管理与组织或 OU 共享的 AMI

查看共享 AMI 的企业和 OU

您可以使用 Amazon EC2 控制台或 AWS CLI 以检查您与哪些企业和 OU 共享了 AMI。

查看共享 AMI 的企业和 OU（控制台）

要检查您使用控制台与哪些企业和 OU 共享了 AMI

1. 通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择 AMI。

3. 在列表中选择您的 AMI，选择 Permissions（权限）选项卡，然后向下滚动到 Shared organizations/OUs（共享企业/OU）。

   要查找与您共享的 AMI，请参阅查找用于 Amazon EC2 实例的共享 AMI。

查看共享 AMI 的企业和 OU (AWS CLI)

您可以使用 describe-image-attribute 命令（AWS CLI）和 launchPermission 属性，检查您已与哪些组织和 OU 共享了您的 AMI。

要检查您使用 AWS CLI 与哪些企业和 OU 共享了 AMI

describe-image-attribute 命令描述指定 AMI 的 launchPermission 属性，并返回与其共享该 AMI 的组织和 OU。

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

响应示例

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}

与组织或 OU 共享 AMI

您可以使用 Amazon EC2 控制台或 AWS CLI 与企业或 OU 共享 AMI。

共享 AMI（控制台）

使用控制台与企业或 OU 共享 AMI

1. 通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择 AMI。

3. 在列表中选择您的 AMI，然后选择 Actions、然后选择 Edit AMI Permissions。

4. 在 AMI availability（AMI 可用性）下，选择 Private（私有）。

5. 在 Shared organizations/OUs（共享企业/OU）旁，选择 Add organization/OU ARN（添加企业/OU ARN）。

6. 对于 Organization/OU ARN（企业/OU ARN），输入要与之共享 AMI 的企业 ARN 或 OU ARN，然后选择 Share AMI（共享 AMI）。请注意，您必须指定完整 ARN，而不仅仅是 ID。

   要与多个企业或 OU 共享此 AMI，请重复此步骤，直至您添加完所需全部企业或 OU。

   注意

   您不需要为了共享 AMI 而共享 AMI 引用的 Amazon EBS 快照。只需共享 AMI 本身，系统自动为实例提供访问所引用 Amazon EBS 快照的权限以便启动。不过，您确实需要共享用于对 AMI 引用的快照加密的 KMS 密钥。有关更多信息，请参阅允许企业和 OU 使用 KMS 密钥。

7. 完成后，选择 Save changes (保存更改)。

8. （可选）要查看您已共享 AMI 的企业或 OU，请在列表中选择此 AMI，然后选择 Permissions（权限）选项卡，然后向下滚动到 Shared organizations/OUs（共享企业/OU）。要查找与您共享的 AMI，请参阅查找用于 Amazon EC2 实例的共享 AMI。

共享 AMI (AWS CLI)

使用 modify-image-attribute 命令（AWS CLI）共享 AMI。

使用 AWS CLI 与企业共享 AMI

modify-image-attribute 命令向指定组织授予指定 AMI 的启动权限。请注意，您必须指定完整 ARN，而不仅仅是 ID。

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"

使用 AWS CLI 与 OU 共享 AMI

modify-image-attribute 命令向指定 OU 授予指定 AMI 的启动许可。请注意，您必须指定完整 ARN，而不仅仅是 ID。

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"

注意

您不需要为了共享 AMI 而共享 AMI 引用的 Amazon EBS 快照。只需共享 AMI 本身，系统自动为实例提供访问所引用 Amazon EBS 快照的权限以便启动。不过，您确实需要共享用于对 AMI 引用的快照加密的 KMS 密钥。有关更多信息，请参阅允许企业和 OU 使用 KMS 密钥。

共享 AMI (Tools for Windows PowerShell)

使用 Edit-EC2ImageAttribute 命令（适用于 Windows PowerShell 的工具）共享 AMI，如以下示例所示。

与企业或 OU 共享 AMI

以下命令向指定企业授予指定 AMI 的启动许可。

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

注意

您不需要为了共享 AMI 而共享 AMI 引用的 Amazon EBS 快照。只需共享 AMI 本身，系统自动为实例提供访问所引用 Amazon EBS 快照的权限以便启动。不过，您确实需要共享用于对 AMI 引用的快照加密的 KMS 密钥。有关更多信息，请参阅 允许企业和 OU 使用 KMS 密钥。

停止与企业或 OU 共享 AMI

以下命令从指定企业中删除指定 AMI 的启动许可：

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

停止与所有组织、OU 和 AWS 账户 共享 AMI

以下命令从指定 AMI 中删除所有公用和显式启动许可。请注意，AMI 的拥有者始终具有启动许可，因此不受该命令影响。

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission

停止与组织或 OU 共享 AMI

您可以使用 Amazon EC2 控制台或 AWS CLI 停止与企业或 OU 共享 AMI。

停止共享 AMI（控制台）

使用控制台停止与企业或 OU 共享 AMI

1. 通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择 AMI。

3. 在列表中选择您的 AMI，然后选择 Actions、然后选择 Edit AMI Permissions。

4. 在 Shared organizations/OUs（共享企业/OU）下，选择要停止共享 AMI 的企业或 OU，然后选择 Remove selected（删除所选）。

5. 完成后，选择 Save changes (保存更改)。

6. （可选）要确认您已停止与企业或 OU 共享 AMI，请在列表中选择此 AMI，然后选择 Permissions（权限）选项卡，然后向下滚动到 Shared organizations/OUs（共享企业/OU）。

停止共享 AMI (AWS CLI)

使用 modify-image-attribute 或 reset-image-attribute 命令 (AWS CLI) 停止共享 AMI。

使用 AWS CLI 停止与企业或 OU 共享 AMI

modify-image-attribute 命令从指定企业中删除指定 AMI 的启动许可。请注意，您必须指定 ARN。

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"

使用 AWS CLI 停止与所有组织、OU 和 AWS 账户 共享 AMI

reset-image-attribute 命令从指定 AMI 中移除所有公共和显式启动权限。请注意，AMI 的拥有者始终具有启动许可，因此不受该命令影响。

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

注意

如果某个特定账户位于您与之共享 AMI 的企业或 OU 中，则您无法停止与该账户共享 AMI 如果您尝试通过删除账户的启动许可来停止共享 AMI，Amazon EC2 将返回成功消息。但是，AMI 将继续与账户共享。