivieren, können Sie den Überwachungsmodus aktivieren, um eine Vorschau anzuzeigen, welche angezeigt AMIs werden oder nicht. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Verwenden Sie den describe-instance-image-metadataBefehl außerdem, um Instances zu finden, die mit AMIs gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.

Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in allen Bereichen konfiguriert werden, in AWS-Region denen Sie die AMI-Nutzung steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter Deklarative Richtlinien im AWS Organizations -Benutzerhandbuch.

Anmerkung

Die AMIs Funktion „Zugelassen“ steuert nur die Erkennung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten immer für Benutzer in Ihrem Konto auffindbar und nutzbar.

Die wichtigsten Vorteile von Allowed AMIs

  • Compliance und Sicherheit: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird.

  • Effizientes Management: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter.

  • Zentralisierte Implementierung auf Kontoebene: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren.

Inhalt

So funktioniert „Zulässig“ AMIs

Um zu kontrollieren, welche Daten in Ihrem Konto entdeckt und verwendet werden AMIs können, definieren Sie eine Reihe von Kriterien, anhand derer die Daten bewertet werden sollen AMIs. Die Kriterien bestehen aus einem oder mehreren Kriterien, ImageCriterion wie in der folgenden Abbildung dargestellt. Eine Erklärung folgt dem Diagramm.

Die Hierarchie der zulässigen AMIs ImageCriteria Konfigurationen.

Die Konfiguration besteht aus drei Ebenen:

  • 1 — Parameterwerte

    • Parameter mit mehreren Werten:

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        Ein AMI kann mit beliebigen Werten innerhalb eines Parameters übereinstimmen, um zulässig zu sein.

        Beispiel: ImageProviders = amazon OR-Konto 111122223333 ODER Konto 444455556666 (Die Bewertungslogik für Parameterwerte ist im Diagramm nicht dargestellt.)

    • Parameter mit einem Wert:

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2ImageCriterion

    • Gruppiert mehrere Parameter mit UND-Logik.

    • Ein AMI muss allen Parametern innerhalb eines entsprechenImageCriterion, um zugelassen zu werden.

    • Beispiel: ImageProviders = amazon UND CreationDateCondition = 300 Tage oder weniger

  • 3ImageCriteria

    • Gruppiert mehrere ImageCriterion mit ODER-Logik.

    • Ein AMI kann jedem entsprechenImageCriterion, um zulässig zu sein.

    • Bildet die vollständige Konfiguration, anhand derer AMIs ausgewertet wird.

Zulässige AMIs Parameter

Die folgenden Parameter können für die Erstellung konfiguriert werdenImageCriterion:

ImageProviders

Die AMI-Anbieter, deren erlaubt AMIs sind.

Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind:

  • amazon— Ein Alias zur Identifizierung, das von Amazon oder verifizierten Anbietern AMIs erstellt wurde

  • aws-marketplace— Ein Alias, das sich identifiziert, AMIs erstellt von verifizierten Anbietern in AWS Marketplace

  • aws-backup-vault— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist.

  • AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs

  • none— Weist darauf hin, dass nur von Ihrem Konto AMIs erstellte Daten entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn angegeben, können keine anderen Kriterien angegeben werden.

ImageNames

Die Namen sind zulässig AMIs, wobei exakte Übereinstimmungen oder Platzhalter (?oder*) verwendet werden.

MarketplaceProductCodes

Die AWS Marketplace Produktcodes für erlaubt AMIs.

CreationDateCondition

Das Höchstalter für erlaubt AMIs.

DeprecationTimeCondition

Der maximale Zeitraum seit dem Verfallsdatum für zulässig. AMIs

Die gültigen Werte und Einschränkungen für jedes Kriterium finden Sie ImageCriterionRequestin der Amazon EC2 API-Referenz.

Zulässige AMIs Konfiguration

Die Kernkonfiguration für „Zulässig“ AMIs ist die ImageCriteria Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs. Die folgende JSON-Struktur zeigt die Parameter, die angegeben werden können:

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria Beispiel

Im folgenden ImageCriteria Beispiel werden vier ImageCriterion konfiguriert. Ein AMI ist zulässig, wenn es mit einem dieser Kriterien übereinstimmtImageCriterion. Informationen darüber, wie die Kriterien bewertet werden, finden Sie unterWie werden Kriterien bewertet.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

Wie werden Kriterien bewertet

In der folgenden Tabelle werden die Bewertungsregeln erläutert, mit denen festgelegt wird, ob ein AMI zulässig ist, und es wird gezeigt, wie der AND OR Operator oder auf jeder Ebene angewendet wird:

Evaluierungsebene Operator Anforderung, ein zugelassenes AMI zu sein
Parameterwerte für ImageProvidersImageNames, und MarketplaceProductCodes OR AMI muss mit mindestens einem Wert in jeder Parameterliste übereinstimmen
ImageCriterion AND AMI muss allen Parametern in jedem entsprechen ImageCriterion
ImageCriteria OR AMI muss mit einem der folgenden Werte übereinstimmen ImageCriterion

Sehen wir uns anhand der obigen Bewertungsregeln an, wie diese angewendet werden können aufImageCriteria Beispiel:

  • ImageCriterion1: Erlaubt AMIs , die den AWS Marketplace Produktcode haben abcdefg1234567890

    OR

  • ImageCriterion2: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:

    • Gehört einem der Konten 123456789012 OR 123456789013

      • AND

    • In den letzten 300 Tagen erstellt

    OR

  • ImageCriterion3: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:

    • Gehört dem Konto 123456789014

      • AND

    • Benannt nach dem Muster golden-ami-*

    OR

  • ImageCriterion4: Ermöglicht AMIs , die diese beiden Kriterien erfüllen:

    • Von Amazon oder verifizierten Anbietern veröffentlicht (durch den amazon Alias angegeben)

      • AND

    • Nicht veraltet (die maximale Anzahl von Tagen seit der Verfallsdatum beträgt) 0

Grenzwerte

Sie ImageCriteria können bis zu Folgendes beinhalten:

  • 10 ImageCriterion

Jedes ImageCriterion kann bis zu Folgendes beinhalten:

  • 200 Werte für ImageProviders

  • 50 Werte für ImageNames

  • 50 Werte für MarketplaceProductCodes

Beispiel für Grenzwerte

Unter Verwendung des VorhergehendenImageCriteria Beispiel:

  • Es gibt ImageCriterion 4. Bis zu 6 weitere können der Anfrage hinzugefügt werden, um das Limit von 10 zu erreichen.

  • Im ersten ImageCriterion Fall gibt es 1 Wert fürMarketplaceProductCodes. Bis zu 49 weitere können hinzugefügt werden, ImageCriterion um das Limit von 50 zu erreichen.

  • In der zweiten ImageCriterion gibt es 2 Werte fürImageProviders. Bis zu 198 weitere können hinzugefügt werden, ImageCriterion um das Limit von 200 zu erreichen.

  • Im dritten gibt ImageCriterion es 1 Wert fürImageNames. Bis zu 49 weitere können hinzugefügt werden, ImageCriterion um das Limit von 50 zu erreichen.

Zulässige AMIs Operationen

Die AMIs Funktion „Zugelassen“ hat drei Betriebszustände für die Verwaltung der Bildkriterien: aktiviert, deaktiviert und Überwachungsmodus. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen.

Aktiviert

Wenn „ AMIs Zulässig“ aktiviert ist:

  • Die ImageCriteria werden angewendet.

  • Nur zulässige Bilder AMIs sind in der EC2 Konsole auffindbar und verwenden APIs dabei Bilder (zum Beispiel Bilder, die Bilder beschreiben, kopieren, speichern oder andere Aktionen ausführen).

  • Instanzen können nur mit der Option „Zugelassen“ gestartet werden. AMIs

Disabled

Wenn Allowed deaktiviert AMIs ist:

  • Die ImageCriteria werden nicht angewendet.

  • Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

Überwachungsmodus

Im Prüfungsmodus:

  • Die ImageCriteria sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

  • In der EC2 Konsole wird im Feld Zulässiges Bild für jedes AMI entweder Ja oder Nein angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

  • In der Befehlszeile enthält die Antwort für den describe-image Vorgang "ImageAllowed": true oder gibt "ImageAllowed": false an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

  • In der EC2 Konsole wird im AMI-Katalog neben der Option Nicht erlaubt angezeigt AMIs , wenn die Option Zulässig für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist.

Bewährte Methoden für die Implementierung von Allowed AMIs

Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren.

  1. Prüfmodus aktivieren

    Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Status können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum ermöglicht.

  2. Legen Sie die zulässigen Kriterien fest AMIs

    Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen.

    Anmerkung

    Wenn Sie AWS verwaltete Services wie Amazon ECS oder Amazon EKS verwenden, empfehlen wir, den amazon Alias anzugeben, der AMIs erstellt von zugelassen werden soll AWS. Diese Dienste hängen davon ab, ob Amazon Instances veröffentlicht hat AMIs , um sie zu starten.

    Seien Sie vorsichtig, wenn Sie CreationDateCondition Einschränkungen für irgendwelche festlegen. AMIs Wenn Sie zu restriktive Datumsbedingungen festlegen (z. B. AMIs dürfen sie weniger als 5 Tage alt sein), kann dies zu Fehlern beim Starten von Instances führen, wenn die Daten AMIs, unabhängig davon, ob sie von AWS oder anderen Anbietern stammen, nicht innerhalb des angegebenen Zeitrahmens aktualisiert werden.

    ImageProvidersFür eine bessere Kontrolle und Spezifität empfehlen wir die Kombination ImageNames mit. Durch die ImageNames alleinige Verwendung kann ein AMI möglicherweise nicht eindeutig identifiziert werden.

  3. Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt

    Sie können die Konsole oder die CLI verwenden, um alle Instances zu identifizieren, mit AMIs denen gestartet wurde und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.

    Konsole: Verwenden Sie die ec2- instance-launched-with-allowed AWS Config -ami-Regel, um zu überprüfen, ob laufende oder gestoppte Instances gestartet wurden AMIs , die Ihren Zulassungskriterien entsprechen. AMIs Die Regel lautet NON_COMPLIANT, wenn ein AMI die AMIs Zulassungskriterien nicht erfüllt, und COMPLIANT, falls dies der Fall ist. Die Regel funktioniert nur, wenn die AMIs Einstellung „Zugelassen“ auf „Aktiviert“ oder „Überwachungsmodus“ gesetzt ist.

    CLI: Führen Sie den describe-instance-image-metadataBefehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit gestartet wurden und die die angegebenen Kriterien nicht erfüllen.

    Anweisungen zur Konsole und zur CLI finden Sie unterSuchen Sie nach Instances, die von denen aus gestartet wurdenAMIs , die nicht erlaubt sind.

  4. Zulässig aktivieren AMIs

    Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs.

  5. Instance-Starts überwachen

    Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs

  6. Pilotprojekt neu AMIs

    Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, werden folgende Methoden AWS empfohlen:

    • Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können.

    • Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben.

    Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs

Erforderliche IAM-Berechtigungen

Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings