Gerenciar o compartilhamento de uma AMI com uma organização ou uma UO
É possível gerenciar o compartilhamento de AMIs com organizações e unidades organizacionais (UO) para controlar se elas podem executar instâncias do Amazon EC2.
Veja as organizações e as UOs com as quais uma AMI é compartilhada
É possível descobrir as organizações e UOs com as quais você compartilhou sua AMI.
- Console
-
- AWS CLI
-
Para verificar com quais organizações e UOs você compartilhou sua AMI
Use o comando describe-image-attribute com o atributo launchPermission.
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
O seguinte é um exemplo de resposta.
{
"ImageId": "ami-0abcdef1234567890",
"LaunchPermissions": [
{
"OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
}
]
}
- PowerShell
-
Para verificar com quais organizações e UOs você compartilhou sua AMI
Use o cmdlet Get-EC2ImageAttribute.
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
Compartilhar uma AMI com uma organização ou uma UO
É possível compartilhar uma AMI com uma organização ou UO
Você não precisa compartilhar os snapshots do Amazon EBS aos quais a AMI faz referência para compartilhar a AMI. Apenas a própria AMI precisa ser compartilhada, e o sistema fornece automaticamente à instância acesso aos snapshots do EBS referenciados para a execução. No entanto, é necessário compartilhar todas as chaves do KMS usadas para criptografar os snapshots referenciados pela AMI. Para obter mais informações, consulte Permitir que organizações e UOs usem uma chave do KMS.
- Console
-
Para compartilhar uma AMI com uma organização ou uma UO
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, selecione AMIs.
-
Selecione sua AMI na lista e escolha Actions (Ações), Edit AMI permissions (Editar permissões de AMI).
-
Em AMI availability (Disponibilidade da AMI), escolha Private (Privado).
-
Próximo a Shared organizations/OUs (Organizações/UOs compartilhadas), escolha Add organization/OU ARN (Adicionar ARN de organização/UO).
-
Em Organization/OU ARN (ARN de organização/UO), insira o ARN da organização ou o ARN da UO com o qual você deseja compartilhar a AMI e, em seguida, escolha Share AMI (Compartilhar AMI). Observe que especifique o ARN completo, e não apenas o ID.
Para compartilhar essa AMI com várias organizações ou UOs, repita essa etapa até adicionar todas as organizações ou UOs necessárias.
-
Após terminar, escolha Save changes (Salvar alterações).
-
(Opcional) Para visualizar as organizações ou UOs com as quais você compartilhou a AMI, selecione a AMI na lista, escolha a guia Permissions (Permissões) e role para baixo até Shared organizations/OUs Organizações/UOs compartilhadas. Para localizar as AMIs que são compartilhadas com você, consulte Encontre AMIs compartilhadas para usar em instâncias do Amazon EC2.
- AWS CLI
-
Para compartilhar uma AMI com uma organização
Use o comando modify-image-attribute para conceder à organização especificada permissões de execução para a AMI especificada.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para compartilhar uma AMI com uma UO
O comando modify-image-attribute concede permissões de execução para a AMI especificada à UO especificada. Observe que especifique o ARN completo, e não apenas o ID.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
- PowerShell
-
Use o comando Edit-EC2ImageAttribute (Tools for Windows PowerShell) para compartilhar uma AMI conforme exibido nos exemplos a seguir.
Para compartilhar uma AMI com uma organização ou uma UO
O comando a seguir concede permissões de execução para a AMI especificada à organização especificada.
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
O comando a seguir remove as permissões de execução para a AMI especificada da organização especificada:
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para interromper o compartilhamento de uma AMI com todas as organizações, UOs e Contas da AWS
O comando a seguir remove todas as permissões de execução explícita e pública da AMI especificada. Observe que o proprietário da AMI sempre tem permissões de execução e, portanto, não é afetado por este comando.
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
Interromper o compartilhamento de uma AMI com uma organização ou uma UO
É possível interromper o compartilhamento de uma AMI com uma organização ou UO.
Você não pode interromper o compartilhamento de uma AMI com uma conta específica se ela estiver em uma organização ou UO com a qual uma AMI é compartilhada. Se você tentar parar de compartilhar a AMI removendo as permissões de execução da conta, o Amazon EC2 retornará uma mensagem de êxito. Porém, a AMI continua sendo compartilhada com a conta.
- Console
-
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, selecione AMIs.
-
Selecione sua AMI na lista e escolha Actions (Ações), Edit AMI permissions (Editar permissões de AMI).
-
Em Shared organizations/OUs (Organizações/UOs compartilhadas), selecione as organizações ou UOs com as quais você deseja parar de compartilhar a AMI e, em seguida, escolha Remove selected (Remover selecionado).
-
Após terminar, escolha Save changes (Salvar alterações).
-
(Opcional) Para confirmar que você parou de compartilhar a AMI com as organizações ou UOs, selecione a AMI na lista, escolha a guia Permissions (Permissões) e role para baixo até Shared organizations/OUs (Organizações/UOs compartilhadas).
- AWS CLI
-
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
Use o comando modify-image-attribute. Este exemplo remove da organização especificada as permissões de execução para a AMI especificada.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para interromper o compartilhamento de uma AMI com todas as organizações, UOs e Contas da AWS
Use o comando reset-image-attribute. Este exemplo remove todas as permissões de execução explícita e pública da AMI especificada. Observe que o proprietário da AMI sempre tem permissões de execução e, portanto, não é afetado por este comando.
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
- PowerShell
-
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
Use o cmdlet Edit-EC2ImageAttribute. Este exemplo remove da organização especificada as permissões de execução para a AMI especificada.
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para interromper o compartilhamento de uma AMI com todas as organizações, UOs e Contas da AWS
Use o cmdlet Reset-EC2ImageAttribute. Este exemplo remove todas as permissões de execução explícita e pública da AMI especificada. Observe que o proprietário da AMI sempre tem permissões de execução e, portanto, não é afetado por este comando.
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute LaunchPermission
