# Gerenciar as configurações de AMIs permitidas
<a name="manage-settings-allowed-amis"></a>

É possível gerenciar as configurações de AMIs permitidas. Essas configurações são por região, por conta.

**Topics**
+ [

## Habilitar AMIs permitidas
](#enable-allowed-amis-criteria)
+ [

## Definir os critérios de AMIs permitidas
](#update-allowed-amis-criteria)
+ [

## Desabilitar AMIs permitidas
](#disable-allowed-amis-criteria)
+ [

## Obter os critérios de AMIs permitidas
](#identify-allowed-amis-state-and-criteria)
+ [

## Localizar AMIs que são permitidas
](#identify-amis-that-meet-allowed-amis-criteria)
+ [

## Encontrar instâncias inicializadas de AMIs que não são permitidas
](#identify-instances-with-allowed-AMIs)

## Habilitar AMIs permitidas
<a name="enable-allowed-amis-criteria"></a>

É possível habilitar AMIs permitidas e especificar critérios para AMIs permitidas. Recomendamos que você comece no modo de auditoria, que mostra quais AMIs seriam afetadas pelos critérios sem realmente restringir o acesso.

------
#### [ Console ]

**Para habilitar AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Configurações de AMIs permitidas**, escolha **Modo de auditoria** ou **Habilitado**. Recomendamos que você comece no modo de auditoria, teste os critérios e retorne a essa etapa para habilitar as AMIs permitidas.

1. (Opcional) Em **Critérios de AMI**, verifique os critérios no formato JSON.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para habilitar AMIs permitidas**  
Use o comando [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```

Para habilitar o modo de auditoria em vez disso, especifique `audit-mode` em vez de `enabled`.

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```

------
#### [ PowerShell ]

**Para habilitar AMIs permitidas**  
Use o cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```

Para habilitar o modo de auditoria em vez disso, especifique `audit-mode` em vez de `enabled`.

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```

------

## Definir os critérios de AMIs permitidas
<a name="update-allowed-amis-criteria"></a>

Depois de habilitar as AMIs permitidas, será possível definir ou substituir os critérios de AMIs permitidas.

Para obter a configuração correta e valores válidos, consulte [Configuração de AMIs permitidas](ec2-allowed-amis.md#allowed-amis-json-configuration) e [Parâmetros de AMIs permitidas](ec2-allowed-amis.md#allowed-amis-criteria).

------
#### [ Console ]

**Para definir os critérios de AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Critérios de AMI**, verifique os critérios no formato JSON.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para definir os critérios de AMIs permitidas**  
Use o comando [replace-image-criteria-in-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) e especifique o arquivo JSON que contém os critérios para AMIs permitidas.

```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```

------
#### [ PowerShell ]

**Para definir os critérios de AMIs permitidas**  
Use o cmdlet [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html) e especifique o arquivo JSON que contém os critérios para AMIs permitidas.

```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```

------

## Desabilitar AMIs permitidas
<a name="disable-allowed-amis-criteria"></a>

É possível desabilitar as AMIs permitidas da seguinte maneira.

------
#### [ Console ]

**Para desabilitar AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Configurações de AMIs permitidas**, escolha **Desabilitado**.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para desabilitar AMIs permitidas**  
Use o comando [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).

```
aws ec2 disable-allowed-images-settings
```

------
#### [ PowerShell ]

**Para desabilitar AMIs permitidas**  
Use o cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).

```
Disable-EC2AllowedImagesSetting
```

------

## Obter os critérios de AMIs permitidas
<a name="identify-allowed-amis-state-and-criteria"></a>

É possível obter o estado atual da configuração de AMIs permitidas e os critérios de AMIs permitidas.

------
#### [ Console ]

**Para obter o estado e os critérios das AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, as **Configurações de AMIs permitidas** estarão definidas como **Habilitado**, **Desabilitado** ou **Modo de auditoria**.

1. Se o estado das AMIs permitidas for **Habilitado** ou **Modo de auditoria**, os **Critérios da AMI** exibirão os critérios da AMI no formato JSON.

------
#### [ AWS CLI ]

**Para obter o estado e os critérios das AMIs permitidas**  
Use o comando [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).

```
aws ec2 get-allowed-images-settings
```

Na exemplo de saída a seguir, o estado é `audit-mode` e os critérios de imagem são definidos na conta.

```
{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
```

------
#### [ PowerShell ]

**Para obter o estado e os critérios das AMIs permitidas**  
Use o cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).

```
Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```

Na exemplo de saída a seguir, o estado é `audit-mode` e os critérios de imagem são definidos na conta.

```
State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0
```

------

## Localizar AMIs que são permitidas
<a name="identify-amis-that-meet-allowed-amis-criteria"></a>

É possível encontrar as AMIs que são permitidas ou não são permitidas pelos critérios atuais de AMIs permitidas.

**nota**  
As AMIs permitidas precisam estar no modo de auditoria.

------
#### [ Console ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **AMIs**.

1. Selecione a AMI.

1. Na guia **Detalhes** (se você marcou a caixa de seleção) ou na área de resumo (se você selecionou o ID da AMI), encontre o campo **Imagem permitida**.
   + **Sim**: a AMI atende aos critérios de AMIs permitidas. Essa AMI estará disponível para os usuários em sua conta depois que você habilitar as AMIs permitidas.
   + **Não**: a AMI não atende aos critérios de AMIs permitidas.

1. No painel de navegação, escolha **AMI Catalog** (Catálogo de AMIs).

   Uma AMI marcada como **Não permitida** indica uma AMI que não atende aos critérios de AMIs permitidas. Essa AMI não estará visível ou disponível para os usuários em sua conta quando as AMIs permitidas estiverem habilitadas.

------
#### [ AWS CLI ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**  
Use o comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text
```

O seguinte é um exemplo de saída.

```
True
```

**Para encontrar AMIs que atendam aos critérios de AMIs permitidas**  
Use o comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId
```

O seguinte é um exemplo de saída.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------
#### [ PowerShell ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**  
Use o cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```

O seguinte é um exemplo de saída.

```
True
```

**Para encontrar AMIs que atendam aos critérios de AMIs permitidas**  
Use o cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId
```

O seguinte é um exemplo de saída.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------

## Encontrar instâncias inicializadas de AMIs que não são permitidas
<a name="identify-instances-with-allowed-AMIs"></a>

É possível identificar as instâncias que foram iniciadas com uma AMI que não atende aos critérios de AMIs permitidas.

------
#### [ Console ]

**Para verificar se uma instância foi iniciada usando uma AMI que não é permitida**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Instances (Instâncias)**.

1. Selecione a instância.

1. Na guia **Detalhes**, em **Detalhes da instância**, encontre **Imagem permitida**.
   + **Sim**: a AMI atende aos critérios de AMIs permitidas.
   + **Não**: a AMI não atende aos critérios de AMIs permitidas.

------
#### [ AWS CLI ]

**Para encontrar instâncias inicializadas usando AMIs que não são permitidas**  
Use o comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) com o filtro `image-allowed`.

```
aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table
```

O seguinte é um exemplo de saída.

```
--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
```

------
#### [ PowerShell ]

**Para encontrar instâncias inicializadas usando AMIs que não são permitidas**  
Use o cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).

```
Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```

O seguinte é um exemplo de saída.

```
InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```

------
#### [ AWS Config ]

É possível adicionar a regra **ec2-instance-launched-with-allowed-ami** do AWS Config, configurá-la de acordo com seus requisitos e usá-la para avaliar suas instâncias.

Para obter mais informações, consulte [Adicionar regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) e [ec2-instance-launched-with-allowed-ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) no *Guia do desenvolvedor do AWS Config*.

------