Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie die Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs
Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion *Zugelassen* verwenden. Sie geben Kriterien an, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden.
Bevor Sie die AMIs Einstellungen für Zulässig aktivieren, können Sie den *Überwachungsmodus* aktivieren, um eine Vorschau anzuzeigen, welche angezeigt AMIs werden oder nicht. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Verwenden Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl außerdem, um Instances zu finden, die mit AMIs gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.
Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in jeder AWS-Region konfiguriert werden, in denen Sie die Verwendung von AMIs steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.
**Anmerkung**
Die AMIs Funktion „Zulässig“ steuert nur die Entdeckung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten immer für Benutzer in Ihrem Konto auffindbar und nutzbar.
**Die wichtigsten Vorteile von Allowed AMIs**
+ **Compliance und Sicherheit**: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird.
+ **Effizientes Management**: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter.
+ **Zentralisierte Implementierung auf Kontoebene**: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren.
**Topics**
+ [So funktioniert „Zulässig“ AMIs](#how-allowed-amis-works)
+ [Bewährte Methoden für die Implementierung von Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Erforderliche IAM-Berechtigungen](#iam-permissions-for-allowed-amis)
+ [Verwalten Sie die Einstellungen für „Zugelassen“ AMIs](manage-settings-allowed-amis.md)
## So funktioniert „Zulässig“ AMIs
Um zu kontrollieren, welche Daten in Ihrem Konto entdeckt und verwendet werden AMIs können, definieren Sie eine Reihe von Kriterien, anhand derer die Daten bewertet werden sollen AMIs. Die Kriterien bestehen aus einem oder mehreren `ImageCriterion`, wie im folgenden Diagramm dargestellt. Eine Erklärung folgt dem Diagramm.
![\[Die Hierarchie der zulässigen AMIs ImageCriteria Konfigurationen.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
Die Konfiguration besteht aus drei Ebenen:
+ **1** – Parameterwerte
+ Parameter mit mehreren Werten
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
Ein AMI kann mit *beliebigen* Werten innerhalb eines Parameters übereinstimmen, um zulässig zu sein.
Beispiel: `ImageProviders` = `amazon` **ODER** Konto `111122223333` **ODER** Konto `444455556666` (Die Bewertungslogik für Parameterwerte ist im Diagramm nicht dargestellt.)
+ Parameter mit einem Wert:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** – `ImageCriterion`
+ Gruppiert mehrere Parameter mit **UND**-Logik.
+ Ein AMI muss *allen* Parametern innerhalb eines `ImageCriterion` entsprechen, um zulässig zu sein.
+ Beispiel: `ImageProviders` = `amazon` **UND** `CreationDateCondition` = 300 Tage oder weniger
+ **3** – `ImageCriteria`
+ Gruppiert mehrere `ImageCriterion` mit **ODER**-Logik.
+ Ein AMI kann einem *beliebigen* `ImageCriterion` entsprechen, um zulässig zu sein.
+ Bildet die vollständige Konfiguration, anhand derer AMIs bewertet wird.
**Topics**
+ [Zulässige AMIs Parameter](#allowed-amis-criteria)
+ [Zulässige Konfiguration AMIs](#allowed-amis-json-configuration)
+ [So werden Kriterien bewertet](#how-allowed-amis-criteria-are-evaluated)
+ [Einschränkungen](#allowed-amis-json-configuration-limits)
+ [Zulässige AMIs Operationen](#allowed-amis-operations)
### Zulässige AMIs Parameter
Sie können die folgenden Parameter konfigurieren, um `ImageCriterion` zu erstellen:
`ImageProviders`
Die AMI-Anbieter, deren erlaubt AMIs sind.
Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind:
+ `amazon`— Ein Alias zur Identifizierung, das von Amazon oder verifizierten Anbietern AMIs erstellt wurde
+ `aws-marketplace`— Ein Alias zur Identifizierung, AMIs erstellt von verifizierten Anbietern in der AWS Marketplace
+ `aws-backup-vault`— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist.
+ AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs
+ `none`— Zeigt an, dass nur von Ihrem Konto AMIs erstellte Dateien entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn angegeben, können keine anderen Kriterien angegeben werden.
`ImageNames`
Die Namen sind zulässig AMIs, wobei exakte Übereinstimmungen oder Platzhalter (`?`oder`*`) verwendet werden.
`MarketplaceProductCodes`
Die AWS Marketplace Produktcodes für erlaubt AMIs.
`CreationDateCondition`
Das Höchstalter für erlaubt AMIs.
`DeprecationTimeCondition`
Der maximale Zeitraum seit dem Verfallsdatum für zulässig. AMIs
Die gültigen Werte und Einschränkungen für jedes Kriterium finden Sie [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)in der *Amazon EC2 API-Referenz.*
### Zulässige Konfiguration AMIs
Die Kernkonfiguration für „Zulässig“ AMIs ist die `ImageCriteria` Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs. Die folgende JSON-Struktur zeigt die Parameter, die angegeben werden können:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria Beispiel
Im folgenden `ImageCriteria`-Beispiel werden vier `ImageCriterion` konfiguriert. Ein AMI ist zulässig, wenn es mit einem dieser `ImageCriterion` übereinstimmt. Weitere Informationen über das Auswerten der Kriterien finden Sie unter [So werden Kriterien bewertet](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### So werden Kriterien bewertet
In der folgenden Tabelle werden die Bewertungsregeln erläutert, mit denen festgelegt wird, ob ein AMI zulässig ist, und es wird gezeigt, wie der Operator `AND` bzw. `OR` auf jeder Ebene angewendet wird:
| Auswertungsdaten | Operator | Anforderung für ein zulässiges AMI |
| --- | --- | --- |
| Parameterwerte für ImageProviders, ImageNames und MarketplaceProductCodes | OR | AMI muss mit mindestens einem Wert in jeder Parameterliste übereinstimmen |
| ImageCriterion | AND | AMI muss allen Parametern in jedem ImageCriterion entsprechen |
| ImageCriteria | OR | AMI muss mit einem der ImageCriterion übereinstimmen |
Sehen wir uns anhand der obigen Bewertungsregeln an, wie diese auf [ImageCriteria Beispiel](#allowed-amis-json-configuration-example) angewendet werden können:
+ `ImageCriterion`1: Erlaubt AMIs , die den AWS Marketplace Produktcode haben `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:
+ Gehört einem der Konten `123456789012` `OR` `123456789013`
+ `AND`
+ In den letzten 300 Tagen erstellt
`OR`
+ `ImageCriterion`3: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:
+ Gehört dem Konto `123456789014`
+ `AND`
+ Benannt nach dem Muster `golden-ami-*`
`OR`
+ `ImageCriterion`4: Ermöglicht AMIs , die diese beiden Kriterien erfüllen:
+ Von Amazon oder verifizierten Anbietern veröffentlicht (durch den `amazon`-Alias angegeben)
+ `AND`
+ Nicht veraltet (die maximale Anzahl von Tagen seit der Außerbetriebnahme beträgt `0`)
### Einschränkungen
Das `ImageCriteria` enthält bis zu:
+ 10 `ImageCriterion`
Jedes `ImageCriterion` enthält bis zu:
+ 200 Werte für `ImageProviders`
+ 50 Werte für `ImageNames`
+ 50 Werte für `MarketplaceProductCodes`
**Beispiel für Grenzwerte**
Unter Verwendung des Vorhergehenden [ImageCriteria Beispiel](#allowed-amis-json-configuration-example):
+ Es gibt 4 `ImageCriterion`. Bis zu 6 weitere können der Anforderung hinzugefügt werden, um das Limit von 10 zu erreichen.
+ Im ersten `ImageCriterion` gibt es 1 Wert für `MarketplaceProductCodes`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen.
+ Im zweiten `ImageCriterion` gibt es 2 Werte für `ImageProviders`. Bis zu 198 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 200 zu erreichen.
+ Im dritten `ImageCriterion` gibt es 1 Wert für `ImageNames`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen.
### Zulässige AMIs Operationen
Die AMIs Funktion „Zugelassen“ hat drei Betriebszustände für die Verwaltung der Bildkriterien: **aktiviert**, **deaktiviert** und **Überwachungsmodus**. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen.
**Aktiviert**
Wenn „ AMIs Zulässig“ aktiviert ist:
+ Die `ImageCriteria` werden angewendet.
+ Nur zulässige AMIs sind in der EC2-Konsole auffindbar APIs und verwenden daher Images (z. B. die beschreiben, kopieren, speichern oder andere Aktionen ausführen, die Images verwenden).
+ Instances können nur mit der Option „Zugelassen“ gestartet werden. AMIs
**Disabled**
Wenn Allowed deaktiviert AMIs ist:
+ Die `ImageCriteria` werden nicht angewendet.
+ Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.
**Prüfmodus**
Im Prüfmodus:
+ Die `ImageCriteria` sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.
+ In der EC2-Konsole wird im Feld **Allowed image** für jedes AMI entweder **Ja** oder **Nein** angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist.
+ In der Befehlszeile enthält die Antwort für den `describe-image` Vorgang `"ImageAllowed": true` oder gibt `"ImageAllowed": false` an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist.
+ In der EC2-Konsole wird im AMI-Katalog neben **Nicht erlaubt** angezeigt AMIs , wenn Zulässig aktiviert ist und für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist.
## Bewährte Methoden für die Implementierung von Allowed AMIs
Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren.
1. **Prüfmodus aktivieren**
Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Status können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum ermöglicht.
1. **Legen Sie die zulässigen Kriterien fest AMIs **
Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen.
**Anmerkung**
Wenn Sie AWS verwaltete Services wie Amazon ECS, Amazon EKS oder AWS Lambda Managed Instances verwenden, empfehlen wir, den `amazon` Alias anzugeben, der AMIs erstellt von AWS zugelassen werden soll. Diese Dienste hängen davon ab, ob Amazon Instances veröffentlicht hat AMIs , um sie zu starten.
Seien Sie vorsichtig, wenn Sie `CreationDateCondition` Einschränkungen für irgendwelche festlegen. AMIs Wenn Sie zu restriktive Datumsbedingungen festlegen (z. B. AMIs dürfen sie weniger als 5 Tage alt sein), kann dies zu Fehlern beim Starten von Instances führen, wenn die Daten AMIs, unabhängig davon, ob sie von AWS oder anderen Anbietern stammen, nicht innerhalb des angegebenen Zeitrahmens aktualisiert werden.
Wir empfehlen die Kombination von `ImageNames` mit `ImageProviders`, um eine bessere Kontrolle und Spezifität zu gewährleisten. Durch die alleinige Verwendung von `ImageNames` kann ein AMI möglicherweise nicht eindeutig identifiziert werden.
1. **Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt**
Sie können die Konsole oder die CLI verwenden, um alle Instances zu identifizieren, mit AMIs denen gestartet wurde und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.
Konsole: Verwenden Sie die [ec2- instance-launched-with-allowed AWS Config -ami-Regel](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html), um zu überprüfen, ob laufende oder gestoppte Instances gestartet wurden AMIs , die Ihren Zulassungskriterien entsprechen. AMIs Die Regel lautet **NON\$1COMPLIANT**, wenn ein AMI die AMIs Zulassungskriterien nicht erfüllt, und COMPLIANT, falls dies **der** Fall ist. Die Regel funktioniert nur, wenn die AMIs Einstellung „Zugelassen“ auf „**Aktiviert**“ oder „**Überwachungsmodus**“ gesetzt ist.
CLI: Führen Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit gestartet wurden und die die angegebenen Kriterien nicht erfüllen.
Informationen zur Verwendung der Konsole und der CLI finden Sie unter [Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).
1. **Zulässig aktivieren AMIs**
Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs.
1. **Instance-Starts überwachen**
Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs
1. **Pilot neu AMIs**
Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, werden folgende Methoden AWS empfohlen:
+ Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können.
+ Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben.
Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs
## Erforderliche IAM-Berechtigungen
Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
# Verwalten Sie die Einstellungen für „Zugelassen“ AMIs
Sie können die Einstellungen für Zulässig verwalten AMIs. Diese Einstellungen gelten pro Region pro Konto.
**Topics**
+ [Zulässig aktivieren AMIs](#enable-allowed-amis-criteria)
+ [Legen Sie die AMIs Kriterien für Zulässig fest](#update-allowed-amis-criteria)
+ [Deaktivieren Sie Erlaubt AMIs](#disable-allowed-amis-criteria)
+ [Holen Sie sich die AMIs Kriterien für zulässige](#identify-allowed-amis-state-and-criteria)
+ [Finden Sie heraus AMIs , dass diese erlaubt sind](#identify-amis-that-meet-allowed-amis-criteria)
+ [Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind](#identify-instances-with-allowed-AMIs)
## Zulässig aktivieren AMIs
Sie können „Zulässig“ aktivieren AMIs und die AMIs Kriterien „Zulässig“ angeben. Wir empfehlen, dass Sie im Überwachungsmodus beginnen, der Ihnen zeigt, welche Kriterien von den Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken.
------
#### [ Console ]
**Um „Zugelassen“ zu aktivieren AMIs**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Überwachungsmodus** oder **Aktiviert** aus. Es wird empfohlen, im Überwachungsmodus zu beginnen, die Kriterien zu testen und dann zu diesem Schritt zurückzukehren, um die Option Zulässig zu aktivieren AMIs.
1. (Optional) Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um „Zugelassen“ zu aktivieren AMIs**
Verwenden Sie den Befehl [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```
Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an.
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```
------
#### [ PowerShell ]
**Um „Zugelassen“ zu aktivieren AMIs**
Verwenden Sie das cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```
Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```
------
## Legen Sie die AMIs Kriterien für Zulässig fest
Nachdem Sie „Zugelassen“ aktiviert haben AMIs, können Sie die AMIs Kriterien „Zulässig“ festlegen oder ersetzen.
Die korrekte Konfiguration und gültige Werte finden Sie unter [Zulässige Konfiguration AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) und [Zulässige AMIs Parameter](ec2-allowed-amis.md#allowed-amis-criteria).
------
#### [ Console ]
**Um die AMIs Kriterien „Zulässig“ festzulegen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um die AMIs Kriterien „Zulässig“ festzulegen**
Verwenden Sie den allowed-images-settings Befehl [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) und geben Sie die JSON-Datei an, die die zulässigen AMIs Kriterien enthält.
```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```
------
#### [ PowerShell ]
**Um die zulässigen AMIs Kriterien festzulegen**
Verwenden Sie das [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)Cmdlet und geben Sie die JSON-Datei an, die die Zulassungskriterien enthält. AMIs
```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```
------
## Deaktivieren Sie Erlaubt AMIs
Sie können „Zulässig“ AMIs wie folgt deaktivieren.
------
#### [ Console ]
**Um „Zugelassen“ zu deaktivieren AMIs**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Deaktiviert** aus.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um „Zugelassen“ zu deaktivieren AMIs**
Verwenden Sie den Befehl [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).
```
aws ec2 disable-allowed-images-settings
```
------
#### [ PowerShell ]
**Um „Zugelassen“ zu deaktivieren AMIs**
Verwenden Sie das cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).
```
Disable-EC2AllowedImagesSetting
```
------
## Holen Sie sich die AMIs Kriterien für zulässige
Sie können den aktuellen Status der AMIs Einstellung Zulässig und der AMIs Kriterien Zulässig abrufen.
------
#### [ Console ]
**Um den AMIs Status und die Kriterien „Zulässig“ abzurufen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Auf der AMIs Registerkarte **Zulässig** ist die ** AMIs Einstellung Zulässige Einstellungen** auf **Aktiviert**, **Deaktiviert** oder **Überwachungsmodus** gesetzt.
1. Wenn der Status von Allowed entweder **Enabled** oder **Audit Mode AMIs ** lautet, werden **AMI-Kriterien** die AMI-Kriterien im JSON-Format angezeigt.
------
#### [ AWS CLI ]
**Um den Status und die Kriterien „ AMIs Zugelassen“ abzurufen**
Verwenden Sie den Befehl [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).
```
aws ec2 get-allowed-images-settings
```
In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt.
```
{
"State": "audit-mode",
"ImageCriteria": [
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
],
"ManagedBy": "account"
}
```
------
#### [ PowerShell ]
**Um den AMIs Status und die Kriterien „Zulässig“ abzurufen**
Verwenden Sie das cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).
```
Get-EC2AllowedImagesSetting | Select-Object `
State, `
ManagedBy, `
@{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
@{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
@{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
@{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
@{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```
In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt.
```
State : audit-mode
ManagedBy : account
ImageProviders : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes : {abcdefg1234567890}
ImageNames : {golden-ami-*}
MaximumDaysSinceCreated : 300
MaximumDaysSinceDeprecated: 0
```
------
## Finden Sie heraus AMIs , dass diese erlaubt sind
Sie können herausfinden AMIs , welche nach den aktuellen AMIs Zulassungskriterien zulässig oder nicht zulässig sind.
**Anmerkung**
AMIs Zulässig muss sich im Überwachungsmodus befinden.
------
#### [ Console ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI aus.
1. Suchen Sie auf der Registerkarte **Details** (wenn Sie das Kontrollkästchen aktiviert haben) oder im Übersichtsbereich (wenn Sie die AMI-ID ausgewählt haben) das Feld **Zulässiges AMI**.
+ **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien. Dieses AMI steht Benutzern in Ihrem Konto zur Verfügung, nachdem Sie Allowed aktiviert habenAMIs.
+ **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien.
1. Wählen Sie im Navigationsbereich die Option **AMI-Katalog** aus.
Ein AMI, das als **Nicht zulässig** markiert ist, weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto nicht sichtbar oder verfügbar, wenn Zulässig aktiviert AMIs ist.
------
#### [ AWS CLI ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].ImageAllowed \
--output text
```
Es folgt eine Beispielausgabe.
```
True
```
**Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen**
Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--filters "Name=image-allowed,Values=true" \
--max-items 10 \
--query Images[].ImageId
```
Es folgt eine Beispielausgabe.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
#### [ PowerShell ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```
Es folgt eine Beispielausgabe.
```
True
```
**Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen**
Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-Filter @{Name="image-allows";Values="true"} `
-MaxResult 10 | `
Select ImageId
```
Es folgt eine Beispielausgabe.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
## Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind
Sie können die Instances identifizieren, die mit einem AMI gestartet wurden, das die AMIs Zulassungskriterien nicht erfüllt.
------
#### [ Console ]
**So überprüfen Sie, ob eine Instance mit einem nicht zulässigen AMI gestartet wurde**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus.
1. Suchen Sie auf der Registerkarte **Details** unter **Instance-Details** **Zulässiges Image**.
+ **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien.
+ **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien.
------
#### [ AWS CLI ]
**So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind**
Verwenden Sie den Befehl [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) mit dem Filter `image-allowed`.
```
aws ec2 describe-instance-image-metadata \
--filters "Name=image-allowed,Values=false" \
--query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
--output table
```
Es folgt eine Beispielausgabe.
```
--------------------------------------------------
| DescribeInstanceImageMetadata |
+----------------------+-------------------------+
| i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 |
| i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f |
| i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 |
| i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 |
| i-0781e91cfeca3179d | ami-00c257e12d6828491 |
| i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 |
+----------------------+-------------------------+
```
------
#### [ PowerShell ]
**So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind**
Verwenden Sie das cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).
```
Get-EC2InstanceImageMetadata `
-Filter @{Name="image-allowed";Values="false"} | `
Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```
Es folgt eine Beispielausgabe.
```
InstanceId ImageId
---------- -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```
------
#### [ AWS Config ]
Sie können die **ec2- instance-launched-with-allowed AWS Config -ami-Regel** hinzufügen, sie für Ihre Anforderungen konfigurieren und sie dann zur Evaluierung Ihrer Instances verwenden.
*Weitere Informationen finden Sie unter [AWS Config Regeln hinzufügen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) und [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) im Entwicklerhandbuch.AWS Config *
------