Gestisci le impostazioni per Allowed AMIs - Amazon Elastic Compute Cloud
Abilita Consentito AMIsImposta i AMIs criteri consentitiDisabilita Consentito AMIsOttieni i AMIs criteri consentitiScopri AMIs che sono consentitiTrova le istanze avviate da AMIs cui non è consentito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci le impostazioni per Allowed AMIs

È possibile gestire le impostazioni per Consentito AMIs. Queste impostazioni sono specifiche per ogni regione e per ogni account.

Abilita Consentito AMIs

È possibile abilitare Consentito AMIs e specificare AMIs i criteri Consentito. Ti consigliamo di iniziare con la modalità di controllo, che mostra quali AMIs sarebbero i criteri interessati senza limitare effettivamente l'accesso.

Console
Per abilitare Consentito AMIs

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. Nella scheda Attributi dell'account, in Impostazioni, scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per AMIs Impostazioni consentite, scegli la modalità di controllo o Attivata. Ti consigliamo di iniziare in modalità di controllo, testare i criteri e quindi tornare a questo passaggio per abilitare Consentito AMIs.

  6. (Facoltativo) Per i criteri delle AMI, inserisci i criteri in formato JSON.

  7. Scegliere Aggiorna.

AWS CLI
Per abilitare Consentito AMIs

Utilizza il comando enable-allowed-images-settings.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled

Per abilitare la modalità di controllo, invece, specifica audit-mode invece di enabled.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
PowerShell
Per abilitare Consentito AMIs

Utilizza il cmdlet Enable-EC2AllowedImagesSetting.

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled

Per abilitare la modalità di controllo, invece, specifica audit-mode invece di enabled.

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode

Imposta i AMIs criteri consentiti

Dopo aver abilitato Consentito AMIs, è possibile impostare o sostituire i AMIs criteri Consentiti.

Per la corretta configurazione e i valori validi, consulta Configurazione consentita AMIs e Parametri consentiti AMIs.

Console
Per impostare i AMIs criteri Consentiti

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. Nella scheda Attributi dell'account, in Impostazioni, scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per i criteri delle AMI, inserisci i criteri in formato JSON.

  6. Scegliere Aggiorna.

AWS CLI
Per impostare i AMIs criteri consentiti

Utilizzate il allowed-images-settings comando replace-image-criteria-in- e specificate il file JSON che contiene i AMIs criteri consentiti.

aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
PowerShell
Per impostare i criteri consentiti AMIs

Utilizzare il Set-EC2ImageCriteriaInAllowedImagesSettingcmdlet e specificare il file JSON che contiene i criteri Allowed. AMIs

$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria

Disabilita Consentito AMIs

È possibile disabilitare Consentito AMIs come segue.

Console
Per disabilitare Allowed AMIs

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. Nella scheda Attributi dell'account, in Impostazioni, scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per AMIs Impostazioni consentite, scegli Disabilitato.

  6. Scegliere Aggiorna.

AWS CLI
Per disabilitare Consentito AMIs

Utilizza il comando disable-allowed-images-settings.

aws ec2 disable-allowed-images-settings
PowerShell
Per disabilitare Consentito AMIs

Utilizza il cmdlet Disable-EC2AllowedImagesSetting.

Disable-EC2AllowedImagesSetting

Ottieni i AMIs criteri consentiti

È possibile ottenere lo stato corrente dell' AMIs impostazione Consentito e dei AMIs criteri Consentito.

Console
Per ottenere lo AMIs stato e i criteri Consentiti

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. Nella scheda Attributi dell'account, in Impostazioni, scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, AMIs le impostazioni consentite sono impostate sulla modalità Abilitata, Disabilitata o Controllo.

  5. Se lo stato di Allowed AMIs è Enabled o Audit mode, AMI criteria visualizza i criteri AMI in formato JSON.

AWS CLI
Per ottenere AMIs lo stato e i criteri consentiti

Utilizza il comando get-allowed-images-settings.

aws ec2 get-allowed-images-settings

Nell’output dell’esempio seguente, lo stato è audit-mode e i criteri per le immagini sono impostati nell’account.

{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
PowerShell
Per ottenere lo AMIs stato e i criteri consentiti

Utilizza il cmdlet Get-EC2AllowedImagesSetting.

Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}

Nell’output dell’esempio seguente, lo stato è audit-mode e i criteri per le immagini sono impostati nell’account.

State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0

Scopri AMIs che sono consentiti

Puoi trovare AMIs quelli consentiti o non consentiti in base AMIs ai criteri Consentiti correnti.

Nota

L'opzione Consentito AMIs deve essere in modalità di controllo.

Console
Per verificare se un AMI soddisfa i AMIs criteri consentiti

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli AMIs.

  3. Seleziona l’AMI.

  4. Nella scheda Dettagli (se hai selezionato la casella di spunta) o nell'area di riepilogo (se hai selezionato l'ID dell'AMI), trova il campo Immagine consentita.

    • Sì, l'AMI soddisfa i AMIs criteri consentiti. Questo AMI sarà disponibile per gli utenti del tuo account dopo aver abilitato ConsentitoAMIs.

    • No: l'AMI non soddisfa i AMIs criteri consentiti.

  5. Nel riquadro di navigazione seleziona AMI Catalog (catalogo AMI).

    Un AMI contrassegnato come Non consentito indica un AMI che non soddisfa i AMIs criteri Consentito. Questo AMI non sarà visibile o disponibile per gli utenti del tuo account quando AMIs è abilitata l'opzione Consentito.

AWS CLI
Per verificare se un AMI soddisfa i AMIs criteri consentiti

Utilizzare il comando describe-images .

aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text

Di seguito è riportato un output di esempio.

True
Per verificare AMIs che soddisfi i AMIs criteri Consentiti

Utilizzare il comando describe-images .

aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId

Di seguito è riportato un output di esempio.

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
PowerShell
Per verificare se un AMI soddisfa i AMIs criteri consentiti

Utilizza il cmdlet Get-EC2Image.

(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed

Di seguito è riportato un output di esempio.

True
Per verificare AMIs che soddisfi i AMIs criteri Consentiti

Utilizza il cmdlet Get-EC2Image.

Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId

Di seguito è riportato un output di esempio.

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88

Trova le istanze avviate da AMIs cui non è consentito

Puoi identificare le istanze che sono state avviate utilizzando un'AMI che non soddisfa i AMIs criteri Consentiti.

Console
Per verificare se un’istanza è stata avviata utilizzando un’AMI non consentita

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, seleziona Instances (Istanze).

  3. Selezionare l'istanza.

  4. Nella scheda Dettagli, sotto Dettagli istanza, trova Immagine consentita.

    • Sì, l'AMI soddisfa i AMIs criteri consentiti.

    • No: l'AMI non soddisfa i AMIs criteri consentiti.

AWS CLI
Per trovare le istanze avviate utilizzando istanze non AMIs consentite

Usa il comando describe-instance-image-metadata con il filtro image-allowed.

aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table

Di seguito è riportato un output di esempio.

--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
PowerShell
Per trovare le istanze avviate utilizzando istanze non AMIs consentite

Utilizza il cmdlet Get-EC2InstanceImageMetadata.

Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}

Di seguito è riportato un output di esempio.

InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
AWS Config

Puoi aggiungere la AWS Config regola ec2- instance-launched-with-allowed -ami, configurarla in base alle tue esigenze e poi usarla per valutare le tue istanze.

Per ulteriori informazioni, consulta Adding AWS Config rules and ec2- instance-launched-with-allowed -ami nella Guida per gli sviluppatori.AWS Config