Veröffentlichen eines AMI - Amazon Elastic Compute Cloud
ÜberlegungenEin AMI mit allen AWS Konten teilen (öffentlich teilen)Sperren Sie den öffentlichen Zugriff auf Ihre AMIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Veröffentlichen eines AMI

Sie können Ihr AMI öffentlich zugänglich machen, indem Sie es mit allen teilen AWS-Konten.

Wenn Sie verhindern möchten, dass Ihre AMIs öffentlich geteilt werden, können Sie den öffentlichen Zugriff für AMIs sperren aktivieren. Dadurch werden alle Versuche, ein AMI zu veröffentlichen, blockiert, was dazu beiträgt, unbefugten Zugriff und potenziellen Missbrauch von AMI-Daten zu verhindern. Beachten Sie, dass die Aktivierung von Block Public Access keine Auswirkungen auf Ihre AMIs hat, die bereits öffentlich verfügbar sind; sie bleiben öffentlich verfügbar.

Wenn Sie nur bestimmten Konten erlauben möchten, Ihr AMI zum Starten von Instances zu verwenden, lesen Sie Freigeben eines AMI für bestimmte AWS -Konten.

Überlegungen

Beachten Sie Folgendes, bevor Sie ein AMI öffentlich machen.

  • Eigentum — Um ein AMI zu veröffentlichen, AWS-Konto müssen Sie Eigentümer des AMI sein.

  • Region: AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter Kopieren eines AMI.

  • Öffentlichen Zugriff blockieren – Um ein AMI öffentlich zu teilen, muss das Sperren des öffentlichen Zugriffs für AMIs in jeder Region, in der das AMI öffentlich geteilt wird, deaktiviert sein. Nachdem Sie das AMI öffentlich freigegeben haben, können Sie Block Public Access for AMIs wieder aktivieren, um zu verhindern, dass Ihre AMIs weiterhin öffentlich geteilt werden.

  • Einige AMIs können nicht veröffentlicht werden – Wenn Ihr AMI eines der folgenden Merkmale aufweist, können Sie es nicht veröffentlichen (Sie können es jedoch das AMI für bestimmte AWS-Konten freigeben):

    • Verschlüsselte Volumes

    • Snapshots von verschlüsselten Volumes

    • Produkt-Codes

  • Offenlegung sensibler Daten vermeiden: Damit beim Freigeben eines AMI keine sensiblen Daten offengelegt werden, lesen Sie die Sicherheitserwägungen in Richtlinien für gemeinsame Linux-AMIs und folgen Sie den empfohlenen Verfahren.

  • Nutzung: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen.

  • Automatische Veralterung – Standardmäßig ist das Veralterungsdatum aller öffentlichen AMIs auf zwei Jahre ab dem AMI-Erstellungsdatum festgelegt. Sie können das Veralterungsdatum auf weniger als zwei Jahre festlegen. Um das Verfallsdatum zu stornieren oder das Verfallsdatum auf ein späteres Datum zu verschieben, müssen Sie das AMI als privat kennzeichnen, indem Sie es nur mit bestimmten Personen teilen. AWS-Konten

  • Veraltete AMIs entfernen — Wenn ein öffentliches AMI sein Verfallsdatum erreicht hat und sechs oder mehr Monate lang keine neuen Instances über das AMI gestartet wurden, wird AWS schließlich die Public Sharing-Eigenschaft entfernt, sodass veraltete AMIs nicht in den öffentlichen AMI-Listen erscheinen.

  • Abrechnung — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.

Ein AMI mit allen AWS Konten teilen (öffentlich teilen)

Nachdem Sie ein AMI veröffentlicht haben, ist es in Community-AMIs in der Konsole verfügbar, auf die Sie über den AMI-Katalog im linken Navigator der EC2-Konsole oder beim Starten einer Instance über die Konsole zugreifen können. Hinweis: Nach der Veröffentlichung kann es etwas dauern, bis das AMI unter Community AMIs angezeigt wird.

Console
Veröffentlichen eines AMI

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI in der Liste aus und wählen Sie Aktionen, AMI-Berechtigungen bearbeiten aus.

  4. Unter AMI-Verfügbarkeit wählen Sie Öffentlich aus.

  5. Wählen Sie Änderungen speichern aus.

AWS CLI

Jedes AMI hat eine launchPermission Eigenschaft, die steuert AWS-Konten, welche außer denen des Besitzers dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die launchPermission Eigenschaft eines AMI ändern, können Sie das AMI öffentlich machen (wodurch allen Startberechtigungen gewährt werden AWS-Konten) oder es nur mit den von Ihnen angegebenen AWS-Konten Benutzern teilen.

Sie können der Liste der Konten mit Startberechtigungen für ein AMI IDs hinzufügen oder IDs löschen. Um ein AMI zu veröffentlichen, geben Sie die all-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben.

Veröffentlichen eines AMI

  1. Verwenden Sie den Befehl modify-image-attribute wie folgt, um die all-Gruppe zur launchPermission-Liste für das angegebene AMI hinzuzufügen.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{Group=all}]"

  2. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den describe-image-attribute-Befehl.

    aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

  3. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die all-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{Group=all}]"

Sperren Sie den öffentlichen Zugriff auf Ihre AMIs

Um zu verhindern, dass Ihre AMIs öffentlich geteilt werden, können Sie den öffentlichen Zugriff für AMIs sperren aktivieren. Diese Einstellung ist auf Kontoebene aktiviert, Sie müssen sie jedoch in allen Bereichen aktivieren, AWS-Region in denen Sie verhindern möchten, dass Ihre AMIs öffentlich geteilt werden.

Wenn Block Public Access aktiviert ist, wird jeder Versuch, ein AMI öffentlich zu machen, automatisch blockiert. Wenn Sie jedoch bereits über öffentliche AMIs verfügen, bleiben diese weiterhin öffentlich verfügbar.

Wenn Sie AMIs öffentlich teilen möchten, müssen Sie das Blockieren des öffentlichen Zugriffs deaktivieren. Wenn Sie mit dem Teilen fertig sind, empfiehlt es sich, Block Public Access wieder zu aktivieren, um ein unbeabsichtigtes öffentliches Teilen Ihrer AMIs zu verhindern.

Sie können die IAM-Berechtigungen auf Administratorbenutzer beschränken, sodass nur dieser den öffentlichen Zugriff für AMIs aktivieren oder deaktivieren kann.

Standardeinstellungen

Die Einstellung Öffentlichen Zugriff für AMIs blockieren ist standardmäßig entweder aktiviert oder deaktiviert, je nachdem, ob Ihr Konto neu oder bereits vorhanden ist und ob Sie öffentliche AMIs haben. In der folgenden Tabelle werden die Standardeinstellungen aufgeführt:

AWS Konto Standardeinstellung „Öffentlichen Zugriff für AMIs blockieren“
Neue Konten Aktiviert

Bestehende Konten ohne öffentliche AMIs¹

 Aktiviert

Bestehende Konten mit mindestens einem öffentlichen AMI

 Disabled

¹ Wenn Ihr Konto am oder nach dem 15. Juli 2023 über mindestens einen öffentlichen AMI verfügte, ist die Option Öffentlichen Zugriff für AMIs blockieren standardmäßig für Ihr Konto deaktiviert, auch wenn Sie anschließend alle AMIs privat gemacht haben.

Erforderliche IAM-Berechtigungen

Um die Funktionen von Block Public Access zu nutzen, benötigen Sie die folgenden IAM-Berechtigungen:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

  • GetImageBlockPublicAccessState

Aktivieren Sie den blockierten öffentlichen Zugriff für AMIs

Um zu verhindern, dass Ihre AMIs öffentlich geteilt werden, aktivieren Sie die Option Öffentlichen Zugriff für AMIs sperren auf Kontoebene. Sie müssen die Option „Öffentlichen Zugriff sperren“ für AMIs in allen AWS-Region aktivieren, in denen Sie die öffentliche Nutzung Ihrer AMIs verhindern möchten. Wenn Sie bereits über öffentliche AMIs verfügen, bleiben diese öffentlich verfügbar.

Console
Um den öffentlichen Blockzugriff für AMIs in der angegebenen Region zu aktivieren

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf der Navigationsleiste (oben auf dem Bildschirm) die Region aus, in der Sie den öffentlichen Zugriff für AMIs blockieren möchten.

  3. Wenn das Dashboard nicht angezeigt wird, wählen Sie im Navigationsbereich EC2-Dashboardaus.

  4. Wählen Sie unter Kontoattribute die Option Datenschutz und Sicherheit aus.

  5. Wählen Sie unter Öffentlichen Zugriff für AMIs blockieren die Option Verwalten aus.

  6. Wählen Sie das Kontrollkästchen Block public sharing (Öffentliche Freigabe blockieren) und wählen Sie Update (Aktualisieren).

    Anmerkung

    Die Konfiguration dieser Einstellung durch die API kann bis zu 10 Minuten dauern. Während dieser Zeit lautet der Wert Neues öffentliches Teilen erlaubt. Wenn die API die Konfiguration abgeschlossen hat, ändert sich der Wert automatisch auf Neues öffentliches Teilen blockiert.

AWS CLI
Um den öffentlichen Blockzugriff für AMIs in der angegebenen Region zu aktivieren

Verwenden Sie den Befehl enable-image-block-public-access und geben Sie die Region an, in der der öffentliche Blockzugriff für AMIs aktiviert werden soll. Geben Sie für den Parameter --image-block-public-access-state block-new-sharing an:

aws ec2 enable-image-block-public-access \
    --region us-east-1 \
    --image-block-public-access-state block-new-sharing

Erwartete Ausgabe

{ 
    "ImageBlockPublicAccessState": "block-new-sharing"
}
Anmerkung

Die Konfiguration dieser Einstellung durch die API kann bis zu 10 Minuten dauern. Wenn Sie während dieser Zeit den Befehl get-image-block-public-access-state ausführen, wird die Antwort angezeigt. unblocked Wenn die API die Konfiguration abgeschlossen hat, erfolgt die Antwort. block-new-sharing

Deaktivieren des blockierten öffentlichen Zugriffs für AMIs

Damit die Benutzer in Ihrem Konto Ihre AMIs öffentlich teilen können, deaktivieren Sie die Sperrung des öffentlichen Zugriffs auf Kontoebene. Sie müssen den öffentlichen Zugriff blockieren für alle AMIs deaktivieren, AWS-Region in denen Sie die öffentliche Nutzung Ihrer AMIs zulassen möchten.

Console
Um die Sperrung des öffentlichen Zugriffs für AMIs in der angegebenen Region zu deaktivieren

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, in der Sie den blockierten öffentlichen Zugriff für AMIs deaktivieren möchten.

  3. Wenn das Dashboard nicht angezeigt wird, wählen Sie im Navigationsbereich EC2-Dashboardaus.

  4. Wählen Sie unter Kontoattribute die Option Datenschutz und Sicherheit aus.

  5. Wählen Sie unter Öffentlichen Zugriff für AMIs blockieren die Option Verwalten aus.

  6. Wählen Sie das Kontrollkästchen Block public sharing (Öffentliche Freigabe blockieren) ab und wählen Sie Save (speichern).

  7. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie confirm ein und wählen Sie dann Allow public sharing (Öffentliches Teilen zulassen) aus.

    Anmerkung

    Die Konfiguration dieser Einstellung durch die API kann bis zu 10 Minuten dauern. Während dieser Zeit lautet der Wert Neues öffentliches Teilen blockiert. Wenn die API die Konfiguration abgeschlossen hat, ändert sich der Wert automatisch auf Neues öffentliches Teilen erlaubt.

AWS CLI
Um die Sperrung des öffentlichen Zugriffs für AMIs in der angegebenen Region zu deaktivieren

Verwenden Sie den Befehl disable-image-block-public-access und geben Sie die Region an, in der der öffentliche Zugriff für AMIs deaktiviert werden soll.

aws ec2 disable-image-block-public-access --region us-east-1

Erwartete Ausgabe

{
   "ImageBlockPublicAccessState": "unblocked"
}
Anmerkung

Die Konfiguration dieser Einstellung durch die API kann bis zu 10 Minuten dauern. Wenn Sie während dieser Zeit den Befehl get-image-block-public-access-state ausführen, wird die Antwort angezeigt. block-new-sharing Wenn die API die Konfiguration abgeschlossen hat, erfolgt die Antwort. unblocked

Zeigen Sie den Status „Öffentlichen Zugriff blockieren“ für AMIs an

Um zu sehen, ob das öffentliche Teilen Ihrer AMIs in Ihrem Konto gesperrt ist, können Sie den Status für die Sperrung des öffentlichen Zugriffs für AMIs einsehen. Sie müssen den Status in jedem AWS-Region einsehen, in dem Sie sehen möchten, ob das öffentliche Teilen Ihrer AMIs blockiert ist.

Console
Um den Status der Blockierung des öffentlichen Zugriffs für AMIs in der angegebenen Region anzuzeigen

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf der Navigationsleiste (oben auf dem Bildschirm) die Region aus, in der Sie den Status für den blockierten öffentlichen Zugriff für AMIs anzeigen möchten.

  3. Wenn das Dashboard nicht angezeigt wird, wählen Sie im Navigationsbereich EC2-Dashboardaus.

  4. Wählen Sie unter Kontoattribute die Option Datenschutz und Sicherheit aus.

  5. Aktivieren Sie unter Öffentlichen Zugriff für AMIs blockieren das Feld Öffentlicher Zugriff. Der Wert lautet entweder Neues öffentliches Teilen blockiert oder Neues öffentliches Teilen erlaubt.

AWS CLI
Um den Status „Öffentlicher Zugriff blockieren“ für AMIs in der angegebenen Region abzurufen

Verwenden Sie den Befehl get-image-block-public-access-state und geben Sie die Region an, in der der Status des blockierten öffentlichen Zugriffs für AMIs abgerufen werden soll.

aws ec2 get-image-block-public-access-state --region us-east-1

Erwartete Ausgabe – Der Wert ist entweder oder. block-new-sharing unblocked

{
    "ImageBlockPublicAccessState": "block-new-sharing"
}