Bagikan sumber daya EC2 Image Builder

EC2 Image Builder terintegrasi AWS Resource Access Manager dengan AWS RAM () untuk memungkinkan Anda berbagi sumber daya tertentu dengan Akun AWS salah satu atau melalui. AWS Organizations Sumber daya EC2 Image Builder yang dapat dibagikan adalah:

• Komponen-komponen

• Citra

• Resep

Bagian ini memberikan informasi untuk membantu Anda membagikan sumber daya EC2 Image Builder ini.

Bekerja dengan komponen, gambar, dan resep bersama di EC2 Image Builder

Komponen, gambar, dan berbagi resep memungkinkan pemilik sumber daya untuk berbagi konfigurasi perangkat lunak dengan orang lain Akun AWS atau dalam AWS organisasi. Anda dapat mengelola berbagi sumber daya secara terpusat, dan menentukan satu set akun yang dapat digunakan untuk berbagi konfigurasi.

Dalam model ini, Akun AWS yang memiliki komponen, gambar, atau resep (pemilik) membagikannya dengan yang lain Akun AWS (konsumen). Konsumen dapat mengaitkan komponen bersama dengan pipeline gambar mereka untuk secara otomatis menggunakan pembaruan ke komponen, gambar, atau resep bersama.

Pemilik komponen, gambar, atau resep dapat berbagi sumber daya ini dengan:

• Khusus Akun AWS di dalam atau di luar organisasinya diAWS Organizations.

• Unit organisasi (OU) di dalam organisasinya diAWS Organizations.

• Seluruh organisasinya di AWS Organizations

• AWS Organizationsatau OU di luar organisasinya.

Prasyarat untuk berbagi komponen, gambar, dan resep

Untuk berbagi komponen, gambar, atau resep Image Builder:

• Anda harus memiliki komponen, gambar, atau resep di AndaAkun AWS. Anda tidak dapat berbagi sumber daya yang telah dibagikan dengan Anda.

• Kunci AWS Key Management Service (AWS KMS) yang terkait dengan sumber daya terenkripsi harus dibagikan secara eksplisit dengan akun target, organisasi, atau OU.

• Untuk berbagi sumber daya Image Builder dengan AWS Organizations dan OUAWS RAM, Anda harus mengaktifkan berbagi. Untuk informasi selengkapnya, lihat Aktifkan Berbagi dengan AWS Organizations dalam Panduan Pengguna AWS RAM.

• Jika Anda mendistribusikan gambar yang dienkripsi dengan AWS KMS seluruh akun di Wilayah yang berbeda, Anda harus membuat kunci KMS dan alias di setiap Wilayah target. Selain itu, orang-orang yang akan meluncurkan instans di Wilayah tersebut akan memerlukan akses ke kunci KMS yang ditentukan melalui Kebijakan Utama.

Sumber daya berikut yang dibuat Image Builder dari build pipeline Anda tidak dianggap sebagai sumber daya Image Builder, melainkan sumber daya eksternal yang didistribusikan Image Builder di akun Anda, dan keWilayah AWS, akun, dan organisasi atau unit organisasi (OU) yang Anda tentukan dalam konfigurasi distribusi.

• Amazon Machine Image (AMI)

• Gambar kontainer yang berada di Amazon ECR

Untuk informasi selengkapnya tentang setelan distribusi untuk AMI Anda, lihatMembuat dan memperbarui konfigurasi distribusi AMI. Untuk informasi selengkapnya tentang setelan distribusi untuk gambar kontainer Anda di Amazon ECR, lihatMembuat dan memperbarui pengaturan distribusi untuk gambar kontainer.

Untuk informasi selengkapnya tentang berbagi AMI dengan AWS Organizations dan OU, lihat Berbagi AMI dengan organisasi atau OU.

Layanan-layanan terkait

AWS Resource Access Manager

Komponen, gambar, dan berbagi resep terintegrasi dengan AWS Resource Access Manager (AWS RAM). AWS RAMadalah layanan yang memungkinkan Anda untuk berbagi AWS sumber daya Anda dengan AWS akun apa pun atau melaluiAWS Organizations. DenganAWS RAM, Anda berbagi sumber daya yang Anda miliki dengan membuat pembagian sumber daya. Pembagian sumber daya menentukan sumber daya untuk dibagikan dan konsumen yang akan dibagikan. Konsumen dapat berupa individuAkun AWS, unit organisasi, atau seluruh organisasi diAWS Organizations.

Untuk informasi selengkapnya tentang AWS RAM, lihat Panduan Pengguna AWS RAM.

Berbagi di seluruh Wilayah

Komponen, gambar, dan resep bersama hanya dapat dibagikan di AWS Wilayah tertentu. Ketika Anda berbagi sumber daya ini, mereka tidak akan mereplikasi di seluruh Wilayah.

Berbagi komponen, gambar, atau resep

Untuk membagikan komponen, gambar, atau resep Image Builder, Anda harus menambahkannya ke pembagian sumber daya. Berbagi sumber daya adalah sumber daya AWS RAM yang memungkinkan Anda berbagi sumber daya di seluruh akun AWS. Pembagian sumber daya menentukan sumber daya untuk dibagikan dan konsumen dengan siapa mereka dibagikan. Untuk menambahkan komponen, gambar, atau resep ke pembagian sumber daya baru, Anda harus terlebih dahulu membuat pembagian sumber daya menggunakan AWS RAM konsol.

Jika Anda adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, konsumen di organisasi Anda secara otomatis diberikan akses ke komponen, gambar, atau resep bersama. Jika tidak, konsumen menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke sumber daya bersama setelah menerima undangan.

Opsi berikut tersedia untuk berbagi sumber daya Anda:.

Opsi 1: Buat berbagi sumber daya RAM

Saat Anda membuat pembagian sumber daya RAM, Anda dapat membagikan komponen, gambar, atau resep yang Anda miliki dalam satu langkah. Gunakan salah satu metode berikut untuk membuat pembagian sumber daya Anda:

• Konsol

  Untuk membuat pembagian sumber daya menggunakan AWS RAM konsol, lihat Berbagi AWS sumber daya yang dimiliki oleh Anda di Panduan AWS RAM Pengguna.

• AWS CLI

  Untuk membuat pembagian sumber daya Anda menggunakan antarmuka baris AWS RAM perintah, jalankan create-resource-share perintah di fileAWS CLI.

Opsi 2: Terapkan kebijakan sumber daya dan promosikan ke pembagian sumber daya RAM

Opsi kedua untuk berbagi sumber daya Anda melibatkan dua langkah, menjalankan perintah di AWS CLI untuk keduanya. Langkah pertama menggunakan perintah Image Builder AWS CLI untuk menerapkan kebijakan berbasis sumber daya ke sumber daya bersama. Langkah kedua mempromosikan sumber daya ke berbagi sumber daya RAM menggunakan promote-resource-share-created-from-policy AWS RAM perintah di AWS CLI untuk memastikan bahwa sumber daya terlihat oleh semua kepala sekolah dengan siapa Anda telah membagikannya.

1. Menerapkan kebijakan sumber daya

   Agar berhasil menerapkan kebijakan sumber daya, Anda harus memastikan bahwa akun yang Anda bagikan memiliki izin untuk mengakses sumber daya apa pun yang mendasarinya.

   Pilih tab yang cocok dengan jenis sumber daya Anda untuk perintah yang berlaku.

   Image

   Anda dapat menerapkan kebijakan sumber daya ke gambar, untuk memungkinkan orang lain menggunakannya sebagai gambar dasar dalam resep mereka.

   Jalankan perintah put-image-policy Image Builder diAWS CLI, untuk mengidentifikasi AWS prinsipal untuk berbagi gambar dengan.

   aws imagebuilder put-image-policy --image-arn arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": ["imagebuilder:GetImage", "imagebuilder:ListImages"], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1" ] } ] }'

   Component

   Anda dapat menerapkan kebijakan sumber daya ke komponen build atau pengujian untuk mengaktifkan berbagi lintas akun. Perintah ini memberikan izin akun lain untuk menggunakan komponen Anda dalam resep mereka. Agar berhasil menerapkan kebijakan sumber daya, Anda harus memastikan bahwa akun yang Anda bagikan memiliki izin untuk mengakses sumber daya apa pun yang direferensikan oleh komponen bersama, seperti file yang dihosting di repositori pribadi.

   Jalankan perintah put-component-policy Image Builder diAWS CLI, untuk mengidentifikasi AWS prinsipal untuk berbagi komponen dengan.

   aws imagebuilder put-component-policy --component-arn arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetComponent", "imagebuilder:ListComponents" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1" ] } ] }'

   Image recipe

   Anda dapat menerapkan kebijakan sumber daya ke resep gambar untuk mengaktifkan berbagi lintas akun. Perintah ini memberikan izin akun lain untuk menggunakan resep Anda untuk membuat gambar di akun mereka. Agar berhasil menerapkan kebijakan sumber daya, Anda harus memastikan bahwa akun yang Anda bagikan memiliki izin untuk mengakses sumber daya apa pun yang direferensikan resep, seperti gambar dasar, atau komponen yang dipilih.

   Jalankan perintah put-image-recipe-policy Image Builder diAWS CLI, untuk mengidentifikasi AWS prinsipal untuk berbagi gambar dengan.

   aws imagebuilder put-image-recipe-policy --image-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetImageRecipe", "imagebuilder:ListImageRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03" ] } ] }'

   Container recipe

   Anda dapat menerapkan kebijakan sumber daya ke resep kontainer untuk mengaktifkan berbagi lintas akun. Perintah ini memberikan izin akun lain untuk menggunakan resep Anda untuk membuat gambar di akun mereka. Agar berhasil menerapkan kebijakan sumber daya, Anda harus memastikan bahwa akun yang Anda bagikan memiliki izin untuk mengakses sumber daya apa pun yang direferensikan resep, seperti gambar dasar, atau komponen yang dipilih.

   Jalankan perintah put-container-recipe-policy Image Builder diAWS CLI, untuk mengidentifikasi AWS prinsipal untuk berbagi gambar dengan.

   aws imagebuilder put-container-recipe-policy --container-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetContainerRecipe", "imagebuilder:ListContainerRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03" ] } ] }'

   catatan

   Untuk menetapkan kebijakan yang benar untuk berbagi dan membatalkan berbagi sumber daya, pemilik sumber daya harus memiliki imagebuilder:put* izin.

2. Promosikan sebagai pembagian sumber daya RAM

   Untuk memastikan bahwa sumber daya terlihat oleh semua prinsipal dengan siapa Anda telah berbagi, jalankan promote-resource-share-created-from-policy AWS RAM perintah di. AWS CLI

Membatalkan berbagi komponen, gambar, atau resep bersama

Untuk membatalkan berbagi komponen, gambar, atau resep bersama yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan AWS Resource Access Manager konsol atauAWS CLI.

catatan

Untuk membatalkan pembagian komponen, gambar, atau resep, konsumen tidak dapat memiliki ketergantungan apa pun padanya. Konsumen harus menghapus dependensi apa pun pada sumber daya bersama sebelum pemilik dapat membatalkan pembagiannya.

Untuk membatalkan berbagi komponen, gambar, atau resep bersama yang Anda miliki menggunakan konsol AWS Resource Access Manager

Lihat Memperbarui Sumber Daya Bersama di Panduan Pengguna AWS RAM.

Untuk membatalkan berbagi komponen, gambar, atau resep bersama yang Anda miliki menggunakan AWS CLI

Gunakan disassociate-resource-share perintah untuk berhenti berbagi sumber daya.

Mengidentifikasi komponen, gambar, atau resep bersama

Pemilik dan konsumen dapat mengidentifikasi komponen bersama, gambar, dan resep gambar menggunakan perintah Image Builder di fileAWS CLI.

Identifikasi komponen bersama

Jalankan perintah list-components untuk mendapatkan daftar komponen yang Anda miliki dan komponen yang dibagikan dengan Anda. Perintah get-component menunjukkan Akun AWS ID pemilik komponen.

Identifikasi gambar bersama

Jalankan perintah list-images untuk mendapatkan daftar gambar yang Anda miliki dan gambar yang dibagikan dengan Anda. Perintah get-image menunjukkan Akun AWS ID pemilik gambar.

Identifikasi gambar kontainer bersama

Jalankan perintah list-images untuk mendapatkan daftar gambar yang Anda miliki dan gambar yang dibagikan dengan Anda. Perintah get-image menunjukkan Akun AWS ID pemilik gambar.

Identifikasi resep gambar bersama

Jalankan list-image-recipesperintah untuk mendapatkan daftar resep gambar yang Anda miliki dan resep gambar yang dibagikan dengan Anda. get-image-recipePerintah menunjukkan Akun AWS ID pemilik resep gambar.

Identifikasi resep wadah bersama

Jalankan list-container-recipesperintah untuk mendapatkan daftar resep wadah yang Anda miliki dan resep wadah yang dibagikan dengan Anda. get-container-recipePerintah menunjukkan Akun AWS ID pemilik resep kontainer.

Izin komponen, gambar, dan resep bersama

Izin untuk pemilik

Pemilik tidak dapat menghapus resep komponen, gambar, atau gambar bersama hingga tidak lagi dibagikan. Pemilik tidak dapat membatalkan pembagian sumber daya ini sampai tidak ada konsumen yang bergantung padanya.

Izin untuk konsumen

Konsumen dapat membaca komponen, gambar, atau resep gambar, tetapi tidak dapat memodifikasinya dengan cara apa pun. Mereka tidak dapat melihat atau memodifikasi sumber daya ini jika dimiliki oleh konsumen lain atau pemilik sumber daya. Konsumen dapat menggunakan komponen dan gambar bersama dalam resep gambar untuk membuat gambar khusus. Konsumen dapat menggunakan resep gambar bersama untuk membuat gambar kustom mereka sendiri.

Tagihan dan pengukuran

Tidak ada biaya untuk menggunakan EC2 Image Builder.

Batas sumber daya

Komponen bersama, gambar, dan resep gambar dihitung terhadap batas sumber daya yang sesuai dari pemilik saja. Batas sumber daya konsumen tidak terpengaruh oleh sumber daya yang telah dibagikan dengan mereka.