Membagikan AMI dengan organisasi atau unit organisasi tertentu - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membagikan AMI dengan organisasi atau unit organisasi tertentu

AWS Organizationsadalah layanan manajemen akun yang memungkinkan Anda untuk mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat berbagi AMI dengan organisasi atau unit organisasi (OU) yang telah Anda buat, selain membagikannya dengan akun tertentu.

Organisasi adalah entitas yang Anda buat untuk mengkonsolidasikan dan mengelola Akun AWS Anda secara terpusat. Anda dapat mengorganisasi akun dalam struktur hierarkis seperti pohon, dengan root di bagian atas dan unit-unit organisasi bersarang di bawah root organisasi. Setiap akun dapat ditambahkan langsung ke root, atau ditempatkan di salah satu OU di hierarki. Untuk informasi selengkapnya, lihat Terminologi dan konsep organisasi AWS di Panduan Pengguna AWS Organizations .

Saat Anda berbagi AMI dengan organisasi atau OU, semua akun turunan mendapatkan akses ke AMI. Misalnya, dalam diagram berikut, AMI dibagikan dengan OU tingkat atas (ditunjukkan oleh panah pada angka 1). Semua OU dan akun yang bersarang di bawah OU tingkat atas itu (ditunjukkan oleh garis putus-putus di nomor 2) juga memiliki akses ke AMI. Akun di organisasi dan OU di luar garis putus-putus (ditunjukkan oleh angka 3) tidak memiliki akses ke AMI karena mereka bukan turunan dari OU yang dibagikan AMI.

AMI dibagikan dengan OU, dan semua OU dan akun turunan mendapatkan akses ke AMI.

Pertimbangan

Pertimbangkan hal-hal berikut ketika berbagi AMI dengan organisasi atau unit organisasi tertentu.

  • Kepemilikan – Untuk berbagi AMI, Akun AWS Anda harus merupakan pemilik AMI.

  • Batas berbagi – Pemilik AMI dapat berbagi AMI dengan organisasi atau OU mana pun, termasuk organisasi dan OU yang bukan anggotanya.

    Untuk jumlah maksimum entitas yang dapat dibagikan AMI dalam satu Wilayah, lihat Kuota layanan Amazon EC2.

  • Tag – Anda tidak dapat membagikan tag buatan pengguna (tag yang Anda lampirkan ke AMI). Saat Anda membagikan AMI, tag yang ditentukan pengguna tidak tersedia untuk organisasi atau OU mana pun Akun AWS yang dengannya AMI dibagikan.

  • Format ARN – Saat Anda menentukan organisasi atau OU dalam sebuah perintah, pastikan menggunakan format ARN yang benar. Anda akan mendapatkan kesalahan jika Anda hanya menentukan ID, misalnya, jika Anda hanya menentukan o-123example atau ou-1234-5example.

    Format ARN yang benar:

    • ARN Organisasi: arn:aws:organizations::account-id:organization/organization-id

    • ARN OU: arn:aws:organizations::account-id:ou/organization-id/ou-id

    Di mana:

    • account-id adalah nomor akun manajemen 12 digit, misalnya, 123456789012. Jika Anda tidak tahu nomor akun manajemen, Anda dapat menjelaskan organisasi atau unit organisasi untuk mendapatkan ARN, yang mencakup nomor akun manajemen. Untuk informasi selengkapnya, lihat Mendapatkan ARN.

    • organization-id adalah ID organisasi, misalnya, o-123example.

    • ou-id adalah ID unit organisasi, misalnya, ou-1234-5example.

    Untuk informasi selengkapnya tentang format ARN, lihat Nama Sumber Daya Amazon (ARN) di Panduan Pengguna IAM.

  • Enkripsi dan kunci – Anda dapat berbagi AMI yang didukung oleh snapshot yang tidak terenkripsi dan terenkripsi.

    • Snapshot terenkripsi harus dienkripsi dengan kunci yang dikelola pelanggan. Anda tidak dapat membagikan AMI yang didukung oleh snapshot yang dienkripsi dengan kunci terkelola default AWS .

    • Jika Anda membagikan AMI yang didukung oleh snapshot terenkripsi, Anda harus mengizinkan organisasi atau OU untuk menggunakan kunci terkelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat Mengizinkan organisasi dan OU untuk menggunakan kunci KMS.

  • Wilayah – AMI adalah sumber daya Wilayah. Saat Anda membagikan AMI, AMI hanya tersedia di Wilayah tempat Anda membagikannya. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat Menyalin AMI.

  • Penggunaan – Saat Anda membagikan AMI, pengguna hanya dapat meluncurkan instans dari AMI tersebut. Mereka tidak dapat menghapus, berbagi, atau memodifikasinya. Namun, setelah mereka meluncurkan instans menggunakan AMI Anda, mereka dapat membuat AMI dari instans yang mereka luncurkan.

  • Penagihan — Anda tidak ditagih ketika AMI Anda digunakan oleh orang lain Akun AWS untuk meluncurkan instans. Akun yang meluncurkan instans menggunakan AMI akan dikenai biaya untuk instans yang diluncurkan.

Mengizinkan organisasi dan OU untuk menggunakan kunci KMS

Jika Anda berbagi AMI yang didukung oleh snapshot terenkripsi, Anda juga harus mengizinkan organisasi atau OU untuk menggunakan AWS KMS keys yang digunakan untuk mengenkripsi snapshot.

Gunakan aws:PrincipalOrgPaths tombol aws:PrincipalOrgID dan untuk membandingkan AWS Organizations jalur untuk kepala sekolah yang membuat permintaan ke jalur dalam kebijakan. Prinsipal itu dapat berupa pengguna, peran IAM, pengguna federasi, atau pengguna Akun AWS root. Dalam kebijakan, kunci ketentuan ini memastikan bahwa pemohon adalah anggota akun dalam root organisasi tertentu atau OU di AWS Organizations. Untuk contoh pernyataan kondisi lainnya, lihat aws:PrincipalOrgID dan aws:PrincipalOrgPaths di Panduan Pengguna IAM.

Untuk informasi tentang mengedit kebijakan kunci, lihat Mengizinkan pengguna di akun lain menggunakan kunci KMS di Panduan AWS Key Management Service Pengembang.

Untuk memberikan izin kepada organisasi atau OU untuk menggunakan kunci KMS, tambahkan pernyataan berikut ke kebijakan kunci.

{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } }

Untuk berbagi kunci KMS dengan beberapa OU, Anda dapat menggunakan kebijakan yang mirip dengan contoh berikut.

{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } }

Membagikan AMI

Anda dapat menggunakan konsol Amazon EC2 atau AWS CLI untuk berbagi AMI dengan organisasi atau OU.

Membagikan AMI (konsol)

Untuk berbagi AMI dengan organisasi atau OU menggunakan konsol
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMI.

  3. Pilih AMI Anda dalam daftar, lalu pilih Tindakan, Ubah izin AMI.

  4. Di bawah Ketersediaan AMI, pilih Privat.

  5. Di samping Organisasi/OU berbagi, pilih Tambah ARN Organisasi/OU.

  6. Untuk ARN Organisasi/OU, masukkan ARN organisasi atau ARN OU di mana Anda ingin berbagi AMI, lalu pilih Bagikan AMI. Perhatikan bahwa Anda harus menentukan ARN lengkap, bukan hanya ID-nya.

    Untuk membagikan AMI ini kepada beberapa organisasi atau OU, ulangi langkah ini hingga Anda telah menambahkan semua organisasi atau OU yang diperlukan.

    catatan

    Anda tidak perlu membagikan snapshot Amazon EBS yang dirujuk oleh AMI untuk membagikan AMI. Hanya AMI itu sendiri yang perlu dibagikan, dan sistem secara otomatis menyediakan akses kepada instans menuju snapshot Amazon EBS yang ditunjuk untuk peluncuran. Namun, Anda perlu membagikan kunci KMS yang digunakan untuk mengenkripsi snapshot yang direferensikan AMI. Untuk informasi selengkapnya, lihat Mengizinkan organisasi dan OU untuk menggunakan kunci KMS.

  7. Setelah selesai, pilih Simpan perubahan.

  8. (Opsional) Untuk melihat organisasi atau OU yang telah Anda bagi AMI, pilih AMI dalam daftar, pilih tab Izin, dan gulir ke bawah ke Organisasi/OU bersama. Untuk mencari AMI yang dibagikan dengan Anda, lihat Mencari AMI bersama.

Membagikan AMI (Alat untuk Windows) PowerShell)

Gunakan Edit-EC2ImageAttributeperintah (Alat untuk Windows PowerShell) untuk berbagi AMI seperti yang ditunjukkan pada contoh berikut.

Untuk berbagi AMI dengan organisasi atau OU

Perintah berikut memberikan izin peluncuran untuk AMI yang ditentukan ke organisasi tertentu.

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
catatan

Anda tidak perlu membagikan snapshot Amazon EBS yang dirujuk oleh AMI untuk membagikan AMI. Hanya AMI itu sendiri yang perlu dibagikan, dan sistem secara otomatis menyediakan akses kepada instans menuju snapshot Amazon EBS yang ditunjuk untuk peluncuran. Namun, Anda perlu berbagi kunci KMS yang digunakan untuk mengenkripsi snapshot yang ditunjuk oleh AMI. Untuk informasi selengkapnya, lihat Mengizinkan organisasi dan OU untuk menggunakan kunci KMS.

Untuk berhenti berbagi AMI dengan organisasi atau OU

Perintah berikut menghapus izin peluncuran untuk AMI yang ditentukan dari organisasi tertentu:

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

Untuk berhenti berbagi AMI dengan semua organisasi, OU, dan Akun AWS

Perintah berikut ini menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission

Bagikan AMI (AWS CLI)

Gunakan perintah modify-image-attribute (AWS CLI) untuk berbagi AMI.

Untuk berbagi AMI dengan organisasi menggunakan AWS CLI

Perintah modify-image-attribute memberikan izin peluncuran untuk AMI yang ditentukan ke organisasi tertentu. Perhatikan bahwa Anda harus menentukan ARN lengkap, bukan hanya ID-nya.

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Untuk berbagi AMI dengan OU menggunakan AWS CLI

modify-image-attributePerintah memberikan izin peluncuran untuk AMI yang ditentukan ke OU yang ditentukan. Perhatikan bahwa Anda harus menentukan ARN lengkap, bukan hanya ID-nya.

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
catatan

Anda tidak perlu membagikan snapshot Amazon EBS yang dirujuk oleh AMI untuk membagikan AMI. Hanya AMI itu sendiri yang perlu dibagikan, dan sistem secara otomatis menyediakan akses kepada instans menuju snapshot Amazon EBS yang ditunjuk untuk peluncuran. Namun, Anda perlu berbagi kunci KMS yang digunakan untuk mengenkripsi snapshot yang ditunjuk oleh AMI. Untuk informasi selengkapnya, lihat Mengizinkan organisasi dan OU untuk menggunakan kunci KMS.

Berhenti berbagi AMI

Anda dapat menggunakan konsol Amazon EC2 atau AWS CLI untuk berhenti berbagi AMI dengan organisasi atau OU.

Berhenti berbagi AMI (konsol)

Untuk berhenti berbagi AMI dengan organisasi atau OU menggunakan konsol
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMI.

  3. Pilih AMI Anda dalam daftar, lalu pilih Tindakan, Ubah izin AMI.

  4. Di bawah Organisasi/OU berbagi, pilih organisasi atau OU yang ingin Anda hentikan berbagi AMI, lalu pilih Hapus pilihan.

  5. Setelah selesai, pilih Simpan perubahan.

  6. (Opsional) Untuk mengonfirmasi bahwa Anda telah berhenti membagikan AMI dengan organisasi atau OU, pilih AMI dalam daftar, pilih tab Izin, dan gulir ke bawah ke Organisasi/OU berbagi.

Berhenti berbagi AMI (AWS CLI)

Gunakan modify-image-attributeor reset-image-attributecommand (AWS CLI) untuk berhenti berbagi AMI.

Untuk berhenti berbagi AMI dengan organisasi atau OU menggunakan AWS CLI

modify-image-attributePerintah menghapus izin peluncuran untuk AMI yang ditentukan dari organisasi yang ditentukan. Perhatikan bahwa Anda harus menentukan ARN.

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Untuk berhenti berbagi AMI dengan semua organisasi, OU, dan Akun AWS menggunakan AWS CLI

Perintah reset-image-attribute akan menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.

aws ec2 reset-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission
catatan

Anda tidak dapat berhenti berbagi AMI dengan akun tertentu jika akun tersebut berada di organisasi atau OU yang dengannya AMI dibagikan. Jika Anda mencoba untuk berhenti berbagi AMI dengan menghapus izin peluncuran untuk akun tersebut, Amazon EC2 akan menampilkan pesan sukses. Namun, AMI terus dibagikan dengan akun tersebut.

Melihat organisasi dan OU yang berbagi AMI Anda

Anda dapat menggunakan konsol Amazon EC2 atau AWS CLI untuk memeriksa organisasi dan OU mana yang telah Anda bagikan AMI Anda.

Melihat organisasi dan OU yang berbagi AMI Anda (konsol)

Untuk memeriksa organisasi dan OU mana yang telah Anda bagikan AMI menggunakan konsol
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMI.

  3. Pilih AMI Anda dalam daftar, pilih tab Izin, dan gulir ke bawah ke Organisasi/OU berbagi.

    Untuk mencari AMI yang dibagikan dengan Anda, lihat Mencari AMI bersama.

Melihat organisasi dan OU yang berbagi AMI Anda (AWS CLI)

Anda dapat memeriksa organisasi dan OU yang berbagi AMI Anda dengan menggunakan perintah describe-image-attribute (AWS CLI) dan atribut launchPermission.

Untuk memeriksa dengan organisasi dan OU mana Anda telah membagikan AMI Anda menggunakan AWS CLI

Perintah describe-image-attribute akan menjelaskan atribut launchPermission untuk AMI yang ditentukan, dan menampilkan organisasi dan OU yang berbagi AMI Anda.

aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission

Contoh tanggapan

{ "ImageId": "ami-0abcdef1234567890", "LaunchPermissions": [ { "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example" } ] }

Mendapatkan ARN

ARN organisasi dan unit organisasi berisi nomor akun manajemen 12 digit. Jika Anda tidak tahu nomor akun manajemen, Anda dapat menjelaskan organisasi atau unit organisasi untuk mendapatkan ARN untuk keduanya. Dalam contoh berikut, 123456789012 adalah nomor akun manajemen.

Sebelum Anda bisa mendapatkan ARN, Anda harus memiliki izin untuk menjelaskan organisasi dan unit organisasi. Kebijakan berikut ini memberikan izin yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:Describe*" ], "Resource": "*" } ] }
Untuk mendapatkan ARN suatu organisasi

Gunakan perintah describe-organization dan parameter --query yang diatur ke 'Organization.Arn' untuk menampilkan ARN organisasi saja.

aws organizations describe-organization --query 'Organization.Arn'

Contoh tanggapan

"arn:aws:organizations::123456789012:organization/o-123example"
Untuk mendapatkan ARN unit organisasi

Gunakan perintah describe-organizational-unit, tentukan ID OU, dan atur parameter --query ke 'OrganizationalUnit.Arn' untuk menampilkan ARN unit organisasi saja.

aws organizations describe-organizational-unit --organizational-unit-id ou-1234-5example --query 'OrganizationalUnit.Arn'

Contoh tanggapan

"arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example"