Administración del uso compartido de AMI con una organización o unidad organizativa - Amazon Elastic Compute Cloud
Visualización de las organizaciones y las unidades organizativas con las que se comparte una AMIUso compartido de una AMI con una organización o unidad organizativaFinalización del uso compartido de una AMI con una organización o unidad organizativa

Administración del uso compartido de AMI con una organización o unidad organizativa

Puede administrar el uso compartido de AMI con organizaciones y unidades organizativas (OU) para controlar si pueden lanzar instancias de Amazon EC2.

Ver las organizaciones y unidades organizativas con las que se comparte una AMI

Puede encontrar las organizaciones y unidades organizativas con las que compartió la AMI.

Console
Para verificar con qué organizaciones y unidades organizativas compartió la AMI

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas.

    Para encontrar las AMI compartidas con usted, consulte Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2.

AWS CLI
Para verificar con qué organizaciones y unidades organizativas compartió la AMI

Utilice el comando describe-image-attribute con el atributo launchPermission.

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

A continuación, se muestra un ejemplo de respuesta.

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}
PowerShell
Para verificar con qué organizaciones y unidades organizativas compartió la AMI

Utilice el cmdlet Get-EC2ImageAttribute.

Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission

Uso compartido de una AMI con una organización o unidad organizativa

Puede compartir una AMI con una organización o unidad organizativa.

nota

No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la AMI; para la inicialización, el sistema proporciona automáticamente a la instancia acceso a las instantáneas de EBS a las que se hace referencia. Sin embargo, es necesario compartir las claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS.

Console
Para compartir una AMI con una organización o una unidad organizativa

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista y, a continuación, elija Acciones, Editar permisos de la AMI.

  4. En Disponibilidad de AMI, elija Privada.

  5. Junto a Organizaciones/unidades organizativas compartidas, elija Agregar ARN de organización/unidad organizativa.

  6. En ARN de organización/unidad organizativa, introduzca el ARN de la organización o de la unidad organizativa con el que desea compartir la AMI y, a continuación, elija Compartir AMI. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

    Para compartir esta AMI con varias organizaciones o unidades organizativas, repita este paso hasta que haya agregado todas las organizaciones o unidades organizativas necesarias.

  7. Cuando haya terminado, elija Guardar cambios.

  8. (Opcional) Para ver las organizaciones o unidades organizativas con las que ha compartido la AMI, seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas. Para encontrar las AMI compartidas con usted, consulte Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2.

AWS CLI
Para compartir una AMI con una organización

Utilice el comando modify-image-attribute para conceder permisos de inicialización para la AMI especificada a la organización especificada.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para compartir una AMI con una unidad organizativa

El comando modify-image-attribute concede permisos de inicialización para la AMI especificada a la unidad organizativa determinada. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
PowerShell

Utilice el comando Edit-EC2ImageAttribute (Herramientas para Windows PowerShell) para compartir una AMI tal y como se muestra en los siguientes ejemplos.

Para compartir una AMI con una organización o una unidad organizativa

El siguiente comando concede permisos de inicialización para la AMI especificada a la organización determinada.

Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType add `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para dejar de compartir una AMI con una organización o unidad organizativa

El siguiente comando elimina permisos de inicialización para la AMI especificada de la organización determinada:

Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS

El siguiente comando elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission

Finalización del uso compartido de una AMI con una organización o unidad organizativa

Puede dejar de compartir una AMI con una organización o unidad organizativa.

nota

No puede dejar de compartir una AMI con una cuenta específica si se encuentra en una organización o unidad organizativa con la que se comparte una AMI. Si intenta dejar de compartir la AMI mediante la eliminación de los permisos de inicialización de la cuenta, Amazon EC2 devuelve el mensaje de que la operación se realizó correctamente. Sin embargo, la AMI sigue compartiéndose con la cuenta.

Console
Para dejar de compartir una AMI con una organización o unidad organizativa

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista y, a continuación, elija Actions (Acciones), Edit AMI permissions (Editar permisos de la AMI).

  4. En Organizaciones/unidades organizativas compartidas, seleccione las organizaciones o unidades organizativas con las que desea dejar de compartir la AMI y, a continuación, elija Eliminar la selección.

  5. Cuando haya terminado, elija Guardar cambios.

  6. (Opcional) Para confirmar que dejó de compartir la AMI con las organizaciones o unidades organizativas, seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas.

AWS CLI
Para dejar de compartir una AMI con una organización o unidad organizativa

Utilice el comando modify-image-attribute. En este ejemplo se eliminan los permisos de inicialización para la AMI especificada de la organización especificada.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS

Utilice el comando reset-image-attribute. En este ejemplo se eliminan todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
PowerShell
Para dejar de compartir una AMI con una organización o unidad organizativa

Utilice el cmdlet Edit-EC2ImageAttribute. En este ejemplo se eliminan los permisos de inicialización para la AMI especificada de la organización especificada.

Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS

Utilice el cmdlet Reset-EC2ImageAttribute. En este ejemplo se eliminan todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LaunchPermission