Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Grundlegendes zur gemeinsamen AMI-Nutzung in Amazon EC2
Ein *gemeinsames AMI* ist ein AMI, das ein Entwickler nach der Erstellung für Andere verfügbar macht. Eine der einfachsten Möglichkeiten zum Einstieg in Amazon EC2 ist die Verwendung eines gemeinsamen AMI, dessen Komponenten Sie benötigen, und das Hinzufügen von benutzerdefinierten Inhalten. Du kannst auch eigene erstellen AMIs und sie mit anderen teilen.
Die Verwendung gemeinsamer AMIs erfolgt auf eigenes Risiko. Amazon kann die Integrität oder Sicherheit von AMIs, die von anderen Amazon EC2-Benutzern geteilt werden, nicht gewährleisten. Daher sollten Sie gemeinsam genutzten Code AMIs genauso behandeln wie jeden fremden Code, den Sie möglicherweise in Ihrem eigenen Rechenzentrum einsetzen möchten, und die entsprechende Sorgfaltspflicht walten lassen. Wir empfehlen Ihnen, eine AMI von einer vertrauenswürdigen Quelle zu beziehen, beispielsweise von einem verifizierten Anbieter.
## Verifizierter Anbieter
In der Amazon EC2 EC2-Konsole werden öffentliche AMIs Inhalte, die Amazon oder einem verifizierten Amazon-Partner gehören, als **Verifizierter Anbieter** gekennzeichnet.
Sie können auch den AWS CLI Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) verwenden, um öffentliche Inhalte zu identifizieren, die von einem AMIs verifizierten Anbieter stammen. Öffentliche Images, die im Besitz von Amazon oder einem verifizierten Partner sind, haben einen Aliasbesitzer, der entweder `amazon`, `aws-backup-vault` oder `aws-marketplace` ist. In der CLI-Ausgabe erscheinen diese Werte für `ImageOwnerAlias`. Andere Benutzer können ihre nicht mit einem Alias versehen. AMIs Auf diese Weise können Sie ganz einfach AMIs bei Amazon oder verifizierten Partnern suchen.
Um ein verifizierter Anbieter zu werden, müssen Sie sich als Verkäufer auf der AWS Marketplace registrieren. Nach der Registrierung können Sie Ihr AMI auf der AWS Marketplace auflisten. Weitere Informationen finden Sie unter [Erste Schritte als Verkäufer](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) und [AMI-basierte Produkte](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) im *AWS Marketplace -Verkäuferhandbuch*.
**Topics**
+ [Verifizierter Anbieter](#verified-ami-provider)
+ [Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md)
+ [Bereiten Sie sich auf die Verwendung von Shared für Linux AMIs vor](usingsharedamis-confirm.md)
+ [Steuern Sie die Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs](ec2-allowed-amis.md)
+ [Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen](sharingamis-intro.md)
+ [Verstehen Sie, öffentlichen Zugriff sperren für AMIs](block-public-access-to-amis.md)
+ [Ein AMI für bestimmte Organisationen oder Organisationseinheiten freigeben](share-amis-with-organizations-and-OUs.md)
+ [Teilen Sie ein AMI mit bestimmten AWS Konten](sharingamis-explicit.md)
+ [Kündigen Sie die gemeinsame Nutzung eines AMI mit Ihrem AWS-Konto](cancel-sharing-an-AMI.md)
+ [Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs](building-shared-amis.md)
**Wenn Sie nach Informationen zu anderen Themen suchen**
+ Weitere Informationen über die Erstellung eines AMI finden Sie unter [Ein Amazon-S3-gestütztes AMI erstellen](creating-an-ami-instance-store.md) oder [Ein Amazon-EBS-gestütztes AMI erstellen](creating-an-ami-ebs.md).
+ Informationen zum Erstellen, Bereitstellen und Verwalten Ihrer Anwendungen auf der AWS Marketplace finden Sie in der [AWS Marketplace -Dokumentation](https://docs.aws.amazon.com/marketplace/).
# Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen
Sie können die Amazon-EC2-Konsole oder die Befehlszeilenschnittstelle verwenden, um öffentliche oder private freigegebene AMIs zu suchen, die Sie für Ihre Amazon-EC2-Instances verwenden können.
AMIs sind eine regionale Ressource. Wenn Sie also nach einem gemeinsamen AMI (öffentlich oder privat) suchen, müssen Sie in derselben Region danach suchen, aus der es freigegeben wird. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md).
------
#### [ Console ]
Die Konsole bietet ein AMI-Filterfeld. Sie können Ihre Suchanfragen auch mithilfe der Filter im **Suchfeld** eingrenzen.
**So suchen Sie ein freigegebenes AMI**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie beim ersten Filter eine der folgenden Optionen aus:
+ **Private Bilder** — Listet alle auf AMIs , die mit Ihnen geteilt wurden.
+ **Öffentliche Bilder** — Listet alle öffentlichen Bilder auf AMIs.
1. (Optional) Um nur die öffentlichen Images von Amazon anzuzeigen, wählen Sie das Feld **Suche** und wählen Sie dann aus den Menüoptionen **Besitzer-Alias**, dann **=** und dann **amazon**.
1. (Optional) Fügen Sie Filter hinzu, um Ihre Suche AMIs so einzugrenzen, dass sie Ihren Anforderungen entsprechen.
**So suchen Sie ein gemeinsames öffentliches AMI von einem [verifizierten Anbieter](sharing-amis.md#verified-ami-provider)**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich die Option **AMI-Katalog** aus.
1. Wählen Sie **Community AMIs**.
1. Wählen Sie im Bereich **Ergebnisse verfeinern** die Option **Verifizierter Anbieter** aus. Das Label **Verifizierter Anbieter** gibt an, dass AMIs sie von Amazon oder einem verifizierten Partner stammen.
------
#### [ AWS CLI ]
Verwenden Sie zum [Auflisten den Befehl describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). AMIs Sie können die Liste auf die Typen beschränken AMIs , die Sie interessieren, wie in den folgenden Beispielen gezeigt.
**Um alle öffentlichen Inhalte aufzulisten AMIs**
Der folgende Befehl listet alle öffentlichen Dateien auf AMIs, einschließlich aller öffentlichen Dateien AMIs , deren Eigentümer Sie sind.
```
aws ec2 describe-images --executable-users all
```
**Zur Liste AMIs mit expliziten Startberechtigungen**
Der folgende Befehl listet die auf, AMIs für die Sie explizite Startberechtigungen haben. Diese Liste enthält keine AMIs , die Sie besitzen.
```
aws ec2 describe-images --executable-users self
```
**Zur Liste, die verifizierten Anbietern AMIs gehört**
Der folgende Befehl listet die Anbieter auf, die AMIs sich im Besitz [verifizierter Anbieter](sharing-amis.md#verified-ami-provider) befinden. Öffentliche AMIs Eigentümer verifizierter Anbieter (entweder Amazon oder verifizierte Partner) haben einen Aliasinhaber, der `aws-marketplace` im Kontofeld als `amazon``aws-backup-vault`, oder angezeigt wird. Auf diese Weise können Sie problemlos AMIs verifizierte Anbieter finden. Andere Benutzer können ihre nicht mit einem Alias versehenAMIs.
```
aws ec2 describe-images \
--owners amazon aws-marketplace \
--query 'Images[*].[ImageId]' \
--output text
```
**Zur Liste, die einem Konto AMIs gehört**
Der folgende Befehl listet die Objekte auf, die dem angegebenen Benutzer AMIs gehören AWS-Konto.
```
aws ec2 describe-images --owners 123456789012
```
**Um einen Bereich AMIs mithilfe eines Filters zu verwenden**
Um die Anzahl der angezeigten Typen zu reduzieren AMIs, verwenden Sie einen Filter, um nur die Typen aufzulistenAMIs , die Sie interessieren. Verwenden Sie beispielsweise den folgenden Filter, um nur AMIs EBS-gestützte Daten anzuzeigen.
```
--filters "Name=root-device-type,Values=ebs"
```
------
#### [ PowerShell ]
Verwenden Sie das [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)Cmdlet (Tools für Windows PowerShell) zum Auflisten. AMIs Sie können die Liste auf die Typen beschränken AMIs , die Sie interessieren, wie in den folgenden Beispielen gezeigt.
**Um alle öffentlichen Inhalte aufzulisten AMIs**
Der folgende Befehl listet alle öffentlichen Dateien auf AMIs, einschließlich aller öffentlichen Dateien AMIs , deren Eigentümer Sie sind.
```
Get-EC2Image -ExecutableUser all
```
**Zur Liste AMIs mit expliziten Startberechtigungen**
Der folgende Befehl listet die auf, AMIs für die Sie explizite Startberechtigungen haben. Diese Liste enthält keine AMIs , die Sie besitzen.
```
Get-EC2Image -ExecutableUser self
```
**Zur Liste, die verifizierten Anbietern AMIs gehört**
Der folgende Befehl listet die Anbieter auf, die AMIs sich im Besitz [verifizierter Anbieter](sharing-amis.md#verified-ami-provider) befinden. Öffentliche AMIs Eigentümer verifizierter Anbieter (entweder Amazon oder verifizierte Partner) haben einen Aliasinhaber, der `aws-marketplace` im Kontofeld als `amazon``aws-backup-vault`, oder angezeigt wird. Auf diese Weise können Sie problemlos AMIs verifizierte Anbieter finden. Andere Benutzer können ihre nicht mit einem Alias versehenAMIs.
```
Get-EC2Image -Owner amazon aws-marketplace
```
**Zur Liste, die einem Konto AMIs gehört**
Der folgende Befehl listet die Objekte auf, die dem angegebenen Benutzer AMIs gehören AWS-Konto.
```
Get-EC2Image -Owner 123456789012
```
**Um einen Bereich AMIs mithilfe eines Filters zu verwenden**
Um die Anzahl der angezeigten Typen zu reduzieren AMIs, verwenden Sie einen Filter, um nur die Typen aufzulistenAMIs , die Sie interessieren. Verwenden Sie beispielsweise den folgenden Filter, um nur AMIs EBS-gestützte Daten anzuzeigen.
```
-Filter @{Name="root-device-type"; Values="ebs"}
```
------
# Bereiten Sie sich auf die Verwendung von Shared für Linux AMIs vor
Bevor Sie ein freigegebenes AMI für Linux verwenden, führen Sie die folgenden Schritte durch, um sicherzustellen, dass keine vorinstallierten Anmeldeinformationen vorhanden sind, die einem Dritten unerwünschten Zugriff auf Ihre Instance ermöglichen würden, und dass keine vorkonfigurierte Fernprotokollierung vorhanden ist, die sensible Daten an Dritte übertragen könnte. Informationen zur Erhöhung der Systemsicherheit finden Sie in der Dokumentation für die von der AMI verwendete Linux-Distribution.
Damit Sie den Zugriff auf die Instance nicht unabsichtlich verlieren, empfehlen wir das Initiieren von zwei SSH-Sitzungen, wobei eine Sitzung offen bleibt, bis Sie alle unbekannten Anmeldeinformationen entfernt und bestätigt haben, dass Sie sich noch immer mit SSH in Ihrer Instance anmelden können.
1. Ermitteln Sie nicht autorisierte öffentliche SSH-Schlüssel und deaktivieren Sie sie. Der einzige Schlüssel in der Datei sollte der zum Starten des AMI verwendete sein. Mit dem folgenden Befehl suchen Sie `authorized_keys`-Dateien:
```
[ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;
```
1. Deaktivieren Sie Passwort-basierte Authentifizierung für den Root-Benutzer. Öffnen Sie die Datei `sshd_config` und bearbeiten Sie die `PermitRootLogin`-Zeile wie folgt:
```
PermitRootLogin without-password
```
Alternativ können Sie die Funktion zum Anmelden in der Instance als Root-Benutzer deaktivieren:
```
PermitRootLogin No
```
Starten Sie den sshd-Service neu.
1. Überprüfen Sie, ob es andere Benutzer gibt, die sich bei Ihrer Instance anmelden können. Benutzer mit Super-User-Privilegien sind besonders gefährlich. Entfernen oder sperren Sie die Passwörter unbekannter Konten.
1. Prüfen Sie, ob nicht verwendete offene Ports bestehen, die Netzwerkdienste ausführen und auf eingehende Verbindungen warten.
1. Um die vorkonfigurierte Fernprotokollierung zu verhindern, sollten Sie die vorhandene Konfigurationsdatei löschen und den `rsyslog`-Service neu starten. Beispiel:
```
[ec2-user ~]$ sudo rm /etc/rsyslog.conf
[ec2-user ~]$ sudo service rsyslog restart
```
1. Überprüfen Sie, ob alle cron-Aufträge rechtmäßig sind.
Wenn Sie ein öffentliches AMI entdecken, das ein Sicherheitsrisiko darstellt, wenden Sie sich an das AWS -Sicherheitsteam. Weitere Informationen erhalten Sie im [AWS -Sicherheitszentrum](https://aws.amazon.com/security/).
# Steuern Sie die Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs
Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion *Zugelassen* verwenden. Sie geben Kriterien an, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden.
Bevor Sie die AMIs Einstellungen für Zulässig aktivieren, können Sie den *Überwachungsmodus* aktivieren, um eine Vorschau anzuzeigen, welche angezeigt AMIs werden oder nicht. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Verwenden Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl außerdem, um Instances zu finden, die mit AMIs gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.
Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in jeder AWS-Region konfiguriert werden, in denen Sie die Verwendung von AMIs steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.
**Anmerkung**
Die AMIs Funktion „Zulässig“ steuert nur die Entdeckung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten immer für Benutzer in Ihrem Konto auffindbar und nutzbar.
**Die wichtigsten Vorteile von Allowed AMIs**
+ **Compliance und Sicherheit**: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird.
+ **Effizientes Management**: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter.
+ **Zentralisierte Implementierung auf Kontoebene**: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren.
**Topics**
+ [So funktioniert „Zulässig“ AMIs](#how-allowed-amis-works)
+ [Bewährte Methoden für die Implementierung von Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Erforderliche IAM-Berechtigungen](#iam-permissions-for-allowed-amis)
+ [Verwalten Sie die Einstellungen für „Zugelassen“ AMIs](manage-settings-allowed-amis.md)
## So funktioniert „Zulässig“ AMIs
Um zu kontrollieren, welche Daten in Ihrem Konto entdeckt und verwendet werden AMIs können, definieren Sie eine Reihe von Kriterien, anhand derer die Daten bewertet werden sollen AMIs. Die Kriterien bestehen aus einem oder mehreren `ImageCriterion`, wie im folgenden Diagramm dargestellt. Eine Erklärung folgt dem Diagramm.
![\[Die Hierarchie der zulässigen AMIs ImageCriteria Konfigurationen.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
Die Konfiguration besteht aus drei Ebenen:
+ **1** – Parameterwerte
+ Parameter mit mehreren Werten
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
Ein AMI kann mit *beliebigen* Werten innerhalb eines Parameters übereinstimmen, um zulässig zu sein.
Beispiel: `ImageProviders` = `amazon` **ODER** Konto `111122223333` **ODER** Konto `444455556666` (Die Bewertungslogik für Parameterwerte ist im Diagramm nicht dargestellt.)
+ Parameter mit einem Wert:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** – `ImageCriterion`
+ Gruppiert mehrere Parameter mit **UND**-Logik.
+ Ein AMI muss *allen* Parametern innerhalb eines `ImageCriterion` entsprechen, um zulässig zu sein.
+ Beispiel: `ImageProviders` = `amazon` **UND** `CreationDateCondition` = 300 Tage oder weniger
+ **3** – `ImageCriteria`
+ Gruppiert mehrere `ImageCriterion` mit **ODER**-Logik.
+ Ein AMI kann einem *beliebigen* `ImageCriterion` entsprechen, um zulässig zu sein.
+ Bildet die vollständige Konfiguration, anhand derer AMIs bewertet wird.
**Topics**
+ [Zulässige AMIs Parameter](#allowed-amis-criteria)
+ [Zulässige Konfiguration AMIs](#allowed-amis-json-configuration)
+ [So werden Kriterien bewertet](#how-allowed-amis-criteria-are-evaluated)
+ [Einschränkungen](#allowed-amis-json-configuration-limits)
+ [Zulässige AMIs Operationen](#allowed-amis-operations)
### Zulässige AMIs Parameter
Sie können die folgenden Parameter konfigurieren, um `ImageCriterion` zu erstellen:
`ImageProviders`
Die AMI-Anbieter, deren erlaubt AMIs sind.
Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind:
+ `amazon`— Ein Alias zur Identifizierung, das von Amazon oder verifizierten Anbietern AMIs erstellt wurde
+ `aws-marketplace`— Ein Alias zur Identifizierung, AMIs erstellt von verifizierten Anbietern in der AWS Marketplace
+ `aws-backup-vault`— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist.
+ AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs
+ `none`— Zeigt an, dass nur von Ihrem Konto AMIs erstellte Dateien entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn angegeben, können keine anderen Kriterien angegeben werden.
`ImageNames`
Die Namen sind zulässig AMIs, wobei exakte Übereinstimmungen oder Platzhalter (`?`oder`*`) verwendet werden.
`MarketplaceProductCodes`
Die AWS Marketplace Produktcodes für erlaubt AMIs.
`CreationDateCondition`
Das Höchstalter für erlaubt AMIs.
`DeprecationTimeCondition`
Der maximale Zeitraum seit dem Verfallsdatum für zulässig. AMIs
Die gültigen Werte und Einschränkungen für jedes Kriterium finden Sie [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)in der *Amazon EC2 API-Referenz.*
### Zulässige Konfiguration AMIs
Die Kernkonfiguration für „Zulässig“ AMIs ist die `ImageCriteria` Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs. Die folgende JSON-Struktur zeigt die Parameter, die angegeben werden können:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria Beispiel
Im folgenden `ImageCriteria`-Beispiel werden vier `ImageCriterion` konfiguriert. Ein AMI ist zulässig, wenn es mit einem dieser `ImageCriterion` übereinstimmt. Weitere Informationen über das Auswerten der Kriterien finden Sie unter [So werden Kriterien bewertet](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### So werden Kriterien bewertet
In der folgenden Tabelle werden die Bewertungsregeln erläutert, mit denen festgelegt wird, ob ein AMI zulässig ist, und es wird gezeigt, wie der Operator `AND` bzw. `OR` auf jeder Ebene angewendet wird:
| Auswertungsdaten | Operator | Anforderung für ein zulässiges AMI |
| --- | --- | --- |
| Parameterwerte für ImageProviders, ImageNames und MarketplaceProductCodes | OR | AMI muss mit mindestens einem Wert in jeder Parameterliste übereinstimmen |
| ImageCriterion | AND | AMI muss allen Parametern in jedem ImageCriterion entsprechen |
| ImageCriteria | OR | AMI muss mit einem der ImageCriterion übereinstimmen |
Sehen wir uns anhand der obigen Bewertungsregeln an, wie diese auf [ImageCriteria Beispiel](#allowed-amis-json-configuration-example) angewendet werden können:
+ `ImageCriterion`1: Erlaubt AMIs , die den AWS Marketplace Produktcode haben `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:
+ Gehört einem der Konten `123456789012` `OR` `123456789013`
+ `AND`
+ In den letzten 300 Tagen erstellt
`OR`
+ `ImageCriterion`3: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:
+ Gehört dem Konto `123456789014`
+ `AND`
+ Benannt nach dem Muster `golden-ami-*`
`OR`
+ `ImageCriterion`4: Ermöglicht AMIs , die diese beiden Kriterien erfüllen:
+ Von Amazon oder verifizierten Anbietern veröffentlicht (durch den `amazon`-Alias angegeben)
+ `AND`
+ Nicht veraltet (die maximale Anzahl von Tagen seit der Außerbetriebnahme beträgt `0`)
### Einschränkungen
Das `ImageCriteria` enthält bis zu:
+ 10 `ImageCriterion`
Jedes `ImageCriterion` enthält bis zu:
+ 200 Werte für `ImageProviders`
+ 50 Werte für `ImageNames`
+ 50 Werte für `MarketplaceProductCodes`
**Beispiel für Grenzwerte**
Unter Verwendung des Vorhergehenden [ImageCriteria Beispiel](#allowed-amis-json-configuration-example):
+ Es gibt 4 `ImageCriterion`. Bis zu 6 weitere können der Anforderung hinzugefügt werden, um das Limit von 10 zu erreichen.
+ Im ersten `ImageCriterion` gibt es 1 Wert für `MarketplaceProductCodes`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen.
+ Im zweiten `ImageCriterion` gibt es 2 Werte für `ImageProviders`. Bis zu 198 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 200 zu erreichen.
+ Im dritten `ImageCriterion` gibt es 1 Wert für `ImageNames`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen.
### Zulässige AMIs Operationen
Die AMIs Funktion „Zugelassen“ hat drei Betriebszustände für die Verwaltung der Bildkriterien: **aktiviert**, **deaktiviert** und **Überwachungsmodus**. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen.
**Aktiviert**
Wenn „ AMIs Zulässig“ aktiviert ist:
+ Die `ImageCriteria` werden angewendet.
+ Nur zulässige AMIs sind in der EC2-Konsole auffindbar APIs und verwenden daher Images (z. B. die beschreiben, kopieren, speichern oder andere Aktionen ausführen, die Images verwenden).
+ Instances können nur mit der Option „Zugelassen“ gestartet werden. AMIs
**Disabled**
Wenn Allowed deaktiviert AMIs ist:
+ Die `ImageCriteria` werden nicht angewendet.
+ Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.
**Prüfmodus**
Im Prüfmodus:
+ Die `ImageCriteria` sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.
+ In der EC2-Konsole wird im Feld **Allowed image** für jedes AMI entweder **Ja** oder **Nein** angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist.
+ In der Befehlszeile enthält die Antwort für den `describe-image` Vorgang `"ImageAllowed": true` oder gibt `"ImageAllowed": false` an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist.
+ In der EC2-Konsole wird im AMI-Katalog neben **Nicht erlaubt** angezeigt AMIs , wenn Zulässig aktiviert ist und für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist.
## Bewährte Methoden für die Implementierung von Allowed AMIs
Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren.
1. **Prüfmodus aktivieren**
Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Status können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum ermöglicht.
1. **Legen Sie die zulässigen Kriterien fest AMIs **
Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen.
**Anmerkung**
Wenn Sie AWS verwaltete Services wie Amazon ECS, Amazon EKS oder AWS Lambda Managed Instances verwenden, empfehlen wir, den `amazon` Alias anzugeben, der AMIs erstellt von AWS zugelassen werden soll. Diese Dienste hängen davon ab, ob Amazon Instances veröffentlicht hat AMIs , um sie zu starten.
Seien Sie vorsichtig, wenn Sie `CreationDateCondition` Einschränkungen für irgendwelche festlegen. AMIs Wenn Sie zu restriktive Datumsbedingungen festlegen (z. B. AMIs dürfen sie weniger als 5 Tage alt sein), kann dies zu Fehlern beim Starten von Instances führen, wenn die Daten AMIs, unabhängig davon, ob sie von AWS oder anderen Anbietern stammen, nicht innerhalb des angegebenen Zeitrahmens aktualisiert werden.
Wir empfehlen die Kombination von `ImageNames` mit `ImageProviders`, um eine bessere Kontrolle und Spezifität zu gewährleisten. Durch die alleinige Verwendung von `ImageNames` kann ein AMI möglicherweise nicht eindeutig identifiziert werden.
1. **Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt**
Sie können die Konsole oder die CLI verwenden, um alle Instances zu identifizieren, mit AMIs denen gestartet wurde und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.
Konsole: Verwenden Sie die [ec2- instance-launched-with-allowed AWS Config -ami-Regel](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html), um zu überprüfen, ob laufende oder gestoppte Instances gestartet wurden AMIs , die Ihren Zulassungskriterien entsprechen. AMIs Die Regel lautet **NON\$1COMPLIANT**, wenn ein AMI die AMIs Zulassungskriterien nicht erfüllt, und COMPLIANT, falls dies **der** Fall ist. Die Regel funktioniert nur, wenn die AMIs Einstellung „Zugelassen“ auf „**Aktiviert**“ oder „**Überwachungsmodus**“ gesetzt ist.
CLI: Führen Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit gestartet wurden und die die angegebenen Kriterien nicht erfüllen.
Informationen zur Verwendung der Konsole und der CLI finden Sie unter [Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).
1. **Zulässig aktivieren AMIs**
Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs.
1. **Instance-Starts überwachen**
Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs
1. **Pilot neu AMIs**
Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, werden folgende Methoden AWS empfohlen:
+ Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können.
+ Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben.
Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs
## Erforderliche IAM-Berechtigungen
Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
# Verwalten Sie die Einstellungen für „Zugelassen“ AMIs
Sie können die Einstellungen für Zulässig verwalten AMIs. Diese Einstellungen gelten pro Region pro Konto.
**Topics**
+ [Zulässig aktivieren AMIs](#enable-allowed-amis-criteria)
+ [Legen Sie die AMIs Kriterien für Zulässig fest](#update-allowed-amis-criteria)
+ [Deaktivieren Sie Erlaubt AMIs](#disable-allowed-amis-criteria)
+ [Holen Sie sich die AMIs Kriterien für zulässige](#identify-allowed-amis-state-and-criteria)
+ [Finden Sie heraus AMIs , dass diese erlaubt sind](#identify-amis-that-meet-allowed-amis-criteria)
+ [Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind](#identify-instances-with-allowed-AMIs)
## Zulässig aktivieren AMIs
Sie können „Zulässig“ aktivieren AMIs und die AMIs Kriterien „Zulässig“ angeben. Wir empfehlen, dass Sie im Überwachungsmodus beginnen, der Ihnen zeigt, welche Kriterien von den Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken.
------
#### [ Console ]
**Um „Zugelassen“ zu aktivieren AMIs**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Überwachungsmodus** oder **Aktiviert** aus. Es wird empfohlen, im Überwachungsmodus zu beginnen, die Kriterien zu testen und dann zu diesem Schritt zurückzukehren, um die Option Zulässig zu aktivieren AMIs.
1. (Optional) Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um „Zugelassen“ zu aktivieren AMIs**
Verwenden Sie den Befehl [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```
Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an.
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```
------
#### [ PowerShell ]
**Um „Zugelassen“ zu aktivieren AMIs**
Verwenden Sie das cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```
Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```
------
## Legen Sie die AMIs Kriterien für Zulässig fest
Nachdem Sie „Zugelassen“ aktiviert haben AMIs, können Sie die AMIs Kriterien „Zulässig“ festlegen oder ersetzen.
Die korrekte Konfiguration und gültige Werte finden Sie unter [Zulässige Konfiguration AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) und [Zulässige AMIs Parameter](ec2-allowed-amis.md#allowed-amis-criteria).
------
#### [ Console ]
**Um die AMIs Kriterien „Zulässig“ festzulegen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um die AMIs Kriterien „Zulässig“ festzulegen**
Verwenden Sie den allowed-images-settings Befehl [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) und geben Sie die JSON-Datei an, die die zulässigen AMIs Kriterien enthält.
```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```
------
#### [ PowerShell ]
**Um die zulässigen AMIs Kriterien festzulegen**
Verwenden Sie das [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)Cmdlet und geben Sie die JSON-Datei an, die die Zulassungskriterien enthält. AMIs
```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```
------
## Deaktivieren Sie Erlaubt AMIs
Sie können „Zulässig“ AMIs wie folgt deaktivieren.
------
#### [ Console ]
**Um „Zugelassen“ zu deaktivieren AMIs**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus.
1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Deaktiviert** aus.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um „Zugelassen“ zu deaktivieren AMIs**
Verwenden Sie den Befehl [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).
```
aws ec2 disable-allowed-images-settings
```
------
#### [ PowerShell ]
**Um „Zugelassen“ zu deaktivieren AMIs**
Verwenden Sie das cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).
```
Disable-EC2AllowedImagesSetting
```
------
## Holen Sie sich die AMIs Kriterien für zulässige
Sie können den aktuellen Status der AMIs Einstellung Zulässig und der AMIs Kriterien Zulässig abrufen.
------
#### [ Console ]
**Um den AMIs Status und die Kriterien „Zulässig“ abzurufen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs.
1. Auf der AMIs Registerkarte **Zulässig** ist die ** AMIs Einstellung Zulässige Einstellungen** auf **Aktiviert**, **Deaktiviert** oder **Überwachungsmodus** gesetzt.
1. Wenn der Status von Allowed entweder **Enabled** oder **Audit Mode AMIs ** lautet, werden **AMI-Kriterien** die AMI-Kriterien im JSON-Format angezeigt.
------
#### [ AWS CLI ]
**Um den Status und die Kriterien „ AMIs Zugelassen“ abzurufen**
Verwenden Sie den Befehl [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).
```
aws ec2 get-allowed-images-settings
```
In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt.
```
{
"State": "audit-mode",
"ImageCriteria": [
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
],
"ManagedBy": "account"
}
```
------
#### [ PowerShell ]
**Um den AMIs Status und die Kriterien „Zulässig“ abzurufen**
Verwenden Sie das cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).
```
Get-EC2AllowedImagesSetting | Select-Object `
State, `
ManagedBy, `
@{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
@{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
@{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
@{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
@{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```
In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt.
```
State : audit-mode
ManagedBy : account
ImageProviders : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes : {abcdefg1234567890}
ImageNames : {golden-ami-*}
MaximumDaysSinceCreated : 300
MaximumDaysSinceDeprecated: 0
```
------
## Finden Sie heraus AMIs , dass diese erlaubt sind
Sie können herausfinden AMIs , welche nach den aktuellen AMIs Zulassungskriterien zulässig oder nicht zulässig sind.
**Anmerkung**
AMIs Zulässig muss sich im Überwachungsmodus befinden.
------
#### [ Console ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI aus.
1. Suchen Sie auf der Registerkarte **Details** (wenn Sie das Kontrollkästchen aktiviert haben) oder im Übersichtsbereich (wenn Sie die AMI-ID ausgewählt haben) das Feld **Zulässiges AMI**.
+ **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien. Dieses AMI steht Benutzern in Ihrem Konto zur Verfügung, nachdem Sie Allowed aktiviert habenAMIs.
+ **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien.
1. Wählen Sie im Navigationsbereich die Option **AMI-Katalog** aus.
Ein AMI, das als **Nicht zulässig** markiert ist, weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto nicht sichtbar oder verfügbar, wenn Zulässig aktiviert AMIs ist.
------
#### [ AWS CLI ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].ImageAllowed \
--output text
```
Es folgt eine Beispielausgabe.
```
True
```
**Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen**
Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--filters "Name=image-allowed,Values=true" \
--max-items 10 \
--query Images[].ImageId
```
Es folgt eine Beispielausgabe.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
#### [ PowerShell ]
**Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt**
Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```
Es folgt eine Beispielausgabe.
```
True
```
**Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen**
Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-Filter @{Name="image-allows";Values="true"} `
-MaxResult 10 | `
Select ImageId
```
Es folgt eine Beispielausgabe.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
## Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind
Sie können die Instances identifizieren, die mit einem AMI gestartet wurden, das die AMIs Zulassungskriterien nicht erfüllt.
------
#### [ Console ]
**So überprüfen Sie, ob eine Instance mit einem nicht zulässigen AMI gestartet wurde**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus.
1. Suchen Sie auf der Registerkarte **Details** unter **Instance-Details** **Zulässiges Image**.
+ **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien.
+ **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien.
------
#### [ AWS CLI ]
**So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind**
Verwenden Sie den Befehl [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) mit dem Filter `image-allowed`.
```
aws ec2 describe-instance-image-metadata \
--filters "Name=image-allowed,Values=false" \
--query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
--output table
```
Es folgt eine Beispielausgabe.
```
--------------------------------------------------
| DescribeInstanceImageMetadata |
+----------------------+-------------------------+
| i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 |
| i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f |
| i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 |
| i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 |
| i-0781e91cfeca3179d | ami-00c257e12d6828491 |
| i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 |
+----------------------+-------------------------+
```
------
#### [ PowerShell ]
**So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind**
Verwenden Sie das cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).
```
Get-EC2InstanceImageMetadata `
-Filter @{Name="image-allowed";Values="false"} | `
Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```
Es folgt eine Beispielausgabe.
```
InstanceId ImageId
---------- -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```
------
#### [ AWS Config ]
Sie können die **ec2- instance-launched-with-allowed AWS Config -ami-Regel** hinzufügen, sie für Ihre Anforderungen konfigurieren und sie dann zur Evaluierung Ihrer Instances verwenden.
*Weitere Informationen finden Sie unter [AWS Config Regeln hinzufügen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) und [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) im Entwicklerhandbuch.AWS Config *
------
# Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen
Sie können Ihr AMI öffentlich zugänglich machen, indem Sie es mit allen teilen AWS-Konten.
Wenn Sie verhindern möchten, dass Ihr Konto öffentlich geteilt wird AMIs, können Sie die Option *Öffentlichen Zugriff sperren für* aktivieren AMIs. Dadurch werden alle Versuche, ein AMI zu veröffentlichen, blockiert, was dazu beiträgt, unbefugten Zugriff und potenziellen Missbrauch von AMI-Daten zu verhindern. Beachten Sie, dass sich die Aktivierung des Blocks öffentlichen Zugriffs nicht auf Ihre AMIs bereits öffentlich verfügbaren Dateien auswirkt. Sie bleiben weiterhin öffentlich verfügbar. Weitere Informationen finden Sie unter [Verstehen Sie, öffentlichen Zugriff sperren für AMIs](block-public-access-to-amis.md).
Wenn Sie nur bestimmten Konten erlauben möchten, Ihr AMI zum Starten von Instances zu verwenden, lesen Sie [Teilen Sie ein AMI mit bestimmten AWS Konten](sharingamis-explicit.md).
**Topics**
+ [Überlegungen](#considerations-for-sharing-public-AMIs)
+ [Ein AMI mit allen AWS Konten teilen (öffentlich teilen)](#share-an-ami-publicly)
## Überlegungen
Beachten Sie Folgendes, bevor Sie ein AMI öffentlich machen.
+ **Eigentum** — Um ein AMI zu veröffentlichen, AWS-Konto müssen Sie Eigentümer des AMI sein.
+ **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md).
+ **Öffentlichen Zugriff blockieren** — Um ein AMI öffentlich zu teilen, AMIs muss in jeder Region, in der das AMI öffentlich geteilt wird, die [Sperrung des öffentlichen Zugriffs für](block-public-access-to-amis.md) deaktiviert sein. Nachdem Sie das AMI öffentlich geteilt haben, können Sie Block Public Access wieder aktivieren, AMIs um zu verhindern, dass Ihr AMIs AMI weiter öffentlich geteilt wird.
+ **Einige AMIs können nicht veröffentlicht werden** — Wenn Ihr AMI eine der folgenden Komponenten enthält, können Sie es nicht veröffentlichen (aber Sie können [das AMI mit bestimmten teilen AWS-Konten](sharingamis-explicit.md)):
+ Verschlüsselte Volumes
+ Snapshots von verschlüsselten Volumes
+ Produkt-Codes
+ **Offenlegung sensibler Daten vermeiden**: Damit beim Freigeben eines AMI keine sensiblen Daten offengelegt werden, lesen Sie die Sicherheitserwägungen in [Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs](building-shared-amis.md) und folgen Sie den empfohlenen Verfahren.
+ **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen.
+ **Automatische Deprecation** — Standardmäßig AMIs ist das Verfallsdatum aller öffentlichen Inhalte auf zwei Jahre ab dem Erstellungsdatum des AMI festgelegt. Sie können das Veralterungsdatum auf weniger als zwei Jahre festlegen. Um das Verfallsdatum zu stornieren oder das Verfallsdatum auf ein späteres Datum zu verschieben, müssen Sie das AMI privat machen, indem Sie es nur mit bestimmten Personen [teilen](sharingamis-explicit.md). AWS-Konten
+ **Obsolete entfernen AMIs** — Wenn ein öffentliches AMI sein Verfallsdatum erreicht hat und sechs oder mehr Monate lang keine neuen Instances über das AMI gestartet wurden, wird AWS schließlich die öffentliche Freigabeeigenschaft entfernt, sodass veraltete Instanzen AMIs nicht in den öffentlichen AMI-Listen erscheinen.
+ **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.
## Ein AMI mit allen AWS Konten teilen (öffentlich teilen)
Nachdem Sie ein AMI veröffentlicht haben, ist es in **Community AMIs** in der Konsole verfügbar, auf die Sie über den **AMI-Katalog** im linken Navigator der EC2-Konsole oder beim Starten einer Instance über die Konsole zugreifen können. Beachten Sie, dass es eine Weile dauern kann, bis ein AMI in der **Community** erscheint, AMIs nachdem Sie es veröffentlicht haben.
------
#### [ Console ]
**Veröffentlichen eines AMI**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI in der Liste aus und wählen Sie **Aktionen**, **AMI-Berechtigungen bearbeiten** aus.
1. Unter **AMI-Verfügbarkeit** wählen Sie **Öffentlich** aus.
1. Wählen Sie **Änderungen speichern ** aus.
------
#### [ AWS CLI ]
Jedes AMI hat eine `launchPermission` Eigenschaft, die steuert AWS-Konten, welche außer denen des Besitzers dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die `launchPermission` Eigenschaft eines AMI ändern, können Sie das AMI öffentlich machen (wodurch allen Startberechtigungen gewährt werden AWS-Konten) oder es nur mit den von Ihnen angegebenen AWS-Konten Benutzern teilen.
Sie können ein Konto zur Liste der Konten hinzufügen oder IDs daraus entfernen, die Startberechtigungen für ein AMI haben. Um ein AMI zu veröffentlichen, geben Sie die `all`-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben.
**Veröffentlichen eines AMI**
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) wie folgt, um die `all`-Gruppe zur `launchPermission`-Liste für das angegebene AMI hinzuzufügen.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{Group=all}]"
```
1. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)-Befehl.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
1. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die `all`-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{Group=all}]"
```
------
#### [ PowerShell ]
Jedes AMI hat eine `launchPermission` Eigenschaft, die steuert AWS-Konten, welche außer denen des Besitzers dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die `launchPermission` Eigenschaft eines AMI ändern, können Sie das AMI öffentlich machen (wodurch allen Startberechtigungen gewährt werden AWS-Konten) oder es nur mit den von Ihnen angegebenen AWS-Konten Benutzern teilen.
Sie können ein Konto zur Liste der Konten hinzufügen oder IDs daraus entfernen, die Startberechtigungen für ein AMI haben. Um ein AMI zu veröffentlichen, geben Sie die `all`-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben.
**Veröffentlichen eines AMI**
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) wie folgt, um die `all`-Gruppe zur `launchPermission`-Liste für das angegebene AMI hinzuzufügen.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserGroup all
```
1. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den folgenden [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)-Befehl.
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
1. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die `all`-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-UserGroup all
```
------
# Verstehen Sie, öffentlichen Zugriff sperren für AMIs
Um zu verhindern, dass Ihre Inhalte öffentlich geteilt werden AMIs, können Sie die Option „*Öffentlichen Zugriff sperren*“ AMIs auf Kontoebene aktivieren.
Wenn Block Public Access aktiviert ist, wird jeder Versuch, ein AMI öffentlich zu machen, automatisch blockiert. Wenn Sie jedoch bereits öffentlich sind AMIs, bleiben sie weiterhin öffentlich verfügbar.
Um sie öffentlich zu teilen AMIs, müssen Sie den öffentlichen Zugriff blockieren deaktivieren. Wenn Sie mit dem Teilen fertig sind, empfiehlt es sich, die Option „Öffentlichen Zugriff sperren“ wieder zu aktivieren, um ein unbeabsichtigtes öffentliches Teilen Ihrer Inhalte zu verhindern. AMIs
**Anmerkung**
Diese Einstellung wird auf Kontoebene konfiguriert, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Es muss in allen Bereichen konfiguriert werden, in AWS-Region denen Sie verhindern möchten, dass Ihre Inhalte öffentlich geteilt werden. AMIs Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.
Sie können die IAM-Berechtigungen auf Administratorbenutzer beschränken, sodass nur dieser den öffentlichen Zugriff aktivieren oder deaktivieren kann. AMIs
**Topics**
+ [Standardeinstellungen](#block-public-access-to-amis-default-settings)
+ [Verwalte die Einstellung „Öffentlichen Zugriff blockieren“ für AMIs](manage-block-public-access-for-amis.md)
## Standardeinstellungen
Die AMIs Einstellung „**Öffentlichen Zugriff blockieren für**“ ist standardmäßig entweder aktiviert oder deaktiviert, je nachdem, ob Ihr Konto neu oder bereits vorhanden ist und ob Sie über ein öffentliches AMIs Konto verfügen. In der folgenden Tabelle werden die Standardeinstellungen aufgeführt:
| AWS Konto | Sperren Sie den öffentlichen Zugriff für die AMIs Standardeinstellung |
| --- | --- |
| Neue Konten | Aktiviert |
| Bestehende Konten ohne öffentliche Konten AMIs ¹ | Aktiviert |
| Bestehende Konten mit einem oder mehreren öffentlichen Konten AMIs | Disabled |
¹ Wenn Ihr Konto AMIs am oder nach dem 15. Juli 2023 über ein oder mehrere öffentliche Konten verfügte, AMIs ist die Option **Öffentlichen Zugriff sperren** für für Ihr Konto standardmäßig deaktiviert, auch wenn Sie anschließend alle Konten AMIs privat gemacht haben.
# Verwalte die Einstellung „Öffentlichen Zugriff blockieren“ für AMIs
Sie können die Einstellung „Öffentlicher Zugriff“ für Ihre AMIs verwalten, um zu kontrollieren, ob sie öffentlich geteilt werden können. Sie können den aktuellen Status der Blockierung des öffentlichen Zugriffs für Ihre AMIs mithilfe der Amazon-EC2-Konsole oder der AWS CLI aktivieren, deaktivieren oder anzeigen.
## Sehen Sie sich den Status „Öffentlichen Zugriff blockieren“ an für AMIs
Um zu sehen, ob das öffentliche Teilen von Ihnen in Ihrem Konto gesperrt AMIs ist, können Sie den Status für die Sperrung des öffentlichen Zugriffs einsehen AMIs. Sie müssen den jeweiligen Bundesstaat einsehen, AWS-Region in dem Sie sehen möchten, ob das öffentliche Teilen Ihres Kontos gesperrt AMIs ist.
**Erforderliche Berechtigungen**
Um die aktuelle Einstellung zum Sperren des öffentlichen Zugriffs für abzurufen AMIs, benötigen Sie die `GetImageBlockPublicAccessState` IAM-Berechtigung.
------
#### [ Console ]
**Um den Status der Blockierung des öffentlichen Zugriffs AMIs in der angegebenen Region anzuzeigen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die der Status „Öffentlicher Zugriff gesperrt“ angezeigt werden soll AMIs.
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus.
1. Aktivieren Sie unter **Öffentlichen Zugriff sperren für AMIs** das Feld **Öffentlicher Zugriff**. Der Wert lautet entweder **Neues öffentliches Teilen blockiert** oder **Neues öffentliches Teilen erlaubt**.
------
#### [ AWS CLI ]
**Um den Status „Öffentlichen Zugriff blockieren“ abzurufen für AMIs**
Verwenden Sie den Befehl [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). Der Wert ist entweder `block-new-sharing` oder `unblocked`.
**Beispiel: Für eine spezifische Region**
```
aws ec2 get-image-block-public-access-state --region us-east-1
```
Das `ManagedBy`-Feld gibt die Entität an, die die Einstellung konfiguriert hat. `account` zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von `declarative-policy` würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.
```
{
"ImageBlockPublicAccessState": "block-new-sharing",
"ManagedBy": "account"
}
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 get-image-block-public-access-state \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Es folgt eine Beispielausgabe.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 unblocked
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Um den Status des Blockierens des öffentlichen Zugriffs für abzurufen AMIs**
Verwenden Sie das cmdlet [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html). Der Wert ist entweder `block-new-sharing` oder `unblocked`.
**Beispiel: Für eine spezifische Region**
```
Get-EC2ImageBlockPublicAccessState -Region us-east-1
```
Es folgt eine Beispielausgabe.
```
block-new-sharing
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_)
}
} | `
Format-Table -AutoSize
```
Es folgt eine Beispielausgabe.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Aktivieren Sie „Öffentlichen Zugriff blockieren“ für AMIs
Um zu verhindern, dass Ihre Inhalte öffentlich geteilt werden AMIs, aktivieren Sie die Option Öffentlichen Zugriff sperren für AMIs auf Kontoebene. Sie müssen die Option „Öffentlichen Zugriff sperren“ für AMIs alle AWS-Region Bereiche aktivieren, in denen Sie das öffentliche Teilen Ihrer Daten verhindern möchten AMIs. Wenn Sie bereits öffentlich sind AMIs, bleiben diese öffentlich verfügbar.
**Erforderliche Berechtigungen**
Um die Einstellung „Öffentlichen Zugriff blockieren“ für zu aktivieren AMIs, benötigen Sie die `EnableImageBlockPublicAccess` IAM-Berechtigung.
**Überlegungen**
+ Es kann bis zu 10 Minuten dauern, diese Einstellung zu konfigurieren. Wenn Sie während dieser Zeit den Status des öffentlichen Zugriffs beschreiben, lautet die Antwort `unblocked`. Wenn die Konfiguration abgeschlossen ist, lautet die Antwort `block-new-sharing`.
------
#### [ Console ]
**Um die Option „Öffentlichen Zugriff blockieren“ für die angegebene AMIs Region zu aktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die die Sperrung des öffentlichen Zugriffs aktiviert werden soll AMIs.
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus.
1. Wählen Sie unter **Öffentlichen Zugriff sperren für AMIs die** Option **Verwalten** aus.
1. Wählen Sie das Kontrollkästchen **Öffentliche Freigabe blockieren** und wählen Sie **Aktualisieren**.
------
#### [ AWS CLI ]
**Um „Öffentlichen Zugriff blockieren“ zu aktivieren für AMIs**
Verwenden Sie den Befehl [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html).
**Beispiel: Für eine spezifische Region**
```
aws ec2 enable-image-block-public-access \
--region us-east-1 \
--image-block-public-access-state block-new-sharing
```
Es folgt eine Beispielausgabe.
```
{
"ImageBlockPublicAccessState": "block-new-sharing"
}
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 enable-image-block-public-access \
--region $region \
--image-block-public-access-state block-new-sharing \
--output text)
echo -e "$region \t $output"
);
done
```
Es folgt eine Beispielausgabe.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Um den öffentlichen Zugriff blockieren für zu aktivieren AMIs**
Verwenden Sie den Befehl [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html).
**Beispiel: Für eine spezifische Region**
```
Enable-EC2ImageBlockPublicAccess `
-Region us-east-1 `
-ImageBlockPublicAccessState block-new-sharing
```
Es folgt eine Beispielausgabe.
```
Value
-----
block-new-sharing
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (
Enable-EC2ImageBlockPublicAccess `
-Region $_ `
-ImageBlockPublicAccessState block-new-sharing)
}
} | `
Format-Table -AutoSize
```
Es folgt eine Beispielausgabe.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Deaktivieren Sie die Option „Öffentlichen Zugriff blockieren“ für AMIs
Damit die Nutzer in Ihrem Konto Ihr Konto öffentlich teilen können AMIs, deaktivieren Sie die Option „Öffentlichen Zugriff sperren“ auf Kontoebene. Sie müssen die Sperrung des öffentlichen Zugriffs für AMIs alle AWS-Region Bereiche deaktivieren, in denen Sie das öffentliche Teilen Ihrer Daten zulassen möchtenAMIs.
**Erforderliche Berechtigungen**
Um die Einstellung „Öffentlichen Zugriff blockieren“ für zu deaktivieren AMIs, benötigen Sie die `DisableImageBlockPublicAccess` IAM-Berechtigung.
**Überlegungen**
+ Es kann bis zu 10 Minuten dauern, diese Einstellung zu konfigurieren. Wenn Sie während dieser Zeit den Status des öffentlichen Zugriffs beschreiben, lautet die Antwort `block-new-sharing`. Wenn die Konfiguration abgeschlossen ist, lautet die Antwort `unblocked`.
------
#### [ Console ]
**Um den öffentlichen Zugriff blockieren für die angegebene AMIs Region zu deaktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die Sie die Sperrung des öffentlichen Zugriffs deaktivieren möchten AMIs.
1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.
1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus.
1. Wählen Sie unter **Öffentlichen Zugriff sperren für AMIs die** Option **Verwalten** aus.
1. Wählen Sie das Kontrollkästchen **Öffentliche Freigabe blockieren** ab und wählen Sie **Speichern**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **confirm** ein und wählen Sie dann **Allow public sharing (Öffentliches Teilen zulassen)** aus.
------
#### [ AWS CLI ]
**Um den öffentlichen Zugriff blockieren für zu deaktivieren AMIs**
Verwenden Sie den Befehl [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html).
**Beispiel: Für eine spezifische Region**
```
aws ec2 disable-image-block-public-access --region us-east-1
```
Es folgt eine Beispielausgabe.
```
{
"ImageBlockPublicAccessState": "unblocked"
}
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 disable-image-block-public-access \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Es folgt eine Beispielausgabe.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
#### [ PowerShell ]
**Um den öffentlichen Zugriff blockieren für zu deaktivieren AMIs**
Verwenden Sie das cmdlet [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html).
**Beispiel: Für eine spezifische Region**
```
Disable-EC2ImageBlockPublicAccess -Region us-east-1
```
Es folgt eine Beispielausgabe.
```
Value
-----
unblocked
```
**Beispiel: Für all Regionen in Ihrem Konto**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_)
}
} | `
Format-Table -AutoSize
```
Es folgt eine Beispielausgabe.
```
Region PublicAccessState
------ -----------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
# Ein AMI für bestimmte Organisationen oder Organisationseinheiten freigeben
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. Sie können ein AMI zusätzlich zur [Freigabe für bestimmte Konten](sharingamis-explicit.md) für eine von Ihnen erstellte Organisation oder Organisationseinheit (OE) freigeben.
Eine Organisation ist eine juristische Stelle, die Sie erstellen, um Ihre AWS-Konten zu konsolidieren und zentral zu verwalten. Sie können die Konten in einer hierarchischen, Baumstruktur organisieren, mit einem [Stamm](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) an der Spitze und [Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit), die unterhalb des Organisationsstamms angeordnet sind. Jedes Konto kann direkt zum Stammkonto hinzugefügt oder einem der Konten OUs in der Hierarchie zugeordnet werden. Weitere Informationen finden Sie unter [AWS -Organizations – Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *AWS Organizations -Benutzerhandbuch*.
Wenn Sie ein AMI für eine Organisation oder eine OE freigeben, erhalten alle untergeordneten Konten Zugriff auf das AMI. Im folgenden Diagramm wird das AMI beispielsweise mit einer Organisationseinheit der obersten Ebene geteilt (durch den Pfeil bei der Nummer **1** angezeigt). Alle Konten OUs und, die sich unterhalb dieser Organisationseinheit der obersten Ebene befinden (gekennzeichnet durch die gepunktete Linie bei Nummer **2**), haben ebenfalls Zugriff auf das AMI. Die Konten in der Organisation und OE außerhalb der gestrichelten Linie (gekennzeichnet durch die Zahl **3**) haben keinen Zugriff auf das AMI, da sie der OE nicht untergeordnet sind, für die das AMI freigegeben ist.
![\[Das AMI wird mit einer Organisationseinheit geteilt, und alle Kinder OUs und Konten erhalten Zugriff auf das AMI.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)
**Topics**
+ [Überlegungen](#considerations-org-ou)
+ [Den ARN einer Organisation oder Organisationseinheit abrufen](get-org-ou-ARN.md)
+ [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md)
+ [Gemeinsame Nutzung von AMI mit einer Organisation oder OU verwalten](share-amis-org-ou-manage.md)
## Überlegungen
Beachten Sie bei der Weitergabe AMIs an bestimmte Organisationen oder Organisationseinheiten Folgendes.
+ **Eigentümerschaft** – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein.
+ **Freigabelimits** — Der AMI-Besitzer kann ein AMI mit jeder Organisation oder Organisationseinheit teilen, auch mit Organisationen OUs , denen er nicht angehört.
Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter [Amazon-EC2-Service-Quotas](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tags** – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI teilen, sind Ihre benutzerdefinierten Tags für niemanden AWS-Konto in einer Organisation oder Organisationseinheit verfügbar, mit der das AMI geteilt wird.
+ **ARN-Format**: Wenn Sie eine Organisation oder OE in einem Befehl angeben, achten Sie darauf, das richtige ARN-Format zu verwenden. Sie erhalten eine Fehlermeldung, wenn Sie nur die ID angeben, z. B. wenn Sie nur `o-123example` oder `ou-1234-5example` angeben.
Richtige ARN-Formate:
+ ARN der Organisation: `arn:aws:organizations::111122223333:organization/organization-id`
+ OE-ARN: `arn:aws:organizations::111122223333:ou/organization-id/ou-id`
Wobei Folgendes gilt:
+ *`111122223333`* ist ein Beispiel für die 12-stellige Konto-ID für das Verwaltungskonto. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation oder die Organisationseinheit beschreiben, um den ARN zu erhalten, der die Verwaltungskontonummer enthält. Weitere Informationen finden Sie unter [Den ARN einer Organisation oder Organisationseinheit abrufen](get-org-ou-ARN.md).
+ *`organization-id`* ist die Organisations-ID, beispielsweise `o-123example`.
+ *`ou-id`* ist die ID der Organisationseinheit, beispielsweise `ou-1234-5example`.
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*.
+ **Verschlüsselung und Schlüssel** — Sie können Daten teilen AMIs , die durch unverschlüsselte und verschlüsselte Snapshots gesichert sind.
+ Die verschlüsselten Snapshots müssen mit einem vom Kunden verwalteten Schlüssel verschlüsselt sein. Sie können keine Dateien teilenAMIs , die auf Snapshots basieren, die mit dem verwalteten AWS Standardschlüssel verschlüsselt wurden.
+ Wenn Sie ein AMI gemeinsam nutzen, das auf verschlüsselten Snapshots basiert, müssen Sie den Organisationen oder OUs der Verwendung der vom Kunden verwalteten Schlüssel, die zur Verschlüsselung der Snapshots verwendet wurden, gestatten. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md).
+ **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md).
+ **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen.
+ **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.
# Den ARN einer Organisation oder Organisationseinheit abrufen
Die Organisation und die Organisationseinheit ARNs enthalten die 12-stellige Verwaltungskontonummer. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation und die Organisationseinheit beschreiben, um den jeweiligen ARN zu erhalten. In den folgenden Beispielen ist `123456789012` die Konto-ID des Verwaltungskontos.
**Erforderliche Berechtigungen**
Bevor Sie die erhalten können ARNs, müssen Sie über die Erlaubnis verfügen, Organisationen und Organisationseinheiten zu beschreiben. Die folgende Richtlinie bietet die erforderliche Berechtigung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*"
],
"Resource": "*"
}
]
}
```
------
------
#### [ AWS CLI ]
**So erhalten Sie den ARN einer Organisation**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Fügen Sie die Option `--query` hinzu, um nur den Organisations-ARN zurückzugeben.
```
aws organizations describe-organization --query 'Organization.Arn'
```
Es folgt eine Beispielausgabe.
```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```
**So erhalten Sie den ARN einer Organisationseinheit**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Verwenden Sie den `--query`-Parameter, um nur den ARN der Organisationseinheit zurückzugeben.
```
aws organizations describe-organizational-unit \
--organizational-unit-id ou-a123-b4567890 \
--query 'OrganizationalUnit.Arn'
```
Es folgt eine Beispielausgabe.
```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```
------
#### [ PowerShell ]
**So erhalten Sie den ARN einer Organisation**
Verwenden Sie das ORGOrganization Cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html).
```
(Get-ORGOrganization).Arn
```
Es folgt eine Beispielausgabe.
```
arn:aws:organizations::123456789012:organization/o-1234567abc
```
**So erhalten Sie den ARN einer Organisationseinheit**
Verwenden Sie das [Cmdlet Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).
```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```
Es folgt eine Beispielausgabe.
```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```
------
# Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels
Wenn Sie ein AMI gemeinsam nutzen, das durch verschlüsselte Snapshots unterstützt wird, müssen Sie auch den Organisationen oder Organisationseinheiten (OUs) erlauben, die KMS-Schlüssel zu verwenden, die zum Verschlüsseln der Snapshots verwendet wurden.
**Anmerkung**
Die verschlüsselten Snapshots müssen mit einem *vom Kunden verwalteten* Schlüssel verschlüsselt sein. Sie können keine Dateien teilen AMIs , die auf Snapshots basieren, die mit dem verwalteten Standardschlüssel verschlüsselt sind. AWS
Um den Zugriff auf den KMS-Schlüssel zu steuern, können Sie in der [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) die Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) verwenden, um nur bestimmten Prinzipalen Zugriff auf die angegebenen Aktionen zu gewähren. Ein Principal kann ein Benutzer, eine IAM-Rolle, ein Verbundbenutzer oder AWS-Konto ein Root-Benutzer sein.
Die Bedingungsschlüssel werden wie folgt verwendet:
+ `aws:PrincipalOrgID` – Erlaubt jeden Prinzipal, der zu der Organisation gehört, die durch die angegebene ID repräsentiert wird.
+ `aws:PrincipalOrgPaths`— Erlaubt jeden Prinzipal, der zu den durch die angegebenen Pfade OUs dargestellten gehört.
Um einer Organisation (einschließlich der zugehörigen Konten OUs und Konten) die Erlaubnis zur Verwendung eines KMS-Schlüssels zu erteilen, fügen Sie der Schlüsselrichtlinie die folgende Anweisung hinzu.
```
{
"Sid": "Allow access for organization root",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
}
}
}
```
Um bestimmten OUs (und den zugehörigen Konten) Berechtigungen zur Verwendung eines KMS-Schlüssels zu erteilen, können Sie eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt.
```
{
"Sid": "Allow access for specific OUs and their descendants",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
},
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-123example/r-ab12/ou-ab12-33333333/*",
"o-123example/r-ab12/ou-ab12-22222222/*"
]
}
}
}
```
Weitere Beispiele für Bedingungsanweisungen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) im *IAM-Benutzerhandbuch*.
Weitere Informationen über kontoübergreifender Zugriff finden Sie im *AWS Key Management Service -Entwicklerhandbuch* unter [Zulassen der Verwendung eines KMS-Schlüssels durch Benutzer in anderen Konten](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html).
# Gemeinsame Nutzung von AMI mit einer Organisation oder OU verwalten
Verwalten Sie die gemeinsame AMI-Verwendung mit Organisationen und Organisationseinheiten (OUs), um zu kontrollieren, ob diese Amazon-EC2-Instances starten können.
## Sehen Sie sich die Organisationen an, OUs mit denen ein AMI geteilt wird
Sie können die Organisationen finden, OUs mit denen Sie Ihr AMI geteilt haben.
------
#### [ Console ]
**Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie Ihr AMI in der Liste aus, wählen Sie den Tab **Permissions** und scrollen Sie nach unten zu **Shared Organizations/ OUs**.
Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter. [Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md)
------
#### [ AWS CLI ]
**Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) mit dem Attribut `launchPermission`.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"ImageId": "ami-0abcdef1234567890",
"LaunchPermissions": [
{
"OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
}
]
}
```
------
#### [ PowerShell ]
**Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben**
Verwenden Sie das cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## Ein AMI für eine Organisation oder einer OE freigeben
Sie können ein AMI für eine Organisation oder einer OU freigeben
**Anmerkung**
Sie brauchen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss freigegeben werden. Das System stellt automatisch Instance-Zugriff auf die referenzierten EBS-Snapshots für den Start bereit. Sie müssen jedoch die KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md).
------
#### [ Console ]
**So geben Sie ein AMI für eine Organisation oder einer OE frei**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus.
1. Unter **AMI-Verfügbarkeit** wählen Sie **Privat** aus.
1. Wählen Sie neben **Gemeinsam genutzte Organisationen/** die Option OUs ARN **hinzufügen organization/OU ** aus.
1. Geben Sie für **Organization/OU ARN** (ARN der Organisation/OE) den ARN der Organisation oder OE ein, für den Sie das AMI freigeben möchten, und wählen Sie dann **Share AMI** (AMI freigeben) aus. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID.
Um dieses AMI mit mehreren Organisationen zu teilen oder wiederholen Sie diesen Schritt OUs, bis Sie alle erforderlichen Organisationen hinzugefügt haben oder OUs.
1. Wählen Sie abschließend **Save changes** (Änderungen speichern) aus.
1. (Optional) Um die Organisationen anzuzeigen oder OUs mit denen Sie das AMI geteilt haben, wählen Sie das AMI in der Liste aus, klicken Sie auf die Registerkarte **Berechtigungen** und scrollen Sie nach unten zu **Gemeinsam genutzte Organisationen/ OUs**. Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter. [Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md)
------
#### [ AWS CLI ]
**So geben Sie ein AMI für eine Organisation frei**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html), um der angegebenen Organisation Startberechtigungen für das angegebene AMI zu erteilen.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**So geben Sie ein AMI für eine OE frei**
Der [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)Befehl gewährt der angegebenen Organisationseinheit Startberechtigungen für das angegebene AMI. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```
------
#### [ PowerShell ]
Verwenden Sie den [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)Befehl (Tools für Windows PowerShell), um ein AMI gemeinsam zu nutzen, wie in den folgenden Beispielen gezeigt.
**So geben Sie ein AMI für eine Organisation oder einer OE frei**
Der folgende Befehl erteilt der angegebenen Organisation Startberechtigungen für das angegebene AMI.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**So beenden Sie die Freigabe eines AMI für eine Organisation oder OE**
Der folgende Befehl entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation:
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten**
Der folgende Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## So beenden Sie die Freigabe eines AMI für eine Organisation oder OU
Sie können die Freigabe eines AMI für eine Organisation oder OU beenden.
**Anmerkung**
Sie können die Freigabe eines AMI für ein bestimmtes Konto nicht beenden, wenn es sich in einer Organisation oder OE befindet, für die ein AMI freigegeben ist. Wenn Sie versuchen, die Freigabe des AMI zu beenden, indem Sie die Startberechtigungen für das Konto entfernen, gibt Amazon EC2 eine Erfolgsmeldung zurück. Das AMI ist jedoch weiterhin für das Konto freigegeben.
------
#### [ Console ]
**So beenden Sie die Freigabe eines AMI für eine Organisation oder OE**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus.
1. Wählen Sie unter **Gemeinsam genutzte Organisationen/** die Organisationen ausOUs, für die Sie das AMI nicht mehr teilen möchten, und wählen Sie dann Ausgewählte **entfernen** aus. OUs
1. Wählen Sie abschließend **Save changes** (Änderungen speichern) aus.
1. (Optional) Um zu bestätigen, dass Sie das AMI nicht mehr mit den Organisationen teilenOUs, oder wählen Sie das AMI in der Liste aus, wählen Sie die Registerkarte **Berechtigungen** und scrollen Sie nach unten zu **Gemeinsam genutzte Organisationen/ OUs**.
------
#### [ AWS CLI ]
**So beenden Sie die Freigabe eines AMI für eine Organisation oder OE**
Verwenden Sie den Befehl [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Dieses Beispiel entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Dieses Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
**So beenden Sie die Freigabe eines AMI für eine Organisation oder OE**
Verwenden Sie das cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). Dieses Beispiel entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten**
Verwenden Sie das cmdlet [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). Dieses Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute LaunchPermission
```
------
# Teilen Sie ein AMI mit bestimmten AWS Konten
Sie können ein AMI mit bestimmten Personen teilen, AWS-Konten ohne das AMI zu veröffentlichen. Alles was Sie brauchen ist die AWS-Konto IDs.
Eine AWS-Konto ID ist eine 12-stellige Zahl`012345678901`, die z. B. eine AWS-Konto eindeutig identifiziert. Weitere Informationen finden Sie unter [AWS-Konto -Kennungen anzeigen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) im *Referenzleitfaden für AWS -Kontenverwaltung *.
## Überlegungen
Beachten Sie beim Teilen AMIs mit bestimmten AWS-Konten Personen Folgendes.
+ **Eigentümerschaft** – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein.
+ **Freigabelimits** – Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter [Amazon-EC2-Service-Quotas](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tags** – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI teilen, sind Ihre benutzerdefinierten Tags für niemanden verfügbar, mit dem AWS-Konto das AMI geteilt wird.
+ **Snapshots** – Sie müssen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht freigeben, um das AMI freizugeben. Sie können nur das AMI selbst freigeben. Das System stellt automatisch Instance-Zugriff auf die referenzierten EBS-Snapshots für den Start bereit. Sie müssen jedoch sämtliche KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die ein AMI verweist. Weitere Informationen finden Sie unter [Amazon-EBS-Snapshot freigeben](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) im *Amazon-EBS-Benutzerhandbuch*.
+ **Verschlüsselung und Schlüssel** — Sie können Daten teilen AMIs , die durch unverschlüsselte und verschlüsselte Snapshots gesichert sind.
+ Die verschlüsselten Snapshots müssen mit einem KMS-Schlüssel verschlüsselt werden. Sie können keine Dateien teilen AMIs , die auf Snapshots basieren, die mit dem verwalteten AWS Standardschlüssel verschlüsselt wurden.
+ Wenn Sie ein AMI teilen, das von verschlüsselten Snapshots unterstützt wird, müssen Sie zulassen, dass die AWS-Konten KMS-Schlüssel verwendet werden, die zum Verschlüsseln der Snapshots verwendet wurden. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md). Informationen zur Einrichtung der Schlüsselrichtlinie, die Sie zum Starten von Auto Scaling Scaling-Instances benötigen, wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, finden Sie unter [Erforderliche AWS KMS key Richtlinie für die Verwendung mit verschlüsselten Volumes](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.
+ **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der entsprechenden Region verfügbar. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md).
+ **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Nachdem sie jedoch eine Instance mit Ihrem AMI gestartet haben, können sie dann ein AMI aus ihrer eigenen Instance erstellen.
+ **Geteiltes kopieren AMIs** — Wenn Benutzer in einem anderen Konto ein gemeinsam genutztes AMI kopieren möchten, müssen Sie ihnen Leseberechtigungen für den Speicher gewähren, der das AMI unterstützt. Weitere Informationen finden Sie unter [Kontoübergreifendes Kopieren](how-ami-copy-works.md#copy-ami-across-accounts).
+ **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.
------
#### [ Console ]
**Erteilen expliziter Startberechtigungen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **AMIs** aus.
1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus.
1. Wählen Sie **Private (Privat)** aus.
1. Wählen Sie unter **Freigegebene Konten** die Option **Konto-ID hinzufügen** aus.
1. Geben Sie unter **AWS-Konto ID** die AWS-Konto ID ein, mit der Sie das AMI teilen möchten, und wählen Sie dann **Share AMI** aus.
Um dieses AMI mit mehreren Konten zu teilen, wiederholen Sie die Schritte 5 und 6, bis Sie alle erforderlichen Konten hinzugefügt haben IDs.
1. Wählen Sie abschließend **Änderungen speichern** aus.
1. (Optional) Um das zu sehen, AWS-Konto IDs mit dem Sie das AMI geteilt haben, wählen Sie das AMI in der Liste aus und klicken Sie dann auf die Registerkarte **Berechtigungen**. Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter[Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md).
------
#### [ AWS CLI ]
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html), um ein AMI wie in den folgenden Beispielen gezeigt freizugeben.
**Erteilen expliziter Startberechtigungen**
Das folgende Beispiel erteilt Startberechtigungen für das angegebene AMI an das angegebene AWS-Konto.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{UserId=123456789012}]"
```
**Entfernen von Startberechtigungen für ein Konto**
Das folgende Beispiel entfernt Startberechtigungen für das angegebene AMI vom angegebenen AWS-Konto.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{UserId=123456789012}]"
```
**Entfernen aller Startberechtigungen**
Das folgende Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
Verwenden Sie den [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)Befehl (Tools für Windows PowerShell), um ein AMI gemeinsam zu nutzen, wie in den folgenden Beispielen gezeigt.
**Erteilen expliziter Startberechtigungen**
Das folgende Beispiel erteilt Startberechtigungen für das angegebene AMI an das angegebene AWS-Konto.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserId "123456789012"
```
**Entfernen von Startberechtigungen für ein Konto**
Das folgende Beispiel entfernt Startberechtigungen für das angegebene AMI vom angegebenen AWS-Konto.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission -OperationType remove `
-UserId "123456789012"
```
**Entfernen aller Startberechtigungen**
Das folgende Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
# Kündigen Sie die gemeinsame Nutzung eines AMI mit Ihrem AWS-Konto
Ein Amazon Machine Image (AMI) kann [für bestimmte AWS-Konten freigegeben werden](sharingamis-explicit.md), indem die Konten zu den Startberechtigungen des AMI hinzugefügt werden. Wenn ein AMI mit Ihrem geteilt wurde AWS-Konto und Sie nicht mehr möchten, dass es mit Ihrem Konto geteilt wird, können Sie Ihr Konto aus den Startberechtigungen des AMI entfernen. Sie tun dies, indem Sie den `cancel-image-launch-permission` AWS CLI Befehl ausführen. Wenn Sie diesen Befehl ausführen, werden Ihnen AWS-Konto die Startberechtigungen für das angegebene AMI entzogen. Informationen zu den Dateien AMIs , die mit Ihrem geteilt wurden AWS-Konto, finden Sie unter[Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md).
Sie können beispielsweise die Freigabe eines AMI für Ihr Konto aufheben, um die Wahrscheinlichkeit zu verringern, dass eine Instance mit einem ungenutzten oder veralteten AMI gestartet wird, das für Sie freigegeben wurde. Wenn Sie die Freigabe eines AMI für Ihr Konto aufheben, wird es nicht mehr in AMI-Listen in der EC2-Konsole oder in der Ausgabe für [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) angezeigt.
**Topics**
+ [Einschränkungen](#cancel-sharing-an-AMI-limitations)
+ [Aufheben der Freigabe eines AMI für Ihr Konto](#cancel-image-launch-permission)
## Einschränkungen
+ Sie können Ihr Konto aus den Startberechtigungen eines AMI entfernen, das AWS-Konto nur mit Ihnen geteilt wird. Sie können es nicht verwenden`cancel-image-launch-permission`, um Ihr Konto aus den Startberechtigungen eines [AMI zu entfernen, das mit einer Organisation oder Organisationseinheit (OU) geteilt](share-amis-with-organizations-and-OUs.md) wurde, oder um den Zugriff auf die Öffentlichkeit zu entfernen AMIs.
+ Sie können Ihr Konto nicht dauerhaft aus den Startberechtigungen eines AMI entfernen. Ein AMI-Besitzer kann ein AMI wieder mit Ihrem -Konto teilen.
+ AMIs sind eine regionale Ressource. Beim Ausführen von `cancel-image-launch-permission` müssen Sie die Region angeben, in der sich das AMI befindet. Geben Sie entweder die Region im Befehl an, oder verwenden Sie die AWS\$1DEFAULT\$1REGION [Umgebungsvariable](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
+ Nur die SDKs AWS CLI und unterstützen das Entfernen Ihres Kontos aus den Startberechtigungen eines AMI. Die EC2-Konsole unterstützt diese Aktion derzeit nicht.
## Aufheben der Freigabe eines AMI für Ihr Konto
**Anmerkung**
Nachdem Sie die Freigabe eines AMI für Ihr Konto aufgehoben haben, können Sie dies nicht mehr rückgängig machen.. Um wieder Zugriff auf das AMI zu erhalten, muss der AMI-Besitzer es für Ihr Konto freigeben.
------
#### [ AWS CLI ]
**So heben Sie die Freigabe eines AMI für Ihr Konto auf**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html).
```
aws ec2 cancel-image-launch-permission \
--image-id ami-0abcdef1234567890 \
--region us-east-1
```
------
#### [ PowerShell ]
**So heben Sie die Freigabe eines AMI für Ihr Konto auf**
Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html).
```
Stop-EC2ImageLaunchPermission `
-ImageId ami-0abcdef1234567890 `
-Region us-east-1
```
------
# Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs
Verwenden Sie die folgenden Richtlinien, um die Angriffsfläche zu reduzieren und die Zuverlässigkeit AMIs Ihrer erstellten Dateien zu verbessern.
**Wichtig**
Die Liste der Sicherheitsrichtlinien kann sehr umfassend sein. Erstellen Sie Ihre geteilten Daten AMIs sorgfältig und nehmen Sie sich Zeit, um zu überlegen, wo Sie sensible Daten preisgeben könnten.
**Topics**
+ [Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer](#public-amis-disable-password-logins-for-root)
+ [Deaktivieren des lokalen Root-Zugriffs](#restrict-root-access)
+ [Entfernen von SSH-Host-Schlüsselpaaren](#remove-ssh-host-key-pairs)
+ [Installieren von Anmeldeinformationen für öffentliche Schlüssel](#public-amis-install-credentials)
+ [SSHD-DNS-Prüfungen deaktivieren (optional)](#public-amis-disable-ssh-dns-lookups)
+ [Sensible Daten entfernen](#public-amis-protect-yourself)
Wenn Sie AMIs dafür bauen AWS Marketplace, finden Sie AMIs im *AWS Marketplace Verkäuferleitfaden* unter [Bewährte Methoden für das Bauen](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) Richtlinien, Richtlinien und bewährte Methoden.
## Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer
Die Verwendung fester Root-Passwörter für öffentliche AMIs ist ein Sicherheitsrisiko, das schnell bekannt werden kann. Wenn die Benutzer bei der ersten Anmeldung zum Ändern des Passworts aufgefordert werden, bietet sich hierbei eine potenzielle Möglichkeit des Missbrauchs.
Um das Problem zu beheben, deaktivieren Sie die Passwort-basierte Remoteanmeldung für den Root-Benutzer.
**Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer**
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Textbearbeitungsprogramm und suchen Sie nach folgender Zeile:
```
#PermitRootLogin yes
```
1. Ändern Sie die Zeile folgendermaßen:
```
PermitRootLogin without-password
```
Der Speicherort dieser Konfigurationsdatei weicht von Ihrer Verteilung ggf. ab. Das ist auch der Fall, wenn Sie nicht OpenSSH verwenden. Ist dies der Fall, schlagen Sie in der entsprechenden Dokumentation nach.
## Deaktivieren des lokalen Root-Zugriffs
Wenn Sie mit Shared arbeiten AMIs, empfiehlt es sich, direkte Root-Logins zu deaktivieren. Melden Sie sich hierfür in der ausgeführten Instance an und geben Sie den folgenden Befehl aus:
```
[ec2-user ~]$ sudo passwd -l root
```
**Anmerkung**
Der Befehl beeinträchtigt nicht die Verwendung von `sudo`.
## Entfernen von SSH-Host-Schlüsselpaaren
Wenn Sie ein von einem öffentlichen AMI abgeleitetes AMI teilen möchten, entfernen Sie die bestehenden SSH-Host-Schlüsselpaare in `/etc/ssh`. Dadurch wird SSH gezwungen, neue eindeutige SSH-Schlüsselpaare zu generieren, wenn jemand eine Instance mit Ihrem AMI startet, wodurch die Sicherheit verbessert und die Wahrscheinlichkeit von "man-in-the-middle" -Angriffen verringert wird.
Entfernen Sie die folgenden Schlüsseldateien aus Ihrem System.
+ ssh\$1host\$1dsa\$1key
+ ssh\$1host\$1dsa\$1key.pub
+ ssh\$1host\$1key
+ ssh\$1host\$1key.pub
+ ssh\$1host\$1rsa\$1key
+ ssh\$1host\$1rsa\$1key.pub
+ ssh\$1host\$1ecdsa\$1key
+ ssh\$1host\$1ecdsa\$1key.pub
+ ssh\$1host\$1ed25519\$1key
+ ssh\$1host\$1ed25519\$1key.pub
Sie können all diese Dateien mit folgendem Befehl sicher entfernen.
```
[ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub
```
**Warnung**
Hilfsprogramme zum sicheren Entfernen wie **shred** entfernen möglicherweise nicht alle Kopien einer Datei vom Speichermedium. Journaling-Dateisysteme (u. a. Amazon Linux default ext4), Snapshots, Sicherungen, RAID und temporäres Caching erstellen möglicherweise versteckte Kopien von Dateien. Weitere Informationen finden Sie in der [shred-Dokumentation](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html).
**Wichtig**
Wenn Sie die bestehenden SSH-Host-Schlüsselpaare nicht aus dem öffentlichen AMI entfernen, benachrichtigt unser routinemäßiger Prüfprozess Sie und alle Kunden, die Instances des AMI ausführen, über potenzielle Sicherheitsrisiken. Nach einer kurzen Übergangsfrist wird das AMI als privat markiert.
## Installieren von Anmeldeinformationen für öffentliche Schlüssel
Wenn Sie das AMI so konfigurieren, dass keine Passwortanmeldung möglich ist, müssen Sie eine anderen Anmeldemethode für die Benutzer bereitstellen.
Amazon EC2 ermöglicht den Benutzern die Angabe eines öffentlich-privaten Schlüsselpaar-Namens beim Starten einer Instance. Wenn dem `RunInstances`-API-Aufruf (oder mittels Befehlszeilen-API-Tools) ein gültiger Schlüsselpaarname bereitgestellt wird, wird der öffentliche Schlüssel (der Teil des Schlüsselpaars, den Amazon EC2 nach einem `CreateKeyPair`- oder `ImportKeyPair`-Aufruf auf dem Server speichert) der Instance mittels HTTP-Abfrage gegen die Instance-Metadaten verfügbar gemacht.
Wenn Sie sich via SSH anmelden möchten, muss das AMI den Schlüsselwert beim Starten abrufen und `/root/.ssh/authorized_keys` (oder der entsprechenden Datei für das entsprechende Benutzerkonto im AMI) anhängen. Benutzer können Instances des AMI mit einem Schlüsselpaar starten und sich ohne Root-Passwort anmelden.
Viele Verteilungen, u. a. Amazon Linux und Ubuntu, verwenden das `cloud-init`-Paket zum Einfügen von Anmeldeinformationen für öffentliche Schlüssel für einen konfigurierten Benutzer. Wenn die Verteilung `cloud-init` nicht unterstützt, fügen Sie dem System-Startup-Skript (z. B. `/etc/rc.local`) den folgenden Code hinzu, um den öffentlichen Schlüssel abzurufen, den Sie beim Start für den Root-Benutzer angegeben haben.
**Anmerkung**
Im folgenden Beispiel ist die IP-Adresse http://169.254.169.254/ eine lokale (link-local) Adresse und nur von der Instance aus gültig.
------
#### [ IMDSv2 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
#### [ IMDSv1 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
Dies kann auf jeden Benutzer angewendet werden. Sie müssen es nicht auf den `root`-Benutzer beschränken.
**Anmerkung**
Beim erneuten Bündeln einer Instance basierend auf dem AMI wird der Schlüssel eingebunden, mit dem es gestartet wurde. Damit der Schlüssel nicht eingebunden wird, löschen (oder entfernen) Sie die `authorized_keys`-Datei oder schließen Sie diese Datei vom erneuten Bündeln aus.
## SSHD-DNS-Prüfungen deaktivieren (optional)
Durch das Deaktivieren von sshd-DNS-Prüfungen wird die sshd-Sicherheit beeinträchtigt. Wenn bei der DNS-Auflösung allerdings ein Fehler auftritt, funktioniert die SSH-Anmeldung weiterhin. Wenn Sie die sshd-Prüfungen nicht deaktivieren, wird die Anmeldung durch Fehler bei der DNS-Auflösung verhindert.
**Deaktivieren von sshd-DNS-Prüfungen**
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Textbearbeitungsprogramm und suchen Sie nach folgender Zeile:
```
#UseDNS yes
```
1. Ändern Sie die Zeile folgendermaßen:
```
UseDNS no
```
**Anmerkung**
Der Speicherort dieser Konfigurationsdatei kann von Ihrer Verteilung abweichen. Das ist auch der Fall, wenn Sie nicht OpenSSH verwenden. Ist dies der Fall, schlagen Sie in der entsprechenden Dokumentation nach.
## Sensible Daten entfernen
Wir empfehlen, keine empfindlichen Daten oder empfindliche Software auf AMIs zu speichern, die Sie teilen. Benutzer, die ein gemeinsames AMI starten, könnten es erneut bündeln und als ihr eigenes registrieren. Gehen Sie folgendermaßen vor, um keine Sicherheitsrisiken zu übersehen:
+ Wir empfehlen, die `--exclude directory`-Option für `ec2-bundle-vol` zu verwenden, um die Verzeichnisse und Unterverzeichnisse zu überspringen, die geheime Informationen enthalten. Schließen Sie insbesondere alle benutzereigenen public/private SSH-Schlüsselpaare und `authorized_keys` SSH-Dateien aus, wenn Sie das Image bündeln. Amazon Public AMIs speichert diese `/root/.ssh` für den Root-Benutzer und `/home/user_name/.ssh/` für normale Benutzer. Weitere Informationen finden Sie unter [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
+ Löschen Sie vor dem Bündeln immer den Shell-Verlauf. Wenn Sie versuchen, mehr als einen Bundle-Upload im selben AMI durchzuführen, enthält der Shell-Verlauf Ihren Zugriffsschlüssel. Das folgende Beispiel muss der letzte ausgeführte Befehl vor dem Bündeln in einer Instance sein.
```
[ec2-user ~]$ shred -u ~/.*history
```
**Warnung**
Die in der Warnung oben beschriebenen Einschränkungen von **shred** gelten auch hier.
Hinweis: Bash schreibt den Verlauf der aktuellen Sitzung beim Beenden auf den Datenträger. Wenn Sie sich nach dem Löschen von `~/.bash_history` von der Instance ab- und anschließend wieder anmelden, werden Sie feststellen, dass die `~/.bash_history`-Datei neu erstellt wurde und alle Befehle enthält, die während der vorherigen Sitzung ausgeführt wurden.
Neben Bash schreiben auch andere Programme Verlaufsdaten auf den Datenträger. Seien Sie vorsichtig und entfernen Sie unnötige DOT-Dateien und -Verzeichnisse.
+ Zum Bündeln einer ausgeführten Instance sind Ihr privater Schlüssel und das X.509-Zertifikat erforderlich. Legen Sie diese Daten und anderen Anmeldeinformationen an einem Speicherort ab, der nicht gebündelt wird (z. B. den Instance-Speicher).