Partagez les ressources d'EC2 Image Builder

EC2 Image Builder s' AWS Resource Access Manager intègre àAWS RAM() pour vous permettre de partager certaines ressources avec Compte AWS n'importe qui ou AWS Organizations via. Les ressources EC2 Image Builder qui peuvent être partagées sont les suivantes :

• Composants

• Images

• Recettes

Cette section fournit des informations pour vous aider à partager ces ressources EC2 Image Builder.

Utilisation de composants, d'images et de recettes partagés dans EC2 Image Builder

Le partage de composants, d'images et de recettes permet aux propriétaires de ressources de partager des configurations logicielles avec d'autres personnes Comptes AWS ou au sein d'une AWS organisation. Vous pouvez gérer le partage des ressources de manière centralisée et définir un ensemble de comptes avec lesquels la configuration peut être partagée.

Dans ce modèle, le Compte AWS propriétaire du composant, de l'image ou de la recette (propriétaires) le partage avec d'autres Comptes AWS (consommateurs). Les utilisateurs peuvent associer un composant partagé à leurs pipelines d'images afin de consommer automatiquement les mises à jour du composant, de l'image ou de la recette partagé.

Le propriétaire d'un composant, d'une image ou d'une recette peut partager ces ressources avec :

• Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations.

• Une unité organisationnelle (UO) au sein de son organisation dans AWS Organizations.

• L’ensemble de son organisation dans AWS Organizations.

• AWS Organizations ou des unités d'organisation extérieures à son organisation.

Conditions préalables au partage de composants, d'images et de recettes

Pour partager un composant, une image ou une recette d'Image Builder :

• Vous devez être propriétaire du composant, de l'image ou de la recette de votre Compte AWS. Vous ne pouvez pas partager les ressources qui ont été partagées avec vous.

• La clé AWS Key Management Service (AWS KMS) associée aux ressources chiffrées doit être explicitement partagée avec les comptes, organisations ou unités d'organisation cibles.

• Pour partager vos ressources Image Builder avec des unités d'organisation à AWS Organizations l'aide de AWS RAM celles-ci, vous devez activer le partage. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

• Si vous distribuez une image chiffrée AWS KMS sur plusieurs comptes dans différentes régions, vous devez créer une clé KMS et un alias dans chaque région cible. En outre, les personnes qui lanceront des instances dans ces régions devront avoir accès à la clé KMS spécifiée dans la politique clé.

Les ressources suivantes créées par Image Builder à partir de votre pipeline ne sont pas considérées comme des ressources Image Builder. Il s'agit plutôt de ressources externes qu'Image Builder distribue dans votre compte, ainsi qu'aux comptes et aux organisations ou unités organisationnelles (UO) que vous spécifiez dans votre configuration de distribution. Régions AWS

• Amazon Machine Images (AMI)

• Images de conteneurs résidant dans Amazon ECR

Pour plus d'informations sur les paramètres de distribution de votre AMI, consultezCréation et mise à jour des configurations de distribution d'AMI. Pour plus d'informations sur les paramètres de distribution de votre image de conteneur dans Amazon ECR, consultezCréation et mise à jour des paramètres de distribution pour les images de conteneurs.

Pour plus d'informations sur le partage de votre AMI avec AWS Organizations et des unités d'organisation, voir Partager une AMI avec des organisations ou des unités d'organisation.

Services connexes

AWS Resource Access Manager

Le partage de composants, d'images et de recettes s'intègre à AWS Resource Access Manager (AWS RAM). AWS RAM est un service qui vous permet de partager vos AWS ressources avec n'importe quel AWS compte ou via AWS Organizations. Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources indique les ressources à partager et les consommateurs avec qui les partager. Les consommateurs peuvent être des individus Comptes AWS, des unités organisationnelles ou une organisation entière AWS Organizations.

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Partage entre les régions

Les composants, images et recettes partagés ne peuvent être partagés que dans une AWS région spécifiée. Lorsque vous partagez ces ressources, elles ne seront pas répliquées d'une région à l'autre.

Partage d'un composant, d'une image ou d'une recette

Pour partager un composant, une image ou une recette Image Builder, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre différents AWS comptes. Un partage de ressources indique les ressources à partager et les consommateurs avec lesquels elles sont partagées. Pour ajouter le composant, l'image ou la recette à un nouveau partage de ressources, vous devez d'abord créer le partage de ressources à l'aide de la AWS RAM console.

Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les consommateurs de votre organisation ont automatiquement accès au composant, à l'image ou à la recette partagés. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès à la ressource partagée après avoir accepté l'invitation.

Les options suivantes sont disponibles pour partager vos ressources :.

Option 1 : créer un partage de ressources RAM

Lorsque vous créez un partage de ressources RAM, vous pouvez partager un composant, une image ou une recette que vous possédez en une seule étape. Utilisez l'une des méthodes suivantes pour créer votre partage de ressources :

• Console

  Pour créer votre partage de ressources à l'aide de la AWS RAM console, voir Partager AWS les ressources qui vous appartiennent dans le guide de AWS RAM l'utilisateur.

• AWS CLI

  Pour créer votre partage de ressources à l'aide de l'interface de ligne de AWS RAM commande, exécutez la create-resource-share commande dans le AWS CLI.

Option 2 : appliquer une politique de ressources et passer à un partage de ressources RAM

La deuxième option pour partager vos ressources implique deux étapes, en exécutant des commandes dans AWS CLI les deux cas. La première étape utilise les commandes Image Builder AWS CLI pour appliquer des politiques basées sur les ressources à la ressource partagée. La deuxième étape fait passer la ressource à un partage de ressources RAM à l'aide de la promote-resource-share-created-from-policy AWS RAM commande contenue dans le AWS CLI afin de garantir que la ressource est visible par tous les principaux avec lesquels vous l'avez partagée.

1. Appliquer la politique en matière de ressources

   Pour appliquer correctement la politique de ressources, vous devez vous assurer que le compte avec lequel vous partagez est autorisé à accéder à toutes les ressources sous-jacentes.

   Choisissez l'onglet correspondant à votre type de ressource pour la commande applicable.

   Image

   Vous pouvez appliquer une politique de ressources à une image afin de permettre à d'autres utilisateurs de l'utiliser comme image de base dans leurs recettes.

   Exécutez la commande put-image-policy Image Builder dans le AWS CLI, pour identifier les AWS principaux acteurs avec lesquels partager l'image.

   aws imagebuilder put-image-policy --image-arn arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": ["imagebuilder:GetImage", "imagebuilder:ListImages"], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1" ] } ] }'

   Component

   Vous pouvez appliquer une politique de ressources à un composant de génération ou de test pour permettre le partage entre comptes. Cette commande autorise les autres comptes à utiliser votre composant dans leurs recettes. Pour appliquer correctement la politique de ressources, vous devez vous assurer que le compte avec lequel vous partagez est autorisé à accéder à toutes les ressources référencées par le composant partagé, telles que les fichiers hébergés sur des référentiels privés.

   Exécutez la commande put-component-policy Image Builder dans le AWS CLI, pour identifier les AWS principaux acteurs avec lesquels partager le composant.

   aws imagebuilder put-component-policy --component-arn arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetComponent", "imagebuilder:ListComponents" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1" ] } ] }'

   Image recipe

   Vous pouvez appliquer une politique de ressources à une recette d'image pour permettre le partage entre comptes. Cette commande autorise les autres comptes à utiliser votre recette pour créer des images dans leurs comptes. Pour appliquer correctement la politique de ressources, vous devez vous assurer que le compte avec lequel vous partagez est autorisé à accéder à toutes les ressources auxquelles la recette fait référence, telles que l'image de base ou les composants sélectionnés.

   Exécutez la commande put-image-recipe-policy Image Builder dans le AWS CLI, pour identifier les AWS principaux acteurs avec lesquels partager l'image.

   aws imagebuilder put-image-recipe-policy --image-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetImageRecipe", "imagebuilder:ListImageRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03" ] } ] }'

   Container recipe

   Vous pouvez appliquer une politique de ressources à une recette de conteneur pour permettre le partage entre comptes. Cette commande autorise les autres comptes à utiliser votre recette pour créer des images dans leurs comptes. Pour appliquer correctement la politique de ressources, vous devez vous assurer que le compte avec lequel vous partagez est autorisé à accéder à toutes les ressources auxquelles la recette fait référence, telles que l'image de base ou les composants sélectionnés.

   Exécutez la commande put-container-recipe-policy Image Builder dans le AWS CLI, pour identifier les AWS principaux acteurs avec lesquels partager l'image.

   aws imagebuilder put-container-recipe-policy --container-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetContainerRecipe", "imagebuilder:ListContainerRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03" ] } ] }'

   Note

   Pour définir les bonnes politiques de partage et de non-partage d'une ressource, le propriétaire de la ressource doit disposer des imagebuilder:put* autorisations nécessaires.

2. Promouvez en tant que partage de ressources RAM

   Pour que la ressource soit visible par tous les principaux avec lesquels vous l'avez partagée, exécutez la promote-resource-share-created-from-policy AWS RAM commande dans le AWS CLI.

Annulation du partage d'un composant, d'une image ou d'une recette

Pour annuler le partage d'un composant, d'une image ou d'une recette que vous possédez, vous devez le supprimer du partage de ressources. Vous pouvez le faire à l'aide de la AWS Resource Access Manager console ou du AWS CLI.

Note

Pour annuler le partage d'un composant, d'une image ou d'une recette, le consommateur ne peut avoir aucune dépendance à leur égard. Le consommateur doit supprimer toute dépendance vis-à-vis des ressources partagées avant que le propriétaire ne puisse annuler leur partage.

Pour annuler le partage d'un composant, d'une image ou d'une recette partagés dont vous êtes propriétaire à l'aide de la console AWS Resource Access Manager

Consultez Mise à jour d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour annuler le partage d'un composant, d'une image ou d'une recette partagés dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la disassociate-resource-share commande pour arrêter de partager la ressource.

Identification d'un composant, d'une image ou d'une recette partagés

Les propriétaires et les consommateurs peuvent identifier les composants, les images et les recettes d'images partagés à l'aide des commandes Image Builder dans le AWS CLI.

Identifier un composant partagé

Exécutez la commande list-components pour obtenir une liste des composants que vous possédez et des composants partagés avec vous. La commande get-component indique l' Compte AWS ID du propriétaire du composant.

Identifier une image partagée

Exécutez la commande list-images pour obtenir une liste des images que vous possédez et des images partagées avec vous. La commande get-image affiche l' Compte AWS ID du propriétaire de l'image.

Identifier une image de conteneur partagée

Exécutez la commande list-images pour obtenir une liste des images que vous possédez et des images partagées avec vous. La commande get-image affiche l' Compte AWS ID du propriétaire de l'image.

Identifier une recette d'image partagée

Exécutez la list-image-recipescommande pour obtenir une liste des recettes d'images que vous possédez et des recettes d'images partagées avec vous. La get-image-recipecommande indique l' Compte AWS ID du propriétaire de la recette d'image.

Identifier une recette de conteneur partagée

Exécutez la list-container-recipescommande pour obtenir une liste des recettes de conteneurs que vous possédez et des recettes de conteneurs partagées avec vous. La get-container-recipecommande indique l' Compte AWS ID du propriétaire de la recette du conteneur.

Autorisations partagées pour les composants, les images et les recettes

Autorisations accordées aux propriétaires

Les propriétaires ne peuvent pas supprimer un composant, une image ou une recette d'image partagés tant qu'ils ne sont plus partagés. Un propriétaire ne peut pas annuler le partage de ces ressources tant qu'aucun consommateur n'en dépend.

Autorisations accordées aux consommateurs

Les consommateurs peuvent lire un composant, une image ou une recette d'image, mais ne peuvent en aucun cas les modifier. Ils ne peuvent pas consulter ou modifier ces ressources si elles appartiennent à d'autres consommateurs ou au propriétaire de la ressource. Les consommateurs peuvent utiliser des composants et des images partagés dans des recettes d'images pour créer des images personnalisées. Les consommateurs peuvent utiliser des recettes d'images partagées pour créer leurs propres images personnalisées.

Facturation et mesures

L'utilisation d'EC2 Image Builder est gratuite.

Limites des ressources

Les composants, images et recettes d'images partagés ne sont pris en compte que dans les limites de ressources correspondantes du propriétaire. Les limites de ressources des consommateurs ne sont pas affectées par les ressources qui ont été partagées avec eux.