Condivisione di un'AMI con organizzazioni o unità organizzative specifiche - Amazon Elastic Compute Cloud
ConsiderazioniConsentire a organizzazioni e unità organizzative di utilizzare una chiave KMSCondivisione di un'AMIInterruzione della condivisione di un'AMIVisualizzazione delle organizzazioni e delle unità organizzative con cui è condivisa un'AMIOttenimento dell'ARN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione di un'AMI con organizzazioni o unità organizzative specifiche

AWS Organizationsè un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione creata e gestita centralmente. È possibile condividere un'AMI con un'organizzazione o un'unità organizzativa (UO) creata, oltre a condividerla con account specifici.

Un'organizzazione è un'entità che viene creata per consolidare e gestire centralmente i propri Account AWS. È possibile organizzare gli account in una struttura gerarchica strutturata ad albero con una radice nella parte superiore e unità organizzative sotto la radice dell'organizzazione. Ogni account può essere aggiunto direttamente alla radice o essere inserito in una delle UO nella gerarchia. Per ulteriori informazioni, consultare AWS Organizations terminology and concepts (Concetti e terminologia di AWS Organizations Organizations) nella Guida per l'utente di .

Quando un'AMI viene condivisa con un'organizzazione o un'unità organizzativa, tutti gli account figlio hanno accesso all'AMI. Ad esempio, nel diagramma seguente, l'AMI viene condivisa con un'unità organizzativa di primo livello (indicata dalla freccia sul numero 1). Anche tutte le unità organizzative e gli account nidificati sotto l'unità organizzativa di primo livello (indicata dalla linea tratteggiata sul numero 2) avranno accesso all'AMI. Gli account dell'organizzazione e dell'unità organizzativa al di fuori della linea tratteggiata (indicati dal numero 3) non avranno accesso all'AMI perché non sono figli dell'UO con cui l'AMI è condivisa.

L'AMI è condivisa con un'unità organizzativa e tutte le unità organizzative e gli account figli avranno accesso all'AMI.

Considerazioni

Considera le informazioni seguenti durante la condivisione delle AMI con organizzazioni o unità organizzative specifiche.

  • Proprietà: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.

  • Limiti di condivisione: il proprietario dell'AMI può condividere un'AMI con qualsiasi organizzazione o unità organizzativa, incluse le organizzazioni e le unità organizzative di cui non è membro.

    Per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le quote di servizio di Amazon EC2.

  • Tag: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessuna Account AWS organizzazione o unità organizzativa con cui è condiviso l'AMI.

  • Formato ARN: quando si specifica un'organizzazione o un'unità organizzativa in un comando, assicurarsi di utilizzare il formato ARN corretto. Se si specifica solo l'ID, ad esempio se si specifica solo o-123example o ou-1234-5example, viene restituito un errore.

    Formati ARN corretti:

    • ARN dell'organizzazione: arn:aws:organizations::account-id:organization/organization-id

    • ARN dell'unità organizzativa: arn:aws:organizations::account-id:ou/organization-id/ou-id

    Dove:

    • account-id è il numero dell'account di gestione a 12 cifre, ad esempio, 123456789012. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione o l'unità organizzativa in modo da ottenere l'ARN, che include il numero dell'account di gestione. Per ulteriori informazioni, consulta Ottenimento dell'ARN.

    • organization-id è l'ID dell'organizzazione, ad esempio, o-123example.

    • ou-id è l'ID dell'unità organizzativa, ad esempio, ou-1234-5example.

    Per ulteriori informazioni sul formato degli ARN, consulta Amazon Resource Names (ARNs) nella IAM User Guide.

  • Crittografia e chiavi: puoi condividere le AMI supportate da snapshot non crittografati e crittografati.

    • Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non puoi condividere AMI supportate da istantanee crittografate con la chiave gestita predefinita. AWS

    • Se condividi un'AMI supportata da istantanee crittografate, devi consentire alle organizzazioni o alle unità organizzative di utilizzare le chiavi gestite dal cliente utilizzate per crittografare le istantanee. Per ulteriori informazioni, consulta Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS.

  • Regione: le AMI sono una risorsa basata sulla regione. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta Copiare un'AMI.

  • Utilizzo: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.

  • Fatturazione: non ti viene addebitato alcun costo quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.

Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS

Se condividi un'AMI supportata da istantanee crittografate, devi inoltre consentire alle organizzazioni o alle unità organizzative di utilizzare AWS KMS keys quelle utilizzate per crittografare le istantanee.

Utilizzate le aws:PrincipalOrgPaths chiavi aws:PrincipalOrgID and per confrontare il AWS Organizations percorso del principale che effettua la richiesta con il percorso indicato nella policy. Tale principale può essere un utente, un ruolo IAM, un utente federato o un utente Account AWS root. In una policy, questa chiave di condizione garantisce che il richiedente sia un membro dell'account all'interno della root dell'organizzazione specificata o delle unità organizzative (UO) in AWS Organizations. Per altri esempi di istruzioni delle condizioni, consulta aws:PrincipalOrgID e aws:PrincipalOrgPaths nella Guida per l'utente di IAM.

Per informazioni sulla modifica di una politica chiave, consulta Consentire agli utenti di altri account di utilizzare una chiave KMS nella Guida per gli AWS Key Management Service sviluppatori.

Per concedere a un'organizzazione o un'unità organizzativa l'autorizzazione a utilizzare una chiave KMS, aggiungere la seguente istruzione alla policy di chiavi.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Per condividere una chiave KMS con più unità organizzative, è possibile utilizzare una policy simile a quella riportata nell'esempio seguente.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}

Condivisione di un'AMI

Puoi utilizzare la console Amazon EC2 o AWS CLI condividere un'AMI con un'organizzazione o un'unità organizzativa.

Condivisione di un'AMI (console)

Come condividere un'AMI con un'organizzazione o una unità organizzativa tramite console

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere AMIs (AMI).

  3. Seleziona l'AMI nell'elenco e scegli Actions (Operazioni), quindi Edit AMI permissions (Modifica autorizzazioni AMI).

  4. In AMI availability (Disponibilità AMI), scegliere Private (Privato).

  5. Accanto a Shared organizations/OUs (Organizzazioni condivise/OUS), scegliere Add organization/OU ARN (Aggiungi ARN organizzazione/OU).

  6. Per Organization/OU ARN (Organizzazione/OU ARN), inserire l'ARN o l'ARN OU dell'organizzazione con cui condividere l'AMI, quindi scegliere Share AMI (Condivisione di AMI). È necessario specificare l'ARN completo, non solo l'ID.

    Per condividere questa AMI con più utenti, ripetere questa fase fino a quando non sono stati aggiungere tutte le organizzazioni o unità organizzative (OU) desiderate.

    Nota

    Per condividere l'AMI, non è necessario condividere gli snapshot Amazon EBS a cui l'AMI fa riferimento. Occorre condividere soltanto l'AMI; il sistema fornisce automaticamente all'istanza l'accesso agli snapshot Amazon EBS a cui viene fatto riferimento per l'avvio. Tuttavia, è necessario condividere le chiavi KMS utilizzate per crittografare le istantanee a cui fa riferimento l'AMI. Per ulteriori informazioni, consulta Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS.

  7. Al termine, scegli Save changes (Salva modifiche).

  8. (Facoltativo) per visualizzare le organizzazioni o le unità organizzative con le quali è stata condivisa l'AMI, selezionare l'AMI nell'elenco, scegliere la scheda Permissions (Autorizzazioni) e scorrere verso il basso fino a Shared organizations/OUs (Organizzazioni condivise/OU). Per cercare le AMI che altri hanno condiviso con te, consulta Trovare AMI condivise.

Condividere un'AMI (AWS CLI)

Usa il comando modify-image-attribute (AWS CLI) per condividere un'AMI.

Per condividere un'AMI con un'organizzazione utilizzando AWS CLI

Il comando modify-image-attribute concede all'organizzazione specificata le autorizzazioni di avvio per l'AMI selezionata. È necessario specificare l'ARN completo, non solo l'ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Per condividere un'AMI con un'unità organizzativa utilizzando AWS CLI

Il modify-image-attributecomando concede le autorizzazioni di avvio per l'AMI specificato all'unità organizzativa specificata. È necessario specificare l'ARN completo, non solo l'ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
Nota

Per condividere l'AMI, non è necessario condividere gli snapshot Amazon EBS a cui l'AMI fa riferimento. Occorre condividere soltanto l'AMI; il sistema fornisce automaticamente all'istanza l'accesso agli snapshot Amazon EBS a cui viene fatto riferimento per l'avvio. Tuttavia, è necessario condividere le chiavi KMS utilizzate per crittografare snapshot a cui l'AMI fa riferimento. Per ulteriori informazioni, consulta Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS.

Interruzione della condivisione di un'AMI

Puoi utilizzare la console Amazon EC2 o interrompere la condivisione AWS CLI di un'AMI con un'organizzazione o un'unità organizzativa.

Interruzione della condivisione di un'AMI (console)

Come condividere un'AMI con un'organizzazione o una unità organizzativa tramite console

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere AMIs (AMI).

  3. Selezionare l'AMI nell'elenco e scegli Actions (Operazioni), quindi Edit AMI permissions (Modifica autorizzazioni AMI).

  4. In Shared organizations/OUs (Organizzazioni condivise/OUs), selezionare le organizzazioni o le unità organizzative con cui si desideri interrompere la condivisione dell'AMI, quindi scegliere Remove selected (Rimuovi selezionati).

  5. Al termine, scegli Save changes (Salva modifiche).

  6. (Facoltativo) per confermare l'interruzione della condivisione dell'AMI con le organizzazioni o le unità organizzative, selezionare l'AMI nell'elenco, scegliere la scheda Permissions (Autorizzazioni) e scorrere verso il basso fino a Shared organizations/OUs (Organizzazioni condivise/OU).

Interruzione della condivisione di un'AMI (AWS CLI)

Usa i reset-image-attributecomandi modify-image-attributeo (AWS CLI) per interrompere la condivisione di un AMI.

Per interrompere la condivisione di un AMI con un'organizzazione o un'unità organizzativa, utilizzare AWS CLI

Il modify-image-attributecomando rimuove le autorizzazioni di avvio per l'AMI specificato dall'organizzazione specificata. È necessario specificare l'ARN.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Per interrompere la condivisione di un'AMI con tutte le organizzazioni, le unità organizzative e l' Account AWS utilizzo di AWS CLI

Il comando reset-image-attribute consente di rimuovere dall'AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
Nota

Non è possibile interrompere la condivisione di un'AMI con un account specifico se si trova in un'organizzazione o in una unità organizzativa con cui è condivisa un'AMI. Se si prova a interrompere la condivisione dell'AMI rimuovendo le autorizzazioni di avvio per l'account, Amazon EC2 restituirà un messaggio di riuscita dell'operazione. Tuttavia, l'AMI continuerà a essere condivisa con l'account.

Visualizzazione delle organizzazioni e delle unità organizzative con cui è condivisa un'AMI

Puoi utilizzare la console Amazon EC2 o la AWS CLI per verificare con quali organizzazioni e unità organizzative hai condiviso la tua AMI.

Visualizzazione delle organizzazioni e delle unità organizzative con cui è condivisa un'AMI (console)

Per verificare con quali organizzazioni e unità organizzative l'AMI è stata condivisa tramite la console

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere AMIs (AMI).

  3. Selezionare l'AMI dall'elenco, scegliere la scheda Permissions (Autorizzazioni) e scorrere verso il basso fino a Shared organizations/OUs (Organizzazioni condivise/OU).

    Per cercare le AMI che altri hanno condiviso con te, consulta Trovare AMI condivise.

Visualizzazione delle organizzazioni e delle unità organizzative con cui è condivisa un'AMI (AWS CLI)

Puoi verificare con quali organizzazioni e unità organizzative l'AMI è stata condivisa utilizzando il comando describe-image-attribute (AWS CLI) e l'attributo launchPermission.

Per verificare con quali organizzazioni e unità organizzative hai condiviso la tua AMI utilizzando AWS CLI

Il comando describe-image-attribute descrive l'attributo launchPermission per l'AMI specificata e restituisce le organizzazioni e le unità organizzative l'AMI è stata condivisa.

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

Example response

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}

Ottenimento dell'ARN

Gli ARN delle organizzazioni e delle unità organizzative contengono il numero di account di gestione a 12 cifre. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione e l'unità organizzativa in modo da ottenere l'ARN. Negli esempi seguenti,123456789012 è il numero dell'account di gestione.

Prima di poter ottenere gli ARN, occorre possedere l'autorizzazione per descrivere le organizzazioni e le unità organizzative. La seguente policy fornisce l'autorizzazione necessaria.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
Come ottenere l'ARN di un'organizzazione

Utilizza il comando describe-organization e il parametro --query impostato su 'Organization.Arn' per restituire solo l'ARN dell'organizzazione.

aws organizations describe-organization --query 'Organization.Arn'

Example response

"arn:aws:organizations::123456789012:organization/o-123example"
Come ottenere l'ARN di una unità organizzativa

Utilizza il comando describe-organizational-unit, specifica l'ID UO e imposta il parametro --query su 'OrganizationalUnit.Arn' per restituire solo l'ARN dell'unità organizzativa.

aws organizations describe-organizational-unit --organizational-unit-id ou-1234-5example --query 'OrganizationalUnit.Arn'

Example response

"arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example"