Freigeben eines AMI für bestimmte Organisationen oder Organisationseinheiten - Amazon Elastic Compute Cloud
ÜberlegungenOrganisationen und OEs erlauben, einen KMS-Schlüssel zu verwendenFreigeben eines AMIBeenden der Freigabe eines AMIAnzeigen der Organisationen und OEs, für die ein AMI freigegeben istARN abrufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Freigeben eines AMI für bestimmte Organisationen oder Organisationseinheiten

AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie selbst erstellen und zentral verwalten. Sie können ein AMI zusätzlich zur Freigabe für bestimmte Konten für eine von Ihnen erstellte Organisation oder Organisationseinheit (OE) freigeben.

Eine Organisation ist eine juristische Stelle, die Sie erstellen, um Ihre AWS-Konten zu konsolidieren und zentral zu verwalten. Sie können die Konten in einer hierarchischen, Baumstruktur organisieren, mit einem Stamm an der Spitze und Organisationseinheiten, die unterhalb des Organisationsstamms angeordnet sind. Jedes Konto kann direkt zum Root hinzugefügt oder in einer der OUs in der Hierarchie platziert werden. Weitere Informationen finden Sie unter AWS -Organizations – Terminologie und Konzepte im AWS Organizations -Benutzerhandbuch.

Wenn Sie ein AMI für eine Organisation oder eine OE freigeben, erhalten alle untergeordneten Konten Zugriff auf das AMI. Im folgenden Diagramm wird das AMI beispielsweise mit einer Organisationseinheit der obersten Ebene geteilt (durch den Pfeil bei der Nummer 1 angezeigt). Alle OEs und Konten, die unter dieser OE der obersten Ebene verschachtelt sind (durch die gestrichelte Linie bei Nummer 2 gekennzeichnet), haben ebenfalls Zugriff auf das AMI. Die Konten in der Organisation und OE außerhalb der gestrichelten Linie (gekennzeichnet durch die Zahl 3) haben keinen Zugriff auf das AMI, da sie der OE nicht untergeordnet sind, für die das AMI freigegeben ist.

Das AMI wird mit einer OE geteilt, und alle untergeordneten OEs und Konten erhalten Zugriff auf das AMI.

Überlegungen

Beachten Sie Folgendes, wenn Sie AMIs für bestimmte Organisationen oder Organisationseinheiten freigeben.

  • Eigentümerschaft – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein.

  • Freigabelimits – Der AMI-Besitzer kann ein AMI für jede Organisation oder Organisationseinheit freigeben, einschließlich Organisationen und Organisationseinheiten, denen er nicht angehört.

    Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter Amazon-EC2-Service-Quotas.

  • Tags – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI teilen, sind Ihre benutzerdefinierten Tags für niemanden AWS-Konto in einer Organisation oder Organisationseinheit verfügbar, mit der das AMI geteilt wird.

  • ARN-Format: Wenn Sie eine Organisation oder OE in einem Befehl angeben, achten Sie darauf, das richtige ARN-Format zu verwenden. Sie erhalten eine Fehlermeldung, wenn Sie nur die ID angeben, z. B. wenn Sie nur o-123example oder ou-1234-5example angeben.

    Richtige ARN-Formate:

    • ARN der Organisation: arn:aws:organizations::account-id:organization/organization-id

    • OE-ARN: arn:aws:organizations::account-id:ou/organization-id/ou-id

    Wobei gilt:

    • account-id ist beispielsweise die zwölfstellige Verwaltungskontonummer, 123456789012. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation oder die Organisationseinheit beschreiben, um den ARN zu erhalten, der die Verwaltungskontonummer enthält. Weitere Informationen finden Sie unter ARN abrufen.

    • organization-id ist die Organisations-ID, beispielsweise o-123example.

    • ou-id ist die ID der Organisationseinheit, beispielsweise ou-1234-5example.

    Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch.

  • Verschlüsselung und Schlüssel: Sie können AMIs freigeben, die durch unverschlüsselte und verschlüsselte Snapshots unterstützt werden.

    • Die verschlüsselten Snapshots müssen mit einem vom Kunden verwalteten Schlüssel verschlüsselt sein. Sie können keine AMIs teilen, die auf Snapshots basieren, die mit dem verwalteten Standardschlüssel verschlüsselt sind. AWS

    • Wenn Sie ein AMI gemeinsam nutzen, das auf verschlüsselten Snapshots basiert, müssen Sie den Organisationen oder Organisationseinheiten erlauben, die vom Kunden verwalteten Schlüssel zu verwenden, die zur Verschlüsselung der Snapshots verwendet wurden. Weitere Informationen finden Sie unter Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden.

  • Region: AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter Kopieren eines AMI.

  • Nutzung: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen.

  • Abrechnung — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.

Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden

Wenn Sie ein AMI gemeinsam nutzen, das durch verschlüsselte Snapshots unterstützt wird, müssen Sie auch den Organisationen oder Organisationseinheiten erlauben, die zur Verschlüsselung der Snapshots verwendet wurden AWS KMS keys , zu verwenden.

Verwenden Sie die aws:PrincipalOrgPaths Schlüssel aws:PrincipalOrgID und, um den AWS Organizations Pfad für den Principal, der die Anfrage stellt, mit dem Pfad in der Richtlinie zu vergleichen. Dieser Prinzipal kann ein Benutzer, eine IAM-Rolle, ein Verbundbenutzer oder ein AWS-Konto Root-Benutzer sein. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass der Anforderer ein Kontomitglied innerhalb des angegebenen Organisationsstammes oder in OEs in AWS Organizations ist. Weitere Beispiele für Bedingungsanweisungen finden Sie unter aws:PrincipalOrgID und aws:PrincipalOrgPaths im IAM-Benutzerhandbuch.

Informationen zum Bearbeiten einer Schlüsselrichtlinie finden Sie unter Zulassen, dass Benutzer mit anderen Konten einen KMS-Schlüssel verwenden können im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie einer Organisation oder OE die Berechtigung erteilen möchten, einen KMS-Schlüssel zu verwenden, fügen Sie der Schlüsselrichtlinie die folgende Anweisung hinzu.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Um einen KMS-Schlüssel für mehrere OEs freizugeben, können Sie eine ähnliche Richtlinie wie im folgenden Beispiel verwenden.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}

Freigeben eines AMI

Sie können die Amazon EC2 EC2-Konsole oder die verwenden AWS CLI , um ein AMI mit einer Organisation oder Organisationseinheit zu teilen.

Freigeben eines AMI (Konsole)

So geben Sie ein AMI für eine Organisation oder OE mithilfe der Konsole frei

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI in der Liste aus und wählen Sie dann Aktionen, AMI-Berechtigungen bearbeiten aus.

  4. Unter AMI-Verfügbarkeit wählen Sie Privat aus.

  5. Neben Shared organizations/OUs (gemeinsame Organisationen/OEs), wählen Sie Add organization/OU ARN (ARN der Organisation/OE hinzufügen) aus.

  6. Geben Sie für Organization/OU ARN (ARN der Organisation/OE) den ARN der Organisation oder OE ein, für den Sie das AMI freigeben möchten, und wählen Sie dann Share AMI (AMI freigeben) aus. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID.

    Um dieses AMI für mehrere Organisationen oder OEs freizugeben, wiederholen Sie diesen Schritt, bis alle erforderlichen Organisationen oder OEs hinzugefügt wurden.

    Anmerkung

    Sie brauchen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss freigegeben werden. Das System stellt automatisch Instance-Zugriff auf die referenzierten Amazon-EBS-Snapshots für den Start bereit. Sie müssen jedoch die KMS-Schlüssel teilen, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden.

  7. Wählen Sie abschließend Save changes (Änderungen speichern) aus.

  8. (Optional) Um die Organisationen oder OEs anzuzeigen, für die Sie das AMI freigegeben haben, wählen Sie das AMI in der Liste und dann die Registerkarte Berechtigungen aus und scrollen Sie nach untenShared organizations/OUs (Gemeinsame Organisationen/OEs)aus. Um AMIs zu finden, die für Sie freigegeben wurden, lesen Sie Suchen gemeinsamer AMIs.

Ein AMI teilen (Tools für Windows PowerShell)

Verwenden Sie den Edit-EC2ImageAttributeBefehl (Tools für Windows PowerShell), um ein AMI gemeinsam zu nutzen, wie in den folgenden Beispielen gezeigt.

So geben Sie ein AMI für eine Organisation oder einer OE frei

Der folgende Befehl erteilt der angegebenen Organisation Startberechtigungen für das angegebene AMI.

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Anmerkung

Sie brauchen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss freigegeben werden. Das System stellt automatisch Instance-Zugriff auf die referenzierten Amazon-EBS-Snapshots für den Start bereit. Sie müssen jedoch die KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden.

So beenden Sie die Freigabe eines AMI für eine Organisation oder OE

Der folgende Befehl entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation:

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

Um die gemeinsame Nutzung eines AMI mit allen Organisationen, Organisationseinheiten und AWS-Konten

Der folgende Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission

Freigeben eines AMI (AWS CLI)

Verwenden Sie den Befehl modify-image-attribute (AWS CLI), um ein AMI freizugeben.

Um ein AMI mit einer Organisation zu teilen, die den AWS CLI

Der modify-image-attribute -Befehl erteilt der angegebenen Organisation Startberechtigungen für das angegebene AMI. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Um ein AMI mit einer Organisationseinheit zu teilen, verwenden Sie AWS CLI

Der modify-image-attributeBefehl gewährt der angegebenen Organisationseinheit Startberechtigungen für das angegebene AMI. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
Anmerkung

Sie brauchen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss freigegeben werden. Das System stellt automatisch Instance-Zugriff auf die referenzierten Amazon-EBS-Snapshots für den Start bereit. Sie müssen jedoch die KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden.

Beenden der Freigabe eines AMI

Sie können die Amazon EC2 EC2-Konsole oder die verwenden AWS CLI , um die gemeinsame Nutzung eines AMI mit einer Organisation oder Organisationseinheit zu beenden.

Beenden der Freigabe eines AMI (Konsole)

So beenden Sie die Freigabe eines AMI für eine Organisation oder OE mithilfe der Konsole:

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI in der Liste aus und wählen Sie dann Aktionen, AMI-Berechtigungen bearbeiten aus.

  4. Wählen Sie unter Shared organizations/OUs (Gemeinsame Organisationen/OEs) die Organisationen oder OEs aus, für die Sie die Freigabe des AMI beenden möchten, und wählen Sie dann Remove selected (Auswahl entfernen) aus.

  5. Wählen Sie abschließend Save changes (Änderungen speichern) aus.

  6. (Optional) Um zu bestätigen, dass Sie das AMI nicht mehr für die Organisationen oder OEs freigeben, wählen Sie das AMI in der Liste und dann die Registerkarte Berechtigungen aus und scrollen Sie nach untenShared organizations/OUs (Gemeinsame Organisationen/OEs)aus.

Beenden der Freigabe eines AMI (AWS CLI)

Verwenden Sie die reset-image-attributeBefehle modify-image-attributeoder (AWS CLI), um die gemeinsame Nutzung eines AMI zu beenden.

Um die gemeinsame Nutzung eines AMIs mit einer Organisation oder Organisationseinheit zu beenden, verwenden Sie AWS CLI

Der modify-image-attributeBefehl entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation. Beachten Sie, dass Sie den ARN angeben müssen.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Um die gemeinsame Nutzung eines AMI mit allen Organisationen und Organisationseinheiten zu beenden und AWS-Konten das AWS CLI

Der reset-image-attribute-Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt.

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
Anmerkung

Sie können die Freigabe eines AMI für ein bestimmtes Konto nicht beenden, wenn es sich in einer Organisation oder OE befindet, für die ein AMI freigegeben ist. Wenn Sie versuchen, die Freigabe des AMI zu beenden, indem Sie die Startberechtigungen für das Konto entfernen, gibt Amazon EC2 eine Erfolgsmeldung zurück. Das AMI ist jedoch weiterhin für das Konto freigegeben.

Anzeigen der Organisationen und OEs, für die ein AMI freigegeben ist

Sie können die Amazon EC2 EC2-Konsole oder die verwenden AWS CLI , um zu überprüfen, mit welchen Organisationen und Organisationseinheiten Sie Ihr AMI geteilt haben.

Anzeigen der Organisationen und OEs, für die ein AMI freigegeben ist (Konsole)

So prüfen Sie, für welche Organisationen und OEs Sie Ihr AMI über die Konsole freigegeben haben

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option AMIs.

  3. Wählen Sie das AMI in der Liste und dann die Registerkarte Berechtigungen aus und scrollen Sie nach unten zu Shared organizations/OUs (Gemeinsame Organisationen/OEs).

    Um AMIs zu finden, die für Sie freigegeben wurden, lesen Sie Suchen gemeinsamer AMIs.

Anzeigen der Organisationen und OEs, für die ein AMI freigegeben ist (AWS CLI)

Sie können überprüfen, für welche Organisationen und OEs Sie Ihr AMI freigegeben haben, indem Sie den Befehl describe-image-attribute (AWS CLI) und das launchPermission-Attribut verwenden.

Um zu überprüfen, mit welchen Organisationen und Organisationseinheiten Sie Ihr AMI geteilt haben, indem Sie AWS CLI

Der Befehl describe-image-attribute beschreibt das launchPermission-Attribut für das angegebene AMI und gibt die Organisationen und OEs zurück, für die Sie das AMI freigegeben haben.

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

Beispielantwort

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}

ARN abrufen

Die ARNs der Organisation und der Organisationseinheit enthalten die 12-stellige Verwaltungskontonummer. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation und die Organisationseinheit beschreiben, um den jeweiligen ARN zu erhalten. In den folgenden Beispielen ist 123456789012 die Verwaltungskontonummer.

Bevor Sie die ARNs erhalten können, müssen Sie die Berechtigung haben, Organisationen und Organisationseinheiten zu beschreiben. Die folgende Richtlinie bietet die erforderliche Berechtigung.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
So erhalten Sie den ARN einer Organisation

Verwenden Sie den Befehl describe-organization und den --query-Parameter der auf 'Organization.Arn' gesetzt ist, um nur den Organisations-ARN zurückzugeben.

aws organizations describe-organization --query 'Organization.Arn'

Beispielantwort

"arn:aws:organizations::123456789012:organization/o-123example"
So erhalten Sie den ARN einer Organisationseinheit

Verwenden Sie den Befehl describe-organizational-unit, geben Sie die OE-ID an und setzen Sie den --query-Parameter auf 'OrganizationalUnit.Arn', um nur den ARN der Organisationseinheit zurückzugeben.

aws organizations describe-organizational-unit --organizational-unit-id ou-1234-5example --query 'OrganizationalUnit.Arn'

Beispielantwort

"arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example"