Gestisci le impostazioni per Allowed AMIs - Amazon Elastic Compute Cloud
Abilita consentito AMIsImposta i AMIs criteri consentitiDisabilita Consentito AMIsOttieni i criteri consentiti AMIsScopri AMIs che sono consentitiTrova le istanze avviate da AMIs cui non è consentito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci le impostazioni per Allowed AMIs

È possibile gestire le impostazioni per Consentito AMIs. Queste impostazioni sono per regione per account.

Abilita consentito AMIs

È possibile abilitare Consentito AMIs e specificare AMIs i criteri Consentito. Ti consigliamo di iniziare con la modalità di controllo, che mostra quali AMIs sarebbero i criteri interessati senza limitare effettivamente l'accesso.

Console
Per abilitare Consentito AMIs

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. In Attributi dell'account (in alto a destra), scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per AMIs Impostazioni consentite, scegli la modalità di controllo o Attivata. Ti consigliamo di iniziare in modalità di controllo, testare i criteri e quindi tornare a questo passaggio per abilitare Consentito AMIs.

  6. (Facoltativo) Per i criteri AMI, inserisci i criteri in formato JSON.

  7. Scegli Aggiorna.

AWS CLI
Per abilitare Consentito AMIs

Utilizza il comando enable-allowed-images-settings.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled

Per abilitare invece la modalità di controllo, specificare audit-mode invece dienabled.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
PowerShell
Per abilitare Allowed AMIs

Utilizzare il Enable-EC2AllowedImagesSettingcmdlet.

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled

Per abilitare invece la modalità di controllo, specificare audit-mode invece di. enabled

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode

Imposta i AMIs criteri consentiti

Dopo aver abilitato Consentito AMIs, è possibile impostare o sostituire i AMIs criteri Consentiti.

Per la configurazione corretta e i valori validi, consulta Configurazione consentita AMIs eParametri consentiti AMIs .

Console
Per impostare i AMIs criteri consentiti

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. In Attributi dell'account (in alto a destra), scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per i criteri AMI, inserisci i criteri in formato JSON.

  6. Scegli Aggiorna.

AWS CLI
Per impostare i criteri consentiti AMIs

Utilizzate il allowed-images-settings comando replace-image-criteria-in- e specificate il file JSON che contiene i AMIs criteri consentiti.

aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
PowerShell
Per impostare i criteri consentiti AMIs

Utilizzare il Set-EC2ImageCriteriaInAllowedImagesSettingcmdlet e specificare il file JSON che contiene i criteri Allowed. AMIs

$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria

Disabilita Consentito AMIs

È possibile disabilitare Consentito AMIs come segue.

Console
Per disabilitare Allowed AMIs

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. In Attributi dell'account (in alto a destra), scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, scegli Gestisci.

  5. Per AMIs Impostazioni consentite, scegli Disabilitato.

  6. Scegli Aggiorna.

AWS CLI
Per disabilitare Consentito AMIs

Utilizza il comando disable-allowed-images-settings.

aws ec2 disable-allowed-images-settings
PowerShell
Per disabilitare Consentito AMIs

Utilizzare il Disable-EC2AllowedImagesSettingcmdlet.

Disable-EC2AllowedImagesSetting

Ottieni i criteri consentiti AMIs

È possibile ottenere lo stato corrente dell' AMIs impostazione Consentito e dei AMIs criteri Consentito.

Console
Per ottenere lo AMIs stato e i criteri Consentiti

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione seleziona Pannello di controllo.

  3. In Attributi dell'account (in alto a destra), scegli Consentito AMIs.

  4. AMIsNella scheda Consentiti, AMIs le impostazioni consentite sono impostate sulla modalità Abilitata, Disabilitata o Controllo.

  5. Se lo stato di Allowed AMIs è Enabled o Audit mode, AMI criteria visualizza i criteri AMI in formato JSON.

AWS CLI
Per ottenere AMIs lo stato e i criteri consentiti

Utilizza il comando get-allowed-images-settings.

aws ec2 get-allowed-images-settings

Nell'output di esempio seguente, lo stato è audit-mode e i criteri relativi all'immagine sono impostati nell'account.

{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
PowerShell
Per ottenere lo AMIs stato e i criteri consentiti

Utilizzare il Get-EC2AllowedImagesSettingcmdlet.

Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}

Nell'output di esempio seguente, lo stato è audit-mode e i criteri dell'immagine sono impostati nell'account.

State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0

Scopri AMIs che sono consentiti

Puoi trovare AMIs quelli consentiti o non consentiti in base AMIs ai criteri Consentiti correnti.

Nota

L'opzione Consentito AMIs deve essere in modalità di controllo.

Console
Per verificare se un AMI soddisfa i AMIs criteri consentiti

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli AMIs.

  3. Seleziona l'AMI.

  4. Nella scheda Dettagli (se hai selezionato la casella di spunta) o nell'area di riepilogo (se hai selezionato l'ID dell'AMI), trova il campo Immagine consentita.

    • Sì, l'AMI soddisfa i AMIs criteri consentiti. Questo AMI sarà disponibile per gli utenti del tuo account dopo aver abilitato ConsentitoAMIs.

    • No: l'AMI non soddisfa i AMIs criteri consentiti.

  5. Nel riquadro di navigazione seleziona AMI Catalog (catalogo AMI).

    Un AMI contrassegnato come Non consentito indica un AMI che non soddisfa i AMIs criteri Consentito. Questo AMI non sarà visibile o disponibile per gli utenti del tuo account quando AMIs è abilitata l'opzione Consentito.

AWS CLI
Per verificare se un AMI soddisfa i AMIs criteri consentiti

Utilizzare il comando describe-images .

aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text

Di seguito è riportato un output di esempio.

True
Per verificare AMIs che soddisfi i AMIs criteri Consentiti

Utilizzare il comando describe-images .

aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId

Di seguito è riportato un output di esempio.

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
PowerShell
Per verificare se un AMI soddisfa i AMIs criteri consentiti

Utilizzare il Get-EC2Imagecmdlet.

(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed

Di seguito è riportato un output di esempio.

True
Per scoprire AMIs che soddisfano i criteri Consentiti AMIs

Utilizzare il Get-EC2Imagecmdlet.

Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId

Di seguito è riportato un output di esempio.

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88

Trova le istanze avviate da AMIs cui non è consentito

Puoi identificare le istanze che sono state avviate utilizzando un'AMI che non soddisfa i AMIs criteri Consentiti.

Console
Per verificare se un'istanza è stata avviata utilizzando un'AMI non consentita

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, seleziona Instances (Istanze).

  3. Selezionare l'istanza.

  4. Nella scheda Dettagli, in Dettagli dell'istanza, trova Immagine consentita.

    • Sì, l'AMI soddisfa i AMIs criteri consentiti.

    • No: l'AMI non soddisfa i AMIs criteri consentiti.

AWS CLI
Per trovare le istanze avviate utilizzando istanze non AMIs consentite

Usa il describe-instance-image-metadatacomando con il image-allowed filtro.

aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table

Di seguito è riportato un output di esempio.

--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
PowerShell
Per trovare le istanze avviate utilizzando AMIs quelle non consentite

Utilizzare il Get-EC2InstanceImageMetadatacmdlet.

Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}

Di seguito è riportato un output di esempio.

InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
AWS Config

È possibile aggiungere la AWS Config regola ec2- instance-launched-with-allowed -ami, configurarla in base alle proprie esigenze e quindi utilizzarla per valutare le istanze.

Per ulteriori informazioni, consulta Adding AWS Config rules and ec2- instance-launched-with-allowed -ami nella Guida per gli sviluppatori.AWS Config