Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Informazioni sull'utilizzo delle AMI condivise in Amazon EC2
Un'*AMI condivisa* è un'AMI creata da uno sviluppatore e resa disponibile per gli altri sviluppatori. Uno dei modi più semplici per iniziare a familiarizzare con Amazon EC2, consiste nell'utilizzare un'AMI condivisa con i componenti necessari e procedere poi all'aggiunta dei contenuti personalizzati. Puoi anche crearne di tuoi AMIs e condividerli con altri.
Utilizza le AMI condivise a tuo rischio e pericolo. Amazon non può garantire l'integrità o la sicurezza delle AMI condivise da altri utenti Amazon EC2. Pertanto, dovresti trattare shared AMIs come qualsiasi codice esterno che potresti prendere in considerazione di implementare nel tuo data center ed eseguire la dovuta diligenza. Ti consigliamo di scaricare le AMI da un'origine attendibile, come un provider verificato.
## Fornitore verificato
Nella console Amazon EC2, gli utenti pubblici di proprietà AMIs di Amazon o di un partner Amazon verificato sono contrassegnati come provider **verificato**.
Puoi anche utilizzare il AWS CLI comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) per identificare il pubblico proveniente da un AMIs provider verificato. Le immagini pubbliche di Amazon o di un partner verificato hanno un proprietario con alias, `amazon`, `aws-backup-vault` o `aws-marketplace`. Nell'output della CLI, vengono visualizzati questi valori per `ImageOwnerAlias`. Gli altri utenti non possono assegnare alias ai propri. AMIs In questo modo puoi trovarli facilmente AMIs da Amazon o da partner verificati.
Per diventare un fornitore verificato, è necessario registrarsi come venditore sul Marketplace AWS. Una volta effettuata la registrazione, è possibile inserire l'AMI nell'elenco di Marketplace AWS. Per ulteriori informazioni, consulta [Nozioni di base sui rivenditori](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) e [Prodotti basati su AMI](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) nella *Guida per i rivenditori di Marketplace AWS *.
**Topics**
+ [Fornitore verificato](#verified-ami-provider)
+ [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)
+ [Preparati a usare shared AMIs per Linux](usingsharedamis-confirm.md)
+ [Controlla l'individuazione e l'uso delle AMI in Amazon EC2 con Allowed AMIs](ec2-allowed-amis.md)
+ [Rendi la tua AMI disponibile pubblicamente per l'utilizzo in Amazon EC2](sharingamis-intro.md)
+ [Comprendi come bloccare l'accesso pubblico per AMIs](block-public-access-to-amis.md)
+ [Condivisione di un'AMI con organizzazioni e unità organizzative](share-amis-with-organizations-and-OUs.md)
+ [Condivisione di un'AMI con AWS account specifici](sharingamis-explicit.md)
+ [Annulla la condivisione di un AMI con il tuo Account AWS](cancel-sharing-an-AMI.md)
+ [Consigli per la creazione di Linux condiviso AMIs](building-shared-amis.md)
**Se stai cercando informazioni su altri argomenti**
+ Per informazioni sulla creazione di un'AMI, consulta [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md) o [Creare un'AMI supportata da Amazon EBS](creating-an-ami-ebs.md).
+ Per ulteriori informazioni sulla creazione, la distribuzione e la gestione delle applicazioni in Marketplace AWS, consulta la [Documentazione di Marketplace AWS](https://docs.aws.amazon.com/marketplace/).
# Trova AMI condivise da usare per le istanze Amazon EC2
Puoi utilizzare la console Amazon EC2 o la riga di comando per cercare AMI condivise pubbliche o private da usare con le tue istanze Amazon EC2.
AMIs sono una risorsa regionale. Quindi, quando cerchi un'AMI condivisa (pubblica o privata), devi cercarla nella stessa regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
------
#### [ Console ]
La console fornisce un campo filtro AMI. Puoi anche restringere le tue ricerche utilizzando i filtri forniti nel campo **Cerca**.
**Per cercare un’AMI condivisa**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Nel primo filtro, scegli una delle seguenti opzioni:
+ **Immagini private**: elenca tutto AMIs ciò che viene condiviso con te.
+ **Immagini pubbliche**: elenca tutte le immagini pubbliche AMIs.
1. (Facoltativo) Per visualizzare solo le immagini pubbliche di Amazon, seleziona il campo **Cerca**, quindi, dalle opzioni del menu, seleziona **Alias proprietario**, quindi **=** e infine **amazon**.
1. (Facoltativo) Aggiungi filtri per definire l'ambito della ricerca in AMIs modo da soddisfare le tue esigenze.
**Per trovare un’AMI pubblica condivisa da un [fornitore verificato](sharing-amis.md#verified-ami-provider)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione seleziona **AMI Catalog** (catalogo AMI).
1. Scegli **Community AMIs**.
1. Nel riquadro **Affina risultati**, seleziona **Fornitore verificato**. L'etichetta del **fornitore verificato** indica AMIs che proviene da Amazon o da un partner verificato.
------
#### [ AWS CLI ]
Usa il comando [describe-images per elencare](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). AMIs Puoi definire l'elenco in base ai tipi AMIs che ti interessano, come illustrato negli esempi seguenti.
**Per elencare tutti i tipi di pubblico AMIs**
Il comando seguente elenca tutto il pubblico AMIs, incluso il pubblico di AMIs cui sei proprietario.
```
aws ec2 describe-images --executable-users all
```
**Da elencare AMIs con autorizzazioni di avvio esplicite**
Il comando seguente elenca le autorizzazioni di avvio AMIs per le quali si dispone di autorizzazioni di avvio esplicite. Questo elenco non include quelli AMIs che possiedi.
```
aws ec2 describe-images --executable-users self
```
**All'elenco AMIs di proprietà di fornitori verificati**
Il comando seguente elenca quelli AMIs di proprietà [dei provider verificati](sharing-amis.md#verified-ami-provider). La AMIs proprietà pubblica di fornitori verificati (Amazon o partner verificati) ha un proprietario con alias, che appare come `amazon``aws-backup-vault`, o `aws-marketplace` nel campo dell'account. Questo ti aiuta a trovare AMIs facilmente fornitori verificati. Gli altri utenti non possono assegnare un alias ai propriAMIs.
```
aws ec2 describe-images \
--owners amazon aws-marketplace \
--query 'Images[*].[ImageId]' \
--output text
```
**Alla lista AMIs di proprietà di un account**
Il comando seguente elenca il file AMIs di proprietà dell'oggetto specificato Account AWS.
```
aws ec2 describe-images --owners 123456789012
```
**Elaborare AMIs l'ambito utilizzando un filtro**
Per ridurre il numero di visualizzazioni AMIs, utilizza un filtro per elencare solo i tipi AMIs che ti interessano. Ad esempio, utilizzate il seguente filtro per visualizzare solo quelli supportati da EBS AMIs.
```
--filters "Name=root-device-type,Values=ebs"
```
------
#### [ PowerShell ]
Utilizzare il [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet (Tools for Windows PowerShell) per elencare. AMIs È possibile definire l'elenco in base ai tipi AMIs di interesse, come illustrato negli esempi seguenti.
**Per elencare tutti i tipi di pubblico AMIs**
Il comando seguente elenca tutto il pubblico AMIs, incluso il pubblico di AMIs cui sei proprietario.
```
Get-EC2Image -ExecutableUser all
```
**Da elencare AMIs con autorizzazioni di avvio esplicite**
Il comando seguente elenca le autorizzazioni di avvio AMIs per le quali si dispone di autorizzazioni di avvio esplicite. Questo elenco non include quelli AMIs che possiedi.
```
Get-EC2Image -ExecutableUser self
```
**All'elenco AMIs di proprietà di fornitori verificati**
Il comando seguente elenca quelli AMIs di proprietà [dei provider verificati](sharing-amis.md#verified-ami-provider). La AMIs proprietà pubblica di fornitori verificati (Amazon o partner verificati) ha un proprietario con alias, che appare come `amazon``aws-backup-vault`, o `aws-marketplace` nel campo dell'account. Questo ti aiuta a trovare AMIs facilmente fornitori verificati. Gli altri utenti non possono assegnare un alias ai propriAMIs.
```
Get-EC2Image -Owner amazon aws-marketplace
```
**Alla lista AMIs di proprietà di un account**
Il comando seguente elenca il file AMIs di proprietà dell'oggetto specificato Account AWS.
```
Get-EC2Image -Owner 123456789012
```
**Elaborare AMIs l'ambito utilizzando un filtro**
Per ridurre il numero di visualizzazioni AMIs, utilizza un filtro per elencare solo i tipi AMIs che ti interessano. Ad esempio, utilizzate il seguente filtro per visualizzare solo quelli supportati da EBS AMIs.
```
-Filter @{Name="root-device-type"; Values="ebs"}
```
------
# Preparati a usare shared AMIs per Linux
Prima di utilizzare un'AMI per Linux condivisa, completa le fasi seguenti per verificare che non siano presenti credenziali preinstallate che consentirebbero l'accesso indesiderato di una terza parte all'istanza e che non sia stato preconfigurato l'accesso remoto che potrebbe consentire l'invio di dati sensibili a una terza parte. Controlla la documentazione della distribuzione Linux utilizzata dall'AMI per informazioni su come migliorare la sicurezza del sistema.
Per assicurarti di non perdere accidentalmente l'accesso all'istanza, ti consigliamo di avviare due sessioni SSH e di tenere la seconda sessione aperta finché non hai rimosso le credenziali che non riconosci e finché non hai verificato di poter accedere all'istanza tramite SSH.
1. Identificare e disabilitare le chiavi SSH pubbliche non autorizzate. L'unica chiave presente nel file deve essere quella utilizzata per avviare l'AMI. Il comando seguente consente di individuare i file `authorized_keys`:
```
[ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;
```
1. Disabilitare l'autenticazione basata su password per l'utente root. Aprire il file `sshd_config` e modificare la riga `PermitRootLogin` come segue:
```
PermitRootLogin without-password
```
In alternativa, è possibile disabilitare la funzione di accesso all'istanza come utente root:
```
PermitRootLogin No
```
Riavviare il servizio sshd.
1. Controllare la presenza di altri utenti in grado di accedere all'istanza. Gli utenti con privilegi superuser sono particolarmente pericolosi. Rimuovere o bloccare la password degli account sconosciuti.
1. Verificare la presenza di porte aperte inutilizzate e con in esecuzione servizi di rete in attesa di connessioni in entrata.
1. Per impedire la registrazione remota preconfigurata, elimina il file di configurazione esistente e riavviare il servizio `rsyslog`. Esempio:
```
[ec2-user ~]$ sudo rm /etc/rsyslog.conf
[ec2-user ~]$ sudo service rsyslog restart
```
1. Verifica che tutti i processi cron siano legittimi.
Se rilevi un'AMI pubblica che ritieni rappresentare un rischio per la sicurezza, contatta il team di sicurezza AWS . Per ulteriori informazioni, visita il [Centro di Sicurezza AWS](https://aws.amazon.com/security/).
# Controlla l'individuazione e l'uso delle AMI in Amazon EC2 con Allowed AMIs
Per controllare il rilevamento e l'uso di Amazon Machine Images (AMIs) da parte degli utenti del tuo account Account AWS, puoi utilizzare la AMIs funzione *Allowed*. Specifichi i criteri che AMIs devono soddisfare per essere visibili e disponibili nel tuo account. Quando i criteri sono abilitati, gli utenti che avviano le istanze visualizzeranno e avranno accesso solo a quelle AMIs che soddisfano i criteri specificati. Ad esempio, puoi specificare un elenco di provider AMI affidabili come criteri e solo AMIs da questi provider saranno visibili e disponibili per l'uso.
Prima di abilitare le AMIs impostazioni Consentiti, puoi abilitare la *modalità di controllo* per visualizzare in anteprima quali AMIs saranno o meno visibili e disponibili per l'uso. Ciò ti consente di perfezionare i criteri in base alle esigenze per garantire che solo gli elementi desiderati AMIs siano visibili e disponibili per gli utenti del tuo account. Inoltre, utilizza il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando per trovare le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs
È possibile specificare le AMIs impostazioni consentite a livello di account, direttamente nell'account o utilizzando una politica dichiarativa. Queste impostazioni devono essere configurate in ogni Regione AWS in cui si desidera controllare l’utilizzo delle AMI. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.
**Nota**
La AMIs funzione Consentito controlla solo l'individuazione e l'uso di contenuti pubblici AMIs o AMIs condivisi con l'account. Non limita la AMIs proprietà del tuo account. Indipendentemente dai criteri impostati, i AMIs file creati dal tuo account sono sempre individuabili e utilizzabili dagli utenti del tuo account.
**Principali vantaggi di Allowed AMIs**
+ **Conformità e sicurezza**: gli utenti possono scoprire e utilizzare solo quelli AMIs che soddisfano i criteri specificati, riducendo il rischio di utilizzo di AMI non conformi.
+ **Gestione efficiente**: riducendo il numero di quelli consentiti AMIs, la gestione di quelli rimanenti diventa più semplice ed efficiente.
+ **Implementazione centralizzata a livello di account**: configura le AMIs impostazioni consentite a livello di account, direttamente all'interno dell'account o tramite una politica dichiarativa. Ciò fornisce un modo centralizzato ed efficiente per controllare l'utilizzo delle AMI sull'intero account.
**Topics**
+ [Come funziona Allowed AMIs](#how-allowed-amis-works)
+ [Le migliori pratiche per l'implementazione di Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Autorizzazioni IAM richieste](#iam-permissions-for-allowed-amis)
+ [Gestisci le impostazioni per Allowed AMIs](manage-settings-allowed-amis.md)
## Come funziona Allowed AMIs
Per controllare quali AMIs elementi possono essere rilevati e utilizzati nel tuo account, definisci una serie di criteri in base ai quali valutare il AMIs. I criteri sono costituiti da uno o più `ImageCriterion`, come mostra il diagramma seguente. Il diagramma è seguito da una spiegazione.
![\[La gerarchia AMIs ImageCriteria di configurazione consentita.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
La configurazione ha tre livelli:
+ **1** – Valori dei parametri
+ Parametri con più valori:
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
Un’AMI può corrispondere a *qualsiasi* valore entro un parametro per essere consentita.
Esempio: `ImageProviders` = `amazon` **OR** account `111122223333` **OR** account `444455556666` (La logica di valutazione dei valori dei parametri non è riportata nel diagramma).
+ Parametri a valore singolo:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** – `ImageCriterion`
+ Raggruppa più parametri con logica **AND**.
+ Un’AMI deve corrispondere a *tutti* i parametri all’interno di un `ImageCriterion` per essere consentita.
+ Esempio: `ImageProviders` = `amazon` **AND** `CreationDateCondition` = 300 giorni o meno
+ **3** – `ImageCriteria`
+ Raggruppa più `ImageCriterion` con logica **OR**.
+ Un’AMI può corrispondere *qualsiasi* `ImageCriterion` per essere consentita.
+ Forma la configurazione completa rispetto alla quale AMIs vengono valutati.
**Topics**
+ [Parametri consentiti AMIs](#allowed-amis-criteria)
+ [Configurazione consentita AMIs](#allowed-amis-json-configuration)
+ [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated)
+ [Limits](#allowed-amis-json-configuration-limits)
+ [AMIs Operazioni consentite](#allowed-amis-operations)
### Parametri consentiti AMIs
Puoi configurare i seguenti parametri per creare `ImageCriterion`:
`ImageProviders`
I provider AMI che AMIs sono autorizzati.
I valori validi sono alias definiti da e AWS Account AWS IDs, come segue:
+ `amazon`— Un alias che identifica AMIs creato da Amazon o da fornitori verificati
+ `aws-marketplace`— Un alias che identifica AMIs creato da fornitori verificati nel Marketplace AWS
+ `aws-backup-vault`— Un alias che identifica i backup AMIs che risiedono in account Backup vault con accesso AWS logico. Se utilizzi la funzionalità AWS Backup logically air-gapped vault, assicurati che questo alias sia incluso come provider AMI.
+ Account AWS IDs — Una o più cifre a 12 cifre Account AWS IDs
+ `none`— Indica che solo le creazioni AMIs create dal tuo account possono essere scoperte e utilizzate. Pubblico o condiviso non AMIs può essere scoperto e utilizzato. Quando specificato, non è possibile specificare altri criteri.
`ImageNames`
I nomi di allowed AMIs, che utilizzano corrispondenze esatte o caratteri jolly (`?`o`*`).
`MarketplaceProductCodes`
I codici dei Marketplace AWS prodotti sono AMIs consentiti.
`CreationDateCondition`
L'età massima consentita AMIs.
`DeprecationTimeCondition`
Il periodo massimo di deprecazione consentito. AMIs
*Per i valori e i vincoli validi per ogni criterio, consulta il riferimento alle API di [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)Amazon EC2.*
### Configurazione consentita AMIs
La configurazione principale di Allowed AMIs è la `ImageCriteria` configurazione che definisce i criteri per Allowed AMIs. La seguente struttura JSON indica i parametri che possono essere specificati:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria esempio
Il seguente esempio `ImageCriteria` configura quattro `ImageCriterion`. Un’AMI è consentita se corrisponde a uno di questi `ImageCriterion`. Per informazioni su come vengono valutati i criteri, consulta [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow Marketplace AWS AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### Come vengono valutati i criteri
La seguente tabella illustra le regole di valutazione che determinano se un’AMI è consentita, mostrando come l’operatore `AND` o `OR` viene applicato a ciascun livello:
| Livello di valutazione | Operatore | Requisito per essere un’AMI consentita |
| --- | --- | --- |
| Valori dei parametri per ImageProviders, ImageNames e MarketplaceProductCodes | OR | L’AMI deve corrispondere almeno a un valore in ogni elenco di parametri |
| ImageCriterion | AND | L’AMI deve corrispondere a tutti i parametri di ogni ImageCriterion |
| ImageCriteria | OR | L’AMI deve rispettare uno qualsiasi dei ImageCriterion |
Utilizzando le regole di valutazione precedenti, vediamo come applicarle all’[ImageCriteria esempio](#allowed-amis-json-configuration-example):
+ `ImageCriterion`1: consente di AMIs avere il codice Marketplace AWS del prodotto `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: Consente AMIs che soddisfino entrambi questi criteri:
+ Di proprietà di uno degli account `123456789012` `OR` `123456789013`
+ `AND`
+ Creato negli ultimi 300 giorni
`OR`
+ `ImageCriterion`3: Consente AMIs che soddisfino entrambi questi criteri:
+ Di proprietà dell’account `123456789014`
+ `AND`
+ Denominato con il modello `golden-ami-*`
`OR`
+ `ImageCriterion`4: Consente AMIs che soddisfino entrambi questi criteri:
+ Pubblicato da Amazon o da fornitori verificati (specificato dall’alias `amazon`)
+ `AND`
+ Non obsoleto (massimo giorni dalla data di obsolescenza `0`)
### Limits
I `ImageCriteria` possono includere fino a:
+ 10 `ImageCriterion`
Ogni `ImageCriterion` può includere fino a:
+ 200 valori per `ImageProviders`
+ 50 valori per `ImageNames`
+ 50 valori per `MarketplaceProductCodes`
**Esempio di limiti**
Utilizzando i [ImageCriteria esempio](#allowed-amis-json-configuration-example) precedenti:
+ Ci sono 4 `ImageCriterion`. È possibile aggiungere fino a 6 ulteriori richieste per raggiungere il limite di 10.
+ Nel primo `ImageCriterion`, c’è 1 valore per `MarketplaceProductCodes`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.
+ Nel secondo `ImageCriterion`, ci sono 2 valori per `ImageProviders`. È possibile aggiungere fino a 198 elementi a questo `ImageCriterion` per raggiungere il limite di 200.
+ Nel terzo `ImageCriterion`, c’è 1 valore per `ImageNames`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.
### AMIs Operazioni consentite
La AMIs funzione Consentito ha tre stati operativi per la gestione dei criteri relativi all'immagine: **abilitato**, **disabilitato** e **modalità di controllo**. Queste consentono di abilitare o disabilitare i criteri relativi alle immagini o di rivederli secondo necessità.
**Abilitato**
Quando l'opzione Allowed AMIs è abilitata:
+ Vengono applicati i `ImageCriteria`.
+ Solo le AMI consentite sono individuabili nella console EC2 e quindi utilizzano immagini (ad esempio, APIs che descrivono, copiano, archiviano o eseguono altre azioni che utilizzano immagini).
+ Le istanze possono essere avviate solo utilizzando allowed. AMIs
**Disabilitato**
Quando l'opzione Consentito AMIs è disabilitata:
+ Non vengono applicati i `ImageCriteria`.
+ Non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.
**Modalità di controllo**
Nella modalità di controllo:
+ Vengono applicati i `ImageCriteria`, ma non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.
+ Nella console EC2, per ogni AMI, il campo **Immagine consentita** mostra **Sì** o **No** per indicare se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando Allowed AMIs è abilitato.
+ Nella riga di comando, la risposta all'`describe-image`operazione include `"ImageAllowed": true` o `"ImageAllowed": false` indica se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Allowed.
+ Nella console EC2, il catalogo AMI mostra il messaggio **Non consentito** accanto al AMIs quale non sarà rilevabile o disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Consentito.
## Le migliori pratiche per l'implementazione di Allowed AMIs
Nell'implementazione di Allowed AMIs, prendi in considerazione queste best practice per garantire una transizione fluida e ridurre al minimo le potenziali interruzioni AWS dell'ambiente.
1. **Abilitare la modalità di controllo**
Inizia abilitando Allowed AMIs in modalità di controllo. Questo stato ti consente di vedere quali AMIs sarebbero gli elementi interessati dai tuoi criteri senza limitare effettivamente l'accesso, garantendo un periodo di valutazione privo di rischi.
1. **Imposta i criteri consentiti AMIs **
Stabilire con attenzione quali provider di AMI sono in linea con le politiche di sicurezza, i requisiti di conformità e le esigenze operative della tua organizzazione.
**Nota**
Quando utilizzi servizi AWS gestiti, come Amazon ECS, Amazon EKS o AWS Lambda Managed Instances, ti consigliamo di specificare `amazon` l'alias da cui consentire la creazione. AMIs AWS Questi servizi dipendono dalle istanze pubblicate AMIs da Amazon per lanciare.
Fai attenzione quando `CreationDateCondition` imposti restrizioni per qualcuno. AMIs L'impostazione di condizioni di data eccessivamente restrittive (ad esempio, AMIs deve avere meno di 5 giorni) può causare errori di avvio delle istanze se le istanze AMIs, provenienti da AWS o da altri provider, non vengono aggiornate entro l'intervallo di tempo specificato.
Consigliamo di abbinare `ImageNames` con `ImageProviders` per un controllo e una specificità migliori. Utilizzare `ImageNames` da solo potrebbe non identificare in modo univoco un’AMI.
1. **Verificare l'impatto sui processi aziendali previsti**
Puoi utilizzare la console o la CLI per identificare tutte le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs
Console: utilizza la AWS Config regola [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) per verificare se sono state avviate istanze in esecuzione o interrotte che soddisfano i criteri consentiti. AMIs AMIs La regola è **NON\$1COMPLIANT se** un AMI non soddisfa i AMIs criteri consentiti e **COMPLIANT** in caso affermativo. ****La regola funziona solo quando l' AMIs impostazione Allowed è impostata sulla modalità abilitata o di controllo.****
CLI: esegui il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando e filtra la risposta per identificare le istanze avviate con AMIs che non soddisfano i criteri specificati.
Per le istruzioni relative a console e CLI, consulta [Trova le istanze avviate da AMIs cui non è consentito](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).
1. **Abilita consentito AMIs**
Dopo aver confermato che i criteri non influiranno negativamente sui processi aziendali previsti, abilita Consentito AMIs.
1. **Monitorare gli avvii delle istanze**
Continua a monitorare i lanci di istanze da AMIs tutte le tue applicazioni e dai servizi AWS gestiti che utilizzi, come Amazon EMR, Amazon ECR, Amazon EKS e. AWS Elastic Beanstalk Verifica la presenza di eventuali problemi imprevisti e apporta le modifiche necessarie ai criteri consentiti. AMIs
1. **Pilota nuovo AMIs**
Per testare terze parti AMIs che non rispettano le attuali AMIs impostazioni Consentite, AWS consiglia i seguenti approcci:
+ Utilizza un account separato Account AWS: crea un account senza accesso alle tue risorse aziendali critiche. Assicurati che l' AMIs impostazione Consentito non sia abilitata in questo account o che le informazioni che AMIs desideri testare siano esplicitamente consentite, in modo da poterle testare.
+ Esegui il test in un'altra regione Regione AWS: utilizza una regione in cui AMIs sono disponibili terze parti, ma in cui non hai ancora abilitato le AMIs impostazioni consentite.
Questi approcci aiutano a garantire che le risorse aziendali critiche rimangano sicure mentre ne testate di nuove. AMIs
## Autorizzazioni IAM richieste
Per utilizzare la AMIs funzionalità Allowed, sono necessarie le seguenti autorizzazioni IAM:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
# Gestisci le impostazioni per Allowed AMIs
È possibile gestire le impostazioni per Consentito AMIs. Queste impostazioni sono specifiche per ogni regione e per ogni account.
**Topics**
+ [Abilita Consentito AMIs](#enable-allowed-amis-criteria)
+ [Imposta i AMIs criteri consentiti](#update-allowed-amis-criteria)
+ [Disabilita Consentito AMIs](#disable-allowed-amis-criteria)
+ [Ottieni i AMIs criteri consentiti](#identify-allowed-amis-state-and-criteria)
+ [Scopri AMIs che sono consentiti](#identify-amis-that-meet-allowed-amis-criteria)
+ [Trova le istanze avviate da AMIs cui non è consentito](#identify-instances-with-allowed-AMIs)
## Abilita Consentito AMIs
È possibile abilitare Consentito AMIs e specificare AMIs i criteri Consentito. Ti consigliamo di iniziare con la modalità di controllo, che mostra quali AMIs sarebbero i criteri interessati senza limitare effettivamente l'accesso.
------
#### [ Console ]
**Per abilitare Consentito AMIs**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per ** AMIs Impostazioni consentite**, scegli la **modalità di controllo** o **Attivata**. Ti consigliamo di iniziare in modalità di controllo, testare i criteri e quindi tornare a questo passaggio per abilitare Consentito AMIs.
1. (Facoltativo) Per i **criteri delle AMI**, inserisci i criteri in formato JSON.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per abilitare Consentito AMIs**
Utilizza il comando [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```
Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```
------
#### [ PowerShell ]
**Per abilitare Consentito AMIs**
Utilizza il cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```
Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```
------
## Imposta i AMIs criteri consentiti
Dopo aver abilitato Consentito AMIs, è possibile impostare o sostituire i AMIs criteri Consentiti.
Per la corretta configurazione e i valori validi, consulta [Configurazione consentita AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) e [Parametri consentiti AMIs](ec2-allowed-amis.md#allowed-amis-criteria).
------
#### [ Console ]
**Per impostare i AMIs criteri Consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per i **criteri delle AMI**, inserisci i criteri in formato JSON.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per impostare i AMIs criteri consentiti**
Utilizzate il allowed-images-settings comando [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) e specificate il file JSON che contiene i AMIs criteri consentiti.
```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```
------
#### [ PowerShell ]
**Per impostare i criteri consentiti AMIs**
Utilizzare il [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)cmdlet e specificare il file JSON che contiene i criteri Allowed. AMIs
```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```
------
## Disabilita Consentito AMIs
È possibile disabilitare Consentito AMIs come segue.
------
#### [ Console ]
**Per disabilitare Allowed AMIs**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, scegli **Gestisci**.
1. Per ** AMIs Impostazioni consentite**, scegli **Disabilitato**.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per disabilitare Consentito AMIs**
Utilizza il comando [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).
```
aws ec2 disable-allowed-images-settings
```
------
#### [ PowerShell ]
**Per disabilitare Consentito AMIs**
Utilizza il cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).
```
Disable-EC2AllowedImagesSetting
```
------
## Ottieni i AMIs criteri consentiti
È possibile ottenere lo stato corrente dell' AMIs impostazione Consentito e dei AMIs criteri Consentito.
------
#### [ Console ]
**Per ottenere lo AMIs stato e i criteri Consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.
1. AMIsNella scheda **Consentiti**, ** AMIs le impostazioni consentite sono** impostate sulla **modalità **Abilitata****, Disabilitata** o Controllo**.
1. Se lo stato di Allowed AMIs è **Enabled** o **Audit mode**, **AMI criteria** visualizza i criteri AMI in formato JSON.
------
#### [ AWS CLI ]
**Per ottenere AMIs lo stato e i criteri consentiti**
Utilizza il comando [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).
```
aws ec2 get-allowed-images-settings
```
Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.
```
{
"State": "audit-mode",
"ImageCriteria": [
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
],
"ManagedBy": "account"
}
```
------
#### [ PowerShell ]
**Per ottenere lo AMIs stato e i criteri consentiti**
Utilizza il cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).
```
Get-EC2AllowedImagesSetting | Select-Object `
State, `
ManagedBy, `
@{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
@{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
@{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
@{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
@{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```
Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.
```
State : audit-mode
ManagedBy : account
ImageProviders : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes : {abcdefg1234567890}
ImageNames : {golden-ami-*}
MaximumDaysSinceCreated : 300
MaximumDaysSinceDeprecated: 0
```
------
## Scopri AMIs che sono consentiti
Puoi trovare AMIs quelli consentiti o non consentiti in base AMIs ai criteri Consentiti correnti.
**Nota**
L'opzione Consentito AMIs deve essere in modalità di controllo.
------
#### [ Console ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona l’AMI.
1. Nella scheda **Dettagli** (se hai selezionato la casella di spunta) o nell'area di riepilogo (se hai selezionato l'ID dell'AMI), trova il campo **Immagine consentita**.
+ **Sì,** l'AMI soddisfa i AMIs criteri consentiti. Questo AMI sarà disponibile per gli utenti del tuo account dopo aver abilitato ConsentitoAMIs.
+ **No**: l'AMI non soddisfa i AMIs criteri consentiti.
1. Nel riquadro di navigazione seleziona **AMI Catalog** (catalogo AMI).
Un AMI contrassegnato come **Non consentito** indica un AMI che non soddisfa i AMIs criteri Consentito. Questo AMI non sarà visibile o disponibile per gli utenti del tuo account quando AMIs è abilitata l'opzione Consentito.
------
#### [ AWS CLI ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].ImageAllowed \
--output text
```
Di seguito è riportato un output di esempio.
```
True
```
**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .
```
aws ec2 describe-images \
--filters "Name=image-allowed,Values=true" \
--max-items 10 \
--query Images[].ImageId
```
Di seguito è riportato un output di esempio.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
#### [ PowerShell ]
**Per verificare se un AMI soddisfa i AMIs criteri consentiti**
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```
Di seguito è riportato un output di esempio.
```
True
```
**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-Filter @{Name="image-allows";Values="true"} `
-MaxResult 10 | `
Select ImageId
```
Di seguito è riportato un output di esempio.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
## Trova le istanze avviate da AMIs cui non è consentito
Puoi identificare le istanze che sono state avviate utilizzando un'AMI che non soddisfa i AMIs criteri Consentiti.
------
#### [ Console ]
**Per verificare se un’istanza è stata avviata utilizzando un’AMI non consentita**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, seleziona **Instances (Istanze)**.
1. Selezionare l'istanza.
1. Nella scheda **Dettagli**, sotto **Dettagli istanza**, trova **Immagine consentita**.
+ **Sì,** l'AMI soddisfa i AMIs criteri consentiti.
+ **No**: l'AMI non soddisfa i AMIs criteri consentiti.
------
#### [ AWS CLI ]
**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**
Usa il comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) con il filtro `image-allowed`.
```
aws ec2 describe-instance-image-metadata \
--filters "Name=image-allowed,Values=false" \
--query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
--output table
```
Di seguito è riportato un output di esempio.
```
--------------------------------------------------
| DescribeInstanceImageMetadata |
+----------------------+-------------------------+
| i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 |
| i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f |
| i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 |
| i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 |
| i-0781e91cfeca3179d | ami-00c257e12d6828491 |
| i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 |
+----------------------+-------------------------+
```
------
#### [ PowerShell ]
**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**
Utilizza il cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).
```
Get-EC2InstanceImageMetadata `
-Filter @{Name="image-allowed";Values="false"} | `
Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```
Di seguito è riportato un output di esempio.
```
InstanceId ImageId
---------- -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```
------
#### [ AWS Config ]
Puoi aggiungere la AWS Config regola **ec2- instance-launched-with-allowed -ami**, configurarla in base alle tue esigenze e poi usarla per valutare le tue istanze.
*Per ulteriori informazioni, consulta [Adding AWS Config rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) and [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) nella Guida per gli sviluppatori.AWS Config *
------
# Rendi la tua AMI disponibile pubblicamente per l'utilizzo in Amazon EC2
Puoi rendere la tua AMI disponibile pubblicamente condividendola con tutti Account AWS.
Se desideri impedire la condivisione pubblica del tuo AMIs, puoi abilitare il *blocco dell'accesso pubblico per AMIs*. Ciò blocca qualsiasi tentativo di rendere pubblica un'AMI, contribuendo a prevenire l'accesso non autorizzato e il potenziale uso improprio dei dati dell'AMI. Tieni presente che l'abilitazione dell'accesso pubblico a blocchi non influisce sui tuoi AMIs account che sono già disponibili al pubblico; essi rimangono disponibili pubblicamente. Per ulteriori informazioni, consulta [Comprendi come bloccare l'accesso pubblico per AMIs](block-public-access-to-amis.md).
Per consentire a solo determinati account di utilizzare l'AMI per avviare le istanze, consulta [Condivisione di un'AMI con AWS account specifici](sharingamis-explicit.md).
**Topics**
+ [Considerazioni](#considerations-for-sharing-public-AMIs)
+ [Condividi un'AMI con tutti gli AWS account (condividi pubblicamente)](#share-an-ami-publicly)
## Considerazioni
Considera quanto segue prima di rendere pubblica un'AMI.
+ **Proprietà**: per rendere pubblica un'AMI, è Account AWS necessario possederla.
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Blocca l'accesso pubblico**: per condividere pubblicamente un'AMI, il [blocco dell'accesso pubblico AMIs](block-public-access-to-amis.md) deve essere disabilitato in ogni regione in cui l'AMI verrà condiviso pubblicamente. Dopo aver condiviso pubblicamente l'AMI, puoi riattivare l'accesso pubblico a blocchi AMIs per impedire un'ulteriore condivisione pubblica del tuo AMIs.
+ **Alcuni non AMIs possono essere resi pubblici**: se l'AMI include uno dei seguenti componenti, non è possibile renderlo pubblico (ma è possibile [condividere l'AMI con componenti specifici Account AWS](sharingamis-explicit.md)):
+ Volumi crittografati
+ Snapshot di volumi crittografati
+ Codici di prodotto
+ **Evita di esporre dati sensibili**: per evitare di esporre dati sensibili durante la condivisione di un'AMI, leggi le considerazioni di sicurezza in [Consigli per la creazione di Linux condiviso AMIs](building-shared-amis.md) e segui le operazioni consigliate.
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.
+ **Deprecazione automatica**: per impostazione predefinita, la data di obsolescenza di tutti gli utenti pubblici AMIs è impostata su due anni dalla data di creazione dell'AMI. È possibile impostare la data di obsolescenza prima dei due anni. [Per annullare la data di deprecazione o spostare la deprecazione a una data successiva, è necessario rendere privata l'AMI condividendola solo con utenti specifici. Account AWS](sharingamis-explicit.md)
+ **Rimuovi gli AMI obsoleti AMIs**: dopo che un'AMI pubblica raggiunge la data di obsolescenza, se non sono state lanciate nuove istanze dall'AMI per sei o più mesi, AWS rimuove la proprietà di condivisione pubblica in modo che quelle obsolete AMIs non compaiano negli elenchi di AMI pubblici.
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.
## Condividi un'AMI con tutti gli AWS account (condividi pubblicamente)
Dopo aver reso pubblico un AMI, questo è disponibile nella **Community AMIs** nella console, a cui puoi accedere dal **catalogo AMI** nel navigatore sinistro della console EC2 o quando avvii un'istanza utilizzando la console. Tieni presente che può volerci un po' di tempo prima che un AMI appaia nella **Community AMIs** dopo averlo reso pubblico.
------
#### [ Console ]
**Per rendere un'AMI pubblica**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona l'AMI nell'elenco e scegliere **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.
1. In **Disponibilità AMI**, scegli **Pubblica**.
1. Scegli **Save changes** (Salva modifiche).
------
#### [ AWS CLI ]
Ogni AMI ha una `launchPermission` proprietà che controlla chi Account AWS, oltre a quello del proprietario, può utilizzare quell'AMI per avviare le istanze. Modificando la `launchPermission` proprietà di un AMI, puoi renderlo pubblico (il che concede le autorizzazioni di avvio a tutti Account AWS) o condividerlo solo con Account AWS l'AMI specificato.
Puoi aggiungere o rimuovere account IDs dall'elenco degli account che dispongono delle autorizzazioni di avvio per un'AMI. Per rendere un'AMI pubblica, specifica il gruppo `all`. Puoi specificare i permessi di avvio sia espliciti che pubblici.
**Per rendere un'AMI pubblica**
1. Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) come riportato di seguito per aggiungere il gruppo `all` all'elenco `launchPermission` dell'AMI specificata.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{Group=all}]"
```
1. Per verificare le autorizzazioni di avvio dell'AMI, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html).
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
1. (Facoltativo) Per rendere nuovamente privata l'AMI, rimuovere il gruppo `all` dai relativi permessi di avvio. Tenere presente che il proprietario dell'AMI dispone sempre dei permessi di avvio e, di conseguenza, non è interessato da questo comando.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{Group=all}]"
```
------
#### [ PowerShell ]
Ogni AMI ha una `launchPermission` proprietà che controlla chi Account AWS, oltre a quello del proprietario, può utilizzare quell'AMI per avviare le istanze. Modificando la `launchPermission` proprietà di un AMI, puoi renderlo pubblico (il che concede le autorizzazioni di avvio a tutti Account AWS) o condividerlo solo con Account AWS l'AMI specificato.
Puoi aggiungere o rimuovere account IDs dall'elenco degli account che dispongono delle autorizzazioni di avvio per un'AMI. Per rendere un'AMI pubblica, specifica il gruppo `all`. Puoi specificare i permessi di avvio sia espliciti che pubblici.
**Per rendere un'AMI pubblica**
1. Utilizza il comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) come riportato di seguito per aggiungere il gruppo `all` all'elenco `launchPermission` dell'AMI specificata.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserGroup all
```
1. Per verificare le autorizzazioni di avvio dell'AMI, utilizza il seguente comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
1. (Facoltativo) Per rendere nuovamente privata l'AMI, rimuovere il gruppo `all` dai relativi permessi di avvio. Tenere presente che il proprietario dell'AMI dispone sempre dei permessi di avvio e, di conseguenza, non è interessato da questo comando.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-UserGroup all
```
------
# Comprendi come bloccare l'accesso pubblico per AMIs
Per impedire la condivisione pubblica dei tuoi AMIs dati, puoi abilitare il *blocco dell'accesso pubblico AMIs* a livello di account.
Quando il blocco dell'accesso pubblico è abilitato, qualsiasi tentativo di rendere pubblica un'AMI viene automaticamente bloccato. Tuttavia, se ne hai già una versione pubblica AMIs, resterà disponibile al pubblico.
Per condividerli pubblicamente AMIs, devi disabilitare il blocco dell'accesso pubblico. Al termine della condivisione, è consigliabile riattivare il blocco dell'accesso pubblico per evitare qualsiasi condivisione pubblica involontaria dei tuoi dati. AMIs
**Nota**
Questa impostazione è configurata a livello di account, direttamente nell'account o utilizzando una policy dichiarativa. Deve essere configurato in ogni Regione AWS luogo in cui desideri impedire la condivisione pubblica dei tuoi. AMIs L'utilizzo di una policy dichiarativa consente di applicare l'impostazione contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare l'impostazione direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione dell'impostazione direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations .*
Puoi limitare le autorizzazioni IAM a un utente amministratore in modo che solo lui possa abilitare o disabilitare il blocco dell'accesso pubblico per AMIs.
**Topics**
+ [Impostazioni predefinite](#block-public-access-to-amis-default-settings)
+ [Gestisci l'impostazione di blocco dell'accesso pubblico per AMIs](manage-block-public-access-for-amis.md)
## Impostazioni predefinite
L' AMIsimpostazione **Blocca l'accesso pubblico per** è abilitata o disabilitata per impostazione predefinita a seconda che l'account sia nuovo o esistente e che sia pubblico AMIs. Nella tabella seguente vengono elencate le impostazioni predefinite:
| AWS account | Blocca l'accesso pubblico per l' AMIs impostazione predefinita |
| --- | --- |
| Nuovi account | Abilitato |
| Account esistenti senza accesso al pubblico AMIs ¹ | Abilitato |
| Account esistenti con uno o più account pubblici AMIs | Disabilitato |
¹ Se il tuo account aveva uno o più account pubblici AMIs a partire dal 15 luglio 2023, l'opzione **Blocca accesso pubblico per AMIs** è disattivata per impostazione predefinita per il tuo account, anche se successivamente hai reso tutti gli account AMIs privati.
# Gestisci l'impostazione di blocco dell'accesso pubblico per AMIs
Puoi gestire l'impostazione di blocco dell'accesso pubblico per le tue AMI per controllare se possono essere condivise pubblicamente. Puoi abilitare, disabilitare o visualizzare lo stato attuale di blocco dell'accesso pubblico per le tue AMI utilizzando la console Amazon EC2 o AWS CLI.
## Visualizza lo stato del blocco dell'accesso pubblico per AMIs
Per vedere se la condivisione pubblica del tuo account AMIs è bloccata, puoi visualizzare lo stato per cui bloccare l'accesso pubblico AMIs. È necessario visualizzare lo stato Regione AWS in cui si desidera verificare se la condivisione pubblica del proprio account AMIs è bloccata.
**Autorizzazioni richieste**
Per ottenere l'attuale impostazione di accesso pubblico a blocchi per AMIs, devi disporre dell'autorizzazione `GetImageBlockPublicAccessState` IAM.
------
#### [ Console ]
**Per visualizzare lo stato del blocco dell'accesso pubblico AMIs nella regione specificata**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale visualizzare lo stato di blocco dell'accesso pubblico AMIs.
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.
1. In **Blocca l'accesso pubblico per AMIs**, seleziona il campo **Accesso pubblico**. Il valore è **Nuova condivisione pubblica bloccata** o **Nuova condivisione pubblica consentita**.
------
#### [ AWS CLI ]
**Per ottenere lo stato di blocco dell'accesso pubblico per AMIs**
Usa il comando [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). Il valore è `block-new-sharing` o `unblocked`.
**Esempio: per una regione specifica**
```
aws ec2 get-image-block-public-access-state --region us-east-1
```
Il campo `ManagedBy` indica l'entità che ha configurato l'impostazione. In questo esempio, `account` indica che l'impostazione è stata configurata direttamente nell'account. Il valore di `declarative-policy` indicherebbe che l'impostazione è stata configurata mediante una policy dichiarativa. Per ulteriori informazioni, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.
```
{
"ImageBlockPublicAccessState": "block-new-sharing",
"ManagedBy": "account"
}
```
**Esempio: per tutte le regioni del tuo account**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 get-image-block-public-access-state \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Di seguito è riportato un output di esempio.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 unblocked
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Per ottenere lo stato di accesso pubblico a blocchi per AMIs**
Utilizza il cmdlet [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html). Il valore è `block-new-sharing` o `unblocked`.
**Esempio: per una regione specifica**
```
Get-EC2ImageBlockPublicAccessState -Region us-east-1
```
Di seguito è riportato un output di esempio.
```
block-new-sharing
```
**Esempio: per tutte le regioni del tuo account**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_)
}
} | `
Format-Table -AutoSize
```
Di seguito è riportato un output di esempio.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Abilita l'accesso pubblico a blocchi per AMIs
Per impedire la condivisione pubblica dei tuoi dati AMIs, abilita il blocco dell'accesso pubblico AMIs a livello di account. Devi abilitare il blocco dell'accesso pubblico per AMIs ogni Regione AWS area in cui desideri impedire la condivisione pubblica dei tuoi AMIs. Se li hai già resi pubblici AMIs, rimarranno disponibili al pubblico.
**Autorizzazioni richieste**
Per abilitare l'impostazione di blocco dell'accesso pubblico per AMIs, devi disporre dell'autorizzazione `EnableImageBlockPublicAccess` IAM.
**Considerazioni**
+ La configurazione di questa impostazione può richiedere fino a 10 minuti. Durante questo periodo, se descrivi lo stato di accesso pubblico, la risposta è `unblocked`. Quando la configurazione sarà completata, la risposta sarà `block-new-sharing`.
------
#### [ Console ]
**Per abilitare il blocco dell'accesso pubblico AMIs nella regione specificata**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale abilitare il blocco dell'accesso pubblico AMIs.
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.
1. In **Blocca l'accesso pubblico per AMIs**, scegli **Gestisci**.
1. Seleziona la casella di spunta **Blocca nuova condivisione pubblica** quindi scegli **Aggiorna**.
------
#### [ AWS CLI ]
**Per abilitare il blocco dell'accesso pubblico per AMIs**
Usa il comando [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html).
**Esempio: per una regione specifica**
```
aws ec2 enable-image-block-public-access \
--region us-east-1 \
--image-block-public-access-state block-new-sharing
```
Di seguito è riportato un output di esempio.
```
{
"ImageBlockPublicAccessState": "block-new-sharing"
}
```
**Esempio: per tutte le regioni del tuo account**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 enable-image-block-public-access \
--region $region \
--image-block-public-access-state block-new-sharing \
--output text)
echo -e "$region \t $output"
);
done
```
Di seguito è riportato un output di esempio.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Per abilitare il blocco dell'accesso pubblico per AMIs**
Utilizza il comando [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html).
**Esempio: per una regione specifica**
```
Enable-EC2ImageBlockPublicAccess `
-Region us-east-1 `
-ImageBlockPublicAccessState block-new-sharing
```
Di seguito è riportato un output di esempio.
```
Value
-----
block-new-sharing
```
**Esempio: per tutte le regioni del tuo account**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (
Enable-EC2ImageBlockPublicAccess `
-Region $_ `
-ImageBlockPublicAccessState block-new-sharing)
}
} | `
Format-Table -AutoSize
```
Di seguito è riportato un output di esempio.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Disabilitare l'accesso pubblico a blocchi per AMIs
Per consentire agli utenti del tuo account di condividere pubblicamente il tuo account AMIs, disabilita il blocco dell'accesso pubblico a livello di account. Devi disabilitare il blocco dell'accesso pubblico per AMIs ogni area Regione AWS in cui desideri consentire la condivisione pubblica dei tuoiAMIs.
**Autorizzazioni richieste**
Per disabilitare l'impostazione di blocco dell'accesso pubblico per AMIs, devi disporre dell'autorizzazione `DisableImageBlockPublicAccess` IAM.
**Considerazioni**
+ La configurazione di questa impostazione può richiedere fino a 10 minuti. Durante questo periodo, se descrivi lo stato di accesso pubblico, la risposta è `block-new-sharing`. Quando la configurazione sarà completata, la risposta sarà `unblocked`.
------
#### [ Console ]
**Per disabilitare l'accesso pubblico AMIs a blocchi per la regione specificata**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale disabilitare il blocco dell'accesso pubblico AMIs.
1. Nel pannello di navigazione seleziona **Pannello di controllo**.
1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.
1. In **Blocca l'accesso pubblico per AMIs**, scegli **Gestisci**.
1. Deseleziona la casella di spunta **Blocca nuova condivisione pubblica** quindi scegli **Aggiorna**.
1. Quando viene richiesta la conferma, inserisci **confirm** e seleziona **Consenti condivisione pubblica**.
------
#### [ AWS CLI ]
**Per disabilitare il blocco dell'accesso pubblico per AMIs**
Usa il comando [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html).
**Esempio: per una regione specifica**
```
aws ec2 disable-image-block-public-access --region us-east-1
```
Di seguito è riportato un output di esempio.
```
{
"ImageBlockPublicAccessState": "unblocked"
}
```
**Esempio: per tutte le regioni del tuo account**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 disable-image-block-public-access \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Di seguito è riportato un output di esempio.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
#### [ PowerShell ]
**Per disabilitare l'accesso pubblico a blocchi per AMIs**
Utilizza il cmdlet [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html).
**Esempio: per una regione specifica**
```
Disable-EC2ImageBlockPublicAccess -Region us-east-1
```
Di seguito è riportato un output di esempio.
```
Value
-----
unblocked
```
**Esempio: per tutte le regioni del tuo account**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_)
}
} | `
Format-Table -AutoSize
```
Di seguito è riportato un output di esempio.
```
Region PublicAccessState
------ -----------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
# Condivisione di un'AMI con organizzazioni e unità organizzative
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)è un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente. È possibile condividere un'AMI con un'organizzazione o un'unità organizzativa (UO) creata, oltre a [condividerla con account specifici](sharingamis-explicit.md).
Un'organizzazione è un'entità che viene creata per consolidare e gestire centralmente i propri Account AWS. È possibile organizzare gli account in una struttura gerarchica strutturata ad albero con una [radice](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) nella parte superiore e unità [organizzative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) sotto la radice dell'organizzazione. Ogni account può essere aggiunto direttamente alla cartella principale o inserito in uno dei punti della OUs gerarchia. Per ulteriori informazioni, consulta [Concetti e terminologia di AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) nella *Guida per l'utente di AWS Organizations *.
Quando un'AMI viene condivisa con un'organizzazione o un'unità organizzativa, tutti gli account figlio hanno accesso all'AMI. Ad esempio, nel diagramma seguente, l'AMI viene condivisa con un'unità organizzativa di primo livello (indicata dalla freccia sul numero **1**). Tutti gli account OUs e gli account annidati al di sotto dell'unità organizzativa di livello superiore (indicata dalla linea tratteggiata al numero **2**) hanno anch'essi accesso all'AMI. Gli account dell'organizzazione e dell'unità organizzativa al di fuori della linea tratteggiata (indicati dal numero **3**) non avranno accesso all'AMI perché non sono figli dell'UO con cui l'AMI è condivisa.
![\[L'AMI è condivisa con un'unità organizzativa e tutti i bambini OUs e gli account hanno accesso all'AMI.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)
**Topics**
+ [Considerazioni](#considerations-org-ou)
+ [Ottenere l'ARN di un'organizzazione o un'unità organizzativa](get-org-ou-ARN.md)
+ [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md)
+ [Gestire la condivisione di un'AMI con un'organizzazione o un'unità organizzativa](share-amis-org-ou-manage.md)
## Considerazioni
Quando condividi AMIs con organizzazioni o unità organizzative specifiche, tieni presente quanto segue.
+ **Proprietà**: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.
+ **Limiti di condivisione**: il proprietario dell'AMI può condividere un'AMI con qualsiasi organizzazione o unità organizzativa, incluse le organizzazioni di OUs cui non è membro.
Per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le [quote di servizio di Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag**: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessuna Account AWS organizzazione o unità organizzativa con cui è condiviso l'AMI.
+ **Formato ARN**: quando si specifica un'organizzazione o un'unità organizzativa in un comando, assicurarsi di utilizzare il formato ARN corretto. Se si specifica solo l'ID, ad esempio se si specifica solo `o-123example` o `ou-1234-5example`, viene restituito un errore.
Formati ARN corretti:
+ ARN dell'organizzazione: `arn:aws:organizations::111122223333:organization/organization-id`
+ ARN dell'unità organizzativa: `arn:aws:organizations::111122223333:ou/organization-id/ou-id`
Dove:
+ *`111122223333`* è un esempio di ID account a 12 cifre per l’account di gestione. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione o l'unità organizzativa in modo da ottenere l'ARN, che include il numero dell'account di gestione. Per ulteriori informazioni, consulta [Ottenere l'ARN di un'organizzazione o un'unità organizzativa](get-org-ou-ARN.md).
+ *`organization-id`* è l'ID dell'organizzazione, ad esempio, `o-123example`.
+ *`ou-id`* è l'ID dell'unità organizzativa, ad esempio, `ou-1234-5example`.
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) nella *IAM User Guide*.
+ **Crittografia e chiavi**: puoi condividerle con AMIs il supporto di istantanee crittografate e non crittografate.
+ Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non è possibile condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita AWS .
+ Se condividi un'AMI supportata da istantanee crittografate, devi consentire alle organizzazioni o OUs utilizzare le chiavi gestite dal cliente utilizzate per crittografare le istantanee. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md).
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.
# Ottenere l'ARN di un'organizzazione o un'unità organizzativa
L'organizzazione e l'unità organizzativa ARNs contengono il numero dell'account di gestione a 12 cifre. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione e l'unità organizzativa in modo da ottenere l'ARN. Negli esempi seguenti, `123456789012` è l’ID dell’account di gestione.
**Autorizzazioni richieste**
Prima di poter ottenere il ARNs, è necessario disporre dell'autorizzazione necessaria per descrivere le organizzazioni e le unità organizzative. La seguente policy fornisce l'autorizzazione necessaria.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*"
],
"Resource": "*"
}
]
}
```
------
------
#### [ AWS CLI ]
**Come ottenere l'ARN di un'organizzazione**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Aggiungi l’opzione `--query` per restituire solo l’ARN dell’organizzazione.
```
aws organizations describe-organization --query 'Organization.Arn'
```
Di seguito è riportato un output di esempio.
```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```
**Come ottenere l'ARN di una unità organizzativa**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Utilizza il parametro `--query` per restituire solo l’ARN dell’unità organizzativa.
```
aws organizations describe-organizational-unit \
--organizational-unit-id ou-a123-b4567890 \
--query 'OrganizationalUnit.Arn'
```
Di seguito è riportato un output di esempio.
```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```
------
#### [ PowerShell ]
**Come ottenere l'ARN di un'organizzazione**
Utilizzare il ORGOrganization cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html).
```
(Get-ORGOrganization).Arn
```
Di seguito è riportato un output di esempio.
```
arn:aws:organizations::123456789012:organization/o-1234567abc
```
**Come ottenere l'ARN di una unità organizzativa**
Utilizzare il cmdlet [Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).
```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```
Di seguito è riportato un output di esempio.
```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```
------
# Consenti alle organizzazioni OUs di utilizzare una chiave KMS
Se condividi un'AMI supportata da istantanee crittografate, devi anche consentire alle organizzazioni o alle unità organizzative (OUs) di utilizzare le chiavi KMS utilizzate per crittografare le istantanee.
**Nota**
Gli snapshot crittografati devono essere crittografati con una chiave *gestita dal cliente*. Non puoi condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita. AWS
Per controllare l’accesso alla chiave KMS, nella [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) puoi utilizzare le chiavi di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) per consentire solo l’autorizzazione dei principali specifici alle azioni specificate. Un principale può essere un utente, un ruolo IAM, un utente federato o un utente Account AWS root.
Le chiavi di condizione vengono utilizzate nel modo seguente:
+ `aws:PrincipalOrgID` – Consente qualsiasi principale appartenente all'organizzazione rappresentato dall'ID specificato.
+ `aws:PrincipalOrgPaths`— Consente qualsiasi principale appartenente ai percorsi OUs rappresentati dai percorsi specificati.
Per concedere a un'organizzazione (inclusi OUs gli account che le appartengono) l'autorizzazione a utilizzare una chiave KMS, aggiungi la seguente dichiarazione alla politica chiave.
```
{
"Sid": "Allow access for organization root",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
}
}
}
```
Per concedere l'autorizzazione specifica OUs (e agli account che ne fanno parte) all'uso di una chiave KMS, puoi utilizzare una politica simile all'esempio seguente.
```
{
"Sid": "Allow access for specific OUs and their descendants",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
},
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-123example/r-ab12/ou-ab12-33333333/*",
"o-123example/r-ab12/ou-ab12-22222222/*"
]
}
}
}
```
Per altri esempi di istruzioni delle condizioni, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) nella *Guida per l'utente di IAM*.
Per informazioni sull'accesso multi-account, consulta [Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
# Gestire la condivisione di un'AMI con un'organizzazione o un'unità organizzativa
Puoi gestire la condivisione di un'AMI con organizzazioni o unità organizzative (OU) per controllare se possono avviare istanze Amazon EC2.
## Visualizza le organizzazioni e OUs con cui è condivisa un'AMI
Puoi trovare le organizzazioni OUs con cui hai condiviso la tua AMI.
------
#### [ Console ]
**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona la tua AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**.
Per scoprire AMIs che sono condivise con te, consulta. [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)
------
#### [ AWS CLI ]
**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) con l’attributo `launchPermission`.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
Di seguito è riportata una risposta di esempio.
```
{
"ImageId": "ami-0abcdef1234567890",
"LaunchPermissions": [
{
"OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
}
]
}
```
------
#### [ PowerShell ]
**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**
Utilizza il cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## Condividere un'AMI con un'organizzazione o una unità organizzativa
Puoi condividere un’AMI con un’organizzazione o un’unità organizzativa.
**Nota**
Per condividere l'AMI, non è necessario condividere gli snapshot Amazon EBS a cui l'AMI fa riferimento. Occorre condividere soltanto l’AMI; il sistema fornisce automaticamente all’istanza l’accesso agli snapshot EBS a cui viene fatto riferimento per l’avvio. Tuttavia, è necessario condividere le chiavi KMS utilizzate per crittografare snapshot a cui l'AMI fa riferimento. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md).
------
#### [ Console ]
**Come condividere un'AMI con un'organizzazione o una unità organizzativa**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.
1. In **AMI availability (Disponibilità AMI)**, scegliere **Private (Privato)**.
1. **Accanto a **Organizzazioni condivise/OUs, scegli** Aggiungi ARN. organization/OU **
1. Per **Organization/OU ARN (Organizzazione/OU ARN)**, inserire l'ARN o l'ARN OU dell'organizzazione con cui condividere l'AMI, quindi scegliere **Share AMI (Condivisione di AMI)**. È necessario specificare l'ARN completo, non solo l'ID.
Per condividere questo AMI con più organizzazioni o OUs ripetere questo passaggio finché non sono state aggiunte tutte le organizzazioni richieste oppure OUs.
1. Al termine, scegli **Save changes (Salva modifiche)**.
1. (Facoltativo) Per visualizzare le organizzazioni o OUs con cui hai condiviso l'AMI, seleziona l'AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**. Per scoprire AMIs che sono condivise con te, consulta. [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)
------
#### [ AWS CLI ]
**Per condividere un'AMI con un'organizzazione**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) per concedere all’organizzazione specificata le autorizzazioni di avvio per l’AMI selezionata.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**Per condividere un'AMI con una unità organizzativa**
Il [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)comando concede le autorizzazioni di avvio per l'AMI specificato all'unità organizzativa specificata. È necessario specificare l'ARN completo, non solo l'ID.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```
------
#### [ PowerShell ]
Utilizzate il [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)comando (Strumenti per Windows PowerShell) per condividere un'AMI, come illustrato negli esempi seguenti.
**Come condividere un'AMI con un'organizzazione o una unità organizzativa**
Il comando seguente concede all'organizzazione specificata le autorizzazioni di avvio per l'AMI selezionata.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**
Il comando seguente rimuove le autorizzazioni di avvio per l'AMI specificata dall'organizzazione specificata:
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**
Il comando seguente consente di rimuovere dall'AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## Interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa
Puoi interrompere la condivisione di un’AMI con un’organizzazione o una unità organizzativa.
**Nota**
Non è possibile interrompere la condivisione di un'AMI con un account specifico se si trova in un'organizzazione o in una unità organizzativa con cui è condivisa un'AMI. Se si prova a interrompere la condivisione dell'AMI rimuovendo le autorizzazioni di avvio per l'account, Amazon EC2 restituirà un messaggio di riuscita dell'operazione. Tuttavia, l'AMI continuerà a essere condivisa con l'account.
------
#### [ Console ]
**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Seleziona l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.
1. **In **Organizzazioni condivise/ OUs**, seleziona le organizzazioni OUs con cui desideri interrompere la condivisione dell'AMI, quindi scegli Rimuovi selezionato.**
1. Al termine, scegli **Save changes (Salva modifiche)**.
1. (Facoltativo) Per confermare di aver interrotto la condivisione dell'AMI con le organizzazioni oppureOUs, seleziona l'AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**.
------
#### [ AWS CLI ]
**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**
Utilizza il comando [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Questo esempio rimuove le autorizzazioni di avvio per l’AMI specificata dall’organizzazione specificata.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Questo esempio rimuove tutte le autorizzazioni di avvio pubbliche ed esplicite dall’AMI specificata. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**
Utilizza il cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). Questo esempio rimuove le autorizzazioni di avvio per l’AMI specificata dall’organizzazione specificata.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**
Utilizza il cmdlet [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). Questo esempio rimuove tutte le autorizzazioni di avvio pubbliche ed esplicite dall’AMI specificata. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute LaunchPermission
```
------
# Condivisione di un'AMI con AWS account specifici
È possibile condividere un'AMI con specifici utenti Account AWS senza renderla pubblica. Tutto ciò di cui hai bisogno sono i Account AWS IDs.
Un Account AWS ID è un numero di 12 cifre, ad esempio`012345678901`, che identifica in modo univoco un. Account AWS Per ulteriori informazioni, consulta la sezione [View Account AWS identifiers](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) nella *Guida di riferimento di Gestione dell'account AWS *.
## Considerazioni
Considerate quanto segue quando condividete con persone specifiche. AMIs Account AWS
+ **Proprietà**: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.
+ **Limiti di condivisione**: per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le [quote di servizio di Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag**: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessuno con Account AWS cui l'AMI è condiviso.
+ **Snapshot**: per condividere l’AMI, non è necessario condividere gli snapshot Amazon EBS a cui l’AMI fa riferimento. Puoi condividere solo l’AMI stessa; il sistema fornisce l’accesso dell’istanza agli snapshot EBS di riferimento per l’avvio. Tuttavia, devi condividere eventuali Chiavi KMS utilizzate per crittografare gli snapshot a cui l’AMI fa riferimento. Per ulteriori informazioni, consulta [Condividi uno snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) nella *Guida per l'utente di Amazon EBS*.
+ **Crittografia e chiavi**: è possibile condividerle con AMIs il supporto di istantanee crittografate e non crittografate.
+ Gli snapshot crittografati devono essere crittografati con una chiave KMS. Non è possibile condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita AWS .
+ Se condividi un'AMI supportata da istantanee crittografate, devi consentire loro di Account AWS utilizzare le chiavi KMS utilizzate per crittografare le istantanee. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md). Per configurare la policy chiave necessaria per avviare le istanze di Auto Scaling quando utilizzi una chiave gestita dal cliente per la crittografia, consulta la sezione [AWS KMS key Politica richiesta per l'uso con volumi crittografati nella Guida per l'utente](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) di *Amazon EC2 Auto Scaling*.
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo in quella Regione. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo aver avviato un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dalla loro istanza.
+ **Copia condivisa AMIs**: se gli utenti di un altro account desiderano copiare un'AMI condivisa, è necessario concedere loro le autorizzazioni di lettura per lo storage che supporta l'AMI. Per ulteriori informazioni, consulta [Copia tra account](how-ami-copy-works.md#copy-ami-across-accounts).
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.
------
#### [ Console ]
**Per concedere i permessi di avvio espliciti**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **AMIs**.
1. Selezionare l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.
1. Scegli **Private (Privato)**.
1. In **Shared accounts (Account condivisi)**, scegliere **Add account ID (Aggiungi ID account)**.
1. Per **Account AWS ID**, inserisci l' Account AWS ID con cui desideri condividere l'AMI, quindi scegli **Condividi AMI**.
Per condividere questo AMI con più account, ripeti i passaggi 5 e 6 finché non hai aggiunto tutti gli account richiesti IDs.
1. Al termine, scegli **Save changes (Salva modifiche)**.
1. (Facoltativo) Per visualizzare l'AMI Account AWS IDs con cui hai condiviso l'AMI, seleziona l'AMI nell'elenco e scegli la scheda **Autorizzazioni**. Per scoprire AMIs che sono condivisi con te, consulta[Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md).
------
#### [ AWS CLI ]
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) per condividere un’AMI come illustrato negli esempi seguenti.
**Per concedere i permessi di avvio espliciti**
L’esempio seguente concede all’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{UserId=123456789012}]"
```
**Per rimuovere i permessi di avvio da un account**
L’esempio seguente consente di rimuovere dall’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{UserId=123456789012}]"
```
**Per rimuovere tutte le autorizzazioni di avvio**
L’esempio seguente consente di rimuovere dall’AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
Utilizzate il [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)comando (Strumenti per Windows PowerShell) per condividere un'AMI, come illustrato negli esempi seguenti.
**Per concedere i permessi di avvio espliciti**
L’esempio seguente concede all’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserId "123456789012"
```
**Per rimuovere i permessi di avvio da un account**
L’esempio seguente consente di rimuovere dall’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission -OperationType remove `
-UserId "123456789012"
```
**Per rimuovere tutte le autorizzazioni di avvio**
L’esempio seguente consente di rimuovere dall’AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
# Annulla la condivisione di un AMI con il tuo Account AWS
Un'Amazon Machine Image (AMI) può essere [condivisa con Account AWS specifici](sharingamis-explicit.md) aggiungendo gli account alle sue autorizzazioni di avvio. Se un'AMI è stata condivisa con il tuo Account AWS e non desideri più che venga condivisa con il tuo account, puoi rimuovere il tuo account dalle autorizzazioni di avvio dell'AMI. Puoi farlo eseguendo il `cancel-image-launch-permission` AWS CLI comando. Quando si esegue questo comando, le Account AWS autorizzazioni di avvio per l'AMI specificata vengono rimosse. Per trovare quelli AMIs che sono condivisi con il tuo Account AWS, vedi[Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md).
Potresti annullare la condivisione di un'AMI con il tuo account, ad esempio, per ridurre la probabilità di avviare un'istanza con un'AMI inutilizzata o obsoleta che è stata condivisa con te. Quando annulli la condivisione di un'AMI con il tuo account, questa non viene più visualizzata in nessun elenco di AMI della console EC2 o nell'output per [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
**Topics**
+ [Limitazioni](#cancel-sharing-an-AMI-limitations)
+ [Annullamento della condivisione di un'AMI con il tuo account](#cancel-image-launch-permission)
## Limitazioni
+ Puoi rimuovere il tuo account dalle autorizzazioni di avvio di un'AMI condivisa Account AWS solo con te. Non puoi utilizzare `cancel-image-launch-permission` per rimuovere il tuo account dalle autorizzazioni di avvio di un'[AMI condivisa con un'organizzazione o un'unità organizzativa (OU)](share-amis-with-organizations-and-OUs.md) o per rimuovere l'accesso al pubblico AMIs.
+ Non è possibile rimuovere definitivamente il tuo account dalle autorizzazioni di avvio di un'AMI. Il proprietario di un'AMI può condividerla nuovamente con il tuo account.
+ AMIs sono una risorsa regionale. Durante l'esecuzione di `cancel-image-launch-permission`, devi specificare la regione in cui si trova l'AMI. Specificate la regione nel comando o utilizzate la [variabile di AWS\$1DEFAULT\$1REGION ambiente](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
+ Solo gli SDK AWS CLI e supportano la rimozione del tuo account dalle autorizzazioni di avvio di un'AMI. Al momento la console EC2 non supporta questa operazione.
## Annullamento della condivisione di un'AMI con il tuo account
**Nota**
L'annullamento della condivisione di un'AMI con il tuo account non è un'operazione annullabile. Per ottenere nuovamente l'accesso all'AMI, il proprietario dell'AMI dovrà condividerla con il tuo account.
------
#### [ AWS CLI ]
**Per annullare la condivisione di un’AMI con il tuo account**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html).
```
aws ec2 cancel-image-launch-permission \
--image-id ami-0abcdef1234567890 \
--region us-east-1
```
------
#### [ PowerShell ]
**Per annullare la condivisione di un’AMI con il tuo account**
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html).
```
Stop-EC2ImageLaunchPermission `
-ImageId ami-0abcdef1234567890 `
-Region us-east-1
```
------
# Consigli per la creazione di Linux condiviso AMIs
Utilizza le seguenti linee guida per ridurre la superficie di attacco e migliorare l'affidabilità del file AMIs che crei.
**Importante**
Nessun elenco delle linee guida di sicurezza può essere esaustivo. Crea la tua condivisione AMIs con attenzione e dedica del tempo a considerare dove potresti esporre i dati sensibili.
**Topics**
+ [Disabilitazione degli accessi remoti basati su password per l'utente root](#public-amis-disable-password-logins-for-root)
+ [Disabilitazione dell'accesso root locale](#restrict-root-access)
+ [Rimozione delle coppie di chiavi dell'host SSH](#remove-ssh-host-key-pairs)
+ [Installazione delle credenziali di chiave pubblica](#public-amis-install-credentials)
+ [Disabilitare i controlli DNS sshd (facoltativo)](#public-amis-disable-ssh-dns-lookups)
+ [Rimuovere i dati sensibili](#public-amis-protect-yourself)
Se stai creando AMIs per Marketplace AWS, consulta [le migliori pratiche per la creazione AMIs](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) nella *Guida al Marketplace AWS venditore* per trovare linee guida, politiche e best practice.
## Disabilitazione degli accessi remoti basati su password per l'utente root
L'uso di una password root fissa per le AMI pubbliche rappresenta un rischio per la sicurezza che può diventare noto rapidamente. Anche fare affidamento sul fatto che gli utenti modifichino la password dopo il primo accesso lascia aperta una piccola possibilità di potenziali usi illeciti.
Per risolvere questo problema, disabilita gli accessi remoti basati su password per l'utente root.
**Per disabilitare gli accessi remoti basati su password per l'utente root**
1. Aprire il file `/etc/ssh/sshd_config` con un editor di testo e individuare la riga seguente:
```
#PermitRootLogin yes
```
1. Modificare la riga in:
```
PermitRootLogin without-password
```
Il percorso di questo file di configurazione potrebbe essere diverso a seconda della distribuzione o se OpenSSH non è in esecuzione. In questo caso, consultare la relativa documentazione.
## Disabilitazione dell'accesso root locale
Quando lavori con shared AMIs, una buona pratica consiste nel disabilitare gli accessi root diretti. Per farlo, accedi all'istanza in esecuzione ed esegui il comando seguente:
```
[ec2-user ~]$ sudo passwd -l root
```
**Nota**
Questo comando non ha alcun impatto sull'uso di `sudo`.
## Rimozione delle coppie di chiavi dell'host SSH
Se intendi condividere un'AMI derivata da un'AMI pubblica, rimuovi le coppie di chiavi dell'host SSH esistenti posizionate in `/etc/ssh`. Ciò costringe SSH a generare nuove coppie di chiavi SSH uniche quando qualcuno avvia un'istanza utilizzando la tua AMI, migliorando la sicurezza e riducendo la probabilità di attacchi "». man-in-the-middle
Rimuovi tutti i file di chiave seguenti presenti sul sistema.
+ ssh\$1host\$1dsa\$1key
+ ssh\$1host\$1dsa\$1key.pub
+ ssh\$1host\$1key
+ ssh\$1host\$1key.pub
+ ssh\$1host\$1rsa\$1key
+ ssh\$1host\$1rsa\$1key.pub
+ ssh\$1host\$1ecdsa\$1key
+ ssh\$1host\$1ecdsa\$1key.pub
+ ssh\$1host\$1ed25519\$1key
+ ssh\$1host\$1ed25519\$1key.pub
Puoi rimuovere in sicurezza tutti questi file con il comando seguente.
```
[ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub
```
**avvertimento**
Le utilità di eliminazione sicura, come **shred**, potrebbero non rimuovere tutte le copie di un file dai supporti di archiviazione. I file system di journaling (tra cui il file system ext4 predefinito di Amazon Linux), snapshot, backup, RAID e la cache temporanea potrebbero creare delle copie nascoste dei file. Per ulteriori informazioni, consulta la [documentazione sull’eliminazione](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html).
**Importante**
Se dimentichi di rimuovere le coppie di chiavi dell'host SSH esistenti dall'AMI pubblica, il nostro processo di controllo di routine invia una notifica a te e a tutti gli utenti che eseguono le istanze della tua AMI informandovi del potenziale rischio per la sicurezza. Dopo un breve periodo di tolleranza, contrassegneremo l'AMI come privata.
## Installazione delle credenziali di chiave pubblica
Dopo aver configurato l'AMI per impedire l'accesso tramite password, devi assicurarti che gli utenti possano accedervi mediante un altro meccanismo.
Amazon EC2 consente agli utenti di specificare un nome di coppia di chiavi pubblica-privata al momento dell'avvio dell'istanza. Se viene specificato un nome della coppia di chiavi valido alla chiamata API `RunInstances` (o tramite gli strumenti API della riga di comando), la chiave pubblica (la porzione della coppia di chiavi che Amazon EC2 conserva sul server in seguito alla chiamata a `CreateKeyPair` o a `ImportKeyPair`) viene resa disponibile per l'istanza tramite una query HTTP sui metadati dell'istanza.
Per accedere tramite SSH, l'AMI deve recuperare il valore di chiave al momento dell'avvio e aggiungerlo a `/root/.ssh/authorized_keys` (o all'equivalente per gli altri account utente sull'AMI). Gli utenti possono avviare le istanze dell'AMI con una coppia di chiavi e accedere senza bisogno di una password root.
Molte distribuzioni, tra cui Amazon Linux e Ubuntu, utilizzano il pacchetto `cloud-init` per inserire le credenziali di chiave pubblica per un utente configurato. Se la distribuzione in uso non supporta `cloud-init`, puoi aggiungere il codice seguente a uno script di avvio del sistema (come `/etc/rc.local`) per inserire la chiave pubblica specificata al momento dell'avvio per l'utente root.
**Nota**
Nell'esempio seguente, l'indirizzo IP http://169.254.169.254/ è un indirizzo locale del collegamento ed è valido solo dall'istanza.
------
#### [ IMDSv2 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
#### [ IMDSv1 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
Questa procedura è applicabile a tutti gli utenti e non è necessario limitarla all'utente `root`.
**Nota**
Il nuovo raggruppamento di un'istanza basata su tale AMI include la chiave con la quale è stata avviata. Per impedire l'inclusione della chiave, è necessario eliminare il file `authorized_keys` o escluderlo dal nuovo raggruppamento.
## Disabilitare i controlli DNS sshd (facoltativo)
La disabilitazione dei controlli DNS sshd indebolisce leggermente la sicurezza sshd. Tuttavia, in caso di errori della risoluzione DNS, gli accessi SSH continueranno a funzionare. Se non disabiliti i controlli sshd, gli errori della risoluzione DNS impediranno tutti gli accessi.
**Per disabilitare i controlli DNS sshd**
1. Aprire il file `/etc/ssh/sshd_config` con un editor di testo e individuare la riga seguente:
```
#UseDNS yes
```
1. Modificare la riga in:
```
UseDNS no
```
**Nota**
Il percorso di questo file di configurazione può essere diverso a seconda della distribuzione o se OpenSSH non è in esecuzione. In questo caso, consultare la relativa documentazione.
## Rimuovere i dati sensibili
Ti sconsigliamo di archiviare dati sensibili o software sulle AMI che condividi. Gli utenti che avviano un'AMI condivisa potrebbero ricompilarla e registrarla come di loro proprietà. Segui queste linee guida per evitare rischi della sicurezza spesso sottovalutati:
+ Ti consigliamo di utilizzare l'opzione `--exclude directory` su `ec2-bundle-vol` per saltare le directory e le sottodirectory contenenti informazioni segrete che non desideri includere nel bundle. In particolare, escludi tutte le coppie di public/private chiavi SSH e i file SSH di proprietà dell'utente durante il raggruppamento dell'`authorized_keys`immagine. Amazon li AMIs archivia pubblicamente `/root/.ssh` per l'utente root e `/home/user_name/.ssh/` per gli utenti normali. Per ulteriori informazioni, consulta [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
+ Elimina sempre la cronologia della shell prima di effettuare il raggruppamento. Se tenti di effettuare più di un caricamento del bundle nella stessa AMI, la cronologia di shell (interprete di comandi) conterrà la tua chiave di accesso. L'esempio seguente riporta l'ultimo comando eseguito prima del raggruppamento effettuato dall'istanza.
```
[ec2-user ~]$ shred -u ~/.*history
```
**avvertimento**
Le limitazioni dell'utilità **shred** descritte nell'avviso riportato sopra si applicano anche in questo caso.
Tieni presente che bash scrive la cronologia della sessione corrente sul disco al momento dell'uscita. Se ti disconnetti dall'istanza dopo avere eliminato `~/.bash_history` e ripeti l'accesso, scoprirai che `~/.bash_history` è stato ricreato e contiene tutti i comandi eseguiti durante la sessione precedente.
Oltre a bash, anche altri programmi scrivono la cronologia sul disco; presta attenzione e rimuovi o escludi i file e le directory dot non necessari.
+ Il raggruppamento di un'istanza in esecuzione richiede la chiave privata e il certificato X.509. Inserisci queste e altre credenziali in un percorso non incluso nel bundle (come l'instance store).