Menjadikan AMI publik - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menjadikan AMI publik

Anda dapat membuat AMI Anda tersedia untuk umum dengan membagikannya kepada semua Akun AWS.

Jika Anda ingin mencegah AMI Anda dibagikan ke publik, Anda dapat mengaktifkan blokir akses publik untuk AMI. Hal ini memblokir setiap upaya untuk membuat AMI publik, membantu mencegah akses tidak sah dan potensi penyalahgunaan data AMI. Perhatikan bahwa mengaktifkan blokir akses publik tidak memengaruhi AMI Anda yang sudah tersedia untuk umum; AMI tersebut tetap tersedia untuk umum.

Untuk mengizinkan hanya akun tertentu yang menggunakan AMI Anda untuk meluncurkan instans, lihat Membagikan AMI kepada akun AWS tertentu.

Pertimbangan

Pertimbangkan hal berikut sebelum menjadikan AMI publik.

  • Kepemilikan — Untuk membuat AMI publik, Anda Akun AWS harus memiliki AMI.

  • Wilayah – AMI adalah sumber daya Wilayah. Saat Anda membagikan AMI, AMI hanya tersedia di Wilayah tempat Anda membagikannya. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat Menyalin AMI.

  • Blokir akses publik – Untuk berbagi AMI secara publik, blokir akses publik untuk AMI harus dinonaktifkan di setiap Wilayah tempat AMI akan dibagikan secara publik. Setelah membagikan AMI secara publik, Anda dapat mengaktifkan kembali blokir akses publik untuk AMI untuk mencegah AMI terus dibagikan secara publik.

  • Beberapa AMI tidak dapat dijadikan publik - Jika AMI Anda menyertakan salah satu komponen berikut, Anda tidak dapat menjadikannya publik (tetapi Anda dapat membagikan AMI dengan Akun AWS spesifik):

    • Volume terenkripsi

    • Snapshot volume terenkripsi

    • Kode produk

  • Penggunaan – Saat Anda membagikan AMI, pengguna hanya dapat meluncurkan instans dari AMI tersebut. Mereka tidak dapat menghapus, berbagi, atau memodifikasinya. Namun, setelah mereka meluncurkan instans menggunakan AMI Anda, mereka dapat membuat AMI dari instans yang mereka luncurkan.

  • Pengusangan otomatis – Secara default, tanggal pengusangan semua AMI publik diatur ke dua tahun dari tanggal pembuatan AMI. Anda dapat mengatur tanggal pengusangan menjadi lebih awal dari dua tahun. Untuk membatalkan tanggal penghentian, atau untuk memindahkan penghentian ke tanggal berikutnya, Anda harus menjadikan AMI pribadi dengan hanya membagikannya dengan spesifik. Akun AWS

  • Hapus AMI usang — Setelah AMI publik mencapai tanggal penghentian, jika tidak ada instance baru yang diluncurkan dari AMI selama enam bulan atau lebih, AWS akhirnya menghapus properti berbagi publik sehingga AMI usang tidak muncul di daftar AMI publik.

  • Penagihan — Anda tidak ditagih ketika AMI Anda digunakan oleh orang lain Akun AWS untuk meluncurkan instans. Akun yang meluncurkan instans menggunakan AMI akan dikenai biaya untuk instans yang diluncurkan.

Bagikan AMI dengan semua AWS akun (bagikan secara publik)

Setelah Anda menjadikan AMI publik, AMI tersedia di AMI Komunitas di konsol, yang dapat Anda akses dari Katalog AMI di navigator kiri di konsol EC2 atau saat meluncurkan instans menggunakan konsol. Perhatikan bahwa perlu waktu hingga AMI muncul di AMI Komunitas setelah Anda menjadikannya publik.

Console
Untuk menjadikan AMI publik
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMI.

  3. Pilih AMI Anda dari daftar, lalu pilih Tindakan, Ubah izin AMI.

  4. Di bawah Ketersediaan AMI, pilih Publik.

  5. Pilih Simpan perubahan.

Tools for Windows PowerShell

Setiap AMI memiliki launchPermission properti yang mengontrol yang Akun AWS, selain pemilik, diizinkan untuk menggunakan AMI itu untuk meluncurkan instance. Dengan memodifikasi launchPermission properti AMI, Anda dapat membuat AMI menjadi publik (yang memberikan izin peluncuran ke semua Akun AWS), atau membagikannya hanya dengan Akun AWS yang Anda tentukan.

Anda dapat menambahkan atau menghapus ID akun dari daftar akun yang memiliki izin peluncuran untuk AMI. Untuk menjadikan AMI publik, tentukan kelompok all. Anda dapat menentukan izin peluncuran publik dan eksplisit.

Untuk menjadikan AMI publik
  1. Gunakan perintah Edit-EC2ImageAttribute sebagai berikut untuk menambahkan grup all ke daftar launchPermission untuk AMI tertentu.

    PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -UserGroup all
  2. Untuk memverifikasi izin peluncuran AMI, gunakan perintah Get-EC2ImageAttribute berikut.

    PS C:\> Get-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission
  3. (Opsional) Untuk menjadikan AMI kembali privat, hapus grup all dari izin peluncurannya. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.

    PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -UserGroup all
AWS CLI

Setiap AMI memiliki launchPermission properti yang mengontrol yang Akun AWS, selain pemilik, diizinkan untuk menggunakan AMI itu untuk meluncurkan instance. Dengan memodifikasi launchPermission properti AMI, Anda dapat membuat AMI menjadi publik (yang memberikan izin peluncuran ke semua Akun AWS), atau membagikannya hanya dengan Akun AWS yang Anda tentukan.

Anda dapat menambahkan atau menghapus ID akun dari daftar akun yang memiliki izin peluncuran untuk AMI. Untuk menjadikan AMI publik, tentukan kelompok all. Anda dapat menentukan izin peluncuran publik dan eksplisit.

Untuk menjadikan AMI publik
  1. Gunakan perintah modify-image-attribute sebagai berikut untuk menambahkan grup all ke daftar launchPermission untuk AMI tertentu.

    aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{Group=all}]"
  2. Untuk memverifikasi izin peluncuran AMI, gunakan perintah describe-image-attribute.

    aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission
  3. (Opsional) Untuk menjadikan AMI kembali privat, hapus grup all dari izin peluncurannya. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.

    aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{Group=all}]"

Memblokir akses publik ke AMI Anda

Untuk mencegah AMI Anda dibagikan secara publik, Anda dapat mengaktifkan blokir akses publik untuk AMI. Pengaturan ini diaktifkan di tingkat akun, tetapi Anda harus mengaktifkannya Wilayah AWS di masing-masing tempat Anda ingin mencegah pembagian publik AMI Anda.

Ketika mengaktifkan memblokir akses publik, setiap upaya untuk menjadikan AMI publik secara otomatis diblokir. Namun, jika Anda sudah memiliki AMI publik, AMI tersebut akan tetap tersedia untuk umum.

Jika Anda ingin berbagi AMI secara publik, Anda harus menonaktifkan blokir akses publik. Setelah selesai berbagi, sebaiknya aktifkan kembali blokir akses publik untuk mencegah pembagian publik yang tidak diinginkan untuk AMI Anda.

Anda dapat membatasi izin IAM untuk pengguna administrator sehingga hanya mereka yang dapat mengaktifkan atau menonaktifkan blokir akses publik untuk AMI.

Pengaturan default

Pengaturan Blokir akses publik untuk AMI diaktifkan atau dinonaktifkan secara default tergantung pada apakah akun Anda baru atau sudah ada, dan apakah Anda memiliki AMI publik. Tabel berikut menjelaskan pengaturan default:

AWS akun Blokir akses publik untuk pengaturan default AMI
Akun baru Aktif

Akun yang ada tanpa AMI publik ¹

Aktif

Akun yang ada dengan satu atau lebih AMI publik

Nonaktif

¹ Jika akun Anda memiliki satu atau lebih AMI publik pada atau setelah 15 Juli 2023, Blokir akses publik untuk AMI dinonaktifkan secara default untuk akun Anda, bahkan jika Anda kemudian menjadikan semua AMI privat.

Izin IAM yang diperlukan

Untuk menggunakan blokir akses publik untuk AMI, Anda harus memiliki izin IAM berikut:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

  • GetImageBlockPublicAccessState

Mengaktifkan blokir akses publik untuk AMI

Untuk mencegah AMI Anda dibagikan secara publik, aktifkan blokir akses publik untuk AMI pada tingkat akun. Anda harus mengaktifkan blokir akses publik untuk AMI di setiap Wilayah AWS tempat Anda ingin mencegah pembagian publik AMI Anda. Jika Anda sudah memiliki AMI publik, mereka akan tetap tersedia untuk umum.

Console
Untuk mengaktifkan blokir akses publik untuk AMI di Wilayah tertentu
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Dari bilah navigasi (di bagian atas layar), pilih Wilayah tempat blokir akses publik untuk AMI diaktifkan.

  3. Jika dasbor tidak ditampilkan, di panel navigasi, pilih Dasbor EC2.

  4. Di bawah Atribut akun, pilih Perlindungan dan keamanan data.

  5. Di bawah Blokir akses publik untuk AMI, pilih Kelola.

  6. Pilih kotak centang Blokir berbagi publik baru, lalu pilih Perbarui.

    catatan

    API dapat memakan waktu hingga 10 menit untuk mengkonfigurasi pengaturan ini. Selama waktu ini, nilainya akan Berbagi publik baru diizinkan. Ketika API telah menyelesaikan konfigurasi, nilai akan secara otomatis berubah menjadi Berbagi publik baru diblokir.

AWS CLI
Untuk mengaktifkan blokir akses publik untuk AMI di Wilayah tertentu

Gunakan perintah enable-image-block-public-access dan tentukan Wilayah untuk mengaktifkan blokir akses publik untuk AMI. Untuk parameter --image-block-public-access-state, tentukan block-new-sharing.

aws ec2 enable-image-block-public-access \ --region us-east-1 \ --image-block-public-access-state block-new-sharing

Output yang diharapkan

{ "ImageBlockPublicAccessState": "block-new-sharing" }
catatan

API dapat memakan waktu hingga 10 menit untuk mengkonfigurasi pengaturan ini. Selama waktu ini, jika Anda menjalankan perintah get-image-block-public-access-state, responsnya akan menjadi. unblocked Ketika API telah menyelesaikan konfigurasi, responsnya akan menjadi block-new-sharing.

Menonaktifkan blokir akses publik untuk AMI

Untuk memungkinkan pengguna di akun Anda membagikan AMI Anda secara publik, nonaktifkan blokir akses publik di tingkat akun. Anda harus menonaktifkan blokir akses publik untuk AMI Wilayah AWS di masing-masing tempat Anda ingin mengizinkan berbagi AMI Anda secara publik.

Console
Untuk menonaktifkan blokir akses publik untuk AMI di Wilayah tertentu
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Dari bilah navigasi (di bagian atas layar), pilih Wilayah tempat blokir akses publik untuk AMI ingin dinonaktifkan.

  3. Jika dasbor tidak ditampilkan, di panel navigasi, pilih Dasbor EC2.

  4. Di bawah Atribut akun, pilih Perlindungan dan keamanan data.

  5. Di bawah Blokir akses publik untuk AMI, pilih Kelola.

  6. Kosongkan kotak centang Blokir berbagi publik baru, lalu pilih Perbarui.

  7. Masukkan confirm saat diminta konfirmasi, lalu pilih Izinkan berbagi publik.

    catatan

    API dapat memakan waktu hingga 10 menit untuk mengkonfigurasi pengaturan ini. Selama waktu ini, nilainya akan Berbagi publik baru diblokir. Ketika API telah menyelesaikan konfigurasi, nilai akan secara otomatis berubah menjadi Berbagi publik baru diizinkan.

AWS CLI
Untuk menonaktifkan blokir akses publik untuk AMI di Wilayah tertentu

Gunakan perintah disable-image-block-public-access dan tentukan Wilayah untuk menonaktifkan blokir akses publik untuk AMI.

aws ec2 disable-image-block-public-access --region us-east-1

Output yang diharapkan

{ "ImageBlockPublicAccessState": "unblocked" }
catatan

API dapat memakan waktu hingga 10 menit untuk mengkonfigurasi pengaturan ini. Selama waktu ini, jika Anda menjalankan perintah get-image-block-public-access-state, responsnya akan menjadi. block-new-sharing Ketika API telah menyelesaikan konfigurasi, responsnya akan menjadi unblocked.

Melihat status blokir akses publik untuk AMI

Untuk melihat apakah pembagian publik AMI Anda diblokir di akun Anda, Anda dapat melihat status pemblokiran akses publik untuk AMI. Anda harus melihat status ini di setiap Wilayah AWS tempat Anda ingin melihat apakah pembagian publik AMI Anda diblokir.

Console
Untuk melihat status blokir akses publik untuk AMI di Wilayah tertentu
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Dari bilah navigasi (di bagian atas layar), pilih Wilayah untuk melihat status blokir akses publik untuk AMI.

  3. Jika dasbor tidak ditampilkan, di panel navigasi, pilih Dasbor EC2.

  4. Di bawah Atribut akun, pilih Perlindungan dan keamanan data.

  5. Di bawah Blokir akses publik untuk AMI, periksa bidang Akses publik. Nilainya adalah Berbagi publik baru diblokir atau Berbagi publik baru diizinkan.

AWS CLI
Untuk mendapatkan status blokir akses publik untuk AMI di Wilayah tertentu

Gunakan perintah get-image-block-public-access-state dan tentukan Region di mana untuk mendapatkan status akses publik blok untuk AMI.

aws ec2 get-image-block-public-access-state --region us-east-1

Output yang diharapkan – Nilainya adalah block-new-sharing atau unblocked.

{ "ImageBlockPublicAccessState": "block-new-sharing" }