Steuern Sie die Entdeckung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs

Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion Zugelassen verwenden. Mit dieser Funktion können Sie Kriterien angeben, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden.

Bevor Sie die AMIs Einstellungen für „Zulässig“ aktivieren, können Sie den Überwachungsmodus aktivieren, um eine Vorschau anzuzeigen, welche angezeigt AMIs werden oder nicht. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Darüber hinaus können Sie den describe-instance-image-metadataBefehl ausführen und die Antwort filtern, um alle Instances zu identifizieren, die mit AMIs dieser Methode gestartet wurden und die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.

Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in allen Bereichen konfiguriert werden, in AWS-Region denen Sie die Erkennung und Verwendung von AMIs steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter Deklarative Richtlinien im AWS Organizations -Benutzerhandbuch.

Anmerkung

Die AMIs Funktion „Zulässig“ steuert nur die Entdeckung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten für Benutzer in Ihrem Konto immer auffindbar und nutzbar.

Die wichtigsten Vorteile von Allowed AMIs

• Compliance und Sicherheit: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird.

• Effizientes Management: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter.

• Zentralisierte Implementierung auf Kontoebene: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren.

So funktioniert „Zulässig“ AMIs

Sie geben Kriterien an, nach denen automatisch gefiltert und bestimmt wird, was in Ihrem Konto erkannt und verwendet werden AMIs kann. Sie geben die Kriterien in der JSON-Konfiguration an und aktivieren die Kriterien dann, indem Sie den API-Vorgang „aktivieren“ ausführen.

JSON-Konfiguration für die zulässigen AMIs Kriterien

Die Kernkonfiguration für Allowed AMIs ist die JSON-Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs.

Derzeit wird als einziger Wert AMI-Anbieter unterstützt. Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind:

• amazon— Ein Alias, das sich identifiziert, AMIs erstellt von AWS

• aws-marketplace— Ein Alias, das sich identifiziert, AMIs erstellt von verifizierten Anbietern in AWS Marketplace

• aws-backup-vault— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist.

• AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs

• none— Weist darauf hin, dass nur von Ihrem Konto AMIs erstellte Inhalte entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn Sie none angeben, können Sie weder einen Alias noch eine Konto-ID angeben.

Die AMI-Kriterien werden im JSON-Format angegeben. Hier ist ein Beispiel, das zwei Aliase und drei AWS-Konto IDs angibt:

{
    "ImageCriteria": [
        {
            "ImageProviders": [
                "amazon",
                "aws-marketplace",
                "123456789012",
                "112233445566",
                "009988776655"
            ]
        }
    ]
}

Grenzwerte für die JSON-Konfiguration

• ImageCriteria-Objekte: In einer einzigen Konfiguration können maximal 10 ImageCriteria-Objekte angegeben werden.

• ImageProviders-Werte: Maximal 200 Werte für alle ImageCriteria-Objekte.

Beispiel für Grenzwerte

Betrachten Sie das folgende Beispiel zur Veranschaulichung dieser Beschränkungen, bei dem verschiedene ImageProviders-Listen verwendet werden, um die AMI-Anbieterkonten zu gruppieren:

{
    "ImageCriteria": [
        {
            "ImageProviders": ["amazon", "aws-marketplace"]
        },
        {
            "ImageProviders": ["123456789012", "112233445566", "121232343454"]
        },
        {
            "ImageProviders": ["998877665555", "987654321098"]
        }
        // Up to 7 more ImageCriteria objects can be added
        // Up to 193 more ImageProviders values can be added
    ]
}

In diesem Beispiel:

• Es gibt 3 imageCriteria-Objekte (bis zu 7 weitere können hinzugefügt werden, um das Limit von 10 zu erreichen).

• Es gibt insgesamt 7 imageProviders-Werte für alle Objekte (bis zu 193 weitere können hinzugefügt werden, um die Grenze von 200 zu erreichen).

In diesem Beispiel AMIs sind sie von jedem der angegebenen AMI-Anbieter in allen ImageCriteria Objekten zulässig.

Zulässige AMIs Operationen

Die AMIs Funktion „Zulässig“ verfügt über drei Betriebsmodi für die Verwaltung der Bildkriterien: aktiviert, deaktiviert und Überwachungsmodus. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen.

Aktiviert

Wenn „ AMIs Zulässig“ aktiviert ist:

• Die ImageCriteria werden angewendet.

• Nur zulässige Bilder AMIs sind in der EC2 Konsole auffindbar und verwenden APIs dabei Bilder (zum Beispiel Bilder, die Bilder beschreiben, kopieren, speichern oder andere Aktionen ausführen).

• Instanzen können nur mit der Option „Zugelassen“ gestartet werden. AMIs

Disabled

Wenn Allowed deaktiviert AMIs ist:

• Die ImageCriteria werden nicht angewendet.

• Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

Überwachungsmodus

Im Prüfungsmodus:

• Die ImageCriteria sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

• In der EC2 Konsole wird im Feld Zulässiges Bild für jedes AMI entweder Ja oder Nein angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

• In der Befehlszeile enthält die Antwort für den describe-image Vorgang "ImageAllowed": true oder gibt "ImageAllowed": false an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

• In der EC2 Konsole wird im AMI-Katalog neben der Option Nicht erlaubt angezeigt AMIs , wenn die Option Zulässig für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist.

Bewährte Methoden für die Implementierung von Allowed AMIs

Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren.

1. Prüfmodus aktivieren

   Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Modus können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum bietet.

2. Legen Sie die zulässigen Kriterien fest AMIs

   Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen.

   Anmerkung

   Wir empfehlen, den amazon Alias anzugeben, der AMIs erstellt von zugelassen werden soll AWS, um sicherzustellen, dass von Ihnen verwendete AWS verwaltete Dienste weiterhin EC2 Instances in Ihrem Konto starten können.

3. Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt

   Führen Sie den describe-instance-image-metadataBefehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit Instances gestartet wurden, die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassenAMIs.

4. Zulässig aktivieren AMIs

   Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs.

5. Instance-Starts überwachen

   Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs

6. Pilot neu AMIs

   Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, AWS empfiehlt es sich, die folgenden Methoden anzuwenden:

   • Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können.

   • Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben.

   Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs

Erforderliche IAM-Berechtigungen

Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen:

• GetAllowedImagesSettings

• EnableAllowedImagesSettings

• DisableAllowedImagesSettings

• ReplaceImageCriteriaInAllowedImagesSettings

Den Überwachungsmodus aktivieren und Kriterien angeben

Verwenden Sie die folgenden Verfahren, um den Überwachungsmodus für „Zugelassen“ zu aktivieren AMIs und die AMIs Kriterien „Zulässig“ in Ihrem Konto für die angegebene Region anzugeben.

Console

So aktivieren Sie den Überwachungsmodus und geben die Kriterien für Zulässig an AMIs

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Dashboard (Dashboard).

3. Wählen Sie unter Kontoattribute (oben rechts) die Option Zulässig aus AMIs.

4. Gehen Sie auf der AMIs Seite Zulässig wie folgt vor:

   1. Wählen Sie Manage (Verwalten).

   2. Wählen Sie für Zulässige AMIs Einstellungen die Option Überwachungsmodus aus.

   3. Geben Sie für AMI-Kriterien die Kriterien im JSON-Format an. Derzeit können nur Image-Anbieter als Kriterien angegeben werden.

      Die korrekte Konfiguration und gültige Werte finden Sie unter JSON-Konfiguration für die zulässigen AMIs Kriterien.

   4. Wählen Sie Aktualisieren.

AWS CLI

Um den Überwachungsmodus zu aktivieren und Kriterien für Zulässig anzugeben AMIs

1. Prüfmodus aktivieren

   Verwenden Sie den enable-allowed-images-settingsBefehl und geben Sie audit-mode die angegebene Region an.

   aws ec2 enable-allowed-images-settings \
       --region us-east-1 \
       --allowed-images-settings-state audit-mode

   Erwartete Ausgabe

   {
   "AllowedImagesSettingsState": "audit-mode"
   }

2. Die Kriterien angeben

   Verwenden Sie den allowed-images-settings Befehl replace-image-criteria-in- und verweisen Sie auf eine JSON-Datei mit den Bildkriterien.

   Derzeit werden nur Image-Anbieter als Image-Kriterium unterstützt. Die korrekte Konfiguration und gültige Werte finden Sie unter JSON-Konfiguration für die zulässigen AMIs Kriterien.

   aws ec2 replace-image-criteria-in-allowed-images-settings \
       --region us-east-1 \
       --cli-input-json file://path/to/image-criteria.json

Zulässig aktivieren AMIs

Gehen Sie wie folgt vor, um AMIs in Ihrem Konto für die angegebene Region die Option Zulässig zu aktivieren.

Console

Um „Zugelassen“ zu aktivieren AMIs

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Dashboard (Dashboard).

3. Wählen Sie unter Kontoattribute (oben rechts) die Option Zulässig aus AMIs.

4. Gehen Sie auf der AMIs Seite Zulässig wie folgt vor:

   1. Wählen Sie Manage (Verwalten).

   2. Wählen Sie für Zulässige AMIs Einstellungen die Option Aktiviert aus.

   3. Geben Sie für AMI-Kriterien die Kriterien im JSON-Format an. Derzeit können nur Image-Anbieter als Kriterien angegeben werden.

      Die korrekte Konfiguration und gültige Werte finden Sie unter JSON-Konfiguration für die zulässigen AMIs Kriterien.

   4. Wählen Sie Aktualisieren.

AWS CLI

Um „Zulässig“ zu aktivieren AMIs und Kriterien für „Zulässig“ anzugeben AMIs

1. Zulässig aktivieren AMIs

   Verwenden Sie den enable-allowed-images-settingsBefehl und geben Sie enable in der angegebenen Region an.

   aws ec2 enable-allowed-images-settings \
       --region us-east-1 \
       --allowed-images-settings-state enabled

   Erwartete Ausgabe

   {
   "AllowedImagesSettingsState": "enabled"
   }

2. Die Kriterien angeben

   Verwenden Sie den allowed-images-settings Befehl replace-image-criteria-in- und verweisen Sie auf eine JSON-Datei mit den Bildkriterien.

   Derzeit werden nur Image-Anbieter als Image-Kriterium unterstützt. Die korrekte Konfiguration und gültige Werte finden Sie unter JSON-Konfiguration für die zulässigen AMIs Kriterien.

   aws ec2 replace-image-criteria-in-allowed-images-settings \
       --region us-east-1 \
       --cli-input-json file://path/to/image-criteria.json

Deaktivieren: Erlaubt AMIs

Gehen Sie wie folgt vor, um „Zulässig“ AMIs in Ihrem Konto für die angegebene Region zu deaktivieren.

Console

Um „Zugelassen“ zu deaktivieren AMIs

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Dashboard (Dashboard).

3. Wählen Sie unter Kontoattribute (oben rechts) die Option Zulässig aus AMIs.

4. Gehen Sie auf der AMIs Seite Zulässig wie folgt vor:

   1. Wählen Sie Manage (Verwalten).

   2. Wählen Sie für Zulässige AMIs Einstellungen die Option Deaktiviert aus.

   3. Wählen Sie Aktualisieren.

AWS CLI

Um „Zugelassen“ zu deaktivieren AMIs

Verwenden Sie den disable-allowed-images-settingsBefehl, um die Option AMIs Zulässig in der angegebenen Region zu deaktivieren.

aws ec2 disable-allowed-images-settings \
    --region us-east-1

Erwartete Ausgabe

{
"AllowedImagesSettingsState": "disabled"
}

Zulässige AMIs Kriterien aktualisieren

Gehen Sie wie folgt vor, um die AMIs Zulassungskriterien in Ihrem Konto für die angegebene Region zu aktualisieren.

Console

Um die zulässigen AMIs Kriterien zu aktualisieren

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Dashboard (Dashboard).

3. Wählen Sie unter Kontoattribute (oben rechts) die Option Zulässig aus AMIs.

4. Gehen Sie auf der AMIs Seite Zulässig wie folgt vor:

   1. Wählen Sie Manage (Verwalten).

   2. Wählen Sie für Zulässige AMIs Einstellungen entweder den Modus Aktiviert oder den Überwachungsmodus aus.

   3. Geben Sie für AMI-Kriterien die Kriterien im JSON-Format an. Derzeit können nur Image-Anbieter als Kriterien angegeben werden.

      Für die Konfiguration und gültige Werte lesen Sie JSON-Konfiguration für die zulässigen AMIs Kriterien.

   4. Wählen Sie Aktualisieren.

AWS CLI

Um die AMIs Kriterien „Zulässig“ zu aktualisieren

Verwenden Sie den allowed-images-settings Befehl replace-image-criteria-in- und verweisen Sie mit den Bildkriterien auf eine JSON-Datei. Derzeit werden nur Image-Anbieter als Image-Kriterium unterstützt. Für die JSON-Konfiguration und gültige Werte lesen Sie JSON-Konfiguration für die zulässigen AMIs Kriterien.

aws ec2 replace-image-criteria-in-allowed-images-settings \
    --region us-east-1 \
    --cli-input-json file://path/to/image-criteria.json

Identifizieren Sie den AMIs Status und die Kriterien für den zulässigen Status

Gehen Sie wie folgt vor, um den aktuellen Status der AMIs Einstellung „Zulässig“ und der AMIs Kriterien „Zulässig“ zu ermitteln.

Console

Um den AMIs Status und die Kriterien „Zulässig“ zu ermitteln

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Dashboard (Dashboard).

3. Wählen Sie unter Kontoattribute (oben rechts) die Option Zulässig aus AMIs.

4. Gehen Sie auf der AMIs Seite Zulässig wie folgt vor:

   1. Wählen Sie Manage (Verwalten).

   2. Überprüfen Sie AMIs unter Zulässige Einstellungen die aktuelle Auswahl. Es handelt sich entweder um den Modus Aktiviert, Deaktiviert oder Überwachungsmodus.

   3. Prüfen Sie für AMI-Kriterien die Kriterien im JSON-Format. Wenn der Status Deaktiviert ist, werden die Kriterien nicht angezeigt. Um die Kriterien anzuzeigen, wählen Sie entweder den Modus Aktiviert oder den Überwachungsmodus.

   4. Um den Bildschirm zu verlassen, ohne irgendwelche Änderungen vorzunehmen, klicken Sie auf Abbrechen.

AWS CLI

Um den AMIs Status „Zulässig“ und die Kriterien zu identifizieren

Verwenden Sie den get-allowed-images-settingsBefehl, um den aktuellen Status und eine Liste der zulässigen AMIs Kriterien in der angegebenen Region abzurufen.

aws ec2 get-allowed-images-settings \
    --region us-east-1

In der folgenden Beispielausgabe lautet der Status audit-mode und die AMI-Anbieterliste enthält einen Anbieter (amazon).

Das ManagedBy Feld gibt die Entität an, die die AMIs Einstellungen für Zulässig konfiguriert hat. account zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von declarative-policy würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter Deklarative Richtlinien im AWS Organizations -Benutzerhandbuch.

{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "ImageProviders": [
                "amazon"
            ]
        }
    ],
    "ManagedBy": "account"
}

Identifizieren Sie AMIs , welche die AMIs Kriterien „Zulässig“ erfüllen

Verwenden Sie die folgenden Verfahren, um zu ermitteln AMIs , welche für das Konto zulässig oder nicht zulässig sind.

Anmerkung

Folgendes AMIs ist nur möglich, wenn sich Allowed im Überwachungsmodus befindet.

Console

Um diejenigen zu identifizieren AMIs , die die AMIs Kriterien „Zulässig“ erfüllen

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich AMIs aus.

3. Wählen Sie ein AMI aus, das Sie überprüfen möchten.

4. Suchen Sie auf der Registerkarte Details (wenn Sie das Kontrollkästchen aktiviert haben) oder im Übersichtsbereich (wenn Sie die AMI-ID ausgewählt haben) das Feld Zulässiges AMI.

   • Der Wert Ja gibt an, dass ein AMI die zulässigen AMIs Kriterien erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto sichtbar und verfügbar, wenn Zulässig aktiviert AMIs ist.

   • Der Wert Nein weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto nicht sichtbar oder verfügbar, wenn Zulässig aktiviert AMIs ist.

5. Wählen Sie im Navigationsbereich die Option AMI-Katalog aus.

   Ein AMI, das als Nicht zulässig markiert ist, weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto nicht sichtbar oder verfügbar, wenn Zulässig aktiviert AMIs ist.

AWS CLI

Um festzustellen, ob ein AMI die zulässigen AMIs Kriterien erfüllt

Verwenden Sie den Befehl describe-images und geben Sie die ID des AMI an.

aws ec2 describe-images \
    --region us-east-1 \
    --image-id ami-1234567890example

Erwartete Ausgabe – ImageAllowed ist entweder true oder false

{
    "Images": [{
        "Architecture": "x86_64",
        "CreationDate": "2022-09-21T17:11:12.000Z",
        "ImageId": "ami-1234567890example",
        "ImageLocation": "232700224022/ami_copy_test",
        "ImageType": "machine",
        "Public": false,
        "OwnerId": "111111111111",
        "PlatformDetails": "Linux/UNIX",
        "UsageOperation": "RunInstances",
        "State": "available",
        "BlockDeviceMappings": [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-1234567890example",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": false
            }
        }],
        "Description": "ami_copy_test",
        "EnaSupport": true,
        "Hypervisor": "xen",
        "Name": "ami_copy_test",
        "RootDeviceName": "/dev/xvda",
        "RootDeviceType": "ebs",
        "SriovNetSupport": "simple",
        "VirtualizationType": "hvm",
        "ImageAllowed": false
    }]
}

Um danach zu filtern AMIs , ob die AMIs Kriterien für zulässig erfüllt sind

Verwenden Sie den Befehl describe-images und geben Sie den image-allowed-Filter als true an.

aws ec2 describe-images \
    --region us-east-1 \
    --filters "Name=image-allowed,Values=true" \
    --max-result 10

Stellen Sie fest, ob Instances gestartet wurden AMIs , die nicht erlaubt sind

Verwenden Sie die folgenden Verfahren, um die Instances zu identifizieren, die mit einem AMI gestartet wurden, das die AMIs Zulassungskriterien nicht erfüllt.

Console

So stellen Sie fest, ob eine Instance mit einem nicht zulässigen AMI gestartet wurde

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Instances aus.

3. Wählen Sie eine Instance aus, die Sie überprüfen möchten.

4. Suchen Sie auf der Registerkarte Details unter Instance-Details das Feld Zulässiges Image.

   • Der Wert Ja gibt an, dass ein AMI die zulässigen AMIs Kriterien erfüllt.

   • Der Wert Nein weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt.

AWS CLI

Um festzustellen, ob Instances gestartet wurden AMIs , die nicht erlaubt sind

Verwenden Sie den describe-instance-image-metadataBefehl, bei dem der image-allowed Filter auf eingestellt istfalse, um zu identifizieren, dass Instances, mit denen gestartet wurden AMIs , nicht erlaubt sind.

aws ec2 describe-instance-image-metadata \
    --region us-east-1 \
    --filters "Name=image-allowed,Values=false" \
    --max-result 10

Beispielausgabe

{
    "InstanceImageMetadata": [
    {
        "InstanceId": "i-1234567890example",
        "InstanceType": "t3.nano",
        "LaunchTime": "2024-10-10T15:55:37+00:00",
        "AvailabilityZone": "USMA62",
        "State": {
            "Code": 16,
            "Name": "running"
            },
        "OwnerId": "111111111111",,
        "ImageMetadata": {
            "ImageId": "ami-1234567890example",
            ...
            "ImageAllowed": false,
            "IsPublic": false
            }
        }
    ],
    "NextToken": "..."
}