Rendre une AMI publique - Amazon Elastic Compute Cloud
ConsidérationsPartager une AMI avec tous les AWS comptes (partager publiquement)Bloquer l’accès public à vos AMI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rendre une AMI publique

Vous pouvez rendre votre AMI accessible au public en la partageant avec tout le monde Comptes AWS.

Si vous souhaitez empêcher le partage public de vos AMI, vous pouvez activer le blocage de l’accès public pour les AMI. Cela bloque toute tentative de rendre publique une AMI, ce qui permet d’empêcher tout accès non autorisé à l’AMI et toute utilisation abusive potentielle des données de l’AMI. Notez que l’activation du blocage de l’accès public n’affecte pas vos AMI déjà accessibles au public, qui le restent.

Afin d’autoriser uniquement des comptes spécifiques à utiliser votre AMI pour lancer des instances, consultez la rubrique Partager une AMI avec des comptes AWS spécifiques.

Considérations

Tenez compte des éléments suivants avant de rendre une AMI publique.

  • Propriété — Pour rendre une AMI publique, vous Compte AWS devez être propriétaire de l'AMI.

  • Région : les AMI constituent une ressource régionale. Lorsque vous partagez une AMI, elle est uniquement disponible dans la région à partir de laquelle vous l’avez partagée. Pour rendre une AMI disponible dans une autre région, copiez-la dans la région souhaitée puis partagez-la. Pour plus d’informations, consultez Copier une AMI.

  • Bloquer l’accès public : pour partager publiquement une AMI, le blocage de l’accès public pour les AMI doit être désactivé dans chaque région dans laquelle l’AMI sera partagée publiquement. Après avoir partagé publiquement l’AMI, vous pouvez réactiver le blocage de l’accès public pour les AMI afin d’empêcher tout partage public ultérieur de vos AMI.

  • Certaines AMI ne peuvent pas être rendues publiques : si votre AMI inclut l’un des composants suivants, vous ne pouvez pas la rendre publique (mais vous pouvez la partager avec des Comptes AWS spécifiques) :

    • Volumes chiffrés

    • Instantanés de volumes chiffrés

    • Codes produits

  • Évitez d’exposer des données sensibles : pour éviter d’exposer des données sensibles lorsque vous partagez une AMI, consultez les normes de sécurités spécifiées dans Consignes pour les AMI Linux partagées et suivez les actions recommandées.

  • Utilisation : lorsque vous partagez une AMI, les utilisateurs peuvent uniquement lancer des instances à partir de l’AMI. Ils ne peuvent pas la supprimer, la partager ou la modifier. Toutefois, après avoir lancé une instance à l’aide de votre AMI, ils peuvent créer une AMI à partir de l’instance lancée.

  • Obsolescence automatique – Par défaut, la date d’obsolescence de toutes les AMI publiques est fixée à deux ans à compter de la date de création de l’AMI. Vous pouvez définir la date d’obsolescence à moins de deux ans. Pour annuler la date de dépréciation ou pour la déplacer à une date ultérieure, vous devez rendre l'AMI privée en la partageant uniquement avec des personnes spécifiques. Comptes AWS

  • Supprimer les AMI obsolètes : une fois qu'une AMI publique a atteint sa date d'obsolescence, si aucune nouvelle instance n'a été lancée depuis l'AMI pendant six mois ou plus, la propriété de partage publique est AWS finalement supprimée afin que les AMI obsolètes n'apparaissent pas dans les listes d'AMI publiques.

  • Facturation : vous n'êtes pas facturé lorsque votre AMI est utilisée par d'autres personnes Comptes AWS pour lancer des instances. Les comptes qui lancent des instances à l’aide de l’AMI sont facturés pour les instances qu’ils lancent.

Partager une AMI avec tous les AWS comptes (partager publiquement)

Une fois qu’une AMI est rendue publique, elle est disponible dans les AMI de la communauté dans la console, auxquelles vous pouvez accéder depuis le Catalogue AMI dans le navigateur de gauche de la console EC2 ou lorsque vous lancez une instance à l’aide de la console. Notez que cela peut prendre quelques instants pour qu’une AMI s’affiche dans le champ AMI de la communauté une fois que vous l’avez rendue publique.

Console
Pour rendre une AMI publique

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMI.

  3. Sélectionnez votre AMI dans la liste, puis choisissez Actions et Edit AMI permissions (Modifier des autorisations d’AMI).

  4. Sous Disponibilité de l’AMI, choisissez Publique.

  5. Sélectionnez Enregistrer les modifications.

AWS CLI

Chaque AMI possède une launchPermission propriété qui contrôle qui Comptes AWS, outre celle du propriétaire, est autorisée à utiliser cette AMI pour lancer des instances. En modifiant la launchPermission propriété d'une AMI, vous pouvez la rendre publique (ce qui accorde des autorisations de lancement à tous Comptes AWS) ou la partager uniquement avec les personnes Comptes AWS que vous spécifiez.

Vous pouvez ajouter ou supprimer des ID de compte de la liste des comptes disposant d’autorisations de lancement pour une AMI. Pour rendre l’AMI publique, spécifiez le groupe all. Vous pouvez spécifier à la fois des autorisations de lancement publiques et explicites.

Pour rendre une AMI publique

  1. Utilisez la commande modify-image-attribute comme suit pour ajouter le groupe all à la liste launchPermission pour l’AMI spécifiée.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{Group=all}]"

  2. Pour vérifier les autorisations de lancement de l’AMI, utilisez la commande describe-image-attribute.

    aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

  3. (Facultatif) Pour rendre l’AMI de nouveau privée, supprimez le groupe all de ses autorisations de lancement. Veuillez noter que le propriétaire de l’AMI dispose toujours d’autorisations de lancement et n’est, par conséquent, pas affecté par cette commande.

    aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{Group=all}]"

Bloquer l’accès public à vos AMI

Pour empêcher le partage public de vos AMI, vous pouvez activer le blocage de l’accès public pour les AMI. Ce paramètre est activé au niveau du compte, mais vous devez l'activer Région AWS dans chaque compte pour lequel vous souhaitez empêcher le partage public de vos AMI.

Lorsque le blocage de l’accès public est activé, toute tentative de rendre publique une AMI est automatiquement bloquée. Toutefois, si vous possédez déjà des AMI publiques, elles resteront accessibles au public.

Si vous souhaitez partager des AMI publiquement, vous devez désactiver le blocage de l’accès public. Lorsque vous avez terminé le partage, il est recommandé de réactiver le blocage de l’accès public pour empêcher tout partage public indésirable de vos AMI.

Vous pouvez limiter les autorisations IAM à un utilisateur administrateur afin qu’il soit le seul à pouvoir activer ou désactiver le blocage de l’accès public pour les AMI.

Paramètres par défaut

Le paramètre Bloquer l’accès public aux AMI est activé ou désactivé par défaut selon que votre compte est nouveau ou existant, et selon que vous possédez des AMI publiques. Le tableau suivant répertorie les paramètres par défaut :

AWS compte Valeur par défaut du paramètre Bloquer l’accès public aux AMI
Nouveaux comptes Activées

Comptes existants sans AMI publiques ¹

 Activées

Comptes existants avec une ou plusieurs AMI publiques

 Désactivées

¹ Si votre compte comportait une ou plusieurs AMI publiques le 15 juillet 2023 ou après cette date, le paramètre Bloquer l’accès public aux AMI est désactivé par défaut pour votre compte, même si vous avez ensuite rendu toutes les AMI privées.

Autorisations IAM requises

Pour utiliser le blocage de l’accès public pour les AMI, vous devez disposer des autorisations IAM suivantes :

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

  • GetImageBlockPublicAccessState

Activer le blocage de l’accès public pour les AMI

Pour empêcher le partage public de vos AMI, vous pouvez activer le blocage de l’accès public pour les AMI au niveau du compte. Vous devez activer le blocage de l’accès public pour les AMI dans chaque Région AWS dans laquelle vous souhaitez empêcher le partage public de vos AMI. Si vous possédez déjà des AMI publiques, elles resteront accessibles au public.

Console
Pour activer le blocage de l’accès public pour les AMI dans la région spécifiée

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation (en haut de l’écran), sélectionnez la région dans laquelle vous souhaitez activer le blocage de l’accès public pour les AMI.

  3. Si le tableau de bord n’est pas affiché, dans le volet de navigation, choisissez Tableau de bord EC2.

  4. Sous Attributs du compte, sélectionnez Protection et sécurité des données.

  5. Sous Bloquer l’accès public pour les AMI, choisissez Gérer.

  6. Cochez la case Bloquer le partage public, puis sélectionnez Mettre à jour.

    Note

    L’API peut prendre jusqu’à 10 minutes pour configurer ce paramètre. Pendant ce temps, la valeur est Nouveau partage public autorisé. Lorsque l’API a terminé la configuration, la valeur passe automatiquement à Nouveau partage public bloqué.

AWS CLI
Pour activer le blocage de l’accès public pour les AMI dans la région spécifiée

Utilisez la commande enable-image-block-public-access et spécifiez la région dans laquelle vous souhaitez activer le blocage de l'accès public pour les AMI. Pour le paramètre --image-block-public-access-state, spécifiez block-new-sharing.

aws ec2 enable-image-block-public-access \
    --region us-east-1 \
    --image-block-public-access-state block-new-sharing

Sortie attendue

{ 
    "ImageBlockPublicAccessState": "block-new-sharing"
}
Note

L’API peut prendre jusqu’à 10 minutes pour configurer ce paramètre. Pendant ce temps, si vous exécutez la commande get-image-block-public-access-state, la réponse sera. unblocked Lorsque l’API a terminé la configuration, la réponse est block-new-sharing.

Désctiver le blocage de l’accès public pour les AMI

Pour permettre aux utilisateurs de votre compte de partager publiquement vos AMI, désactivez le blocage de l’accès public au niveau du compte. Vous devez désactiver le blocage de l'accès public pour les AMI Région AWS dans chaque cas où vous souhaitez autoriser le partage public de vos AMI.

Console
Pour désactiver le blocage de l’accès public pour les AMI dans la région spécifiée

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation (en haut de l’écran), sélectionnez la région dans laquelle vous souhaitez désactiver le blocage de l’accès public pour les AMI.

  3. Si le tableau de bord n’est pas affiché, dans le volet de navigation, choisissez Tableau de bord EC2.

  4. Sous Attributs du compte, sélectionnez Protection et sécurité des données.

  5. Sous Bloquer l’accès public pour les AMI, choisissez Gérer.

  6. Décochez la case Bloquer le partage public, puis sélectionnez Mettre à jour.

  7. Saisissez confirm lorsque vous êtes invité à confirmer, puis choisissez Autoriser le partage public.

    Note

    L’API peut prendre jusqu’à 10 minutes pour configurer ce paramètre. Pendant ce temps, la valeur est Nouveau partage public bloqué. Lorsque l’API a terminé la configuration, la valeur passe automatiquement à Nouveau partage public autorisé.

AWS CLI
Pour désactiver le blocage de l’accès public pour les AMI dans la région spécifiée

Utilisez la commande disable-image-block-public-access et spécifiez la région dans laquelle vous souhaitez désactiver le blocage de l'accès public pour les AMI.

aws ec2 disable-image-block-public-access --region us-east-1

Sortie attendue

{
   "ImageBlockPublicAccessState": "unblocked"
}
Note

L’API peut prendre jusqu’à 10 minutes pour configurer ce paramètre. Pendant ce temps, si vous exécutez la commande get-image-block-public-access-state, la réponse sera. block-new-sharing Lorsque l’API a terminé la configuration, la réponse est unblocked.

Afficher l’état du blocage de l’accès public pour les AMI

Pour savoir si le partage public de vos AMI est bloqué dans votre compte, vous pouvez consulter l’état du blocage de l’accès public pour les AMI. Vous devez consulter l’état dans chaque Région AWS dans laquelle vous souhaitez voir si le partage public pour vos AMI est bloqué.

Console
Pour afficher l’état du blocage de l’accès public pour les AMI dans la région spécifiée

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation (en haut de l’écran), sélectionnez la région dans laquelle vous souhaitez afficher l’état du blocage de l’accès public pour les AMI.

  3. Si le tableau de bord n’est pas affiché, dans le volet de navigation, choisissez Tableau de bord EC2.

  4. Sous Attributs du compte, sélectionnez Protection et sécurité des données.

  5. Sous Bloquer l’accès public pour les AMI, vérifiez le champ Accès public. La valeur est Nouveau partage public bloqué ou Nouveau partage public autorisé.

AWS CLI
Pour obtenir l’état du blocage de l’accès public pour les AMI dans la région spécifiée

Utilisez la commande get-image-block-public-access-state et spécifiez la région dans laquelle vous souhaitez obtenir l'état de blocage de l'accès public pour les AMI.

aws ec2 get-image-block-public-access-state --region us-east-1

Sortie attendue : la valeur est block-new-sharing ou unblocked.

{
    "ImageBlockPublicAccessState": "block-new-sharing"
}