Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen - Amazon Elastic Compute Cloud
ÜberlegungenEin AMI mit allen AWS-Konten teilen (öffentlich teilen)

Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen

Sie können Ihr AMI öffentlich zugänglich machen, indem Sie es mit allen AWS-Konten teilen.

Wenn Sie verhindern möchten, dass Ihre AMIs öffentlich geteilt werden, können Sie den öffentlichen Zugriff für AMIs sperren aktivieren. Dadurch werden alle Versuche, ein AMI zu veröffentlichen, blockiert, was dazu beiträgt, unbefugten Zugriff und potenziellen Missbrauch von AMI-Daten zu verhindern. Beachten Sie, dass die Aktivierung von Block Public Access keine Auswirkungen auf Ihre AMIs hat, die bereits öffentlich verfügbar sind; sie bleiben öffentlich verfügbar. Weitere Informationen finden Sie unter Den blockierten öffentlichen Zugang für AMIs verstehen.

Wenn Sie nur bestimmten Konten erlauben möchten, Ihr AMI zum Starten von Instances zu verwenden, lesen Sie Freigeben eines AMI für bestimmte AWS-Konten.

Überlegungen

Beachten Sie Folgendes, bevor Sie ein AMI öffentlich machen.

  • Eigentümerschaft – Um ein AMI öffentlich zu machen, muss Ihr AWS-Konto Besitzer des AMI sein.

  • Region: AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter Kopieren eines Amazon-EC2-AMI.

  • Öffentlichen Zugriff blockieren – Um ein AMI öffentlich zu teilen, muss das Sperren des öffentlichen Zugriffs für AMIs in jeder Region, in der das AMI öffentlich geteilt wird, deaktiviert sein. Nachdem Sie das AMI öffentlich freigegeben haben, können Sie Block Public Access for AMIs wieder aktivieren, um zu verhindern, dass Ihre AMIs weiterhin öffentlich geteilt werden.

  • Einige AMIs können nicht veröffentlicht werden – Wenn Ihr AMI eines der folgenden Merkmale aufweist, können Sie es nicht veröffentlichen (Sie können es jedoch das AMI für bestimmte AWS-Konten freigeben):

    • Verschlüsselte Volumes

    • Snapshots von verschlüsselten Volumes

    • Produkt-Codes

  • Offenlegung sensibler Daten vermeiden: Damit beim Freigeben eines AMI keine sensiblen Daten offengelegt werden, lesen Sie die Sicherheitserwägungen in Empfehlungen für die Erstellung freigegebene Linux-AMIs und folgen Sie den empfohlenen Verfahren.

  • Nutzung: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen.

  • Automatische Veralterung – Standardmäßig ist das Veralterungsdatum aller öffentlichen AMIs auf zwei Jahre ab dem AMI-Erstellungsdatum festgelegt. Sie können das Veralterungsdatum auf weniger als zwei Jahre festlegen. Um das Datum der Veralterung zu stornieren oder die Veralterung auf ein späteres Datum zu verschieben, müssen Sie das AMI privat machen, indem Sie es nur für bestimmte AWS-Konten freigeben.

  • Veraltete AMIs entfernen – Wenn ein öffentliches AMI seine Veraltung erreicht hat und sechs oder mehr Monate lang keine neuen Instances über das AMI gestartet wurden, wird AWS schließlich die „Öffentlich–teilen“-Eigenschaft entfernt, sodass veraltete AMIs nicht in den öffentlichen AMI-Listen erscheinen.

  • Fakturierung – Wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird, wird Ihnen dies nicht in Rechnung gestellt. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.

Ein AMI mit allen AWS-Konten teilen (öffentlich teilen)

Nachdem Sie ein AMI veröffentlicht haben, ist es in Community-AMIs in der Konsole verfügbar, auf die Sie über den AMI-Katalog im linken Navigator der EC2-Konsole oder beim Starten einer Instance über die Konsole zugreifen können. Hinweis: Nach der Veröffentlichung kann es etwas dauern, bis das AMI unter Community AMIs angezeigt wird.

Console
Veröffentlichen eines AMI

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI in der Liste aus und wählen Sie Aktionen, AMI-Berechtigungen bearbeiten aus.

  4. Unter AMI-Verfügbarkeit wählen Sie Öffentlich aus.

  5. Wählen Sie Änderungen speichern aus.

AWS CLI

Jedes AMI hat eine launchPermission-Eigenschaft, die steuert, welche AWS-Konten außer dem Besitzer dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die launchPermission-Eigenschaft eines AMI ändern, machen Sie ein AMI öffentlich (was allen AWS-Konten die Startberechtigung gewährt) oder es nur für die von Ihnen angegebenen AWS-Konten freigeben.

Sie können der Liste der Konten mit Startberechtigungen für ein AMI IDs hinzufügen oder IDs löschen. Um ein AMI zu veröffentlichen, geben Sie die all-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben.

Veröffentlichen eines AMI

  1. Verwenden Sie den Befehl modify-image-attribute wie folgt, um die all-Gruppe zur launchPermission-Liste für das angegebene AMI hinzuzufügen.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{Group=all}]"

  2. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den describe-image-attribute-Befehl.

    aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

  3. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die all-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{Group=all}]"
PowerShell

Jedes AMI hat eine launchPermission-Eigenschaft, die steuert, welche AWS-Konten außer dem Besitzer dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die launchPermission-Eigenschaft eines AMI ändern, machen Sie ein AMI öffentlich (was allen AWS-Konten die Startberechtigung gewährt) oder es nur für die von Ihnen angegebenen AWS-Konten freigeben.

Sie können der Liste der Konten mit Startberechtigungen für ein AMI IDs hinzufügen oder IDs löschen. Um ein AMI zu veröffentlichen, geben Sie die all-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben.

Veröffentlichen eines AMI

  1. Verwenden Sie den Befehl Edit-EC2ImageAttribute wie folgt, um die all-Gruppe zur launchPermission-Liste für das angegebene AMI hinzuzufügen.

    Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType add `
    -UserGroup all

  2. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den folgenden Get-EC2ImageAttribute-Befehl.

    Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission

  3. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die all-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.

    Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -UserGroup all