Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'individuazione e l'uso delle AMI in Amazon EC2 con Allowed AMIs
Per controllare il rilevamento e l'uso di Amazon Machine Images (AMIs) da parte degli utenti del tuo account Account AWS, puoi utilizzare la AMIs funzione *Allowed*. Specifichi i criteri che AMIs devono soddisfare per essere visibili e disponibili nel tuo account. Quando i criteri sono abilitati, gli utenti che avviano le istanze visualizzeranno e avranno accesso solo a quelle AMIs che soddisfano i criteri specificati. Ad esempio, puoi specificare un elenco di provider AMI affidabili come criteri e solo AMIs da questi provider saranno visibili e disponibili per l'uso.
Prima di abilitare le AMIs impostazioni Consentiti, puoi abilitare la *modalità di controllo* per visualizzare in anteprima quali AMIs saranno o meno visibili e disponibili per l'uso. Ciò ti consente di perfezionare i criteri in base alle esigenze per garantire che solo gli elementi desiderati AMIs siano visibili e disponibili per gli utenti del tuo account. Inoltre, utilizza il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando per trovare le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs
È possibile specificare le AMIs impostazioni consentite a livello di account, direttamente nell'account o utilizzando una politica dichiarativa. Queste impostazioni devono essere configurate in ogni Regione AWS in cui si desidera controllare l’utilizzo delle AMI. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.
**Nota**
La AMIs funzione Consentito controlla solo l'individuazione e l'uso di contenuti pubblici AMIs o AMIs condivisi con l'account. Non limita la AMIs proprietà del tuo account. Indipendentemente dai criteri impostati, i AMIs file creati dal tuo account sono sempre individuabili e utilizzabili dagli utenti del tuo account.
**Principali vantaggi di Allowed AMIs**
+ **Conformità e sicurezza**: gli utenti possono scoprire e utilizzare solo quelli AMIs che soddisfano i criteri specificati, riducendo il rischio di utilizzo di AMI non conformi.
+ **Gestione efficiente**: riducendo il numero di quelli consentiti AMIs, la gestione di quelli rimanenti diventa più semplice ed efficiente.
+ **Implementazione centralizzata a livello di account**: configura le AMIs impostazioni consentite a livello di account, direttamente all'interno dell'account o tramite una politica dichiarativa. Ciò fornisce un modo centralizzato ed efficiente per controllare l'utilizzo delle AMI sull'intero account.
**Topics**
+ [Come funziona Allowed AMIs](#how-allowed-amis-works)
+ [Le migliori pratiche per l'implementazione di Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Autorizzazioni IAM richieste](#iam-permissions-for-allowed-amis)
+ [Gestisci le impostazioni per Allowed AMIs](manage-settings-allowed-amis.md)
## Come funziona Allowed AMIs
Per controllare quali AMIs elementi possono essere rilevati e utilizzati nel tuo account, definisci una serie di criteri in base ai quali valutare il AMIs. I criteri sono costituiti da uno o più `ImageCriterion`, come mostra il diagramma seguente. Il diagramma è seguito da una spiegazione.
![\[La gerarchia AMIs ImageCriteria di configurazione consentita.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
La configurazione ha tre livelli:
+ **1** – Valori dei parametri
+ Parametri con più valori:
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
Un’AMI può corrispondere a *qualsiasi* valore entro un parametro per essere consentita.
Esempio: `ImageProviders` = `amazon` **OR** account `111122223333` **OR** account `444455556666` (La logica di valutazione dei valori dei parametri non è riportata nel diagramma).
+ Parametri a valore singolo:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** – `ImageCriterion`
+ Raggruppa più parametri con logica **AND**.
+ Un’AMI deve corrispondere a *tutti* i parametri all’interno di un `ImageCriterion` per essere consentita.
+ Esempio: `ImageProviders` = `amazon` **AND** `CreationDateCondition` = 300 giorni o meno
+ **3** – `ImageCriteria`
+ Raggruppa più `ImageCriterion` con logica **OR**.
+ Un’AMI può corrispondere *qualsiasi* `ImageCriterion` per essere consentita.
+ Forma la configurazione completa rispetto alla quale AMIs vengono valutati.
**Topics**
+ [Parametri consentiti AMIs](#allowed-amis-criteria)
+ [Configurazione consentita AMIs](#allowed-amis-json-configuration)
+ [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated)
+ [Limits](#allowed-amis-json-configuration-limits)
+ [AMIs Operazioni consentite](#allowed-amis-operations)
### Parametri consentiti AMIs
Puoi configurare i seguenti parametri per creare `ImageCriterion`:
`ImageProviders`
I provider AMI che AMIs sono autorizzati.
I valori validi sono alias definiti da e AWS Account AWS IDs, come segue:
+ `amazon`— Un alias che identifica AMIs creato da Amazon o da fornitori verificati
+ `aws-marketplace`— Un alias che identifica AMIs creato da fornitori verificati nel Marketplace AWS
+ `aws-backup-vault`— Un alias che identifica i backup AMIs che risiedono in account Backup vault con accesso AWS logico. Se utilizzi la funzionalità AWS Backup logically air-gapped vault, assicurati che questo alias sia incluso come provider AMI.
+ Account AWS IDs — Una o più cifre a 12 cifre Account AWS IDs
+ `none`— Indica che solo le creazioni AMIs create dal tuo account possono essere scoperte e utilizzate. Pubblico o condiviso non AMIs può essere scoperto e utilizzato. Quando specificato, non è possibile specificare altri criteri.
`ImageNames`
I nomi di allowed AMIs, che utilizzano corrispondenze esatte o caratteri jolly (`?`o`*`).
`MarketplaceProductCodes`
I codici dei Marketplace AWS prodotti sono AMIs consentiti.
`CreationDateCondition`
L'età massima consentita AMIs.
`DeprecationTimeCondition`
Il periodo massimo di deprecazione consentito. AMIs
*Per i valori e i vincoli validi per ogni criterio, consulta il riferimento alle API di [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)Amazon EC2.*
### Configurazione consentita AMIs
La configurazione principale di Allowed AMIs è la `ImageCriteria` configurazione che definisce i criteri per Allowed AMIs. La seguente struttura JSON indica i parametri che possono essere specificati:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria esempio
Il seguente esempio `ImageCriteria` configura quattro `ImageCriterion`. Un’AMI è consentita se corrisponde a uno di questi `ImageCriterion`. Per informazioni su come vengono valutati i criteri, consulta [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow Marketplace AWS AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### Come vengono valutati i criteri
La seguente tabella illustra le regole di valutazione che determinano se un’AMI è consentita, mostrando come l’operatore `AND` o `OR` viene applicato a ciascun livello:
| Livello di valutazione | Operatore | Requisito per essere un’AMI consentita |
| --- | --- | --- |
| Valori dei parametri per ImageProviders, ImageNames e MarketplaceProductCodes | OR | L’AMI deve corrispondere almeno a un valore in ogni elenco di parametri |
| ImageCriterion | AND | L’AMI deve corrispondere a tutti i parametri di ogni ImageCriterion |
| ImageCriteria | OR | L’AMI deve rispettare uno qualsiasi dei ImageCriterion |
Utilizzando le regole di valutazione precedenti, vediamo come applicarle all’[ImageCriteria esempio](#allowed-amis-json-configuration-example):
+ `ImageCriterion`1: consente di AMIs avere il codice Marketplace AWS del prodotto `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: Consente AMIs che soddisfino entrambi questi criteri:
+ Di proprietà di uno degli account `123456789012` `OR` `123456789013`
+ `AND`
+ Creato negli ultimi 300 giorni
`OR`
+ `ImageCriterion`3: Consente AMIs che soddisfino entrambi questi criteri:
+ Di proprietà dell’account `123456789014`
+ `AND`
+ Denominato con il modello `golden-ami-*`
`OR`
+ `ImageCriterion`4: Consente AMIs che soddisfino entrambi questi criteri:
+ Pubblicato da Amazon o da fornitori verificati (specificato dall’alias `amazon`)
+ `AND`
+ Non obsoleto (massimo giorni dalla data di obsolescenza `0`)
### Limits
I `ImageCriteria` possono includere fino a:
+ 10 `ImageCriterion`
Ogni `ImageCriterion` può includere fino a:
+ 200 valori per `ImageProviders`
+ 50 valori per `ImageNames`
+ 50 valori per `MarketplaceProductCodes`
**Esempio di limiti**
Utilizzando i [ImageCriteria esempio](#allowed-amis-json-configuration-example) precedenti:
+ Ci sono 4 `ImageCriterion`. È possibile aggiungere fino a 6 ulteriori richieste per raggiungere il limite di 10.
+ Nel primo `ImageCriterion`, c’è 1 valore per `MarketplaceProductCodes`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.
+ Nel secondo `ImageCriterion`, ci sono 2 valori per `ImageProviders`. È possibile aggiungere fino a 198 elementi a questo `ImageCriterion` per raggiungere il limite di 200.
+ Nel terzo `ImageCriterion`, c’è 1 valore per `ImageNames`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.
### AMIs Operazioni consentite
La AMIs funzione Consentito ha tre stati operativi per la gestione dei criteri relativi all'immagine: **abilitato**, **disabilitato** e **modalità di controllo**. Queste consentono di abilitare o disabilitare i criteri relativi alle immagini o di rivederli secondo necessità.
**Abilitato**
Quando l'opzione Allowed AMIs è abilitata:
+ Vengono applicati i `ImageCriteria`.
+ Solo le AMI consentite sono individuabili nella console EC2 e quindi utilizzano immagini (ad esempio, APIs che descrivono, copiano, archiviano o eseguono altre azioni che utilizzano immagini).
+ Le istanze possono essere avviate solo utilizzando allowed. AMIs
**Disabilitato**
Quando l'opzione Consentito AMIs è disabilitata:
+ Non vengono applicati i `ImageCriteria`.
+ Non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.
**Modalità di controllo**
Nella modalità di controllo:
+ Vengono applicati i `ImageCriteria`, ma non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.
+ Nella console EC2, per ogni AMI, il campo **Immagine consentita** mostra **Sì** o **No** per indicare se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando Allowed AMIs è abilitato.
+ Nella riga di comando, la risposta all'`describe-image`operazione include `"ImageAllowed": true` o `"ImageAllowed": false` indica se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Allowed.
+ Nella console EC2, il catalogo AMI mostra il messaggio **Non consentito** accanto al AMIs quale non sarà rilevabile o disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Consentito.
## Le migliori pratiche per l'implementazione di Allowed AMIs
Nell'implementazione di Allowed AMIs, prendi in considerazione queste best practice per garantire una transizione fluida e ridurre al minimo le potenziali interruzioni AWS dell'ambiente.
1. **Abilitare la modalità di controllo**
Inizia abilitando Allowed AMIs in modalità di controllo. Questo stato ti consente di vedere quali AMIs sarebbero gli elementi interessati dai tuoi criteri senza limitare effettivamente l'accesso, garantendo un periodo di valutazione privo di rischi.
1. **Imposta i criteri consentiti AMIs **
Stabilire con attenzione quali provider di AMI sono in linea con le politiche di sicurezza, i requisiti di conformità e le esigenze operative della tua organizzazione.
**Nota**
Quando utilizzi servizi AWS gestiti, come Amazon ECS, Amazon EKS o AWS Lambda Managed Instances, ti consigliamo di specificare `amazon` l'alias da cui consentire la creazione. AMIs AWS Questi servizi dipendono dalle istanze pubblicate AMIs da Amazon per lanciare.
Fai attenzione quando `CreationDateCondition` imposti restrizioni per qualcuno. AMIs L'impostazione di condizioni di data eccessivamente restrittive (ad esempio, AMIs deve avere meno di 5 giorni) può causare errori di avvio delle istanze se le istanze AMIs, provenienti da AWS o da altri provider, non vengono aggiornate entro l'intervallo di tempo specificato.
Consigliamo di abbinare `ImageNames` con `ImageProviders` per un controllo e una specificità migliori. Utilizzare `ImageNames` da solo potrebbe non identificare in modo univoco un’AMI.
1. **Verificare l'impatto sui processi aziendali previsti**
Puoi utilizzare la console o la CLI per identificare tutte le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs
Console: utilizza la AWS Config regola [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) per verificare se sono state avviate istanze in esecuzione o interrotte che soddisfano i criteri consentiti. AMIs AMIs La regola è **NON\$1COMPLIANT se** un AMI non soddisfa i AMIs criteri consentiti e **COMPLIANT** in caso affermativo. ****La regola funziona solo quando l' AMIs impostazione Allowed è impostata sulla modalità abilitata o di controllo.****
CLI: esegui il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando e filtra la risposta per identificare le istanze avviate con AMIs che non soddisfano i criteri specificati.
Per le istruzioni relative a console e CLI, consulta [Trova le istanze avviate da AMIs cui non è consentito](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).
1. **Abilita consentito AMIs**
Dopo aver confermato che i criteri non influiranno negativamente sui processi aziendali previsti, abilita Consentito AMIs.
1. **Monitorare gli avvii delle istanze**
Continua a monitorare i lanci di istanze da AMIs tutte le tue applicazioni e dai servizi AWS gestiti che utilizzi, come Amazon EMR, Amazon ECR, Amazon EKS e. AWS Elastic Beanstalk Verifica la presenza di eventuali problemi imprevisti e apporta le modifiche necessarie ai criteri consentiti. AMIs
1. **Pilota nuovo AMIs**
Per testare terze parti AMIs che non rispettano le attuali AMIs impostazioni Consentite, AWS consiglia i seguenti approcci:
+ Utilizza un account separato Account AWS: crea un account senza accesso alle tue risorse aziendali critiche. Assicurati che l' AMIs impostazione Consentito non sia abilitata in questo account o che le informazioni che AMIs desideri testare siano esplicitamente consentite, in modo da poterle testare.
+ Esegui il test in un'altra regione Regione AWS: utilizza una regione in cui AMIs sono disponibili terze parti, ma in cui non hai ancora abilitato le AMIs impostazioni consentite.
Questi approcci aiutano a garantire che le risorse aziendali critiche rimangano sicure mentre ne testate di nuove. AMIs
## Autorizzazioni IAM richieste
Per utilizzare la AMIs funzionalità Allowed, sono necessarie le seguenti autorizzazioni IAM:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
# Gestisci le impostazioni per Allowed AMIs
È possibile gestire le impostazioni per Consentito AMIs. Queste impostazioni sono specifiche per ogni regione e per ogni account.
**Topics**
+ [Abilita Consentito AMIs](#enable-allowed-amis-criteria)
+ [Imposta i AMIs criteri consentiti](#update-allowed-amis-criteria)
+ [Disabilita Consentito AMIs](#disable-allowed-amis-criteria)
+ [Ottieni i AMIs criteri consentiti](#identify-allowed-amis-state-and-criteria)
+ [Scopri AMIs che sono consentiti](#identify-amis-that-meet-allowed-amis-criteria)
+ [Trova le istanze avviate da AMIs cui non è consentito](#identify-instances-with-allowed-AMIs)
## Abilita Consentito AMIs
È possibile abilitare Consentito AMIs e specificare AMIs i criteri Consentito. Ti consigliamo di iniziare con la modalità di controllo, che mostra quali AMIs sarebbero i criteri interessati senza limitare effettivamente l'accesso.
------
#### [ Console ]
**Per abilitare Consentito AMIs**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per ** AMIs Impostazioni consentite**, scegli la **modalità di controllo** o **Attivata**. Ti consigliamo di iniziare in modalità di controllo, testare i criteri e quindi tornare a questo passaggio per abilitare Consentito AMIs.
1. (Facoltativo) Per i **criteri delle AMI**, inserisci i criteri in formato JSON.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per abilitare Consentito AMIs**
Utilizza il comando [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```
Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```
------
#### [ PowerShell ]
**Per abilitare Consentito AMIs**
Utilizza il cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```
Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```
------
## Imposta i AMIs criteri consentiti
Dopo aver abilitato Consentito AMIs, è possibile impostare o sostituire i AMIs criteri Consentiti.
Per la corretta configurazione e i valori validi, consulta [Configurazione consentita AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) e [Parametri consentiti AMIs](ec2-allowed-amis.md#allowed-amis-criteria).
------
#### [ Console ]
**Per impostare i AMIs criteri Consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per i **criteri delle AMI**, inserisci i criteri in formato JSON.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per impostare i AMIs criteri consentiti**
Utilizzate il allowed-images-settings comando [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) e specificate il file JSON che contiene i AMIs criteri consentiti.
```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```
------
#### [ PowerShell ]
**Per impostare i criteri consentiti AMIs**
Utilizzare il [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)cmdlet e specificare il file JSON che contiene i criteri Allowed. AMIs
```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```
------
## Disabilita Consentito AMIs
È possibile disabilitare Consentito AMIs come segue.
------
#### [ Console ]
**Per disabilitare Allowed AMIs**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per ** AMIs Impostazioni consentite**, scegli **Disabilitato**.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per disabilitare Consentito AMIs**
Utilizza il comando [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).
```
aws ec2 disable-allowed-images-settings
```
------
#### [ PowerShell ]
**Per disabilitare Consentito AMIs**
Utilizza il cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).
```
Disable-EC2AllowedImagesSetting
```
------
## Ottieni i AMIs criteri consentiti
È possibile ottenere lo stato corrente dell' AMIs impostazione Consentito e dei AMIs criteri Consentito.
------
#### [ Console ]
**Per ottenere lo AMIs stato e i criteri Consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, ** AMIs le impostazioni consentite sono** impostate sulla **modalità **Abilitata****, Disabilitata** o Controllo**.
1. Se lo stato di Allowed AMIs è **Enabled** o **Audit mode**, **AMI criteria** visualizza i criteri AMI in formato JSON.
------
#### [ AWS CLI ]
**Per ottenere AMIs lo stato e i criteri consentiti**
Utilizza il comando [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).
```
aws ec2 get-allowed-images-settings
```
Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.
```
{
"State": "audit-mode",
"ImageCriteria": [
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
],
"ManagedBy": "account"
}
```
------
#### [ PowerShell ]
**Per ottenere lo AMIs stato e i criteri consentiti**
Utilizza il cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).
```
Get-EC2AllowedImagesSetting | Select-Object `
State, `
ManagedBy, `
@{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
@{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
@{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
@{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
@{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```
Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.
```
State : audit-mode
ManagedBy : account
ImageProviders : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes : {abcdefg1234567890}
ImageNames : {golden-ami-*}
MaximumDaysSinceCreated : 300
MaximumDaysSinceDeprecated: 0
```
------
## Scopri AMIs che sono consentiti
Puoi trovare AMIs quelli consentiti o non consentiti in base AMIs ai criteri Consentiti correnti.
**Nota**
L'opzione Consentito AMIs deve essere in modalità di controllo.
------
#### [ Console ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona l’AMI.
1. Nella scheda **Dettagli** (se hai selezionato la casella di spunta) o nell'area di riepilogo (se hai selezionato l'ID dell'AMI), trova il campo **Immagine consentita**.
+ **Sì,** l'AMI soddisfa i AMIs criteri consentiti. Questo AMI sarà disponibile per gli utenti del tuo account dopo aver abilitato ConsentitoAMIs.
+ **No**: l'AMI non soddisfa i AMIs criteri consentiti.
1. Nel riquadro di navigazione seleziona **AMI Catalog** (catalogo AMI).
Un AMI contrassegnato come **Non consentito** indica un AMI che non soddisfa i AMIs criteri Consentito. Questo AMI non sarà visibile o disponibile per gli utenti del tuo account quando AMIs è abilitata l'opzione Consentito.
------
#### [ AWS CLI ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].ImageAllowed \
--output text
```
Di seguito è riportato un output di esempio.
```
True
```
**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .
```
aws ec2 describe-images \
--filters "Name=image-allowed,Values=true" \
--max-items 10 \
--query Images[].ImageId
```
Di seguito è riportato un output di esempio.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
#### [ PowerShell ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```
Di seguito è riportato un output di esempio.
```
True
```
**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-Filter @{Name="image-allows";Values="true"} `
-MaxResult 10 | `
Select ImageId
```
Di seguito è riportato un output di esempio.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
## Trova le istanze avviate da AMIs cui non è consentito
Puoi identificare le istanze che sono state avviate utilizzando un'AMI che non soddisfa i AMIs criteri Consentiti.
------
#### [ Console ]
**Per verificare se un’istanza è stata avviata utilizzando un’AMI non consentita**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, seleziona **Instances (Istanze)**.
1. Selezionare l'istanza.
1. Nella scheda **Dettagli**, sotto **Dettagli istanza**, trova **Immagine consentita**.
+ **Sì,** l'AMI soddisfa i AMIs criteri consentiti.
+ **No**: l'AMI non soddisfa i AMIs criteri consentiti.
------
#### [ AWS CLI ]
**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**
Usa il comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) con il filtro `image-allowed`.
```
aws ec2 describe-instance-image-metadata \
--filters "Name=image-allowed,Values=false" \
--query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
--output table
```
Di seguito è riportato un output di esempio.
```
--------------------------------------------------
| DescribeInstanceImageMetadata |
+----------------------+-------------------------+
| i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 |
| i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f |
| i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 |
| i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 |
| i-0781e91cfeca3179d | ami-00c257e12d6828491 |
| i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 |
+----------------------+-------------------------+
```
------
#### [ PowerShell ]
**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**
Utilizza il cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).
```
Get-EC2InstanceImageMetadata `
-Filter @{Name="image-allowed";Values="false"} | `
Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```
Di seguito è riportato un output di esempio.
```
InstanceId ImageId
---------- -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```
------
#### [ AWS Config ]
Puoi aggiungere la AWS Config regola **ec2- instance-launched-with-allowed -ami**, configurarla in base alle tue esigenze e poi usarla per valutare le tue istanze.
*Per ulteriori informazioni, consulta [Adding AWS Config rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) and [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) nella Guida per gli sviluppatori.AWS Config *
------