Sumber daya yang didukung Cara kerja pemeriksaan referensi AMI Izin IAM yang diperlukan Langkah-langkah untuk memeriksa referensi AMI

Identifikasi referensi sumber daya Anda yang ditentukan AMIs

Anda dapat mengidentifikasi AWS sumber daya yang mereferensikan Amazon Machine Images (AMIs) tertentu, terlepas dari AMIs apakah itu publik atau pribadi, atau siapa yang memilikinya. Visibilitas ini membantu Anda memastikan sumber daya Anda menggunakan kepatuhan AMIs terbaru.

Manfaat utama

Memeriksa referensi AMI membantu Anda:

Audit penggunaan AMIs di akun Anda.
Periksa di mana spesifik AMIs sedang direferensikan.
Pertahankan kepatuhan dengan memperbarui sumber daya Anda untuk referensi terbaruAMIs.

Topik

Sumber daya yang didukung
Cara kerja pemeriksaan referensi AMI
Izin IAM yang diperlukan
Langkah-langkah untuk memeriksa referensi AMI

Sumber daya yang didukung

Referensi AMI dapat diperiksa di:

EC2 contoh
Templat peluncuran
Parameter SSM
Resep gambar Image Builder
Resep wadah Image Builder

Cara kerja pemeriksaan referensi AMI

Operasi dasar

Saat Anda menjalankan pemeriksaan referensi AMI, Anda:

Tentukan mana yang AMIs harus diperiksa.
Pilih jenis sumber daya yang akan dipindai.
Terima daftar sumber daya Anda yang mereferensikan yang ditentukan AMIs.

Pemilihan jenis sumber daya

Di konsol, Anda memilih jenis sumber daya untuk dipindai.

Di CLI, Anda menentukan jenis sumber daya untuk dipindai menggunakan salah satu atau kedua parameter CLI berikut:

IncludeAllResourceTypes: Memindai semua jenis sumber daya yang didukung.
ResourceTypes: Memindai jenis sumber daya yang Anda tentukan.

Pelingkupan respons

Anda dapat membuat cakupan respons untuk EC2 instance dan meluncurkan templat dengan menyesuaikan ResourceTypeOptions nilai menggunakan parameter. ResourceTypes Konsol dan IncludeAllResourceTypes parameter keduanya menggunakan nilai opsi default. Kapan ResourceTypes dan IncludeAllResourceTypes digunakan bersama-sama, nilai ResourceTypes opsi lebih diutamakan daripada default.

Berikut ini adalah nilai default:

Jenis sumber daya	Opsi pelingkupan () `OptionName`	Tujuan	Nilai default untuk `OptionValue` dan konsol
EC2 contoh	`state-name`	Filter berdasarkan status instans	`pending`,`running`,`shutting-down`,`terminated`,`stopping`, `stopped` (semua negara bagian)
Templat peluncuran	`version-depth`	Tentukan jumlah versi template peluncuran yang akan diperiksa (mulai dari versi terbaru)	`10`(versi terbaru)

Izin IAM yang diperlukan

Untuk menggunakan DescribeImageReferences API untuk mengidentifikasi sumber daya yang direferensikan ditentukan AMIs, Anda memerlukan izin IAM berikut untuk menjelaskan sumber daya:

ec2:DescribeInstances
ec2:DescribeLaunchTemplates
ec2:DescribeLaunchTemplateVersions
ssm:DescribeParameters
ssm:GetParameters
imagebuilder:ListImageRecipes
imagebuilder:ListContainerRecipes
imagebuilder:GetContainerRecipe

Contoh kebijakan IAM untuk menggunakan API DescribeImageReferences

Contoh kebijakan berikut memberi Anda izin untuk menggunakan DescribeImageReferences API, yang mencakup izin untuk mendeskripsikan EC2 instance, template peluncuran, parameter Systems Manager, resep gambar Image Builder, dan resep wadah Image Builder.

penting

Kami sangat menyarankan untuk menggunakan kebijakan AWS terkelola AmazonEC2ImageReferencesAccessPolicydaripada membuat kebijakan sendiri. Membuat kebijakan IAM khusus yang hanya menyediakan izin yang diperlukan memerlukan waktu dan keahlian, dan akan memerlukan pembaruan saat jenis sumber daya baru tersedia.

Kebijakan AmazonEC2ImageReferencesAccessPolicy terkelola:

Memberikan semua izin yang diperlukan untuk menggunakan DescribeImageReferences API (ini termasuk izin untuk mendeskripsikan EC2 instance, template peluncuran, parameter Systems Manager, dan wadah Image Builder dan resep gambar).
Secara otomatis mendukung jenis sumber daya baru saat tersedia (terutama penting saat menggunakan IncludeAllResourceTypes parameter).

Anda dapat melampirkan AmazonEC2ImageReferencesAccessPolicy kebijakan ke identitas IAM Anda (pengguna, grup, dan peran).

Untuk melihat izin yang disertakan dalam kebijakan ini, lihat AmazonEC2ImageReferencesAccessPolicydi Referensi Kebijakan AWS Terkelola.

Langkah-langkah untuk memeriksa referensi AMI

Gunakan prosedur berikut untuk mengidentifikasi AWS sumber daya mana yang Anda referensikan ditentukan AMIs.

Console

Untuk mengidentifikasi referensi sumber daya yang ditentukan AMIs

Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
Di panel navigasi, pilih AMIs.
Pilih satu atau lebih AMIs untuk memeriksa referensi.
Pilih Tindakan, penggunaan AMI, Lihat sumber daya yang direferensikan.
Pada Lihat sumber daya yang merujuk AMIs halaman yang dipilih:
1. Untuk jenis Sumber Daya, pilih satu atau beberapa jenis sumber daya.
2. Pilih Lihat sumber daya.
AMIsBagian referensi Resources yang dipilih akan muncul. Daftar ini menampilkan sumber daya yang mereferensikan yang ditentukan AMIs. Setiap baris memberikan informasi berikut:
- ID AMI — ID AMI yang direferensikan.
- Jenis sumber daya — Jenis sumber daya dari sumber daya yang mereferensikan AMI.
- Resource ID — ID sumber daya yang mereferensikan AMI.

AWS CLI

Untuk memeriksa referensi AMI untuk jenis sumber daya tertentu

Gunakan describe-image-referencesperintah dengan --resource-types parameter. Contoh berikut memeriksa EC2 instance (pelingkupan berdasarkan status instans), template peluncuran (pelingkupan ke 20 versi template peluncuran terbaru), dan jenis sumber daya spesifik lainnya.


aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'

Berikut ini adalah output contoh.


{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}

Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung

Gunakan describe-image-referencesperintah dengan --include-all-resource-types parameter.


aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types

Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung dan opsi spesifik

Gunakan describe-image-referencesperintah dengan parameter --include-all-resource-types dan --resource-types parameter. Contoh ini memeriksa semua jenis sumber daya sambil mencatat respons untuk EC2 instance untuk menjalankan atau instance yang tertunda.


aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'

PowerShell

Untuk memeriksa referensi AMI untuk jenis sumber daya tertentu

Gunakan Get-EC2ImageReferencecmdlet dengan parameter. -ResourceType Contoh berikut memeriksa EC2 instance (pelingkupan berdasarkan status instans), template peluncuran (pelingkupan ke 20 versi template peluncuran terbaru), dan jenis sumber daya spesifik lainnya.


Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )

Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung

Gunakan Get-EC2ImageReferencecmdlet dengan parameter. -IncludeAllResourceTypes


Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes

Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung dan opsi spesifik

Gunakan Get-EC2ImageReferencecmdlet dengan parameter -IncludeAllResourceTypes dan -ResourceType parameter. Contoh ini memeriksa semua jenis sumber daya sambil mencatat respons untuk EC2 instance untuk menjalankan atau instance yang tertunda.


Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Periksa kapan AMI terakhir digunakan

Usangkan AMI