Controlla la scoperta e l'uso di AMIs in Amazon EC2 con Allowed AMIs - Amazon Elastic Compute Cloud
Come funziona Allowed AMIs Le migliori pratiche per l'implementazione di Allowed AMIsAutorizzazioni IAM richieste

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla la scoperta e l'uso di AMIs in Amazon EC2 con Allowed AMIs

Per controllare il rilevamento e l'uso di Amazon Machine Images (AMIs) da parte degli utenti del tuo account Account AWS, puoi utilizzare la AMIs funzione Allowed. Specifichi i criteri che AMIs devono soddisfare per essere visibili e disponibili nel tuo account. Quando i criteri sono abilitati, gli utenti che avviano le istanze visualizzeranno e avranno accesso solo a quelle AMIs che soddisfano i criteri specificati. Ad esempio, puoi specificare un elenco di provider AMI affidabili come criteri e solo AMIs da questi provider saranno visibili e disponibili per l'uso.

Prima di abilitare le AMIs impostazioni Consentiti, puoi abilitare la modalità di controllo per visualizzare in anteprima quali AMIs saranno o meno visibili e disponibili per l'uso. Ciò ti consente di perfezionare i criteri in base alle esigenze per garantire che solo gli elementi desiderati AMIs siano visibili e disponibili per gli utenti del tuo account. Inoltre, utilizza il describe-instance-image-metadatacomando per trovare le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

È possibile specificare le AMIs impostazioni consentite a livello di account, direttamente nell'account o utilizzando una politica dichiarativa. Queste impostazioni devono essere configurate in ogni area in Regione AWS cui si desidera controllare l'utilizzo dell'AMI. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta Policy dichiarative nella Guida per l'utente di AWS Organizations .

Nota

La AMIs funzione Consentito controlla solo l'individuazione e l'uso di contenuti pubblici AMIs o AMIs condivisi con il tuo account. Non limita la AMIs proprietà del tuo account. Indipendentemente dai criteri impostati, i AMIs file creati dal tuo account sono sempre individuabili e utilizzabili dagli utenti del tuo account.

Principali vantaggi di Allowed AMIs

  • Conformità e sicurezza: gli utenti possono scoprire e utilizzare solo quelli AMIs che soddisfano i criteri specificati, riducendo il rischio di utilizzo di AMI non conformi.

  • Gestione efficiente: riducendo il numero di quelli consentiti AMIs, la gestione di quelli rimanenti diventa più semplice ed efficiente.

  • Implementazione centralizzata a livello di account: configura le AMIs impostazioni consentite a livello di account, direttamente all'interno dell'account o tramite una politica dichiarativa. Ciò fornisce un modo centralizzato ed efficiente per controllare l'utilizzo delle AMI sull'intero account.

Indice

Come funziona Allowed AMIs

Per controllare quali AMIs elementi possono essere rilevati e utilizzati nel tuo account, definisci una serie di criteri in base ai quali valutare il AMIs. I criteri sono costituiti da uno o piùImageCriterion, come mostrato nel diagramma seguente. Una spiegazione segue il diagramma.

La gerarchia di AMIs ImageCriteria configurazione consentita.

La configurazione ha tre livelli:

  • 1 — Valori dei parametri

    • Parametri multivalore:

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        Un AMI può corrispondere a qualsiasi valore all'interno di un parametro consentito.

        Esempio: ImageProviders = amazon OR account 111122223333 OR account 444455556666 (La logica di valutazione per i valori dei parametri non è mostrata nel diagramma).

    • Parametri a valore singolo:

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2ImageCriterion

    • Raggruppa più parametri con logica AND.

    • Un AMI deve corrispondere a tutti i parametri all'interno ImageCriterion di un per essere consentito.

    • Esempio: ImageProviders = amazon AND CreationDateCondition = 300 giorni o meno

  • 3ImageCriteria

    • Gruppi multipli ImageCriterion con logica OR.

    • Un AMI può corrispondere ImageCriterion a qualsiasi tipo di AMI consentito.

    • Forma la configurazione completa rispetto alla quale AMIs vengono valutati.

Parametri consentiti AMIs

I seguenti parametri possono essere configurati per creareImageCriterion:

ImageProviders

I provider AMI che AMIs sono autorizzati.

I valori validi sono alias definiti da e AWS Account AWS IDs, come segue:

  • amazon— Un alias che identifica AMIs creato da Amazon o da fornitori verificati

  • aws-marketplace— Un alias identificativo AMIs creato da fornitori verificati nel Marketplace AWS

  • aws-backup-vault— Un alias che identifica i backup AMIs che risiedono in account Backup vault con accesso AWS logico. Se utilizzi la funzionalità AWS Backup logically air-gapped vault, assicurati che questo alias sia incluso come provider AMI.

  • Account AWS IDs — Una o più cifre a 12 cifre Account AWS IDs

  • none— Indica che solo le creazioni AMIs create dal tuo account possono essere scoperte e utilizzate. Pubblico o condiviso non AMIs può essere scoperto e utilizzato. Quando specificato, non è possibile specificare altri criteri.

ImageNames

I nomi dei caratteri consentiti AMIs, utilizzando corrispondenze esatte o caratteri jolly (?o*).

MarketplaceProductCodes

I codici dei Marketplace AWS prodotti sono AMIs consentiti.

CreationDateCondition

L'età massima consentita AMIs.

DeprecationTimeCondition

Il periodo massimo di deprecazione consentito. AMIs

Per i valori e i vincoli validi per ogni criterio, consulta Amazon API ImageCriterionRequestReference. EC2

Configurazione consentita AMIs

La configurazione principale di Allowed AMIs è la ImageCriteria configurazione che definisce i criteri per Allowed AMIs. La seguente struttura JSON mostra i parametri che possono essere specificati:

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria esempio

L'ImageCriteriaesempio seguente ne configura quattroImageCriterion. Un AMI è consentito se corrisponde a uno di questiImageCriterion. Per informazioni su come vengono valutati i criteri, vedereCome vengono valutati i criteri.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow Marketplace AWS AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

Come vengono valutati i criteri

La tabella seguente illustra le regole di valutazione che determinano se un AMI è consentito, mostrando come l'ORoperatore AND or viene applicato a ciascun livello:

Livello di valutazione Operatore Requisito per essere un AMI consentito
Valori dei parametri per ImageProvidersImageNames, e MarketplaceProductCodes OR L'AMI deve corrispondere ad almeno un valore in ogni elenco di parametri
ImageCriterion AND L'AMI deve corrispondere a tutti i parametri di ciascuna ImageCriterion
ImageCriteria OR L'AMI deve corrispondere a uno qualsiasi dei ImageCriterion

Utilizzando le regole di valutazione precedenti, vediamo come applicarle a: ImageCriteria esempio

  • ImageCriterion1: Consente di AMIs avere il codice del Marketplace AWS prodotto abcdefg1234567890

    OR

  • ImageCriterion2: Consente AMIs che soddisfino entrambi questi criteri:

    • Di proprietà di entrambi gli account 123456789012 OR 123456789013

      • AND

    • Creato negli ultimi 300 giorni

    OR

  • ImageCriterion3: Consente AMIs che soddisfino entrambi questi criteri:

    • Di proprietà dell'account 123456789014

      • AND

    • Denominato con lo schema golden-ami-*

    OR

  • ImageCriterion4: Consente AMIs di soddisfare entrambi questi criteri:

    • Pubblicato da Amazon o da fornitori verificati (specificato dall'amazonalias)

      • AND

    • Non obsoleto (massimo giorni dalla data di deprecazione) 0

Limiti

Possono includere fino a: ImageCriteria

  • 10 ImageCriterion

Ciascuno ImageCriterion può includere fino a:

  • 200 valori per ImageProviders

  • 50 valori per ImageNames

  • 50 valori per MarketplaceProductCodes

Esempio di limiti

Utilizzando il precedenteImageCriteria esempio:

  • Ce ne sono 4ImageCriterion. È possibile aggiungerne fino a 6 alla richiesta per raggiungere il limite di 10.

  • Nel primoImageCriterion, c'è 1 valore perMarketplaceProductCodes. È possibile aggiungerne fino a 49 ImageCriterion per raggiungere il limite di 50.

  • Nel secondoImageCriterion, ci sono 2 valori perImageProviders. È possibile aggiungerne fino a 198 ImageCriterion per raggiungere il limite di 200.

  • Nel terzoImageCriterion, c'è 1 valore perImageNames. È possibile aggiungerne fino a 49 ImageCriterion per raggiungere il limite di 50.

AMIs Operazioni consentite

La AMIs funzione Consentito ha tre stati operativi per la gestione dei criteri relativi all'immagine: abilitato, disabilitato e modalità di controllo. Queste consentono di abilitare o disabilitare i criteri relativi alle immagini o di rivederli secondo necessità.

Abilitato

Quando Allowed AMIs è abilitata:

  • Vengono applicati i ImageCriteria.

  • Solo le immagini consentite AMIs sono individuabili nella EC2 console e quindi APIs utilizzano immagini (ad esempio, che descrivono, copiano, archiviano o eseguono altre azioni che utilizzano immagini).

  • Le istanze possono essere avviate solo utilizzando allowed. AMIs

Disabilitato

Quando l'opzione Consentito AMIs è disabilitata:

  • Non vengono applicati i ImageCriteria.

  • Non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.

Modalità di controllo

In modalità di controllo:

  • Vengono applicati i ImageCriteria, ma non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.

  • Nella EC2 console, per ogni AMI, il campo Immagine consentita visualizza o No per indicare se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando Allowed AMIs è abilitato.

  • Nella riga di comando, la risposta all'describe-imageoperazione include "ImageAllowed": true o "ImageAllowed": false indica se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Allowed.

  • Nella EC2 console, viene visualizzato il messaggio Catalogo AMI non consentito accanto al quale AMIs non sarà rilevabile o disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Consentito.

Le migliori pratiche per l'implementazione di Allowed AMIs

Nell'implementazione di Allowed AMIs, prendi in considerazione queste best practice per garantire una transizione fluida e ridurre al minimo le potenziali interruzioni AWS dell'ambiente.

  1. Abilitare la modalità di controllo

    Inizia abilitando Allowed AMIs in modalità di controllo. Questo stato ti consente di vedere quali AMIs sarebbero gli elementi interessati dai tuoi criteri senza limitare effettivamente l'accesso, garantendo un periodo di valutazione privo di rischi.

  2. Imposta i criteri consentiti AMIs

    Stabilire con attenzione quali provider di AMI sono in linea con le politiche di sicurezza, i requisiti di conformità e le esigenze operative della tua organizzazione.

    Nota

    Quando utilizzi servizi AWS gestiti come Amazon ECS o Amazon EKS, ti consigliamo di specificare l'amazonalias da consentire AMIs la creazione da. AWS Questi servizi dipendono dalle istanze pubblicate AMIs da Amazon per lanciare.

    Fai attenzione quando CreationDateCondition imposti restrizioni per qualcuno. AMIs L'impostazione di condizioni di data eccessivamente restrittive (ad esempio, AMIs deve avere meno di 5 giorni) può causare errori di avvio delle istanze se le istanze AMIs, provenienti da AWS o da altri provider, non vengono aggiornate entro l'intervallo di tempo specificato.

    Ti consigliamo di abbinarlo a ImageProviders per un controllo e ImageNames una specificità migliori. L'utilizzo ImageNames da solo potrebbe non identificare in modo univoco un AMI.

  3. Verificare l'impatto sui processi aziendali previsti

    Puoi utilizzare la console o la CLI per identificare tutte le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

    Console: utilizza la AWS Config regola ec2- instance-launched-with-allowed -ami per verificare se sono state avviate istanze in esecuzione o interrotte che soddisfano i criteri consentiti. AMIs AMIs La regola è NON_COMPLIANT se un AMI non soddisfa i AMIs criteri consentiti e COMPLIANT in caso affermativo. La regola funziona solo quando l' AMIs impostazione Allowed è impostata sulla modalità abilitata o di controllo.

    CLI: esegui il describe-instance-image-metadatacomando e filtra la risposta per identificare le istanze avviate con AMIs che non soddisfano i criteri specificati.

    Per le istruzioni sulla console e sulla CLI, vedere. Trova le istanze avviate da AMIs cui non è consentito

  4. Abilita consentito AMIs

    Dopo aver confermato che i criteri non influiranno negativamente sui processi aziendali previsti, abilita Consentito AMIs.

  5. Monitorare gli avvii delle istanze

    Continua a monitorare i lanci di istanze da AMIs tutte le tue applicazioni e dai servizi AWS gestiti che utilizzi, come Amazon EMR, Amazon ECR, Amazon EKS e. AWS Elastic Beanstalk Verifica la presenza di eventuali problemi imprevisti e apporta le modifiche necessarie ai criteri consentiti. AMIs

  6. Pilota nuovo AMIs

    Per testare terze parti AMIs che non rispettano le attuali AMIs impostazioni Consentite, AWS consiglia i seguenti approcci:

    • Utilizza un account separato Account AWS: crea un account senza accesso alle tue risorse aziendali critiche. Assicurati che l' AMIs impostazione Consentito non sia abilitata in questo account o che le informazioni che AMIs desideri testare siano esplicitamente consentite, in modo da poterle testare.

    • Esegui il test in un'altra regione Regione AWS: utilizza una regione in cui AMIs sono disponibili terze parti, ma in cui non hai ancora abilitato le AMIs impostazioni consentite.

    Questi approcci aiutano a garantire che le risorse aziendali critiche rimangano sicure mentre ne testate di nuove. AMIs

Autorizzazioni IAM richieste

Per utilizzare la AMIs funzionalità Allowed, sono necessarie le seguenti autorizzazioni IAM:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings