Identifiez vos ressources en référençant les spécifications AMIs - Amazon Elastic Compute Cloud
Ressources prises en chargeFonctionnement des vérifications de références d’une AMIAutorisations IAM requisesÉtapes de vérification des références d’une AMI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identifiez vos ressources en référençant les spécifications AMIs

Vous pouvez identifier vos AWS ressources qui font référence à des Amazon Machine Images (AMIs) spécifiées, qu'elles AMIs soient publiques ou privées, ou qu'elles soient propriétaires. Cette visibilité vous permet de vous assurer que vos ressources utilisent les dernières normes de conformité AMIs.

Principaux avantages

Grâce à la vérification des références à l’AMI, vous :

  • Vérifiez l'utilisation de AMIs dans votre compte.

  • Vérifiez où des informations spécifiques AMIs sont référencées.

  • Maintenez la conformité en mettant à jour vos ressources pour faire référence aux dernières nouveautésAMIs.

 

Ressources prises en charge

Les références à une AMI peuvent être vérifiées dans :

  • EC2 instances

  • Modèles de lancement

  • Paramètres SSM

  • Recettes d’images Image Builder

  • Recettes de conteneurs Image Builder

Fonctionnement des vérifications de références d’une AMI

Opération de base

Lorsque vous exécutez une vérification de références d’une AMI, vous :

  • Spécifiez les AMIs éléments à vérifier.

  • Choisissez les types de ressources à analyser.

  • Recevez une liste de vos ressources qui font référence aux informations spécifiées AMIs.

Sélection du type de ressource

Dans la console, vous sélectionnez les types de ressources à analyser.

Dans la CLI, vous spécifiez les types de ressources à analyser à l’aide de l’un ou des deux paramètres CLI suivants :

  • IncludeAllResourceTypes : analyse tous les types de ressources prises en charge.

  • ResourceTypes : analyse les types de ressources que vous avez spécifiés.

Définition de la portée de la réponse

Vous pouvez définir la réponse pour les EC2 instances et lancer les modèles en personnalisant les ResourceTypeOptions valeurs à l'aide du ResourceTypes paramètre. La console et le paramètre IncludeAllResourceTypes utilisent tous deux des valeurs d’option par défaut. Lorsque ResourceTypes et IncludeAllResourceTypes sont utilisées ensemble, les valeurs des options ResourceTypes ont priorité sur les valeurs par défaut.

Les valeurs par défaut sont les suivantes :

Type de ressource Option de définition de la portée (OptionName) Objectif Valeurs par défaut pour OptionValue et la console
EC2 instances state-name Filtrer par état de l’instance pending, running, shutting-down, terminated, stopping, stopped (tous les états)
Modèles de lancement version-depth Spécifiez le nombre de versions du modèle de lancement à vérifier (à partir de la version la plus récente) 10 (versions les plus récentes)

Autorisations IAM requises

Pour utiliser l'DescribeImageReferencesAPI afin d'identifier les ressources qui font référence à des ressources spécifiées AMIs, vous devez disposer des autorisations IAM suivantes pour décrire les ressources :

  • ec2:DescribeInstances

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • ssm:DescribeParameters

  • ssm:GetParameters

  • imagebuilder:ListImageRecipes

  • imagebuilder:ListContainerRecipes

  • imagebuilder:GetContainerRecipe

Exemple de politique IAM pour l’utilisation de l’API DescribeImageReferences

L'exemple de politique suivant vous accorde les autorisations nécessaires pour utiliser l'DescribeImageReferencesAPI, qui inclut les autorisations pour décrire les EC2 instances, les modèles de lancement, les paramètres de Systems Manager, les recettes d'images Image Builder et les recettes de conteneur Image Builder.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
Important

Nous vous recommandons vivement d'utiliser la stratégie AWS gérée AmazonEC2ImageReferencesAccessPolicyplutôt que de la créer vous-même. La création d’une politique IAM personnalisée qui ne fournit que les autorisations requises nécessite du temps et de l’expertise, et nécessitera des mises à jour à mesure que de nouveaux types de ressources seront disponibles.

La politique gérée AmazonEC2ImageReferencesAccessPolicy :

  • Accorde toutes les autorisations nécessaires pour utiliser l'DescribeImageReferencesAPI (notamment les autorisations pour décrire les EC2 instances, les modèles de lancement, les paramètres de Systems Manager, le conteneur Image Builder et les recettes d'images).

  • Prend automatiquement en charge les nouveaux types de ressources dès qu’ils sont disponibles (ce qui est particulièrement important lors de l’utilisation du paramètre IncludeAllResourceTypes).

Vous pouvez associer la politique AmazonEC2ImageReferencesAccessPolicy à vos identités IAM (utilisateurs, groupes et rôles).

Pour voir les autorisations incluses dans cette politique, consultez la section AmazonEC2ImageReferencesAccessPolicy dans la Référence des politiques gérées par AWS .

Étapes de vérification des références d’une AMI

Utilisez les procédures suivantes pour identifier les AWS ressources auxquelles les références sont spécifiées AMIs.

Console
Pour identifier les ressources référencées AMIs

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMIs.

  3. Sélectionnez-en une ou plusieurs AMIs pour vérifier les références.

  4. Choisissez Actions, Utilisation de l’AMI, Afficher les ressources référencées.

  5. Sur la AMIs page Afficher les ressources référençant la sélection :

    1. En regard de Types de ressource, sélectionnez un ou plusieurs types de ressources.

    2. Choisissez Afficher les ressources.

  6. La AMIs section Ressources faisant référence à la sélection apparaît. La liste affiche les ressources faisant référence aux informations spécifiées AMIs. Chaque ligne fournit les informations suivantes :

    • ID d’AMI : ID de l’AMI référencée.

    • Type de ressource : type de ressource de la ressource référençant l’AMI.

    • ID de ressource : ID de la ressource référençant l’AMI.

AWS CLI
Pour vérifier les références d’AMI pour des types de ressources spécifiques

Utilisez la commande describe-image-references avec le paramètre --resource-types. L'exemple suivant vérifie les EC2 instances (étendue par état d'instance), les modèles de lancement (étendue aux 20 versions de modèles de lancement les plus récentes) et d'autres types de ressources spécifiques.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'

Voici un exemple de sortie.

{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
Pour vérifier les références d’AMI pour tous les types de ressources pris en charge

Utilisez la commande describe-image-references avec le paramètre --include-all-resource-types.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
Pour vérifier les références à l’AMI pour tous les types de ressources pris en charge et les options spécifiques

Utilisez la describe-image-referencescommande avec les --resource-types paramètres --include-all-resource-types et. Cet exemple vérifie tous les types de ressources lors de la définition de la réponse pour les EC2 instances en cours d'exécution ou en attente.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
PowerShell
Pour vérifier les références d’AMI pour des types de ressources spécifiques

Utilisez l'Get-EC2ImageReferenceapplet de commande avec le -ResourceType paramètre. L'exemple suivant vérifie les EC2 instances (étendue par état d'instance), les modèles de lancement (étendue aux 20 versions de modèles de lancement les plus récentes) et d'autres types de ressources spécifiques.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
Pour vérifier les références d’AMI pour tous les types de ressources pris en charge

Utilisez l'Get-EC2ImageReferenceapplet de commande avec le -IncludeAllResourceTypes paramètre.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
Pour vérifier les références à l’AMI pour tous les types de ressources pris en charge et les options spécifiques

Utilisez l'Get-EC2ImageReferenceapplet de commande avec les paramètres -IncludeAllResourceTypes et-ResourceType. Cet exemple vérifie tous les types de ressources lors de la définition de la réponse pour les EC2 instances en cours d'exécution ou en attente.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )