Kontrol penemuan dan penggunaan AMIs di Amazon EC2 dengan Diizinkan AMIs - Amazon Elastic Compute Cloud
Cara AMIs kerja yang DiizinkanPraktik terbaik untuk menerapkan Diizinkan AMIsIzin IAM yang diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol penemuan dan penggunaan AMIs di Amazon EC2 dengan Diizinkan AMIs

Untuk mengontrol penemuan dan penggunaan Amazon Machine Images (AMIs) oleh pengguna di Anda Akun AWS, Anda dapat menggunakan AMIs fitur Diizinkan. Anda menentukan kriteria yang AMIs harus dipenuhi agar terlihat dan tersedia dalam akun Anda. Ketika kriteria diaktifkan, pengguna yang meluncurkan instance hanya akan melihat dan memiliki akses ke AMIs yang sesuai dengan kriteria yang ditentukan. Misalnya, Anda dapat menentukan daftar penyedia AMI tepercaya sebagai kriteria, dan hanya AMIs dari penyedia ini yang akan terlihat dan tersedia untuk digunakan.

Sebelum mengaktifkan AMIs pengaturan Diizinkan, Anda dapat mengaktifkan mode audit untuk melihat pratinjau yang AMIs akan atau tidak akan terlihat dan tersedia untuk digunakan. Ini memungkinkan Anda menyempurnakan kriteria yang diperlukan untuk memastikan bahwa hanya yang dimaksudkan AMIs yang terlihat dan tersedia bagi pengguna di akun Anda. Selain itu, gunakan describe-instance-image-metadataperintah untuk menemukan instance yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs

Anda menentukan AMIs pengaturan Diizinkan di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Pengaturan ini harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mengontrol penggunaan AMI. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah pengaturan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat Kebijakan deklaratif di AWS Organizations Panduan Pengguna.

catatan

AMIs Fitur yang Diizinkan hanya mengontrol penemuan dan penggunaan publik AMIs atau AMIs dibagikan dengan akun Anda. Itu tidak membatasi yang AMIs dimiliki oleh akun Anda. Terlepas dari kriteria yang Anda tetapkan, yang AMIs dibuat oleh akun Anda selalu dapat ditemukan dan dapat digunakan oleh pengguna di akun Anda.

Manfaat utama dari Diizinkan AMIs

  • Kepatuhan dan keamanan: Pengguna hanya dapat menemukan dan menggunakan AMIs yang memenuhi kriteria yang ditentukan, mengurangi risiko penggunaan AMI yang tidak sesuai.

  • Manajemen yang efisien: Dengan mengurangi jumlah yang diizinkan AMIs, mengelola yang tersisa menjadi lebih mudah dan lebih efisien.

  • Implementasi tingkat akun terpusat: Konfigurasikan AMIs pengaturan yang Diizinkan di tingkat akun, baik secara langsung di dalam akun atau melalui kebijakan deklaratif. Ini memberikan cara terpusat dan efisien untuk mengontrol penggunaan AMI di seluruh akun.

Daftar Isi

Cara AMIs kerja yang Diizinkan

Untuk mengontrol mana yang AMIs dapat ditemukan dan digunakan di akun Anda, Anda menentukan serangkaian kriteria untuk mengevaluasi AMIs. Kriteria terdiri dari satu atau lebih ImageCriterion seperti yang ditunjukkan pada diagram berikut. Penjelasan mengikuti diagram.

Hierarki AMIs ImageCriteria konfigurasi yang Diizinkan.

Konfigurasi memiliki tiga level:

  • 1 — Nilai parameter

    • Parameter multi-nilai:

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        AMI dapat mencocokkan nilai apa pun dalam parameter yang akan diizinkan.

        Contoh: ImageProviders = amazon ATAU akun 111122223333 ATAU akun 444455556666 (Logika evaluasi untuk nilai parameter tidak ditampilkan dalam diagram.)

    • Parameter nilai tunggal:

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2ImageCriterion

    • Kelompokkan beberapa parameter dengan logika AND.

    • AMI harus cocok dengan semua parameter dalam a ImageCriterion untuk diizinkan.

    • Contoh: ImageProviders = amazon AND CreationDateCondition = 300 hari atau kurang

  • 3ImageCriteria

    • Kelompokkan beberapa ImageCriterion dengan logika OR.

    • AMI dapat mencocokkan ImageCriterionapa pun yang diizinkan.

    • Membentuk konfigurasi lengkap yang AMIs dievaluasi.

AMIs Parameter yang diizinkan

Parameter berikut dapat dikonfigurasi untuk membuatImageCriterion:

ImageProviders

Penyedia AMI AMIs yang diizinkan.

Nilai yang valid adalah alias yang didefinisikan oleh AWS, dan Akun AWS IDs, sebagai berikut:

  • amazon— Alias yang mengidentifikasi AMIs dibuat oleh Amazon atau penyedia terverifikasi

  • aws-marketplace— Alias yang mengidentifikasi AMIs dibuat oleh penyedia terverifikasi di AWS Marketplace

  • aws-backup-vault— Alias yang mengidentifikasi cadangan yang berada di akun AMIs brankas Backup yang memiliki celah udara secara logis. AWS Jika Anda menggunakan fitur AWS Backup air-gapped vault secara logis, pastikan alias ini disertakan sebagai penyedia AMI.

  • Akun AWS IDs — Satu atau lebih 12 digit Akun AWS IDs

  • none— Menunjukkan bahwa hanya AMIs dibuat oleh akun Anda yang dapat ditemukan dan digunakan. Publik atau dibagikan tidak AMIs dapat ditemukan dan digunakan. Ketika ditentukan, tidak ada kriteria lain yang dapat ditentukan.

ImageNames

Nama-nama yang diizinkan AMIs, menggunakan kecocokan persis atau wildcard (?atau*).

MarketplaceProductCodes

Kode AWS Marketplace produk untuk diizinkan AMIs.

CreationDateCondition

Usia maksimum yang diizinkan AMIs.

DeprecationTimeCondition

Periode maksimum sejak penghentian untuk diizinkan. AMIs

Untuk nilai dan batasan yang valid untuk setiap kriteria, lihat di Referensi Amazon API ImageCriterionRequest. EC2

AMIs Konfigurasi yang diizinkan

Konfigurasi inti untuk Diizinkan AMIs adalah ImageCriteria konfigurasi yang mendefinisikan kriteria untuk diizinkan AMIs. Struktur JSON berikut menunjukkan parameter yang dapat ditentukan:

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria contoh

ImageCriteriaContoh berikut mengkonfigurasi empatImageCriterion. AMI diperbolehkan jika cocok dengan salah satu dari iniImageCriterion. Untuk informasi tentang bagaimana kriteria dievaluasi, lihatBagaimana kriteria dievaluasi.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

Bagaimana kriteria dievaluasi

Tabel berikut menjelaskan aturan evaluasi yang menentukan apakah AMI diizinkan, yang menunjukkan bagaimana OR operator AND atau diterapkan di setiap tingkat:

Tingkat evaluasi Operator Persyaratan untuk menjadi AMI yang Diizinkan
Nilai parameter untukImageProviders,ImageNames, dan MarketplaceProductCodes OR AMI harus mencocokkan setidaknya satu nilai di setiap daftar parameter
ImageCriterion AND AMI harus mencocokkan semua parameter di masing-masing ImageCriterion
ImageCriteria OR AMI harus cocok dengan salah satu ImageCriterion

Dengan menggunakan aturan evaluasi sebelumnya, mari kita lihat bagaimana menerapkannya pada: ImageCriteria contoh

  • ImageCriterion1: Memungkinkan AMIs yang memiliki kode AWS Marketplace produk abcdefg1234567890

    OR

  • ImageCriterion2: Memungkinkan AMIs yang memenuhi kedua kriteria ini:

    • Dimiliki oleh salah satu akun 123456789012 OR 123456789013

      • AND

    • Dibuat dalam 300 hari terakhir

    OR

  • ImageCriterion3: Memungkinkan AMIs yang memenuhi kedua kriteria ini:

    • Dimiliki oleh akun 123456789014

      • AND

    • Dinamakan dengan pola golden-ami-*

    OR

  • ImageCriterion4: Memungkinkan AMIs yang memenuhi kedua kriteria ini:

    • Diterbitkan oleh Amazon atau penyedia terverifikasi (ditentukan oleh amazon alias)

      • AND

    • Tidak usang (hari maksimum sejak penghentian) 0

Batas

ImageCriteriaDapat mencakup hingga:

  • 10 ImageCriterion

Masing-masing ImageCriterion dapat mencakup hingga:

  • 200 nilai untuk ImageProviders

  • 50 nilai untuk ImageNames

  • 50 nilai untuk MarketplaceProductCodes

Contoh batas

Menggunakan yang sebelumnyaImageCriteria contoh:

  • Ada 4ImageCriterion. Hingga 6 lagi dapat ditambahkan ke permintaan untuk mencapai batas 10.

  • Yang pertamaImageCriterion, ada 1 nilai untukMarketplaceProductCodes. Hingga 49 lebih dapat ditambahkan ke ini ImageCriterion untuk mencapai batas 50.

  • Yang keduaImageCriterion, ada 2 nilai untukImageProviders. Hingga 198 lebih dapat ditambahkan ke ini ImageCriterion untuk mencapai batas 200.

  • Yang ketigaImageCriterion, ada 1 nilai untukImageNames. Hingga 49 lebih dapat ditambahkan ke ini ImageCriterion untuk mencapai batas 50.

AMIs Operasi yang diizinkan

AMIs Fitur Diizinkan memiliki tiga status operasional untuk mengelola kriteria gambar: mode diaktifkan, dinonaktifkan, dan audit. Ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan kriteria gambar, atau meninjaunya sesuai kebutuhan.

Diaktifkan

Saat Diizinkan AMIs diaktifkan:

  • Itu ImageCriteria diterapkan.

  • Hanya AMIs diperbolehkan yang dapat ditemukan di EC2 konsol dan dengan APIs itu menggunakan gambar (misalnya, yang menggambarkan, menyalin, menyimpan, atau melakukan tindakan lain yang menggunakan gambar).

  • Instans hanya dapat diluncurkan menggunakan diizinkan AMIs.

Nonaktif

Ketika Diizinkan AMIs dinonaktifkan:

  • Itu ImageCriteria tidak diterapkan.

  • Tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.

Modus audit

Dalam mode audit:

  • ImageCriteriaIni diterapkan, tetapi tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.

  • Di EC2 konsol, untuk setiap AMI, bidang gambar yang Diizinkan menampilkan Ya atau Tidak untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.

  • Di baris perintah, respons untuk describe-image operasi mencakup "ImageAllowed": true atau "ImageAllowed": false untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.

  • Di EC2 konsol, Katalog AMI menampilkan Tidak diizinkan di samping AMIs yang tidak dapat ditemukan atau tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.

Praktik terbaik untuk menerapkan Diizinkan AMIs

Saat menerapkan AMIs Allowed, pertimbangkan praktik terbaik ini untuk memastikan transisi yang lancar dan meminimalkan potensi gangguan pada AWS lingkungan Anda.

  1. Aktifkan mode audit

    Mulailah dengan mengaktifkan Diizinkan AMIs dalam mode audit. Status ini memungkinkan Anda untuk melihat mana yang AMIs akan terpengaruh oleh kriteria Anda tanpa benar-benar membatasi akses, memberikan periode evaluasi bebas risiko.

  2. Tetapkan AMIs kriteria yang Diizinkan

    Tetapkan dengan cermat penyedia AMI mana yang selaras dengan kebijakan keamanan, persyaratan kepatuhan, dan kebutuhan operasional organisasi Anda.

    catatan

    Saat menggunakan layanan AWS terkelola seperti Amazon ECS atau Amazon EKS, sebaiknya tentukan amazon alias yang akan diizinkan AMIs dibuat oleh. AWS Layanan ini bergantung pada Amazon yang diterbitkan AMIs untuk meluncurkan instance.

    Berhati-hatilah saat menetapkan CreationDateCondition batasan untuk apa pun AMIs. Menyetel kondisi tanggal yang terlalu ketat (misalnya, AMIs harus berusia kurang dari 5 hari) dapat menyebabkan kegagalan peluncuran instance jika AMIs, baik dari AWS atau penyedia lain, tidak diperbarui dalam jangka waktu yang Anda tentukan.

    Kami merekomendasikan pemasangan ImageNames dengan ImageProviders untuk kontrol dan spesifisitas yang lebih baik. Menggunakan ImageNames sendiri mungkin tidak secara unik mengidentifikasi AMI.

  3. Periksa dampak pada proses bisnis yang diharapkan

    Anda dapat menggunakan konsol atau CLI untuk mengidentifikasi instance apa pun yang diluncurkan dengan yang tidak memenuhi kriteria AMIs yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs

    Konsol: Gunakan AWS Config aturan ec2- instance-launched-with-allowed -ami untuk memeriksa apakah instance yang sedang berjalan atau dihentikan diluncurkan dengan memenuhi kriteria AMIs Diizinkan Anda. AMIs Aturannya adalah NON_COMPLIANT jika AMI tidak memenuhi AMIs kriteria yang Diizinkan, dan COMPLIANT jika memang demikian. Aturan hanya beroperasi jika AMIs setelan Diizinkan disetel ke mode aktif atau audit.

    CLI: Jalankan describe-instance-image-metadataperintah dan filter respons untuk mengidentifikasi instance apa pun yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan.

    Untuk instruksi konsol dan CLI, lihat. Temukan instance yang diluncurkan dari AMIs yang tidak diizinkan

  4. Aktifkan Diizinkan AMIs

    Setelah Anda mengonfirmasi bahwa kriteria tidak akan mempengaruhi proses bisnis yang diharapkan, aktifkan Diizinkan AMIs.

  5. Monitor peluncuran instance

    Terus memantau peluncuran instans dari AMIs seluruh aplikasi dan layanan AWS terkelola yang Anda gunakan, seperti Amazon EMR, Amazon ECR, Amazon EKS, dan. AWS Elastic Beanstalk Periksa masalah yang tidak terduga dan lakukan penyesuaian yang diperlukan pada AMIs kriteria yang Diizinkan.

  6. Pilot baru AMIs

    Untuk menguji pihak ketiga AMIs yang tidak mematuhi AMIs pengaturan Diizinkan Anda saat ini, AWS rekomendasikan pendekatan berikut:

    • Gunakan yang terpisah Akun AWS: Buat akun tanpa akses ke sumber daya penting bisnis Anda. Pastikan AMIs pengaturan Diizinkan tidak diaktifkan di akun ini, atau yang ingin AMIs Anda uji diizinkan secara eksplisit, sehingga Anda dapat mengujinya.

    • Uji di tempat lain Wilayah AWS: Gunakan Wilayah tempat pihak ketiga AMIs tersedia, tetapi di mana Anda belum mengaktifkan AMIs pengaturan yang Diizinkan.

    Pendekatan ini membantu memastikan sumber daya penting bisnis Anda tetap aman saat Anda menguji yang baru. AMIs

Izin IAM yang diperlukan

Untuk menggunakan AMIs fitur Diizinkan, Anda memerlukan izin IAM berikut:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings