Condivisione di un'AMI con organizzazioni e unità organizzative - Amazon Elastic Compute Cloud
Considerazioni

Condivisione di un'AMI con organizzazioni e unità organizzative

AWS Organizations è un servizio di gestione degli account che consente di consolidare più Account AWS in un'organizzazione che è possibile creare e gestire in modo centralizzato. È possibile condividere un'AMI con un'organizzazione o un'unità organizzativa (UO) creata, oltre a condividerla con account specifici.

Un'organizzazione è un'entità che viene creata per consolidare e gestire centralmente i propri Account AWS. È possibile organizzare gli account in una struttura gerarchica strutturata ad albero con una radice nella parte superiore e unità organizzative sotto la radice dell'organizzazione. Ogni account può essere aggiunto direttamente alla radice o essere inserito in una delle UO nella gerarchia. Per ulteriori informazioni, consulta Concetti e terminologia di AWS nella Guida per l'utente di AWS Organizations.

Quando un'AMI viene condivisa con un'organizzazione o un'unità organizzativa, tutti gli account figlio hanno accesso all'AMI. Ad esempio, nel diagramma seguente, l'AMI viene condivisa con un'unità organizzativa di primo livello (indicata dalla freccia sul numero 1). Anche tutte le unità organizzative e gli account nidificati sotto l'unità organizzativa di primo livello (indicata dalla linea tratteggiata sul numero 2) avranno accesso all'AMI. Gli account dell'organizzazione e dell'unità organizzativa al di fuori della linea tratteggiata (indicati dal numero 3) non avranno accesso all'AMI perché non sono figli dell'UO con cui l'AMI è condivisa.

L'AMI è condivisa con un'unità organizzativa e tutte le unità organizzative e gli account figli avranno accesso all'AMI.
Argomenti

Considerazioni

Considera le informazioni seguenti durante la condivisione delle AMI con organizzazioni o unità organizzative specifiche.

  • Proprietà: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.

  • Limiti di condivisione: il proprietario dell'AMI può condividere un'AMI con qualsiasi organizzazione o unità organizzativa, incluse le organizzazioni e le unità organizzative di cui non è membro.

    Per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le quote di servizio di Amazon EC2.

  • Tag: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessun Account AWS in un'organizzazione o unità organizzativa con cui l'AMI è condivisa.

  • Formato ARN: quando si specifica un'organizzazione o un'unità organizzativa in un comando, assicurarsi di utilizzare il formato ARN corretto. Se si specifica solo l'ID, ad esempio se si specifica solo o-123example o ou-1234-5example, viene restituito un errore.

    Formati ARN corretti:

    • ARN dell'organizzazione: arn:aws:organizations::111122223333:organization/organization-id

    • ARN dell'unità organizzativa: arn:aws:organizations::111122223333:ou/organization-id/ou-id

    Dove:

    • 111122223333 è un esempio di ID account a 12 cifre per l’account di gestione. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione o l'unità organizzativa in modo da ottenere l'ARN, che include il numero dell'account di gestione. Per ulteriori informazioni, consulta Ottenere l'ARN di un'organizzazione o un'unità organizzativa.

    • organization-id è l'ID dell'organizzazione, ad esempio, o-123example.

    • ou-id è l'ID dell'unità organizzativa, ad esempio, ou-1234-5example.

    Per maggiori informazioni sul formato degli ARN, consulta Nomi della risorsa Amazon (ARN) nella Guida per l'utente IAM.

  • Crittografia e chiavi: puoi condividere le AMI supportate da snapshot non crittografati e crittografati.

    • Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non è possibile condividere AMI supportate da snapshot crittografati con la chiave gestita da AWS di default.

    • Se condividi un'AMI supportata da snapshot crittografati, è necessario consentire alle organizzazioni o alle unità organizzative di utilizzare le chiavi gestite dal cliente utilizzate per crittografare gli snapshot. Per ulteriori informazioni, consulta Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS.

  • Regione: le AMI sono una risorsa basata sulla regione. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta Copiare un'AMI Amazon EC2.

  • Utilizzo: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.

  • Fatturazione: non ci sono costi per l'utilizzo dell'AMI di proprietà da parte di altri Account AWS per avviare le istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.