Contrôlez la découverte et l'utilisation de AMIs dans Amazon EC2 avec Allowed AMIs - Amazon Elastic Compute Cloud
Comment AMIs fonctionne AllowedMeilleures pratiques pour la mise en œuvre d'Allowed AMIsAutorisations IAM requises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez la découverte et l'utilisation de AMIs dans Amazon EC2 avec Allowed AMIs

Pour contrôler la découverte et l'utilisation d'Amazon Machine Images (AMIs) par les utilisateurs de votre site Compte AWS, vous pouvez utiliser la AMIs fonctionnalité Autorisé. Vous spécifiez les critères qui AMIs doivent être remplis pour être visibles et disponibles dans votre compte. Lorsque les critères sont activés, les utilisateurs qui lancent des instances ne verront et n'auront accès AMIs qu'aux instances conformes aux critères spécifiés. Par exemple, vous pouvez spécifier une liste de fournisseurs d'AMI fiables comme critère, et seuls AMIs ces fournisseurs seront visibles et utilisables.

Avant d'activer les AMIs paramètres autorisés, vous pouvez activer le mode audit pour prévisualiser ce qui AMIs sera visible ou non et disponible pour utilisation. Cela vous permet d'affiner les critères selon vos besoins afin de garantir que seuls les critères prévus AMIs sont visibles et disponibles pour les utilisateurs de votre compte. En outre, utilisez la describe-instance-image-metadatacommande pour rechercher les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés. Ces informations peuvent vous aider à décider de mettre à jour vos configurations de lancement afin de les rendre conformes AMIs (par exemple, en spécifiant une autre AMI dans un modèle de lancement) ou d'ajuster vos critères pour les autoriser AMIs.

Vous spécifiez les AMIs paramètres autorisés au niveau du compte, soit directement dans le compte, soit en utilisant une politique déclarative. Ces paramètres doivent être configurés dans chaque Région AWS endroit où vous souhaitez contrôler l'utilisation de l'AMI. L’utilisation d’une politique déclarative vous permet d’appliquer les paramètres à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier les paramètres directement dans un compte. Cette rubrique décrit la procédure à suivre pour configurer les paramètres directement à l’intérieur d’un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section Politiques déclaratives dans le Guide de l’utilisateur AWS Organizations .

Note

La AMIs fonctionnalité Autorisée contrôle uniquement la découverte et l'utilisation des informations publiques AMIs ou AMIs partagées avec votre compte. Cela ne limite pas la AMIs propriété de votre compte. Quels que soient les critères que vous définissez, les AMIs données créées par votre compte sont toujours détectables et utilisables par les utilisateurs de votre compte.

Principaux avantages d'Allowed AMIs

  • Conformité et sécurité : les utilisateurs ne peuvent découvrir et utiliser AMIs que ceux qui répondent aux critères spécifiés, ce qui réduit le risque d'utilisation non conforme des AMI.

  • Gestion efficace : en réduisant le nombre d'autorisations AMIs, la gestion des autres devient plus facile et plus efficace.

  • Implémentation centralisée au niveau du compte : configurez les AMIs paramètres autorisés au niveau du compte, soit directement dans le compte, soit par le biais d'une politique déclarative. Il s’agit d’un moyen centralisé et efficace de contrôler l’utilisation des AMI sur l’ensemble du compte.

Table des matières

Comment AMIs fonctionne Allowed

Pour contrôler ce qui AMIs peut être découvert et utilisé dans votre compte, vous définissez un ensemble de critères par rapport auxquels évaluer le AMIs. Les critères sont composés d'un ou de plusieursImageCriterion, comme indiqué dans le schéma suivant. Une explication suit le schéma.

Hiérarchie des AMIs ImageCriteria configurations autorisées.

La configuration comporte trois niveaux :

  • 1 — Valeurs des paramètres

    • Paramètres à valeurs multiples :

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        Une AMI peut correspondre à toutes les valeurs d'un paramètre à autoriser.

        Exemple : ImageProviders = amazon OU compte 111122223333 OU compte 444455556666 (La logique d'évaluation des valeurs des paramètres n'est pas indiquée dans le diagramme.)

    • Paramètres à valeur unique :

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2ImageCriterion

    • Regroupe plusieurs paramètres avec la logique AND.

    • Une AMI doit correspondre à tous les paramètres compris dans un ImageCriterion pour être autorisée.

    • Exemple : ImageProviders = amazon ET CreationDateCondition = 300 jours ou moins

  • 3ImageCriteria

    • Groupes multiples ImageCriterion avec une logique OR.

    • Une AMI peut correspondre ImageCriterion à n'importe laquelle pour être autorisée.

    • Forme la configuration complète par rapport à laquelle AMIs sont évaluées.

AMIs Paramètres autorisés

Les paramètres suivants peuvent être configurés pour créer ImageCriterion :

ImageProviders

Les fournisseurs d'AMI AMIs autorisés.

Les valeurs valides sont des alias définis par et AWS Compte AWS IDs, comme suit :

  • amazon— Un alias identifiant AMIs créé par Amazon ou des fournisseurs vérifiés

  • aws-marketplace— Un alias qui identifie les fournisseurs vérifiés AMIs créés dans AWS Marketplace

  • aws-backup-vault— Un alias qui identifie les sauvegardes AMIs résidant dans des comptes AWS Backup Vault logiquement séparés. Si vous utilisez la fonction AWS Backup logically airgap vault, assurez-vous que cet alias est inclus en tant que fournisseur d'AMI.

  • Compte AWS IDs — Un ou plusieurs chiffres à 12 chiffres Compte AWS IDs

  • none— Indique que seuls les comptes AMIs créés par votre compte peuvent être découverts et utilisés. Le public ou le partage ne AMIs peuvent pas être découverts et utilisés. Lorsqu'il est spécifié, aucun autre critère ne peut être spécifié.

ImageNames

Les noms des personnes autorisées AMIs, en utilisant des correspondances exactes ou des caractères génériques (?ou*).

MarketplaceProductCodes

Les codes de AWS Marketplace produit sont autorisés AMIs.

CreationDateCondition

L'âge maximum autorisé AMIs.

DeprecationTimeCondition

Période maximale depuis la dépréciation de Allowed. AMIs

Pour connaître les valeurs et les contraintes valides pour chaque critère, consultez ImageCriterionRequestle Amazon EC2 API Reference.

AMIs Configuration autorisée

La configuration de base d'Allowed AMIs est la ImageCriteria configuration qui définit les critères d'autorisation AMIs. La structure JSON suivante indique les paramètres qui peuvent être spécifiés :

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria exemple

L'ImageCriteriaexemple suivant en configure quatreImageCriterion. Une AMI est autorisée si elle correspond à l'une de ces optionsImageCriterion. Pour plus d'informations sur la manière dont les critères sont évalués, voirComment les critères sont évalués.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

Comment les critères sont évalués

Le tableau suivant explique les règles d'évaluation qui déterminent si une AMI est autorisée, en montrant comment l'ORopérateur AND or est appliqué à chaque niveau :

Niveau d'évaluation Opérateur Exigence pour être une AMI autorisée
Valeurs des paramètres pour ImageProvidersImageNames, et MarketplaceProductCodes OR L'AMI doit correspondre à au moins une valeur dans chaque liste de paramètres
ImageCriterion AND L'AMI doit correspondre à tous les paramètres de chaque ImageCriterion
ImageCriteria OR L'AMI doit correspondre à l'un des ImageCriterion

À l'aide des règles d'évaluation précédentes, voyons comment les appliquer aux ImageCriteria exemple :

  • ImageCriterion1 : Permet d' AMIs avoir le code AWS Marketplace du produit abcdefg1234567890

    OR

  • ImageCriterion2 : AMIs Autorise répondant à ces deux critères :

    • Détenu par l'un des deux comptes 123456789012 OR 123456789013

      • AND

    • Créé au cours des 300 derniers jours

    OR

  • ImageCriterion3 : AMIs Autorise répondant à ces deux critères :

    • Détenu par compte 123456789014

      • AND

    • Nommé d'après le motif golden-ami-*

    OR

  • ImageCriterion4 : AMIs Autorise répondant à ces deux critères :

    • Publié par Amazon ou des fournisseurs vérifiés (spécifiés par l'amazonalias)

      • AND

    • Non obsolète (nombre maximum de jours depuis la date d'obsolescence) 0

Limites

Ils ImageCriteria peuvent inclure jusqu'à :

  • 10 ImageCriterion

Chacun ImageCriterion peut inclure jusqu'à :

  • 200 valeurs pour ImageProviders

  • 50 valeurs pour ImageNames

  • 50 valeurs pour MarketplaceProductCodes

Exemple de limites

En utilisant ce qui précède ImageCriteria exemple :

  • Il y en a 4ImageCriterion. Jusqu'à 6 autres peuvent être ajoutés à la demande pour atteindre la limite de 10.

  • Dans le premier casImageCriterion, il y a 1 valeur pourMarketplaceProductCodes. Jusqu'à 49 autres peuvent être ajoutés à cela ImageCriterion pour atteindre la limite de 50.

  • Dans le secondImageCriterion, il y a 2 valeurs pourImageProviders. Jusqu'à 198 autres peuvent être ajoutés à cela ImageCriterion pour atteindre la limite de 200.

  • Dans le troisièmeImageCriterion, il y a 1 valeur pourImageNames. Jusqu'à 49 autres peuvent être ajoutés à cela ImageCriterion pour atteindre la limite de 50.

AMIs Opérations autorisées

La AMIs fonctionnalité Autorisé possède trois états opérationnels pour gérer les critères d'image : activé, désactivé et mode audit. Ces modes vous permettent d’activer ou de désactiver les critères d’image, ou de les réviser si nécessaire.

Activées

Lorsque l'option AMIs Autorisé est activée :

  • Les ImageCriteria sont appliqués.

  • Seules les images AMIs autorisées peuvent être découvertes dans la EC2 console et peuvent ainsi utiliser des images (par APIs exemple, celles qui décrivent, copient, stockent ou exécutent d'autres actions utilisant des images).

  • Les instances ne peuvent être lancées qu'à l'aide de la commande allowed AMIs.

Désactivées

Lorsque l'option AMIs Autorisé est désactivée :

  • Les ImageCriteria ne sont pas appliqués.

  • Aucune restriction n’est imposée à la découverte ou à l’utilisation de l’AMI.

Mode d'audit

En mode audit :

  • Les ImageCriteria sont appliqués, mais aucune restriction n’est imposée à la découverte ou à l’utilisation de l’AMI.

  • Dans la EC2 console, pour chaque AMI, le champ Image autorisée affiche Oui ou Non pour indiquer si l'AMI sera détectable et disponible pour les utilisateurs du compte lorsque Autorisé AMIs est activé.

  • Dans la ligne de commande, la réponse "ImageAllowed": false à l'describe-imageopération inclut "ImageAllowed": true ou indique si l'AMI sera détectable et disponible pour les utilisateurs du compte lorsque Autorisé AMIs est activé.

  • Dans la EC2 console, le catalogue AMI affiche « Non autorisé » à AMIs côté de la mention « Non détectable » ou « ne sera pas disponible pour les utilisateurs du compte » lorsque l'option Autorisé AMIs est activée.

Meilleures pratiques pour la mise en œuvre d'Allowed AMIs

Lors de la mise en œuvre d'Allowed AMIs, tenez compte de ces meilleures pratiques pour garantir une transition en douceur et minimiser les perturbations potentielles de votre AWS environnement.

  1. Activer le mode Audit

    Commencez par activer Autorisé AMIs en mode audit. Cet état vous permet de voir lesquels AMIs seraient affectés par vos critères sans réellement restreindre l'accès, offrant ainsi une période d'évaluation sans risque.

  2. Définir les AMIs critères autorisés

    Déterminez avec soin les fournisseurs d’AMI qui respectent les politiques de sécurité, les exigences en matière de conformité et les besoins opérationnels de votre organisation.

    Note

    Lorsque vous utilisez des services AWS gérés tels qu'Amazon ECS ou Amazon EKS, nous vous recommandons de spécifier l'amazonalias à utiliser pour autoriser la AMIs création AWS. Ces services dépendent des instances publiées par Amazon AMIs pour lancer des instances.

    Soyez prudent lorsque vous définissez des CreationDateCondition restrictions pour n'importe lequel AMIs. La définition de conditions de date trop restrictives (par exemple, si elles AMIs doivent dater de moins de 5 jours) peut entraîner l'échec du lancement des instances si celles-ci AMIs, qu'elles proviennent de fournisseurs AWS ou d'autres fournisseurs, ne sont pas mises à jour dans les délais que vous avez spécifiés.

    Nous vous recommandons de l'ImageNamesassocier ImageProviders pour un meilleur contrôle et une meilleure spécificité. L'utilisation ImageNames seule peut ne pas identifier une AMI de manière unique.

  3. Vérifier l’impact sur les processus opérationnels prévus

    Vous pouvez utiliser la console ou la CLI pour identifier les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés. Ces informations peuvent vous aider à décider de mettre à jour vos configurations de lancement afin de les rendre conformes AMIs (par exemple, en spécifiant une autre AMI dans un modèle de lancement) ou d'ajuster vos critères pour les autoriser AMIs.

    Console : utilisez la AWS Config règle ec2- instance-launched-with-allowed -ami pour vérifier si des instances en cours d'exécution ou arrêtées ont été lancées avec des instances AMIs répondant à vos critères autorisés AMIs. La règle est NON_COMPLIANT si une AMI ne répond pas aux AMIs critères autorisés, et COMPLIANT si c'est le cas. La règle ne fonctionne que lorsque le AMIs paramètre Autorisé est défini sur Activé ou en mode audit.

    CLI : exécutez la describe-instance-image-metadatacommande et filtrez la réponse pour identifier les instances lancées avec AMIs qui ne répondent pas aux critères spécifiés.

    Pour les instructions relatives à la console et à la CLI, consultezRechercher les instances lancées depuis AMIs qui ne sont pas autorisées.

  4. Activer Autorisé AMIs

    Une fois que vous avez confirmé que les critères n'affecteront pas les processus métier attendus, activez Autorisé AMIs.

  5. Surveiller les lancements d’instances

    Continuez à surveiller les lancements d' AMIs instances depuis vos applications et les services AWS gérés que vous utilisez, tels qu'Amazon EMR, Amazon ECR, Amazon EKS et. AWS Elastic Beanstalk Vérifiez l'absence de problèmes inattendus et apportez les modifications nécessaires aux AMIs critères autorisés.

  6. Nouveau pilote AMIs

    Pour tester des tiers AMIs qui ne respectent pas vos AMIs paramètres autorisés actuels, nous vous AWS recommandons les approches suivantes :

    • Utilisez un compte distinct Compte AWS : créez un compte sans accès aux ressources critiques de votre entreprise. Assurez-vous que le AMIs paramètre Autorisé n'est pas activé dans ce compte, ou que les personnes que AMIs vous souhaitez tester sont explicitement autorisées, afin de pouvoir les tester.

    • Testez dans une autre région Région AWS : utilisez une région dans laquelle les tiers AMIs sont disponibles, mais dans laquelle vous n'avez pas encore activé les AMIs paramètres autorisés.

    Ces approches permettent de garantir la sécurité des ressources critiques de votre entreprise pendant que vous en testez de nouvelles. AMIs

Autorisations IAM requises

Pour utiliser la AMIs fonctionnalité Autorisé, vous devez disposer des autorisations IAM suivantes :

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings