Tornar um AMI pública
Você pode tornar sua AMI disponível publicamente compartilhando-a com todos os Contas da AWS.
Se você quiser impedir o compartilhamento público de suas AMIs, você pode habilitar o bloqueio de acesso público para AMIs. Isso bloqueia qualquer tentativa de tornar uma AMI pública, ajudando a evitar acesso não autorizado e possível uso indevido dos dados da AMI. Observe que habilitar o bloqueio de acesso público não afeta as AMIs que já estão publicamente disponíveis; elas permanecem publicamente acessíveis.
Para permitir que apenas contas específicas usem sua AMI para iniciar instâncias, consulte Compartilhar uma AMI com contas específicas da AWS.
Tópicos
Considerações
Considere as informações a seguir antes de tornar uma AMI pública.
-
Propriedade: para tornar uma AMI pública, sua Conta da AWS deve ser proprietária da AMI.
-
Region: as AMIs são um recurso regional. Quando você compartilha uma AMI, ela só está disponível na região de onde foi compartilhada. Para disponibilizar uma AMI em uma região diferente, copie a AMI para a região e compartilhe-a. Para ter mais informações, consulte Copiar um AMI.
-
Bloquear o acesso público — Para compartilhar publicamente uma AMI, o bloqueio do acesso público para AMIs deve ser desativado em cada região na qual a AMI será compartilhada publicamente. Depois de compartilhar publicamente a AMI, você pode reativar o bloqueio do acesso público para AMIs para evitar mais compartilhamentos públicos de suas AMIs.
-
Algumas AMIs não podem ser tornadas públicas: se sua AMI tiver um dos seguintes componentes, você não poderá torná-la pública (mas poderá compartilhar a AMI com Contas da AWS específicas):
-
Volumes criptografados
-
Snapshots de volumes criptografados
-
Códigos do produto
-
-
Evite a exposição de dados confidenciais: para evitar expor dados confidenciais ao compartilhar uma AMI, leia as considerações de segurança em Diretrizes para AMIs em Linux compartilhadas e siga as ações recomendadas.
-
Uso: quando você compartilha uma AMI, os usuários podem apenas iniciar instâncias pela AMI. Eles não podem excluí-la, compartilhá-la nem modificá-la. Porém, após iniciarem uma instância usando sua AMI, poderão criar uma AMI com base na instância que iniciaram.
-
Descontinuação automática: por padrão, a data de descontinuação de todas as AMIs públicas é definida como dois anos após a data de criação da AMI. É possível definir a data de descontinuação para antes de dois anos. Para cancelar a data de descontinuação ou adiá-la para uma data posterior, você deve tornar a AMI privada compartilhando-a somente com Contas da AWS específicas.
-
Remoção de AMIs obsoletas: depois que uma AMI pública atinge a data de descontinuação, se novas instâncias não forem iniciadas usando a AMI por seis meses ou mais, a AWS eventualmente remove a propriedade de compartilhamento público para que as AMIs obsoletas não apareçam nas listas de AMI públicas.
-
Faturamento: você não é cobrado quando sua AMI é usada por outras Contas da AWS para executar instâncias. As contas que iniciam instâncias usando a AMI são cobradas pelas instâncias que iniciam.
Compartilhe uma AMI com todas as AWS contas (compartilhe publicamente)
Depois de tornar uma AMI pública, ela fica disponível nas AMIs da comunidade no console, que você pode acessar no catálogo da AMI no navegador esquerdo do console do EC2 ou ao iniciar uma instância usando o console. Observe que pode demorar um pouco para a AMI aparecer em AMIs da comunidade depois de você torná-la pública.
Bloqueie o acesso público às suas AMIs
Para impedir o compartilhamento público de suas AMIs, você pode habilitar o bloqueio de acesso público para AMIs. Essa configuração é ativada no nível da conta, mas você precisa habilitá-la Região da AWS em cada uma das quais quiser impedir o compartilhamento público de suas AMIs.
Quando o bloqueio de acesso público está habilitado, qualquer tentativa de tornar uma AMI pública é automaticamente bloqueada. No entanto, se você já tiver AMIs públicas, elas permanecerão disponíveis publicamente.
Se você quiser compartilhar publicamente as AMIs, precisará desativar o bloqueio do acesso público. Quando você terminar de compartilhar, é uma prática recomendada reabilitar o bloqueio de acesso público para evitar qualquer compartilhamento público não intencional das suas AMIs.
Você pode restringir as permissões do IAM a um usuário administrador para que apenas essa pessoa possa habilitar ou desabilitar o bloqueio de acesso público para AMIs.
Tópicos
Configurações padrão
A configuração Bloquear acesso público para AMIs está habilitada ou desabilitada por padrão, dependendo se sua conta for nova ou existente e se você tem AMIs públicas. A tabela abaixo mostra as configurações padrão:
AWS account | Configuração padrão de bloquear acesso público para AMIs |
---|---|
Novas contas | Habilitado |
Contas existentes sem AMIs públicas¹ |
Habilitado |
Contas existentes com um ou mais AMIs públicas |
Desabilitado |
¹ Se sua conta tinha uma ou mais AMIs públicas em ou após 15 de julho de 2023, a opção Bloquear acesso público para AMIs estará desabilitada por padrão, mesmo que você tenha posteriormente tornado todas as AMIs privadas.
Permissões obrigatórias do IAM
Para usar o bloqueio de acesso público para AMIs, você deve ter as seguintes permissões do IAM:
-
EnableImageBlockPublicAccess
-
DisableImageBlockPublicAccess
-
GetImageBlockPublicAccessState
Habilite o bloqueio de acesso público para AMIs
Para evitar o compartilhamento público de suas AMIs, habilite o bloqueio de acesso público para AMIs no nível da conta. Você deve habilitar o bloqueio de acesso público para AMIs em cada Região da AWS na qual deseja evitar o compartilhamento público das suas AMIs. Se você já tiver AMIs públicas, elas permanecerão disponíveis publicamente.
Desabilite o bloqueio de acesso público para AMIs
Para permitir que os usuários da sua conta compartilhem publicamente suas AMIs, desative o bloqueio do acesso público no nível da conta. Você deve desabilitar o bloqueio de acesso público para AMIs em cada Região da AWS na qual deseja permitir o compartilhamento público das suas AMIs.
Veja o estado do bloqueio de acesso público para AMIs
Para ver se o compartilhamento público de suas AMIs está bloqueado em sua conta, você pode ver o estado do bloqueio de acesso público para AMIs. Você deve visualizar o estado em cada um Região da AWS no qual deseja ver se o compartilhamento público de suas AMIs está bloqueado.