管理允許 AMIs的設定 - Amazon Elastic Compute Cloud
啟用允許 AMI設定允許的 AMIs條件停用允許 AMI取得允許的 AMIs條件尋找允許的 AMIs 尋找不允許從 AMIs的執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理允許 AMIs的設定

您可以管理允許 AMIs的設定。這些設定是每個帳戶每個區域的設定。

啟用允許 AMI

您可以啟用允許的 AMIs並指定允許的 AMIs條件。我們建議您以稽核模式開始,這會顯示哪些 AMIs 會受到條件的影響,而不會實際限制存取。

Console
若要啟用允許 AMI

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Dashboard (儀表板)

  3. 帳戶屬性 (右上角),選擇允許 AMI

  4. 允許 AMIs索引標籤上,選擇管理

  5. 針對允許的 AMIs設定,選擇稽核模式已啟用。我們建議您以稽核模式開始,測試條件,然後返回此步驟以啟用允許的 AMIs。

  6. (選用) 針對 AMI 條件,以 JSON 格式輸入條件。

  7. 選擇更新

AWS CLI
若要啟用允許 AMI

使用 enable-allowed-images-settings 命令。

aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled

若要改為啟用稽核模式,請指定 audit-mode而非 enabled

aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
PowerShell
若要啟用允許 AMI

使用 Enable-EC2AllowedImagesSetting cmdlet。

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled

若要改為啟用稽核模式,請指定 audit-mode而非 enabled

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode

設定允許的 AMIs條件

啟用允許 AMIs後,您可以設定或取代允許 AMIs條件。

如需正確的組態和有效值,請參閱 允許的 AMIs組態允許的 AMIs 參數

Console
設定允許的 AMIs條件

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Dashboard (儀表板)

  3. 帳戶屬性 (右上角),選擇允許 AMI

  4. 允許的 AMIs索引標籤上,選擇管理

  5. 針對 AMI 條件,以 JSON 格式輸入條件。

  6. 選擇更新

AWS CLI
設定允許的 AMIs條件

使用 replace-image-criteria-in-allowed-images-settings 命令,並指定包含允許 AMIs條件的 JSON 檔案。

aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
PowerShell
設定允許的 AMIs條件

使用 Set-EC2ImageCriteriaInAllowedImagesSetting cmdlet,並指定包含允許 AMIs條件的 JSON 檔案。

$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria

停用允許 AMI

您可以停用允許的 AMIs如下所示。

Console
若要停用允許 AMI

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Dashboard (儀表板)

  3. 帳戶屬性 (右上角),選擇允許 AMI

  4. 允許的 AMIs索引標籤上,選擇管理

  5. 對於允許 AMI 設定,選擇已停用

  6. 選擇更新

AWS CLI
若要停用允許 AMI

使用 disable-allowed-images-settings 命令。

aws ec2 disable-allowed-images-settings
PowerShell
若要停用允許 AMI

使用 Disable-EC2AllowedImagesSetting cmdlet。

Disable-EC2AllowedImagesSetting

取得允許的 AMIs條件

您可以取得允許 AMIs設定和允許 AMIs條件的目前狀態。

Console
取得允許的 AMIs 狀態和條件

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Dashboard (儀表板)

  3. 帳戶屬性 (右上角),選擇允許 AMI

  4. 允許的 AMIs索引標籤上,允許的 AMIs設定設定為已啟用已停用稽核模式

  5. 如果允許 AMIs 的狀態為已啟用稽核模式AMI 條件,則 會以 JSON 格式顯示 AMI 條件。

AWS CLI
取得允許的 AMIs 狀態和條件

使用 get-allowed-images-settings 命令。

aws ec2 get-allowed-images-settings

在下列範例輸出中,狀態為 ,audit-mode並在帳戶中設定影像條件。

{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
PowerShell
取得允許的 AMIs 狀態和條件

使用 Get-EC2AllowedImagesSetting cmdlet。

Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}

在下列範例輸出中,狀態為 ,audit-mode並在帳戶中設定影像條件。

State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0

尋找允許的 AMIs

您可以找到目前允許 AMIs條件允許或不允許AMIs。

注意

允許的 AMIs處於稽核模式。

Console
檢查 AMI 是否符合允許的 AMIs條件

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 AMIs (AMI)。

  3. 選取 AMI。

  4. 詳細資料索引標籤 (如選取核取方塊) 或在摘要區域 (如選取 AMI ID),找到允許映像欄位。

    • – AMI 符合允許的 AMIs條件。在您啟用允許 AMI 之後,帳戶中的使用者即可使用此 AMIs。

    • – AMI 不符合允許的 AMIs條件。

  5. 在導覽窗格中,選擇 AMI Catalog (AMI 型錄)。

    當 AMI 標記為不允許時,表示其不符合允許 AMI 條件。當啟用允許 AMI 時,您帳戶的使用者將無法看到或使用此 AMI。

AWS CLI
檢查 AMI 是否符合允許的 AMIs條件

使用 describe-images 命令。

aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text

下列為範例輸出。

True
尋找符合允許 AMIs條件AMIs

使用 describe-images 命令。

aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId

下列為範例輸出。

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
PowerShell
檢查 AMI 是否符合允許的 AMIs條件

使用 Get-EC2Image cmdlet。

(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed

下列為範例輸出。

True
尋找符合允許 AMIs條件AMIs

使用 Get-EC2Image cmdlet。

Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId

下列為範例輸出。

ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88

尋找不允許從 AMIs的執行個體

您可以使用不符合允許 AMI 條件的 AMIs執行個體。

Console
檢查執行個體是否使用不允許的 AMI 啟動

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇執行個體

  3. 選取執行個體。

  4. 詳細資訊索引標籤的執行個體詳細資訊下,尋找允許的影像

    • – AMI 符合允許的 AMIs條件。

    • – AMI 不符合允許的 AMIs條件。

AWS CLI
尋找使用不允許的 AMIs的執行個體

使用 describe-instance-image-metadata 命令搭配image-allowed篩選條件。

aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table

下列為範例輸出。

--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
PowerShell
尋找使用不允許的 AMIs的執行個體

使用 Get-EC2InstanceImageMetadata cmdlet。

Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}

下列為範例輸出。

InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
AWS Config

您可以新增 ec2-instance-launched-with-allowed-ami AWS Config 規則、根據您的需求進行設定,然後使用它來評估您的執行個體。

如需詳細資訊,請參閱《 AWS Config 開發人員指南》中的新增 AWS Config 規則ec2-instance-launched-with-allowed-ami