Identifica le tue risorse facendo riferimento a quanto specificato AMIs - Amazon Elastic Compute Cloud
Risorse supportateCome funzionano i controlli di riferimento AMIAutorizzazioni IAM richiestePassaggi per verificare i riferimenti AMI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identifica le tue risorse facendo riferimento a quanto specificato AMIs

Puoi identificare AWS le tue risorse che fanno riferimento ad Amazon Machine Images (AMIs) specificate, indipendentemente dal fatto che AMIs siano pubbliche o private o da chi le possiede. Questa visibilità ti aiuta a garantire che le tue risorse utilizzino le più recenti normative AMIs.

Vantaggi principali

La verifica dei riferimenti AMI ti aiuta a:

  • Verifica l'utilizzo di AMIs nel tuo account.

  • Controlla dove si fa riferimento a qualcosa di specifico AMIs .

  • Mantieni la conformità aggiornando le tue risorse in modo che facciano riferimento alle ultime novitàAMIs.

 

Risorse supportate

I riferimenti AMI possono essere controllati in:

  • EC2 istanze

  • Modelli di avvio

  • Parametri SSM

  • Ricette di immagini Image Builder

  • Ricette per contenitori Image Builder

Come funzionano i controlli di riferimento AMI

Funzionamento di base

Quando esegui un controllo di riferimento AMI, tu:

  • Specificate quale AMIs controllare.

  • Scegli quali tipi di risorse scansionare.

  • Ricevi un elenco delle tue risorse che fanno riferimento a quanto specificato AMIs.

Selezione del tipo di risorsa

Nella console, si selezionano i tipi di risorse da scansionare.

Nella CLI, si specificano i tipi di risorse da scansionare utilizzando uno o entrambi i seguenti parametri CLI:

  • IncludeAllResourceTypes: analizza tutti i tipi di risorse supportati.

  • ResourceTypes: esegue la scansione dei tipi di risorse specificati.

Ambito della risposta

È possibile definire l'ambito della risposta per EC2 le istanze e avviare i modelli personalizzando ResourceTypeOptions i valori utilizzando il parametro. ResourceTypes La console e il IncludeAllResourceTypes parametro utilizzano entrambi i valori delle opzioni predefiniti. Se ResourceTypes e IncludeAllResourceTypes vengono utilizzati insieme, i valori delle ResourceTypes opzioni hanno la precedenza sui valori predefiniti.

I valori predefiniti sono i seguenti:

Tipo di risorsa Opzione Scoping () OptionName Scopo Valori predefiniti per una OptionValue console
EC2 istanze state-name Filtra per stato dell'istanza pending,running,shutting-down,terminated,stopping, stopped (tutti gli stati)
Modelli di avvio version-depth Specificate il numero di versioni del modello di avvio da controllare (a partire dalla versione più recente) 10(versioni più recenti)

Autorizzazioni IAM richieste

Per utilizzare l'DescribeImageReferencesAPI per identificare le risorse con riferimento specificato AMIs, sono necessarie le seguenti autorizzazioni IAM per descrivere le risorse:

  • ec2:DescribeInstances

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • ssm:DescribeParameters

  • ssm:GetParameters

  • imagebuilder:ListImageRecipes

  • imagebuilder:ListContainerRecipes

  • imagebuilder:GetContainerRecipe

Esempio di policy IAM per l'utilizzo dell'API DescribeImageReferences

La seguente politica di esempio concede le autorizzazioni per utilizzare l'DescribeImageReferencesAPI, che include le autorizzazioni per descrivere EC2 istanze, modelli di avvio, parametri di Systems Manager, ricette di immagini Image Builder e ricette di contenitori Image Builder.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
Importante

Si consiglia vivamente di utilizzare la policy AWS gestita AmazonEC2ImageReferencesAccessPolicyanziché crearla autonomamente. La creazione di una policy IAM personalizzata che fornisca solo le autorizzazioni richieste richiede tempo ed esperienza e richiederà aggiornamenti non appena saranno disponibili nuovi tipi di risorse.

La politica AmazonEC2ImageReferencesAccessPolicy gestita:

  • Concede tutte le autorizzazioni necessarie per utilizzare l'DescribeImageReferencesAPI (tra cui le autorizzazioni per descrivere EC2 istanze, modelli di avvio, parametri di Systems Manager e ricette di immagini e contenitori Image Builder).

  • Supporta automaticamente nuovi tipi di risorse non appena diventano disponibili (particolarmente importante quando si utilizza il parametro). IncludeAllResourceTypes

Puoi collegare la AmazonEC2ImageReferencesAccessPolicy policy alle tue identità IAM (utenti, gruppi e ruoli).

Per visualizzare le autorizzazioni incluse in questa policy, consulta AmazonEC2ImageReferencesAccessPolicyil AWS Managed Policy Reference.

Passaggi per verificare i riferimenti AMI

Utilizzate le seguenti procedure per identificare a quali AWS risorse si riferisce il riferimento specificato AMIs.

Console
Per identificare le risorse che fanno riferimento a quelle specificate AMIs

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli AMIs.

  3. Selezionane uno o più AMIs per verificare la presenza di riferimenti.

  4. Scegli Azioni, Utilizzo AMI, Visualizza risorse di riferimento.

  5. Nella pagina Visualizza risorse che fanno riferimento a una selezione AMIs:

    1. Per Tipi di risorse, selezionare uno o più tipi di risorse.

    2. Scegli Visualizza risorse.

  6. Viene visualizzata la AMIs sezione Risorse che fanno riferimento alla selezione. L'elenco mostra le risorse che fanno riferimento a quanto specificato. AMIs Ogni riga fornisce le seguenti informazioni:

    • ID AMI: l'ID dell'AMI di riferimento.

    • Tipo di risorsa: il tipo di risorsa che fa riferimento all'AMI.

    • ID risorsa: l'ID della risorsa che fa riferimento all'AMI.

AWS CLI
Per controllare i riferimenti AMI per tipi di risorse specifici

Utilizzate il describe-image-referencescomando con il --resource-types parametro. L'esempio seguente controlla EC2 le istanze (ambito per stato dell'istanza), i modelli di avvio (con riferimento alle 20 versioni più recenti dei modelli di lancio) e altri tipi di risorse specifici.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'

Di seguito è riportato un output di esempio.

{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
Per controllare i riferimenti AMI per tutti i tipi di risorse supportati

Utilizzate il describe-image-referencescomando con il --include-all-resource-types parametro.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
Per controllare i riferimenti AMI per tutti i tipi di risorse supportati e le opzioni specifiche

Utilizzate il describe-image-referencescomando con entrambi i --resource-types parametri --include-all-resource-types and. Questo esempio controlla tutti i tipi di risorse mentre definisce l'ambito della risposta delle istanze alle EC2 istanze in esecuzione o in sospeso.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
PowerShell
Per controllare i riferimenti AMI per tipi di risorse specifici

Utilizzare il Get-EC2ImageReferencecmdlet con il -ResourceType parametro. L'esempio seguente controlla EC2 le istanze (ambito per stato dell'istanza), i modelli di avvio (con riferimento alle 20 versioni più recenti dei modelli di lancio) e altri tipi di risorse specifici.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
Per controllare i riferimenti AMI per tutti i tipi di risorse supportati

Utilizzare il Get-EC2ImageReferencecmdlet con il -IncludeAllResourceTypes parametro.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
Per controllare i riferimenti AMI per tutti i tipi di risorse supportati e le opzioni specifiche

Utilizzare il Get-EC2ImageReferencecmdlet con entrambi i parametri -IncludeAllResourceTypes and-ResourceType. Questo esempio controlla tutti i tipi di risorse mentre definisce l'ambito della risposta per le istanze alle EC2 istanze in esecuzione o in sospeso.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )