Identifiez vos ressources en référençant les spécifications AMIs - Amazon Elastic Compute Cloud
Ressources prises en chargeComment fonctionnent les vérifications de références des AMIAutorisations IAM requisesÉtapes de vérification des références d'AMI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identifiez vos ressources en référençant les spécifications AMIs

Vous pouvez identifier vos AWS ressources qui font référence à des Amazon Machine Images (AMIs) spécifiées, qu'elles AMIs soient publiques ou privées, ou qu'elles soient propriétaires. Cette visibilité vous permet de vous assurer que vos ressources utilisent les dernières normes de conformité AMIs.

Principaux avantages

La vérification des références à l'AMI vous permet de :

  • Vérifiez l'utilisation de AMIs dans votre compte.

  • Vérifiez où des informations spécifiques AMIs sont référencées.

  • Maintenez la conformité en mettant à jour vos ressources pour faire référence aux dernières nouveautésAMIs.

 

Ressources prises en charge

Les références AMI peuvent être vérifiées dans :

  • EC2 instances

  • Modèles de lancement

  • Paramètres SSM

  • Recettes d'images Image Builder

  • Recettes de conteneurs Image Builder

Comment fonctionnent les vérifications de références des AMI

Fonctionnement de base

Lorsque vous exécutez une vérification des références d'AMI, vous :

  • Spécifiez les AMIs éléments à vérifier.

  • Choisissez les types de ressources à analyser.

  • Recevez une liste de vos ressources qui font référence aux informations spécifiées AMIs.

Sélection du type de ressource

Dans la console, vous sélectionnez les types de ressources à analyser.

Dans la CLI, vous spécifiez les types de ressources à analyser à l'aide de l'un ou des deux paramètres de la CLI suivants :

  • IncludeAllResourceTypes: analyse tous les types de ressources pris en charge.

  • ResourceTypes: analyse les types de ressources que vous avez spécifiés.

Définition de la portée de la réponse

Vous pouvez définir la réponse pour les EC2 instances et lancer les modèles en personnalisant les ResourceTypeOptions valeurs à l'aide du ResourceTypes paramètre. La console et le IncludeAllResourceTypes paramètre utilisent tous deux des valeurs d'option par défaut. Lorsque ResourceTypes et IncludeAllResourceTypes sont utilisées ensemble, les valeurs des ResourceTypes options ont priorité sur les valeurs par défaut.

Les valeurs par défaut sont les suivantes :

Type de ressource Option de cadrage () OptionName Objectif Valeurs par défaut pour OptionValue et console
EC2 instances state-name Filtrer par état d'instance pending,running,shutting-down, terminatedstopping, stopped (tous les États)
Modèles de lancement version-depth Spécifiez le nombre de versions du modèle de lancement à vérifier (à partir de la version la plus récente) 10(versions les plus récentes)

Autorisations IAM requises

Pour utiliser l'DescribeImageReferencesAPI afin d'identifier les ressources qui font référence à des ressources spécifiées AMIs, vous devez disposer des autorisations IAM suivantes pour décrire les ressources :

  • ec2:DescribeInstances

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • ssm:DescribeParameters

  • ssm:GetParameters

  • imagebuilder:ListImageRecipes

  • imagebuilder:ListContainerRecipes

  • imagebuilder:GetContainerRecipe

Exemple de politique IAM pour l'utilisation de l'API DescribeImageReferences

L'exemple de politique suivant vous accorde les autorisations nécessaires pour utiliser l'DescribeImageReferencesAPI, qui inclut les autorisations pour décrire les EC2 instances, les modèles de lancement, les paramètres de Systems Manager, les recettes d'images Image Builder et les recettes de conteneur Image Builder.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
Important

Nous vous recommandons vivement d'utiliser la stratégie AWS gérée AmazonEC2ImageReferencesAccessPolicyplutôt que de la créer vous-même. La création d'une politique IAM personnalisée qui fournit uniquement les autorisations requises nécessite du temps et de l'expertise, et des mises à jour seront nécessaires à mesure que de nouveaux types de ressources seront disponibles.

La politique AmazonEC2ImageReferencesAccessPolicy gérée :

  • Accorde toutes les autorisations nécessaires pour utiliser l'DescribeImageReferencesAPI (notamment les autorisations pour décrire les EC2 instances, les modèles de lancement, les paramètres de Systems Manager, le conteneur Image Builder et les recettes d'images).

  • Prend automatiquement en charge les nouveaux types de ressources dès qu'ils sont disponibles (ce qui est particulièrement important lors de l'utilisation du IncludeAllResourceTypes paramètre).

Vous pouvez associer la AmazonEC2ImageReferencesAccessPolicy politique à vos identités IAM (utilisateurs, groupes et rôles).

Pour consulter les autorisations incluses dans cette politique, reportez-vous AmazonEC2ImageReferencesAccessPolicyà la référence des politiques AWS gérées.

Étapes de vérification des références d'AMI

Utilisez les procédures suivantes pour identifier les AWS ressources auxquelles les références sont spécifiées AMIs.

Console
Pour identifier les ressources référencées AMIs

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMIs.

  3. Sélectionnez-en une ou plusieurs AMIs pour vérifier les références.

  4. Choisissez Actions, Utilisation de l'AMI, Afficher les ressources référencées.

  5. Sur la AMIs page Afficher les ressources référençant la sélection :

    1. Pour les types de ressources, sélectionnez un ou plusieurs types de ressources.

    2. Choisissez Afficher les ressources.

  6. La AMIs section Ressources faisant référence à la sélection apparaît. La liste affiche les ressources faisant référence aux informations spécifiées AMIs. Chaque ligne fournit les informations suivantes :

    • ID AMI : ID de l'AMI référencée.

    • Type de ressource : type de ressource de la ressource référençant l'AMI.

    • ID de ressource : ID de la ressource référençant l'AMI.

AWS CLI
Pour vérifier les références d'AMI pour des types de ressources spécifiques

Utilisez la describe-image-referencescommande avec le --resource-types paramètre. L'exemple suivant vérifie les EC2 instances (étendue par état d'instance), les modèles de lancement (étendue aux 20 versions de modèles de lancement les plus récentes) et d'autres types de ressources spécifiques.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'

Voici un exemple de sortie.

{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
Pour vérifier les références d'AMI pour tous les types de ressources pris en charge

Utilisez la describe-image-referencescommande avec le --include-all-resource-types paramètre.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
Pour vérifier les références à l'AMI pour tous les types de ressources pris en charge et les options spécifiques

Utilisez la describe-image-referencescommande avec les --resource-types paramètres --include-all-resource-types et. Cet exemple vérifie tous les types de ressources lors de la définition de la réponse pour les EC2 instances en cours d'exécution ou en attente.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
PowerShell
Pour vérifier les références d'AMI pour des types de ressources spécifiques

Utilisez l'Get-EC2ImageReferenceapplet de commande avec le -ResourceType paramètre. L'exemple suivant vérifie les EC2 instances (étendue par état d'instance), les modèles de lancement (étendue aux 20 versions de modèles de lancement les plus récentes) et d'autres types de ressources spécifiques.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
Pour vérifier les références d'AMI pour tous les types de ressources pris en charge

Utilisez l'Get-EC2ImageReferenceapplet de commande avec le -IncludeAllResourceTypes paramètre.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
Pour vérifier les références à l'AMI pour tous les types de ressources pris en charge et les options spécifiques

Utilisez l'Get-EC2ImageReferenceapplet de commande avec les paramètres -IncludeAllResourceTypes et-ResourceType. Cet exemple vérifie tous les types de ressources lors de la définition de la réponse pour les EC2 instances en cours d'exécution ou en attente.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )