Partager une AMI avec des organisations ou des unités d’organisations spécifiques - Amazon Elastic Compute Cloud
ConsidérationsAutoriser les organisations et les unités d’organisation à utiliser une clé KMSPartager une AMIArrêter le partage d’une AMIAfficher les organisations et les UO avec lesquelles une AMI est partagéeObtenir l’ARN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partager une AMI avec des organisations ou des unités d’organisations spécifiques

AWS Organizationsest un service de gestion de comptes qui vous permet de consolider plusieurs comptes au Comptes AWS sein d'une organisation que vous créez et gérez de manière centralisée. Vous pouvez partager une AMI avec une organisation ou une unité organisationnelle (UO) que vous avez créée, en plus de la partager avec des comptes spécifiques.

L’organisation est une entité que vous créez pour consolider et gérer vos Comptes AWS de manière centralisée. Vous pouvez organiser les comptes dans une structure arborescente hiérarchique, avec une racine au sommet et des unités organisationnelles imbriquées sous la racine de l’organisation. Chaque compte peut directement être ajouté à la racine ou être placé dans l’une des UO de la hiérarchie. Pour en savoir plus, consultez la section Terminologie et concepts relatifs àAWS Organizations du Guide de l’utilisateur AWS Organizations .

Lorsque vous partagez une AMI avec une organisation ou une UO, tous les comptes enfants ont accès à l’AMI. Par exemple, dans le diagramme suivant, l’AMI est partagée avec une unité d’organisation de niveau supérieur (indiquée par la flèche au niveau du numéro 1). Toutes les UO et tous les comptes imbriqués sous cette UO de niveau supérieur (indiquée par la ligne pointillée au niveau du numéro 2) ont également accès à l’AMI. Les comptes de l’organisation et de l’UO en dehors de la ligne pointillée (indiqués par le numéro 3) n’ont pas accès à l’AMI car ils ne sont pas enfants de l’UO avec laquelle l’AMI est partagée.

L’AMI est partagée avec une UO, et toutes les UO et tous les comptes enfants ont accès à l’AMI.

Considérations

Tenez compte des éléments suivants lorsque vous partagez des AMI avec des organisations ou des unités organisationnelles spécifiques.

  • Propriété : pour partager une AMI, votre Compte AWS doit être propriétaire de l’AMI.

  • Limites de partage : le propriétaire de l’AMI peut partager une AMI avec n’importe quelle organisation ou unité d’organisation, y compris les organisations et les UO dont il n’est pas membre.

    Pour connaître le nombre maximal d’entités avec lesquelles une AMI peut être partagée au sein d’une région, consultez les quotas de service Amazon EC2.

  • Balises : vous ne pouvez pas partager de balises définies par l’utilisateur (balises que vous associez à une AMI). Lorsque vous partagez une AMI, les balises définies par l'utilisateur ne sont accessibles Compte AWS à aucun membre d'une organisation ou d'une unité d'organisation avec laquelle l'AMI est partagée.

  • Format ARN : lorsque vous spécifiez une organisation ou une UO dans une commande, veillez à utiliser le format ARN approprié. Vous obtiendrez une erreur si vous spécifiez uniquement l’ID, par exemple si vous spécifiez uniquement o-123example ou ou-1234-5example.

    Formats ARN corrects :

    • ARN de l’organisation : arn:aws:organizations::account-id:organization/organization-id

    • ARN de l’UO : arn:aws:organizations::account-id:ou/organization-id/ou-id

    Où :

    • account-id est le numéro de compte de gestion à 12 chiffres, par exemple, 123456789012. Si vous ne connaissez pas le numéro de compte de gestion, vous pouvez décrire l’organisation ou l’unité d’organisation pour obtenir l’ARN, qui inclut le numéro de compte de gestion. Pour plus d’informations, consultez Obtenir l’ARN.

    • organization-id est l’ID de l’organisation, par exemple, o-123example.

    • ou-id est l’ID de l’unité d’organisation, par exemple, ou-1234-5example.

    Pour plus d'informations sur le format des ARN, consultez Amazon Resource Names (ARNs) dans le guide de l'utilisateur IAM.

  • Chiffrement et clés : vous pouvez partager des AMI qui sont sauvegardées par des instantanés chiffrés et non chiffrés.

    • Les instantanés chiffrés doivent être chiffrés avec une clé gérée par le client. Vous ne pouvez pas partager des AMI soutenues par des instantanés chiffrés à l'aide de la clé gérée par défaut AWS .

    • Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez autoriser les organisations ou les unités d'organisation à utiliser les clés gérées par le client qui ont été utilisées pour chiffrer les instantanés. Pour plus d’informations, consultez Autoriser les organisations et les unités d’organisation à utiliser une clé KMS.

  • Région : les AMI constituent une ressource régionale. Lorsque vous partagez une AMI, elle est uniquement disponible dans la région à partir de laquelle vous l’avez partagée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée puis partagez-la. Pour plus d’informations, consultez Copier une AMI.

  • Utilisation : lorsque vous partagez une AMI, les utilisateurs peuvent uniquement lancer des instances à partir de l’AMI. Ils ne peuvent pas la supprimer, la partager ou la modifier. Toutefois, après avoir lancé une instance à l’aide de votre AMI, ils peuvent créer une AMI à partir de l’instance lancée.

  • Facturation : vous n'êtes pas facturé lorsque votre AMI est utilisée par d'autres personnes Comptes AWS pour lancer des instances. Les comptes qui lancent des instances à l’aide de l’AMI sont facturés pour les instances qu’ils lancent.

Autoriser les organisations et les unités d’organisation à utiliser une clé KMS

Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez également autoriser les organisations ou les unités d'organisation à utiliser celles AWS KMS keys qui ont été utilisées pour chiffrer les instantanés.

Utilisez les aws:PrincipalOrgPaths touches aws:PrincipalOrgID et pour comparer le AWS Organizations chemin du principal qui fait la demande avec le chemin indiqué dans la politique. Ce principal peut être un utilisateur, un rôle IAM, un utilisateur fédéré ou un utilisateur Compte AWS root. Dans une politique, cette clé de condition vérifie que le demandeur est un membre du compte au sein de l’organisation racine ou des unités d’organisation spécifiées dans AWS Organizations. Pour plus d’exemples de déclarations de condition, consultez aws:PrincipalOrgID et aws:PrincipalOrgPaths dans le Guide de l’utilisateur IAM.

Pour plus d'informations sur la modification d'une politique clé, voir Autoriser les utilisateurs d'autres comptes à utiliser une clé KMS dans le Guide du AWS Key Management Service développeur.

Pour accorder à une organisation ou à une unité d’organisation l’autorisation d’utiliser une clé KMS, ajoutez l’instruction suivante à la politique de clé.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Pour partager une clé KMS avec plusieurs unités d’organisation, vous pouvez utiliser une politique similaire à l’exemple suivant.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}

Partager une AMI

Vous pouvez utiliser la console Amazon EC2 ou AWS CLI partager une AMI avec une organisation ou une unité d'organisation.

Partager une AMI (console)

Pour partager une AMI avec une organisation ou une unité d’organisation à l’aide de la console

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMI.

  3. Sélectionnez votre AMI dans la liste, puis choisissez Actions (Actions), Edit AMI permissions (Modifier des autorisations d’AMI).

  4. Sous AMI availability (Disponibilité de l’AMI), choisissez Private (Privée).

  5. En regard de Shared organizations/OUs (Organisations/UO partagées), choisissez Add organization/OU ARN (Ajouter un ARN d’organisation/d’UO).

  6. Pour Organization/OU ARN (ARN d’organisation/d’UO), saisissez l’ARN de l’organisation ou de l’UO avec laquelle vous souhaitez partager l’AMI, puis choisissez Share AMI (Partager l’AMI). Notez que vous devez spécifier l’ARN complet, pas seulement l’ID.

    Pour partager cette AMI avec plusieurs organisations ou UO, répétez cette étape jusqu’à avoir ajouté toutes les organisations ou UO requises.

    Note

    Vous n’avez pas besoin de partager les instantanés (snapshots) Amazon EBS qu’une AMI référence afin de partager l’AMI. Seule l’AMI elle-même doit être partagée, et le système fournit automatiquement à l’instance l’accès aux instantanés Amazon EBS référencés pour le lancement. Toutefois, vous devez partager les clés KMS utilisées pour chiffrer les instantanés auxquels l'AMI fait référence. Pour plus d’informations, consultez Autoriser les organisations et les unités d’organisation à utiliser une clé KMS.

  7. Lorsque vous avez terminé, sélectionnez Save Changes (Enregistrer les modifications).

  8. (Facultatif) Pour afficher les organisations ou les UO avec lesquelles vous avez partagé l’AMI, sélectionnez l’AMI dans la liste, choisissez l’onglet Permissions (Autorisations) et faites défiler l’écran jusqu’à Shared organizations/OUs (Organisations/UO partagées). Pour trouver les AMI partagées avec vous, consultez Rechercher des AMI partagées.

Partager une AMI (AWS CLI)

Utilisez la commande modify-image-attribute (AWS CLI) pour partager une AMI.

Pour partager une AMI avec une organisation à l'aide du AWS CLI

La commande modify-image-attribute accorde des autorisations de lancement pour l’AMI spécifiée à l’organisation spécifiée. Notez que vous devez spécifier l’ARN complet, pas seulement l’ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Pour partager une AMI avec une unité d'organisation à l'aide du AWS CLI

La modify-image-attributecommande accorde des autorisations de lancement pour l'AMI spécifiée à l'unité d'organisation spécifiée. Notez que vous devez spécifier l’ARN complet, pas seulement l’ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
Note

Vous n’avez pas besoin de partager les instantanés (snapshots) Amazon EBS qu’une AMI référence afin de partager l’AMI. Seule l’AMI elle-même doit être partagée, et le système fournit automatiquement à l’instance l’accès aux instantanés Amazon EBS référencés pour le lancement. Toutefois, vous n’avez pas besoin de partager les clés KMS utilisées pour chiffrer les instantanés référencés par l’AMI. Pour plus d’informations, consultez Autoriser les organisations et les unités d’organisation à utiliser une clé KMS.

Arrêter le partage d’une AMI

Vous pouvez utiliser la console Amazon EC2 ou le AWS CLI pour arrêter de partager une AMI avec une organisation ou une unité d'organisation.

Arrêter le partage d’une AMI (console)

Pour arrêter le partage d’une AMI avec une organisation ou une unité d’organisation à l’aide de la console

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMI.

  3. Sélectionnez votre AMI dans la liste, puis choisissez Actions (Actions), Edit AMI permissions (Modifier des autorisations d’AMI).

  4. Sous Shared organizations/OUs (Organisations/UO partagées), sélectionnez les organisations ou les unités d’organisation avec lesquelles vous souhaitez arrêter de partager l’AMI, puis choisissez Remove Selected (Retirer l’élément sélectionné).

  5. Lorsque vous avez terminé, sélectionnez Save Changes (Enregistrer les modifications).

  6. (Facultatif) Pour vérifier que vous avez arrêté de partager l’AMI avec les organisations ou les UO souhaitées, sélectionnez l’AMI dans la liste, choisissez l’onglet Permissions (Autorisations) et faites défiler l’écran jusqu’à Shared organizations/OUs (Organisations/UO partagées).

Arrêter le partage d’une AMI (AWS CLI)

Utilisez les reset-image-attributecommandes modify-image-attributeou (AWS CLI) pour arrêter de partager une AMI.

Pour arrêter de partager une AMI avec une organisation ou une unité d'organisation à l'aide du AWS CLI

La modify-image-attributecommande supprime les autorisations de lancement pour l'AMI spécifiée auprès de l'organisation spécifiée. Notez que vous devez spécifier l’ARN.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Pour arrêter de partager une AMI avec toutes les organisations et unités d'organisation et Comptes AWS d'utiliser le AWS CLI

La commande reset-image-attribute supprime toutes les autorisations de lancement publiques et explicites pour l’AMI spécifiée. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
Note

Vous ne pouvez pas arrêter le partage d’une AMI avec un compte spécifique si elle se trouve dans une organisation ou une unité d’organisation avec laquelle une AMI est partagée. Si vous essayez d’arrêter le partage de l’AMI en supprimant les autorisations de lancement du compte, Amazon EC2 renvoie un message de succès. Toutefois, l’AMI continue d’être partagée avec le compte.

Afficher les organisations et les UO avec lesquelles une AMI est partagée

Vous pouvez utiliser la console Amazon EC2 ou le AWS CLI pour vérifier avec quelles organisations et unités d'organisation vous avez partagé votre AMI.

Afficher les organisations et les UO avec lesquelles une AMI est partagée (console)

Pour vérifier avec quelles organisations et quelles UO vous avez partagé votre AMI à l’aide de la console

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMI.

  3. Sélectionnez votre AMI dans la liste, choisissez l’onglet Permissions (Autorisations) et faites défiler l’écran jusqu’à Shared organizations/OUs (Organisations/UO partagées).

    Pour trouver les AMI partagées avec vous, consultez Rechercher des AMI partagées.

Afficher les organisations et les UO avec lesquelles une AMI est partagée (AWS CLI)

Vous pouvez vérifier avec quelles organisations et unités d’organisation vous avez partagé votre AMI à l’aide de la commande describe-image-attribute (AWS CLI) et de l’attribut launchPermission.

Pour vérifier avec quelles organisations et unités d'organisation vous avez partagé votre AMI à l'aide du AWS CLI

La commande describe-image-attribute décrit l’attribut launchPermission pour l’AMI spécifiée et renvoie les organisations et les unités d’organisation avec lesquelles vous avez partagé l’AMI.

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

Exemple de réponse

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}

Obtenir l’ARN

Les ARN de l’organisation et de l’unité d’organisation contiennent le numéro de compte de gestion à 12 chiffres. Si vous ne connaissez pas le numéro de compte de gestion, vous pouvez décrire l’organisation ou l’unité d’organisation pour obtenir l’ARN de chacune. Dans les exemples suivants, 123456789012 est le numéro du compte de gestion.

Avant de pouvoir obtenir les ARN, vous devez être autorisé à décrire les organisations et les unités d’organisations. La politique suivante fournit l’autorisation nécessaire.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
Pour obtenir l’ARN d’une organisation

Utilisez la commande describe-organization et le paramètre --query défini sur 'Organization.Arn' pour renvoyer uniquement l’ARN de l’organisation.

aws organizations describe-organization --query 'Organization.Arn'

Exemple de réponse

"arn:aws:organizations::123456789012:organization/o-123example"
Pour obtenir l’ARN d’une unité d’organisation

Utilisez la commande describe-organizational-unit, spécifiez l’ID de l’unité d’organisation et définissez le paramètre --query sur 'OrganizationalUnit.Arn' pour renvoyer uniquement l’ARN de l’unité d’organisation.

aws organizations describe-organizational-unit --organizational-unit-id ou-1234-5example --query 'OrganizationalUnit.Arn'

Exemple de réponse

"arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example"