Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Amazon Machine Images in Amazon EC2 Ein Amazon Machine Image (AMI) ist ein Image, das die Software bereitstellt, die zum Einrichten und Booten einer Amazon-EC2-Instance erforderlich ist. Jedes AMI enthält auch eine Blockgerät-Zuweisung, die angibt, welche Blockgeräte an die von Ihnen gestarteten Instances angeschlossen werden sollen. Beim Starten einer Instance müssen Sie ein AMI angeben. Das AMI muss mit dem Instance-Typ kompatibel sein, den Sie für Ihre Instance gewählt haben. Sie können ein von bereitgestelltes AMI AWS, ein öffentliches AMI, ein AMI, das eine andere Person mit Ihnen geteilt hat, oder ein AMI verwenden, das Sie bei der gekauft haben AWS Marketplace. Ein AMI ist spezifisch für Folgendes: + Region + Betriebssystem + Prozessorarchitektur + Root-Volume-Typ + Virtualisierungstyp Sie können mehrere Instances aus einem einzigen AMI starten, wenn Sie mehrere Instances mit derselben Konfiguration benötigen. Sie können verschiedene Instances verwenden AMIs , um Instances zu starten, wenn Sie Instances mit unterschiedlichen Konfigurationen benötigen, wie in der folgenden Abbildung dargestellt. ![\[Starten Sie mehrere Instances von einem AMI.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/launch-from-ami.png) Sie können ein AMI aus Ihren Amazon-EC2-Instances erstellen und es dann verwenden, um Instances mit derselben Konfiguration zu starten. Sie können ein AMI in eine andere AWS Region kopieren und es dann verwenden, um Instances in dieser Region zu starten. Sie können ein von Ihnen erstelltes AMI auch mit anderen Konten teilen, sodass diese Instances mit derselben Konfiguration starten können. Sie können Ihr AMI mit dem verkaufen AWS Marketplace. **Topics** + [AMI-Eigenschaften](ComponentsAMIs.md) + [Suchen eines AMI](finding-an-ami.md) + [Bezahlt AMIs im AWS Marketplace](paid-amis.md) + [AMI-Lebenszyklus](ami-lifecycle.md) + [Startmodi](ami-boot.md) + [AMI-Verschlüsselung](AMIEncryption.md) + [Geteilt AMIs](sharing-amis.md) + [Überwachen Sie AMI-Ereignisse](monitor-ami-events.md) + [Verstehen der AMI-Fakturierung](ami-billing-info.md) + [AMI-Kontingente](ami-quotas.md) # AMI-Typen und -Eigenschaften in Amazon EC2 Wenn Sie eine Instance starten, muss das von Ihnen gewählte AMI mit dem von Ihnen gewählten Instance-Typ kompatibel sein. Sie können ein AMI aufgrund der folgenden Merkmale auswählen: + [Region](using-regions-availability-zones.md) + Betriebssystem + Prozessorarchitektur + [Startberechtigungen](#launch-permissions) + [Root-Volume-Typ](#storage-for-the-root-device) + [Virtualisierungstypen](#virtualization_types) ## Startberechtigungen Startberechtigungen legen fest, wer ein AMI zum Starten von Instances verwenden kann. Sie können sich Startberechtigungen wie die [gemeinsame Nutzung eines AMI](sharing-amis.md) vorstellen – wenn Sie Startberechtigungen erteilen, teilen Sie das AMI mit anderen Benutzern. Nur der Eigentümer eines AMI kann dessen Verfügbarkeit durch Vergabe von Startberechtigungen festlegen. Startberechtigungen lassen sich in die folgenden Kategorien einteilen. | Startberechtigung | Beschreibung | | --- | --- | | öffentlich | Der Besitzer erteilt allen AWS Konten Startberechtigungen. | | explizit | Der Besitzer erteilt bestimmten AWS Konten, Organisationen oder Organisationseinheiten Startberechtigungen (OUs). | | implizit | Der Eigentümer hat implizite Startberechtigungen für ein AMI. | Amazon und die Amazon EC2 EC2-Community bieten eine große Auswahl an öffentlichen AMIs Nutzern. Weitere Informationen finden Sie unter [Grundlegendes zur gemeinsamen AMI-Nutzung in Amazon EC2](sharing-amis.md). Entwickler können für ihre AMIs Gebühren Gebühren erheben. Weitere Informationen finden Sie unter [Bezahlt AMIs in der AWS Marketplace für Amazon EC2 EC2-Instances](paid-amis.md). ## Root-Volume-Typ Alle AMIs werden entweder als *von Amazon EBS* oder *von Amazon S3 unterstützt* eingestuft. + Amazon-EBS-gestütztes AMI – Das Root-Volume für eine Instance, die über das AMI gestartet wird, ist ein Amazon Elastic Block Store (Amazon EBS)-Volume, das aus einem Amazon-EBS-Snapshot erstellt wird. Wird sowohl für Linux als auch für Windows AMIs unterstützt. + Amazon-S3-gestütztes AMI – Das Root-Volume für eine Instance, die über das AMI gestartet wird, ist ein Instance-Speicher-Volume, das aus einer in Amazon S3 gespeicherten Vorlage erstellt wird. Wird AMIs nur für Linux unterstützt. Windows unterstützt AMIs keinen Instance-Speicher für das Root-Volume. Weitere Informationen finden Sie unter [Root-Volumes für Ihre Amazon-EC2-Instances](RootDeviceStorage.md). **Anmerkung** Amazon S3-gestützte Produkte AMIs gelten als Ende ihrer Nutzungsdauer und werden nicht für eine neue Verwendung empfohlen. Sie werden nur auf den folgenden älteren Instance-Typen unterstützt: C1, C3, D2, I2, M1, M2, M3, R3 und X1. In der folgenden Tabelle sind die wichtigen Unterschiede bei der Verwendung der beiden Typen von zusammengefasst. AMIs | Merkmal | Amazon EBS-Backed AMI | Amazon-S3-gestütztes AMI | | --- | --- | --- | | Root-Volume | EBS-Volume | Instance-Speicher-Volume | | Startzeit für eine Instance | Normalerweise unter 1 Minute | Normalerweise unter 5 Minuten | | Datenpersistenz | Das Root-Volume wird standardmäßig gelöscht, wenn die Instance beendet wird.\$1 Daten auf alle anderen EBS-Volumes nach Beendigung der Instance erhalten. | Daten auf Instance-Speicher-Volumes bleiben nur während der Lebensdauer der Instance erhalten. | | Angehaltener Zustand | Kann sich in einem angehaltenen Zustand befinden. Selbst wenn die Instance angehalten ist und nicht ausgeführt wird, wird das Root-Volume in Amazon EBS dauerhaft gespeichert. | Darf nicht im angehaltenen Status sein; Instances werden ausgeführt oder wurden beendet | | Modifikationen | Instance-Typ, Kernel, RAM-Datenträger und Benutzerdaten können geändert werden, während die Instance gestoppt ist. | Instance-Attribute sind über die Lebensdauer einer Instance festgelegt. | | Gebühren | Ihnen wird die Instance-Nutzung, EBS-Volume-Nutzung und das Speichern Ihres AMI als EBS-Snapshot berechnet. | Ihnen wird die Instance-Nutzung und das Speichern Ihres AMI in Amazon S3 berechnet. | | AMI-Erstellung/-Bündelung | Verwendet einen einzelnen Befehl/Aufruf | Erfordert Installation und Verwendung von AMI-Tools | \$1 Standardmäßig ist das Flag `DeleteOnTermination` für EBS-Root-Volumes auf `true` gesetzt. Weitere Informationen zum Ändern dieses Flags, so dass das Volume nach der Beendigung erhalten bleibt, finden Sie unter [Behalten Sie ein Amazon-EBS-Root-Volume nach dem Beenden einer Amazon-EC2-Instance](configure-root-volume-delete-on-termination.md). \$1\$1 Nur unterstützt mit `io2`-EBS Block Express. Weitere Informationen finden Sie unter [Bereitgestellte-IOPS-SSD-Block-Express-Volumes](https://docs.aws.amazon.com/ebs/latest/userguide/provisioned-iops.html#io2-block-express) im *Amazon-EBS-Benutzerhandbuch.* # Identifizieren Sie den Root-Volume-Typ, der von Ihrem AMI bestimmt wird Das AMI, das Sie zum Starten einer EC2-Instance verwenden, bestimmt den Typ des Root-Volumes. Das Root-Volume einer EC2-Instance ist entweder ein EBS-Volume oder ein Instance-Speicher-Volume. [Nitro-basierte Instances](instance-types.md#instance-hypervisor-type) unterstützen nur EBS-Root-Volumes. Die folgenden Instance-Typen der vorherigen Generration sind die einzigen, die Instance-Speicher Root-Volumes unterstützen: C1, C3, D2, I2, M1, M2, M3, R3 und X1. ------ #### [ Console ] **So identifizieren Sie den Root-Volume-Typ, der von einem AMI bestimmt wird** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen **AMIs**Sie im Navigationsbereich das AMI aus und wählen Sie es aus. 1. Prüfen Sie auf der Registerkarte **Details** den Wert unter **Root-Gerätetyp** wie folgt: + `ebs` – Instances, die über dieses AMI gestartet werden, erhalten ein EBS-Root-Volume + `instance store` – Instances, die über dieses AMI gestartet werden, erhalten ein Instance-Speicher-Root-Volume ------ #### [ AWS CLI ] **So identifizieren Sie den Root-Volume-Typ, der von einem AMI bestimmt wird** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --image-ids ami-0abcdef1234567890 \ --query Images[].RootDeviceType ``` Es folgt eine Beispielausgabe. ``` ebs ``` ------ #### [ PowerShell ] **So identifizieren Sie den Root-Volume-Typ, der von einem AMI bestimmt wird** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image ` -ImageId ami-0abcdef1234567890).RootDeviceType.Value ``` Es folgt eine Beispielausgabe. ``` ebs ``` ------ ## Virtualisierungstypen Amazon Machine Images verwenden einen von zwei Virtualisierungstypen: Paravirtual (PV) oder Hardware Virtual Machine (HVM). Die Hauptunterschiede zwischen PV und HVM AMIs bestehen darin, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) für eine bessere Leistung nutzen können. Windows AMIs ist HVM AMIs. In der folgenden Tabelle werden HVM und PV verglichen. AMIs | Merkmal | HVM (Hardwaregestützte virtuelle Maschine) | PV | | --- | --- | --- | | Beschreibung | HVM-AMIs sind mit einem vollständig virtualisierten Hardwaresatz ausgestattet und werden durch Ausführen des Master Boot Records des Stamm-Blockgeräts Ihres Images gestartet. Dieser Virtualisierungstyp kann ein Betriebssystem direkt auf einer virtuellen Maschine ausführen, ohne dass diese modifiziert werden muss – ganz so, als würde es sich um Bare-Metal-Hardware handeln. Das Amazon EC2-Hostsystem emuliert einige oder alle der zugrunde liegenden Hardware-Elemente, die dem Gast zur Verfügung gestellt werden. | PV AMIs bootet mit einem speziellen Bootloader namens PV-GRUB, der den Boot-Zyklus startet und anschließend den in der menu.lst Datei auf Ihrem Image angegebenen Kernel kettenweise lädt. Paravirtual-Gäste können auf Host-Hardware ausgeführt werden, die keine explizite Unterstützung für Virtualisierung hat. Weitere Informationen zu PV-GRUB und dessen Verwendung in Amazon EC2 erhalten Sie unter [Vom Benutzer bereitgestellte Kernel](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html). | | Unterstützte Instance-Typen | Alle Instance-Typen der aktuellen Generation unterstützen HVM. AMIs | Die folgenden Instance-Typen der vorherigen Generation unterstützen PV AMIs: C1, C3, M1, M3, M2 und T1. Instance-Typen der aktuellen Generation unterstützen PV nicht AMIs. | | Unterstützung für Hardware-Erweiterungen | HVM-Gäste können den Vorteil von Hardware-Erweiterungen nutzen, die einen schnellen Zugriff auf die zugrunde liegende Hardware des Hostsystems ermöglichen. Sie müssen erweiterte Netzwerke und GPU-Verarbeitung nutzen. Um Anweisungen an spezialisierte Netzwerk- und GPU-Geräte weiterleiten zu können, muss das Betriebssystem Zugriff auf die native Hardwareplattform haben und HVM-Virtualisierung stellt den erforderlichen Zugriff bereit. Weitere Informationen finden Sie unter [Verbessertes Networking auf EC2 Amazon-Instances](enhanced-networking.md). | Nein, sie können keine speziellen Hardwareerweiterungen wie erweiterte Netzwerk- oder GPU-Verarbeitung nutzen. | | [Such-Anleitung](finding-an-ami.md) | Stellen Sie sicher, dass der Virtualisierungstyp des AMI auf hvm festgelegt ist. Verwenden Sie hierzu die Konsole oder den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | Stellen Sie sicher, dass der Virtualisierungstyp des AMI auf paravirtual festgelegt ist. Verwenden Sie hierzu die Konsole oder den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | **PV auf HVM** Paravirtuelle Gäste schnitten beim Speicher- und Netzwerkbetrieb traditionell besser ab als HVM-Gäste, da sie spezielle Treiber nutzen konnten, wodurch der Aufwand für I/O die Emulation von Netzwerk- und Festplattenhardware vermieden wurde, wohingegen HVM-Gäste diese Anweisungen auf emulierte Hardware übersetzen mussten. Jetzt sind PV-Treiber für HVM-Gäste verfügbar, sodass Betriebssysteme, die nicht für den Betrieb in einer paravirtualisierten Umgebung portiert werden können, dennoch Leistungsvorteile bei Speicher und Netzwerk erzielen können, wenn sie verwendet werden. I/O Mit diesen PV auf HVM-Treibern können HVM-Gäste die gleiche oder eine bessere Leistung als paravirtuelle Gäste erzielen. # Finden Sie ein AMI, das die Anforderungen für Ihre EC2 Instance erfüllt Ein AMI umfasst die Komponenten und Anwendungen, wie das Betriebssystem und den Typ des Root-Volumes, die zum Starten einer Instance erforderlich sind. Um eine Instance zu starten, müssen Sie ein AMI finden, das Ihren Anforderungen entspricht. Bei der Auswahl eines AMI müssen Sie die folgenden möglichen Anforderungen an die zu startenden Instances beachten: + Die AWS Region des AMI als AMI IDs ist für jede Region einzigartig. + Das Betriebssystem (z. B. Windows oder Linux). + Die Architektur: (z. B. 32-Bit, 64-Bit oder 64-Bit-ARM). + Der Root-Volume-Typ (z. B. Amazon EBS oder Instance-Speicher). + Der Anbieter (z. B. Amazon Web Services). + Zusätzliche Software (z. B. SQL Server). ------ #### [ Console ] Sie können aus der Liste auswählen, AMIs wann Sie den Launch-Instance-Assistenten verwenden, oder Sie können auf der Seite **Images** nach allen verfügbaren AMIs Instanzen suchen. **So suchen Sie ein Quick-Start-AMI mit dem Launch Instance Wizard** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre Instances starten möchten. Sie können unabhängig von Ihrem Standort jede verfügbare Region auswählen. AMI IDs sind für jede AWS Region einzigartig. 1. Wählen Sie im Dashboard der Konsole die Option **Launch Instance** aus. 1. Wählen Sie unter **Anwendungs- und Betriebssystem-Images (Amazon Machine Image)** die Option **Quick Start**, wählen Sie das Betriebssystem (OS) für Ihre Instance aus und wählen Sie dann unter **Amazon Machine Image (AMI)** eines der AMIs in der Liste häufig verwendeten aus. Wenn Sie das AMI, das Sie verwenden möchten, nicht sehen, wählen Sie **Browse more**, AMIs um den vollständigen AMI-Katalog zu durchsuchen. Weitere Informationen finden Sie unter [Anwendungs- und Betriebssystem-Images (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami). **So finden Sie ein AMI mithilfe der AMIs Seite** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre Instances starten möchten. Sie können unabhängig von Ihrem Standort jede verfügbare Region auswählen. AMI IDs sind für jede AWS Region einzigartig. 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. (Optional) Verwenden Sie die Filter- und Suchoptionen, um die angezeigte Liste so einzugrenzenAMIs , AMIs dass nur die angezeigt werden, die Ihren Kriterien entsprechen. Um beispielsweise alle Bilder aufzulisten, die von AMIs bereitgestellt wurden AWS, wählen Sie **Öffentliche Bilder** aus. Verwenden Sie dann die Suchoptionen, um die angezeigte Liste weiter einzugrenzen AMIs. Wählen Sie die **Suchleiste** aus und anschließend im Menü **Owner alias** (Besitzeralias), dann den Operator **=** und den Wert **amazon**. Um nach einer bestimmten Plattform zu suchen, z. B. Linux oder Windows, wählen Sie erneut in der **Suchleiste** die Option **Plattform**, dann den Operator **=** und dann das Betriebssystem aus der bereitgestellten Liste aus. AMIs 1. (Optional) Wählen Sie das Symbol **Einstellungen**, um auszuwählen, welche Image-Attribute angezeigt werden sollen, z. B. der Root-Volume-Typ. Alternativ können Sie ein AMI in der Liste auswählen und seine Eigenschaften auf der Registerkarte **Details** anzeigen. 1. Bevor Sie ein AMI auswählen, müssen Sie Folgendes beachten: Sie müssen wissen, ob das AMI durch Instance-Speicher oder Amazon EBS gestützt ist, und die Auswirkungen dieses Unterschieds kennen. Weitere Informationen finden Sie unter [Root-Volume-Typ](ComponentsAMIs.md#storage-for-the-root-device). 1. Um eine Instance von diesem AMI zu starten, wählen Sie sie aus und wählen Sie dann **Instance von Image starten**. Informationen zum Starten einer Instance über die Konsole finden Sie unter [EC2-Instance mit dem Launch Instance Wizard in der Konsole starten](ec2-launch-instance-wizard.md). Wenn Sie die Instance nicht sofort starten möchten, notieren Sie sich die AMI-ID für später. ------ #### [ AWS CLI ] Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html), um ein AMI zu suchen, das Ihren Anforderungen entspricht. Standardmäßig gibt dieser Befehl alle öffentlichen AMIs Inhalte zurück, die Ihnen gehören und die mit Ihnen geteilt wurden. **So suchen Sie ein AMI, das Amazon gehört** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) mit der Option `--owners`. ``` aws ec2 describe-images --owners amazon ``` **So suchen Sie ein Windows-AMI** Fügen Sie den folgenden Filter hinzu, um nur Windows anzuzeigen AMIs. ``` --filters "Name=platform,Values=windows" ``` **So suchen Sie ein EBS-gestütztes AMI** Fügen Sie den folgenden Filter hinzu, um nur von Amazon EBS AMIs unterstützte Anzeige zu erhalten. ``` --filters "Name=root-device-type,Values=ebs" ``` ------ #### [ PowerShell ] Verwenden Sie das [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)Cmdlet, um ein AMI zu finden, das Ihren Anforderungen entspricht. Standardmäßig gibt dieses Cmdlet alle öffentlichen Inhalte zurück, AMIs die Ihnen gehören oder die mit Ihnen geteilt wurden. **So suchen Sie ein AMI, das Amazon gehört** Verwenden Sie den Befehl [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html) mit dem Parameter `-Owner`. ``` Get-EC2Image -Owner amazon ``` **So suchen Sie ein Windows-AMI** Fügen Sie den folgenden Filter hinzu, um nur Windows anzuzeigen. AMIs ``` -Filter @{Name="platform"; Values="windows"} ``` Weitere Beispiele [finden Sie unter Find an Amazon Machine Image Using Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-ec2-get-amis.html) im *AWS -Tools für PowerShell Benutzerhandbuch*. ------ **Zugehörige Ressourcen** Weitere Informationen AMIs zu einem bestimmten Betriebssystem finden Sie im Folgenden: + Amazon Linux 2023 — [AL2023 bei Amazon EC2](https://docs.aws.amazon.com/linux/al2023/ug/ec2.html) im *Amazon Linux 2023-Benutzerhandbuch* + Ubuntu — [Amazon EC2 AMI Locator](https://cloud-images.ubuntu.com/locator/ec2/) auf der *Canonical* Ubuntu-Website + RHEL – [Red Hat Enterprise Linux Images (AMI) verfügbar in Amazon Web Services (AWS)](https://access.redhat.com/solutions/15356) auf der Red Hat Website. + Windows Server – [AMI-Referenz für AWS Windows](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/windows-amis.html) Informationen AMIs dazu können Sie auf der Website abonnieren. AWS Marketplace [Bezahlt AMIs in der AWS Marketplace für Amazon EC2 EC2-Instances](paid-amis.md) Informationen zur Verwendung von Systems Manager, um Ihren Benutzern zu helfen, das neueste AMI zu finden, das sie beim Starten einer Instance verwenden sollten, finden Sie im Folgenden: + [Referenz AMIs mit Systems Manager Manager-Parametern](using-systems-manager-parameter-to-find-AMI.md) + [Verweisen AMIs Sie mithilfe der öffentlichen Parameter von Systems Manager auf die neuesten Informationen](finding-an-ami-parameter-store.md) # Referenz AMIs mit Systems Manager Manager-Parametern Wenn Sie eine Instance mit dem EC2 Launch-Instance-Assistenten in der EC2 Amazon-Konsole starten, können Sie entweder ein AMI aus der Liste auswählen oder Sie können einen AWS Systems Manager Parameter auswählen, der auf eine AMI-ID verweist (in diesem Abschnitt beschrieben). Wenn Sie Automatisierungscode zum Starten Ihrer Instances verwenden, können Sie den Systems Manager-Parameter anstelle der AMI-ID angeben. Ein Systems Manager-Parameter ist ein vom Kunden definiertes Schlüssel-Wert-Paar, das Sie in Systems Manager Parameterspeicher erstellen können. Der Parameterspeicher bietet einen zentralen Speicher zur Auslagerung Ihrer Anwendungskonfigurationswerte. Weitere Informationen finden Sie unter [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) im *AWS Systems Manager Benutzerhandbuch zu *. Wenn Sie einen Parameter erstellen, der auf eine AMI-ID verweist, stellen Sie sicher, dass Sie den Datentyp als `aws:ec2:image` angeben. Die Angabe dieses Datentyps stellt sicher, dass beim Erstellen oder Ändern des Parameters der Parameterwert als AMI-ID validiert wird. Weitere Informationen finden Sie unter [Native Parameterunterstützung für Amazon Machine Image IDs](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html) im *AWS Systems Manager Benutzerhandbuch*. **Topics** + [ ## Anwendungsfälle ](#systems-manager-parameter-use-case) + [ ## Berechtigungen ](#systems-manager-permissions) + [ ## Einschränkungen ](#AMI-systems-manager-parameter-limitations) + [ ## Starten einer Instance mit einem Systems Manager-Parameter ](#systems-manager-parameter-launch-instance) ## Anwendungsfälle Wenn Sie Systems Manager Manager-Parameter verwenden, um auf AMI zu verweisen IDs, ist es für Ihre Benutzer einfacher, beim Starten von Instances das richtige AMI auszuwählen. System-Manager-Parameter können auch die Verwaltung von Automatisierungscode vereinfachen. **Benutzerfreundlicher** Wenn Instances unter Verwendung eines bestimmten AMI gestartet werden müssen und dieses AMI regelmäßig aktualisiert wird, empfehlen wir, dass Ihre Benutzer einen Systems-Manager-Parameter auswählen müssen, um das AMI zu finden. Indem Sie erforderlich machen, dass Ihre Benutzer einen Systems-Manager-Parameter auswählen, wird sichergestellt, dass beim Starten von Instances das neueste AMI verwendet wird. Beispielsweise könnten Sie in Ihrer Organisation jeden Monat eine neue Version Ihres AMIs erstellen, das die neuesten Betriebssystem- und Anwendungs-Patches enthält. Außerdem müssen Ihre Benutzer Instances mit der neuesten Version Ihres AMIs starten. Um sicherzustellen, dass Ihre Benutzer die neueste Version verwenden, können Sie einen Systems Manager-Parameter (z. B. `golden-ami`) erstellen, der auf die korrekte AMI-ID verweist. Jedes Mal, wenn eine neue Version des AMIs erstellt wird, aktualisieren Sie den AMI-ID-Wert im Parameter, sodass er immer auf das neueste AMI verweist. Ihre Benutzer brauchen nichts von den regelmäßigen Updates des AMI zu wissen, da sie weiterhin jedes Mal denselben Systems-Manager-Parameter auswählen. Die Verwendung eines Systems-Manager-Parameters für Ihr AMI erleichtert ihnen die Auswahl des richtigen AMI für den Start einer Instance. **Vereinfachen Sie die automatisierte Codepflege** Wenn Sie Automatisierungscode zum Starten Ihrer Instances verwenden, können Sie den Systems Manager-Parameter anstelle der AMI-ID angeben. Wenn eine neue Version des AMI erstellt wird, können Sie den AMI-ID-Wert im Parameter so ändern, dass er auf das neueste AMI verweist. Der Automatisierungscode, der auf den Parameter verweist, muss nicht jedes Mal geändert werden, wenn eine neue Version des AMI erstellt wird. Das vereinfacht die Wartung der Automatisierung und trägt zur Senkung der Bereitstellungskosten bei. **Anmerkung** Laufende Instances sind nicht betroffen, wenn Sie die AMI-ID ändern, auf die der Systems-Manager-Parameter verweist. ## Berechtigungen Wenn Sie IDs im Launch-Instance-Assistenten Systems Manager Manager-Parameter verwenden, die auf AMI verweisen, müssen Sie Ihrer IAM-Richtlinie die folgenden Berechtigungen hinzufügen: + `ssm:DescribeParameters` – Gewährt die Berechtigung, Systems-Manager-Parameter anzuzeigen und auszuwählen. + `ssm:GetParameters` – Gewährt die Berechtigung zum Abrufen der Werte der Systems-Manager-Parameter. Sie können auch den Zugriff auf bestimmte Systems Manager-Parameter beschränken. Weitere Informationen und Beispiele für IAM-Richtlinien finden Sie unter [Beispiel: Verwenden des EC2 Launch Instance Wizard](iam-policies-ec2-console.md#ex-launch-wizard). ## Einschränkungen AMIs und Systems Manager Manager-Parameter sind regionsspezifisch. Um denselben Systems Manager-Parameternamen in allen Regionen zu verwenden, erstellen Sie in jeder Region einen Systems Manager-Parameter mit demselben Namen (z. B. `golden-ami`). Verweisen Sie in jeder Region mit dem Parameter Systems Manager auf ein AMI in dieser Region. Bei Parameternamen muss die Groß- und Kleinschreibung beachtet werden. Umgekehrte Schrägstriche für den Parameternamen sind nur erforderlich, wenn der Parameter Teil einer Hierarchie ist, z. B, `/amis/production/golden-ami`. Sie können den umgekehrten Schrägstrich weglassen, wenn der Parameter nicht Teil einer Hierarchie ist. ## Starten einer Instance mit einem Systems Manager-Parameter Anstatt eine AMI-ID anzugeben, wenn Sie eine Instance starten, können Sie einen Systems-Manager-Parameter angeben, der auf eine AMI-ID verweist. Um den Parameter programmgesteuert anzugeben, verwenden Sie die folgende Syntax, wobei `resolve:ssm` das Standardpräfix und `parameter-name` der eindeutige Parametername ist. ``` resolve:ssm:parameter-name ``` Systems Manager-Parameter bieten Versionsunterstützung. Jeder Iteration eines Parameters wird eine eindeutige Versionsnummer zugewiesen. Sie können die Version des Parameters wie folgt referenzieren, wobei `version` die eindeutige Versionsnummer ist. Standardmäßig wird die neueste Version des Parameters verwendet, wenn keine Version angegeben ist. ``` resolve:ssm:parameter-name:version ``` Informationen zum Starten einer Instance mithilfe eines von AWS bereitgestellten öffentlichen Parameters finden Sie unter[Verweisen AMIs Sie mithilfe der öffentlichen Parameter von Systems Manager auf die neuesten Informationen](finding-an-ami-parameter-store.md). ------ #### [ Console ] **So suchen Sie ein AMI mithilfe eines Systems-Manager-Parameters** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre Instances starten möchten. Sie können unabhängig von Ihrem Standort jede verfügbare Region auswählen. 1. Wählen Sie im Dashboard der Konsole die Option **Launch Instance** aus. 1. Wählen Sie unter **Anwendungs- und Betriebssystem-Images (Amazon Machine Image)** die Option **Mehr durchsuchen** ausAMIs. 1. Wählen Sie die Pfeilschaltfläche rechts neben der Suchleiste und dann **Search by Systems Manager parameter** (Nach Systems-Manager-Parameter suchen) aus. 1. Wählen Sie für **Systems Manager-Parameter** einen Parameter aus. Die entsprechende AMI-ID wird unter **Currently resolves to** (Wird derzeit aufgelöst in) angezeigt. 1. Wählen Sie **Search (Suchen)** aus. Die AMIs , die der AMI-ID entsprechen, werden in der Liste angezeigt. 1. Wählen Sie die AMI aus der Liste und wählen Sie **Select (Auswählen)**. Weitere Informationen über das Starten einer Instance mithilfe des Launch Instance Wizard finden Sie unter [EC2-Instance mit dem Launch Instance Wizard in der Konsole starten](ec2-launch-instance-wizard.md). ------ #### [ AWS CLI ] **So starten Sie eine Instance mit einem Systems-Manager-Parameter** Verwenden den Befehl [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) mit der Option `--image-id`. In diesem Beispiel wird ein Systems-Manager-Parameter mit dem Namen **golden-ami** verwendet, der eine AMI-ID angibt. ``` --image-id resolve:ssm:/golden-ami ``` Sie können Versionen eines Systems-Manager-Parameters erstellen. Das folgende Beispiel gibt Version 2 des Parameters **golden-ami** an. ``` --image-id resolve:ssm:/golden-ami:2 ``` ------ #### [ PowerShell ] **So starten Sie eine Instance mit einem Systems-Manager-Parameter** Verwenden Sie das [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)Cmdlet mit dem `-ImageId` Parameter. In diesem Beispiel wird ein Systems-Manager-Parameter mit dem Namen **golden-ami** verwendet, der eine AMI-ID angibt. ``` -ImageId "resolve:ssm:/golden-ami" ``` Sie können Versionen eines Systems-Manager-Parameters erstellen. Das folgende Beispiel gibt Version 2 des Parameters **golden-ami** an. ``` -ImageId "resolve:ssm:/golden-ami:2" ``` ------ # Verweisen AMIs Sie mithilfe der öffentlichen Parameter von Systems Manager auf die neuesten Informationen AWS Systems Manager stellt öffentliche Parameter für die Öffentlichkeit bereit, die von AMIs verwaltet werden AWS. Sie können beim Starten von Instances die öffentlichen Parameter verwenden, um sicherzustellen, dass Sie die neuesten Versionen verwenden AMIs. Beispielsweise ist der öffentliche Parameter `/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64` in allen Regionen verfügbar und verweist immer auf die neueste Version des Amazon Linux 2023 AMI für die arm64-Architektur in einer bestimmten Region. Die öffentlichen Parameter sind über die folgenden Pfade verfügbar: + **Linux** – `/aws/service/ami-amazon-linux-latest` + **Windows** – `/aws/service/ami-windows-latest` Weitere Informationen finden Sie unter [Arbeiten mit öffentlichen Parametern](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-public-parameters.html) im *AWS Systems Manager -Benutzerhandbuch*. ## Listet das Amazon Linux auf AMIs ------ #### [ AWS CLI ] **Um das Linux AMIs in der aktuellen AWS Region aufzulisten** Verwenden Sie den folgenden [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html)-Befehl. Der Wert für den `--path` Parameter ist Linux-spezifisch AMIs. ``` aws ssm get-parameters-by-path \ --path /aws/service/ami-amazon-linux-latest \ --query "Parameters[].Name" ``` ------ #### [ PowerShell ] **Um das Linux AMIs in der aktuellen AWS Region aufzulisten** Verwenden Sie das SSMParameters ByPath Cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html). ``` Get-SSMParametersByPath ` -Path "/aws/service/ami-amazon-linux-latest" | ` Sort-Object Name | Format-Table Name ``` ------ ## Listet die Fenster auf AMIs ------ #### [ AWS CLI ] **Um die Fenster AMIs in der aktuellen AWS Region aufzulisten** Verwenden Sie den folgenden [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html)-Befehl. Der Wert für den `--path` Parameter ist Windows-spezifisch AMIs. ``` aws ssm get-parameters-by-path \ --path /aws/service/ami-windows-latest \ --query "Parameters[].Name" ``` ------ #### [ PowerShell ] **Um die Fenster AMIs in der aktuellen AWS Region aufzulisten** Verwenden Sie das SSMParameters ByPath Cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html). ``` Get-SSMParametersByPath ` -Path "/aws/service/ami-windows-latest" | ` Sort-Object Name | Format-Table Name ``` ------ ## Eine Instance mit einem öffentlichen Parameter starten Um den öffentlichen Parameter beim Starten einer Instance anzugeben, verwenden Sie die folgende Syntax: `resolve:ssm:public-parameter`, wobei `resolve:ssm` das Standardpräfix und `public-parameter` der Pfad und Name des öffentlichen Parameters ist. ------ #### [ AWS CLI ] **So starten Sie eine Instance mit einem öffentlichen Parameter:** Verwenden den Befehl [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) mit der Option `--image-id`. Das folgende Beispiel gibt einen öffentlichen Systems-Manager-Parameter für die Image-ID an, um eine Instance mit dem neuesten Amazon-Linux-2023-AMI zu starten. ``` --image-id resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64 ``` ------ #### [ PowerShell ] **So starten Sie eine Instance mit einem öffentlichen Parameter:** Verwenden Sie das [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)Cmdlet mit dem Parameter. `-ImageId` Das folgende Beispiel gibt einen öffentlichen Systems-Manager-Parameter für die Image-ID an, um eine Instance mit dem neuesten AMI für Windows Server 2022 zu starten. ``` -ImageId "resolve:ssm:/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-Base" ``` ------ Weitere Beispiele, die Systems Manager Manager-Parameter verwenden, finden Sie unter [Abfragen für das neueste Amazon Linux-AMI IDs mithilfe von AWS Systems Manager Parameterspeicher](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/) und [Abfragen für das neueste Windows-AMI mithilfe des AWS Systems Manager Parameterspeichers](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/). # Bezahlt AMIs in der AWS Marketplace für Amazon EC2 EC2-Instances Ein *gebührenpflichtiges AMI* ist ein AMI, das im AWS Marketplace zum Verkauf angeboten wird. Das AWS Marketplace ist ein Online-Shop, in dem Sie Software kaufen können, die darauf läuft AWS, einschließlich AMIs, mit denen Sie Ihre EC2-Instance starten können. Sie AWS Marketplace AMIs sind in Kategorien unterteilt, z. B. Entwicklertools, sodass Sie Produkte finden können, die Ihren Anforderungen entsprechen. Weitere Informationen zu AWS Marketplace finden Sie [AWS Marketplace](https://aws.amazon.com/marketplace)auf der Website. Sie können die AWS Marketplace von Drittanbietern erwerben, auch solche, AMIs die AMIs im Rahmen von Serviceverträgen von Organisationen wie Red Hat enthalten sind. Sie können auch ein AMI erstellen und es AWS Marketplace an andere Amazon EC2 EC2-Benutzer verkaufen. Der Aufbau eines sicheren, nutzbaren AMI zum öffentlichen Gebrauch ist ein relativ einfacher Prozess, wenn Sie ein paar simple Richtlinien befolgen. Informationen zum Erstellen und Verwenden von Shared finden Sie AMIs unter[Grundlegendes zur gemeinsamen AMI-Nutzung in Amazon EC2](sharing-amis.md). Der Start einer Instance aus einem gebührenpflichtigen AMI erfolgt auf die gleiche Weise wie der Start aus jedem anderen AMI. Es sind keine zusätzlichen Parameter erforderlich. Die Kosten für die Instance werden auf Basis der von dem Eigentümer des AMI festgelegten Gebühren sowie der Standard-Nutzungsgebühren für die jeweiligen Webservices berechnet; dazu gehört z. B. der Stundensatz für die Ausführung einer m5.small-Instance in Amazon EC2. Gegebenenfalls fallen zusätzliche Steuern an. Der Eigentümer eines gebührenpflichtigen AMI kann nachvollziehen, ob eine bestimmte Instance mithilfe dieses gebührenpflichtigen AMI gestartet wurde. **Wichtig** Amazon DevPay akzeptiert keine neuen Verkäufer oder Produkte mehr. AWS Marketplace ist jetzt die einzige, einheitliche E-Commerce-Plattform für den Verkauf von Software und Dienstleistungen über AWS. Informationen zur Bereitstellung und zum Verkauf von Software finden Sie AWS Marketplace unter [Verkaufen im AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). AWS Marketplace AMIs unterstützt von Amazon EBS. **Topics** + [ ## Verkaufen Sie Ihr AMI in der AWS Marketplace ](#selling-your-ami) + [ # Suchen eines gebührenpflichtigen AMI ](using-paid-amis-finding-paid-ami.md) + [ # Erwerben Sie ein kostenpflichtiges AMI in der AWS Marketplace ](using-paid-amis-purchasing-paid-ami.md) + [ # Rufen Sie den AWS Marketplace Produktcode von Ihrer Instance ab ](get-product-code.md) + [ # Verwenden Sie kostenpflichtigen Support für unterstützte AWS Marketplace Angebote ](using-paid-amis-support.md) + [ ## Rechnungen für bezahlte und unterstützte AMIs ](#using-paid-amis-bills) + [ # Verwalte deine AWS Marketplace Abos ](marketplace-manage-subscriptions.md) ## Verkaufen Sie Ihr AMI in der AWS Marketplace Sie können Ihr AMI verkaufen mit AWS Marketplace. AWS Marketplace bietet ein organisiertes Einkaufserlebnis. Darüber hinaus werden AWS Marketplace auch AWS Funktionen wie Amazon EBS-gestützte AMIs, Reserved Instances und Spot-Instances unterstützt. Informationen zum Verkauf Ihres AMI auf dem finden Sie AWS Marketplace unter [Verkaufen im AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). # Suchen eines gebührenpflichtigen AMI Ein kostenpflichtiges AMI ist ein Amazon Machine Image (AMI), das käuflich erworben werden kann. Ein kostenpflichtiges AMI hat auch einen Produktcode. Sie finden AMIs diese zum Kauf verfügbaren Produkte im AWS Marketplace. ------ #### [ Console ] **So suchen Sie ein gebührenpflichtiges AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie im ersten Filterfeld **Public images** aus. 1. Führen Sie eine der folgenden Aktionen aus: + Wenn Sie den Produktcode kennen, wählen Sie **Product Code**, dann **=** und geben Sie dann den Produktcode ein. + Wenn Sie den Produktcode nicht kennen, geben Sie in der Suchleiste den folgenden Filter an: **Owner alias=aws-marketplace**. Geben Sie zusätzliche Filter wie erforderlich an. 1. Speichern Sie die ID des AMI. ------ #### [ AWS CLI ] **So suchen Sie ein gebührenpflichtiges AMI** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images --owners aws-marketplace ``` Die Ausgabe umfasst eine große Anzahl von Images. Sie können Filter angeben, mit deren Hilfe Sie bestimmen können, welches AMI Sie benötigen. Nachdem Sie ein AMI gefunden haben, geben Sie dessen ID im folgenden Befehl an, um seinen Produktcode zu erhalten. ``` aws ec2 describe-images \ --image-ids ami-0abcdef1234567890 \ --query Images[*].ProductCodes[].ProductCodeId ``` Es folgt eine Beispielausgabe. ``` [ "cdef1234abc567def8EXAMPLE" ] ``` Wenn Sie den Produktcode kennen, können Sie die Ergebnisse nach Produktcode filtern. Dieses Beispiel gibt das neueste AMI mit dem angegebenen Produktcode zurück. ``` aws ec2 describe-images \ --filters "Name=product-code,Values=cdef1234abc567def8EXAMPLE" \ --query "sort_by(Images, &CreationDate)[-1].[ImageId]" ``` ------ #### [ PowerShell ] **So suchen Sie ein gebührenpflichtiges AMI** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` Get-EC2Image -Owner aws-marketplace ``` Die Ausgabe umfasst eine große Anzahl von Images. Sie können Filter angeben, mit deren Hilfe Sie bestimmen können, welches AMI Sie benötigen. Nachdem Sie ein AMI gefunden haben, geben Sie dessen ID im folgenden Befehl an, um seinen Produktcode zu erhalten. ``` (Get-EC2Image -ImageId ami-0abcdef1234567890).ProductCodes ``` Es folgt eine Beispielausgabe. ``` ProductCodeId ProductCodeType ------------- --------------- cdef1234abc567def8EXAMPLE marketplace ``` Wenn Sie den Produktcode kennen, können Sie die Ergebnisse nach Produktcode filtern. Dieses Beispiel gibt das neueste AMI mit dem angegebenen Produktcode zurück. ``` (Get-EC2Image -Owner aws-marketplace -Filter @{"Name"="product-code";"Value"="cdef1234abc567def8EXAMPLE"} | sort CreationDate -Descending | Select-Object -First 1).ImageId ``` ------ # Erwerben Sie ein kostenpflichtiges AMI in der AWS Marketplace Sie müssen sich für ein gebührenpflichtiges AMI (Erwerb) registrieren, bevor Sie eine Amazon-EC2-Instance mit dem AMI starten können. In der Regel erhalten Sie vom Verkäufer des gebührenpflichtigen AMI alle erforderlichen Informationen, z. B. den Preis und den Link, unter dem Sie es kaufen können. Wenn Sie auf den Link klicken, werden Sie zunächst aufgefordert, sich anzumelden AWS, und dann können Sie das AMI kaufen. ## Kaufen eines gebührenpflichtigen AMI mit der Konsole Sie können ein gebührenpflichtiges AMI kaufen, indem Sie den Amazon EC2-Launch Wizard verwenden. Weitere Informationen finden Sie unter [Starten Sie eine Amazon EC2 EC2-Instance von einem AMI AWS Marketplace](launch-marketplace-console.md). ## Abonnieren Sie ein Produkt mit AWS Marketplace Um das nutzen zu können AWS Marketplace, benötigen Sie eine AWS-Konto. Um Instances von AWS Marketplace Produkten aus zu starten, müssen Sie für die Nutzung des Amazon EC2-Service registriert sein und das Produkt abonniert haben, von dem aus die Instance gestartet werden soll. Sie können eine der folgenden Methoden verwenden, um Produkte im AWS Marketplace zu abonnieren: + **AWS Marketplace Website**: Mit der 1-Click-Bereitstellungsfunktion können Sie vorkonfigurierte Software schnell starten. Weitere Informationen finden Sie unter [AMI-basierte Produkte](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-server-products.html) unter. AWS Marketplace + Der **Amazon EC2-Startassistent**: Sie können nach einer AMI suchen und eine Instance direkt aus dem Startassistenten starten. Weitere Informationen finden Sie unter [Starten Sie eine Amazon EC2 EC2-Instance von einem AMI AWS Marketplace](launch-marketplace-console.md). # Rufen Sie den AWS Marketplace Produktcode von Ihrer Instance ab Sie können den AWS Marketplace Produktcode für Ihre Instanz mithilfe der Instanz-Metadaten abrufen. Wenn ein Produkt-Code für die Instance vorhanden ist, wird er von Amazon EC2 ausgegeben. Weitere Informationen zum Abrufen von Metadaten finden Sie unter [Auf Instance-Metadaten für eine EC2-Instance zugreifen](instancedata-data-retrieval.md). ------ #### [ IMDSv2 ] **Linux** Führen Sie den folgenden Befehl in Ihrer Linux-Instance aus. ``` TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes ``` **Windows** Führen Sie die folgenden cmdlets in Ihrer Windows-Instance aus. ``` [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} ` -Method PUT -Uri http://169.254.169.254/latest/api/token ``` ``` Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} ` -Method GET -Uri http://169.254.169.254/latest/meta-data/product-codes ``` ------ #### [ IMDSv1 ] **Linux** Führen Sie den folgenden Befehl in Ihrer Linux-Instance aus. ``` curl http://169.254.169.254/latest/meta-data/product-codes ``` **Windows** Führen Sie den folgenden Befehl in Ihrer Windows-Instance aus. ``` Invoke-RestMethod -Uri http://169.254.169.254/latest/meta-data/product-codes ``` ------ # Verwenden Sie kostenpflichtigen Support für unterstützte AWS Marketplace Angebote Amazon EC2 ermöglicht es Entwicklern auch, Support für Software (oder abgeleitete Software AMIs) anzubieten. Developer können Produkte für den Support erstellen, und Sie können sich für deren Verwendung registrieren. Bei der Registrierung für das Support-Produkt erhalten Sie von dem Developer einen Produkt-Code, den Sie anschließend mit Ihrem eigenen AMI verknüpfen müssen. Auf diese Weise kann der Developer sicherstellen, dass Ihre Instance berechtigt ist, den Support zu erhalten. Außerdem wird so sichergestellt, dass die Gebühren für das Produkt gemäß der Nutzungsbedingungen des Developers in Rechnung gestellt werden können, wenn Sie diesem Produkt zugeordnete Instances ausführen. **Einschränkungen** + Wenn Sie das Attribut für den Produktcode gesetzt haben, kann es nicht mehr geändert oder entfernt werden. + Sie können ein Support-Produkt nicht mit Reserved Instances verwenden. Es wird immer der Preis berechnet, der vom Verkäufer des jeweiligen Support-Produkts angegeben wurde. ------ #### [ AWS CLI ] **So ordnen Sie dem AMI einen Produktcode zu** Verwenden Sie den Befehl [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --product-codes "cdef1234abc567def8EXAMPLE" ``` ------ #### [ PowerShell ] **So ordnen Sie dem AMI einen Produktcode zu** Verwenden Sie das cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -ProductCode "cdef1234abc567def8EXAMPLE" ``` ------ ## Rechnungen für bezahlte und unterstützte AMIs Am Monatsende werden Sie per E-Mail benachrichtigt, mit welchem Betrag Ihre Kreditkarte für die Verwendung gebührenpflichtiger oder unterstützter AMIs in diesem Monat belastet wurde. Diese Rechnung wird separat von Ihrer regulären Amazon EC2-Rechnung erstellt. Weitere Informationen finden Sie unter [Bezahlen für Produkte](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-paying-for-products.html) im *AWS Marketplace -Käuferhandbuch*. # Verwalte deine AWS Marketplace Abos Auf der AWS Marketplace Website können Sie Ihre Abonnementdetails überprüfen, die Nutzungshinweise des Anbieters einsehen, Ihre Abonnements verwalten und vieles mehr. ## -Abonnementdetails prüfen **So prüfen Sie Ihre Abonnementdaten** 1. Melden Sie sich bei den [AWS Marketplace](https://aws.amazon.com/marketplace) an. 1. Wählen Sie **Your Marketplace Account**. 1. Wählen Sie **Manage Your Software Subscriptions**. 1. Alle aktuellen Abonnements werden aufgelistet. Wählen Sie die **Verwendungsanleitung**, um spezielle Informationen für die Nutzung des Products anzuzeigen, z. B. den Benutzernamen für die Verbindung mit Ihrer ausgeführten Instance. ## Abonnement kündigen **Anmerkung** Durch die Kündigung eines Abonnements werden die mit diesem AMI gestarteten Instances nicht beendet. Wir stellen Ihnen weiterhin Ihre laufenden Instances in Rechnung, bis sie beendet werden. Sie müssen alle mit dem AMI gestarteten Instances beenden, um die Fakturierung für das Abonnement zu beenden. Wenn Sie Ihr Abonnement gekündigt haben, ist es nicht mehr möglich, Instances aus diesem AMI zu starten. Um dieses AMI erneut verwenden zu können, müssen Sie es erneut abonnieren, entweder auf der AWS Marketplace Website oder über den Startassistenten in der Amazon EC2 EC2-Konsole. **Um ein Abonnement zu kündigen AWS Marketplace** 1. Um die Fakturierung für das Abonnement anzuhalten, vergewissern Sie sich, dass Sie alle Instances beendet haben, die in dem Abonnement ausgeführt wurden. **Warnung** **Das Beenden einer Instance ist dauerhaft und irreversibel.** Nachdem Sie eine Instance beendet haben, können Sie keine Verbindung mehr zu ihr herstellen und sie kann nicht wiederhergestellt werden. Alle angehängten Amazon-EBS-Volumes, die so konfiguriert sind, dass sie beim Beenden gelöscht werden, werden ebenfalls dauerhaft gelöscht und können nicht wiederhergestellt werden. Alle auf den Instance-Speicher-Volumes gespeicherten Daten gehen dauerhaft verloren. Weitere Informationen finden Sie unter [Wie die Kündigung von Instances funktioniert](how-ec2-instance-termination-works.md). Bevor Sie eine Instance beenden, stellen Sie sicher, dass Sie alle Daten, die Sie nach der Beendigung behalten müssen, im persistenten Speicher gesichert haben. 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Instances** aus. 1. Wählen Sie die Instance und dann **Instance-Status** und **Instance beenden (löschen)** aus. 1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Beenden (löschen)** aus. 1. Melden Sie sich bei [AWS Marketplace](https://aws.amazon.com/marketplace) an, klicken Sie auf **Your Marketplace Account (Ihr Marketplace-Konto)** und danach auf **Manage Your Software Subscriptions (Software-Abonnements verwalten)**. 1. Wählen Sie **Cancel subscription**. Sie werden aufgefordert, die Kündigung zu bestätigen. # Amazon-EC2-AMI-Lebenszyklus Ein Amazon Machine Image (AMI) ist ein Image, das die Softwarekonfiguration enthält, die zum Einrichten und Hochfahren einer Instance erforderlich ist. Beim Starten einer Instance müssen Sie ein AMI angeben. Sie können die von Amazon AMIs bereitgestellten Produkte verwenden oder Ihre eigenen erstellen AMIs. Das AMI muss sich in dem befinden, AWS-Region in dem Sie Ihre Instance starten möchten. Der Lebenszyklus eines AMI umfasst das Erstellen, Kopieren, Verwerfen, Deaktivieren und Löschen (Abmelden) des AMI. **Erstellen AMIs.** Amazon stellt zwar bereit AMIs , dass Sie Ihre Instances starten können, Sie können jedoch auch maßgeschneiderte Instances erstellen, die auf Ihre Bedürfnisse AMIs zugeschnitten sind. Um ein benutzerdefiniertes AMI zu erstellen, starten Sie eine Instance aus einem vorhandenen AMI, passen Sie die Instance an (zum Beispiel Software installieren und Betriebssystemeinstellungen konfigurieren) und erstellen Sie dann ein AMI aus der Instance. Alle Instance-Anpassungen werden im neuen AMI gespeichert, sodass die Instances, die Sie von Ihrem neuen AMI aus starten, diese Anpassungen enthalten. **Beglaubigbar AMIs.** Informationen zum Erstellen eines AMI, das die EC2-Instance-Attestierrung unterstützt, finden Sie unter [Bescheinigbar AMIs](attestable-ami.md). **Kopie. AMIs** Sie können ein AMI verwenden, um eine Instance nur in dem zu starten, AWS-Region in dem sich das AMI befindet. Wenn Sie Instances mit derselben Konfiguration in mehreren Regionen starten müssen, kopieren Sie das AMI in die anderen Regionen. **Veraltet AMIs.** Um ein AMI als überholt oder veraltet zu kennzeichnen, können Sie ein sofortiges oder zukünftiges Datum für die Außerbetriebnahme festlegen. Veraltete Versionen AMIs werden in den AMI-Listen ausgeblendet, aber Benutzer und Dienste können veraltete Versionen weiterhin verwenden, AMIs wenn sie die AMI-ID kennen. **Deaktivieren. AMIs** Um vorübergehend zu verhindern, dass ein AMI verwendet wird, können Sie es deaktivieren. Wenn ein AMI deaktiviert ist, können Sie es nicht verwenden, um neue Instances zu starten. Wenn Sie das AMI jedoch erneut aktivieren, können Sie es erneut verwenden, um Instances zu starten. Beachten Sie, dass die Deaktivierung eines AMI keine Auswirkungen auf bestehende Instances hat, die bereits von diesem aus gestartet wurden. **Abmelden (löschen). AMIs** Wenn Sie ein AMI nicht mehr benötigen, können Sie es abmelden, um zu verhindern, dass es zum Starten neuer Instances verwendet wird. Wenn das AMI einer Aufbewahrungsregel entspricht, wird es in den Papierkorb verschoben, wo es wiederhergestellt werden kann, bevor die Aufbewahrungsfrist abläuft. Danach wird es dauerhaft gelöscht. Wenn es keiner Aufbewahrungsregel entspricht, wird es sofort dauerhaft gelöscht. Beachten Sie, dass die Abmeldung eines AMI keine Auswirkungen auf die Instances hat, die bereits aus dem AMI gestartet wurden. **Automatisieren Sie den AMI-Lebenszyklus.** Sie können Amazon Data Lifecycle Manager verwenden, um die Erstellung, Aufbewahrung, Kopie, Veraltung und Abmeldung von Amazon EBS-gestützten AMIs und deren unterstützenden Snapshots zu automatisieren. Sie können EC2 Image Builder auch verwenden, um die Erstellung, Verwaltung und Bereitstellung AMIs benutzerdefinierter Dateien zu automatisieren. Weitere Informationen finden Sie unter [Automatisieren von Backups mit Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html) im *Amazon-EBS-Benutzerhandbuch* und im [Benutzerhandbuch für EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html). **Topics** + [Erstellen eines AMI](creating-an-ami-ebs.md) + [ # Ein Amazon-S3-gestütztes AMI erstellen ](creating-an-ami-instance-store.md) + [Ein AMI mit Windows Sysprep erstellen](ami-create-win-sysprep.md) + [Kopieren eines AMI](CopyingAMIs.md) + [Speichern und Wiederherstellen eines AMI](ami-store-restore.md) + [AMI-Abstammung](ami-ancestry.md) + [AMI-Nutzung](ec2-ami-usage.md) + [AMI als veraltet kennzeichnen](ami-deprecate.md) + [Deaktivieren eines AMIs](disable-an-ami.md) + [Aufheben der Registrierung eines AMI](deregister-ami.md) # Ein Amazon-EBS-gestütztes AMI erstellen Sie können Ihr eigenes Amazon-EBS-gestütztes AMI aus einer Amazon-EC2-Instance oder aus einem Snapshot des Root-Volumes einer Amazon-EC2-Instance erstellen. Um ein Amazon-EBS-gestütztes AMI aus einer Instance zu erstellen, starten Sie zunächst eine Instance mit einem bestehenden Amazon-EBS-gestütztes AMI. Bei diesem AMI kann es sich um eines handeln AWS Marketplace, das Sie über [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html) erhalten haben, oder um ein beliebiges anderes AMI, auf das Sie zugreifen können. Nachdem Sie die Instance an Ihre spezifischen Anforderungen angepasst haben, erstellen und registrieren Sie ein neues AMI. Sie können dann das neue AMI verwenden, um neue Instances mit Ihren Anpassungen zu starten. **Anmerkung** Informationen zum Erstellen eines AMI, das die EC2-Instance-Attestierrung unterstützt, finden Sie unter [Bescheinigbar AMIs](attestable-ami.md). Die unten beschriebenen Verfahren funktionieren für Amazon EC2-Instances mit verschlüsselten Volumes Amazon Elastic Block Store (Amazon EBS) (einschließlich Stamm-Volume) und für unverschlüsselte Volumes. Der AMI-Erstellungsprozess ist bei Amazon AMIs S3-gestützten Systemen anders. Weitere Informationen finden Sie unter [Ein Amazon-S3-gestütztes AMI erstellen](creating-an-ami-instance-store.md). **Topics** + [ ## Überblick über die AMI-Erstellung aus einer Instance ](#process-creating-an-ami-ebs) + [ ## Ein AMI aus einer Instance erstellen ](#how-to-create-ebs-ami) + [ ## Ein AMI aus einem Snapshot erstellen ](#creating-launching-ami-from-snapshot) ## Überblick über die AMI-Erstellung aus einer Instance Das folgende Diagramm fasst den Prozess zum Erstellen eines Amazon-EBS-gestützten AMI in einer laufenden EC2-Instance zusammen: Beginnen Sie mit einem vorhandenen AMI, starten Sie eine Instance, passen Sie sie an, erstellen Sie daraus ein neues AMI und starten Sie schließlich eine Instance Ihres neuen AMI. Die Zahlen im Diagramm stimmen mit den Zahlen in der folgenden Beschreibung überein. ![\[Workflow zum Erstellen eines AMI aus einer Instance\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/running-instance.png) **1 – AMI Nr. 1: Beginnen Sie mit einem vorhandenen AMI** Finden Sie ein vorhandenes AMI, das dem zu erstellenden AMI ähnelt. Dabei kann es sich um ein AMI handeln, das Sie von dem bezogen haben AWS Marketplace, ein AMI, das Sie mithilfe von [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html) erstellt haben, oder um ein beliebiges anderes AMI, auf das Sie zugreifen können. Sie passen dieses AMI an Ihre Bedürfnisse an. Im Diagramm gibt **EBS root volume snapshot \$11** (EBS-Root-Volume-Snapshot Nr. 1) an, dass das AMI ein Amazon-EBS-gestütztes AMI ist und dass Informationen über das Root-Volume in diesem Snapshot gespeichert sind. **2 – Starten Sie eine Instance über ein vorhandenes AMI** Um ein AMI zu konfigurieren, starten Sie eine Instance über das AMI, auf dem Ihr neues AMI basieren soll, und passen Sie die Instance an (im Diagramm mit **3** gekennzeichnet). Dann erstellen Sie ein neues AMI, das die Anpassungen enthält (**4** im Diagramm). **3 – EC2-Instance Nr. 1: Passen Sie die Instance an** Stellen Sie eine Verbindung mit Ihrer Instance her und passen Sie sie an Ihre Bedürfnisse an. Ihr neues AMI wird diese Anpassungen enthalten. Sie können die folgenden Aktionen für Ihre Instance durchführen, um sie anzupassen: + Installieren von Software und Anwendungen + Kopieren von Daten + Reduzieren der Startzeit durch Löschen von temporären Dateien und Defragmentieren Ihrer Festplatte + Anfügen zusätzlicher EBS-Volumes **4 – Erstellen Sie ein Image** Wenn Sie ein AMI aus einer Instance erstellen, fährt Amazon EC2 die Instance vor dem Erstellen des AMI herunter, um sicherzustellen, dass alle Vorgänge auf der Instance angehalten werden und sich während des Erstellungsprozesses in einem einheitlichen Zustand befinden. Wenn Sie sicher sind, dass sich die Instance in einem einheitlichen und für die AMI-Erstellung geeigneten Zustand befindet, können Sie Amazon EC2 anweisen, die Instance nicht herunterzufahren und neu zu starten. Bei einigen Dateisystemen, z. B. XFS, können Aktivitäten vorübergehend eingefroren werden, damit das Image ohne Neustart der Instance auf sichere Weise erstellt werden kann. Während der AMI-Erstellung erstellt Amazon EC2 Snapshots des Stamm-Volumes Ihrer Instance und von allen anderen EBS-Volumes, die an Ihre Instance angefügt sind. Ihnen werden Gebühren für die Snapshots in Rechnung gestellt, bis Sie die [Registrierung des AMI aufheben](deregister-ami.md) und die Snapshots löschen. Wenn an die Instance angefügte Volumes verschlüsselt sind, wird das neue AMI nur auf den Instances erfolgreich gestartet, die Amazon-EBS-Verschlüsselung unterstützen. Je nach der Größe des Volumes kann die Erstellung des AMI mehrere Minuten in Anspruch nehmen (manchmal sogar bis zu 24 Stunden). Es kann deutlich effizienter sein, vor der Erstellung eines AMI Snapshots der Volumes zu erstellen. Auf diese Weise müssen bei der AMI-Erstellung nur kleine, inkrementelle Snapshots erstellt werden und der Prozess ist schneller abgeschlossen (die Gesamtzeit der Snapshoterstellung bleibt gleich). **5 – AMI Nr. 2: Neues AMI** Nach Abschluss des Prozesses verfügen Sie über ein neues AMI und einen Snapshot **Snapshot Nr. 2**, der für das Root-Volume der Instance erstellt wurde. Wenn Sie der Instance zusätzlich zum Root-Volume Instance-Speicher-Volumes oder EBS-Volumes hinzugefügt haben, enthält die Blockgerät-Zuweisung für das neue AMI Informationen zu diesen Volumes. Amazon EC2 registriert das AMI automatisch für Sie. **6 – Starten Sie eine Instance über das neue AMI** Sie können das neue AMI verwenden, um eine Instance zu starten. **7 – EC2-Instance Nr. 2: Neue Instance** Wenn Sie eine Instance mit dem neuen AMI starten, erstellt Amazon EC2 wir mithilfe des Snapshots ein neues EBS-Volume für das Root-Volume der Instance. Wenn Sie beim Anpassen der Instance Instance-Speicher-Volumes oder EBS-Volumes hinzugefügt haben, enthält die Blockgerät-Zuweisung für das neue AMI Informationen zu diesen Volumes. Außerdem enthalten die Blockgerät-Zuweisungen für Instances, die Sie über das neue AMI starten, automatisch Informationen zu diesen Volumes. Die Instance-Speicher-Volumes, die in der Blockgerät-Zuweisung für die neue Instance angegeben sind, sind neu und enthalten keine Daten von den Instance-Speicher-Volumes der Instance, die Sie zum Erstellen des AMI verwendet haben. Die Daten auf den EBS-Volumes werden beibehalten. Weitere Informationen finden Sie unter [Blockgerät-Zuweisungen auf Amazon-EC2-Instances blockieren](block-device-mapping-concepts.md). Wenn Sie eine neue Instance aus einem EBS-gestützten AMI erstellen, sollten Sie sowohl das Root-Volume als auch den zusätzlichen EBS-Speicher initialisieren, bevor Sie die Instance in Betrieb nehmen. Weitere Informationen finden Sie unter [Amazon-EBS-Volume-Typen initialisieren](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-initialize.html) im *Amazon-EBS-Benutzerhandbuch*. ## Ein AMI aus einer Instance erstellen Wenn Sie eine bestehende Instance haben, können Sie ein AMI von dieser Instance erstellen. ------ #### [ Console ] **So erstellen Sie ein AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Instances** aus. 1. Wählen Sie die Instance, von der aus Sie das AMI erstellen möchten, und wählen Sie **Actions** (Aktionen), dann **Image and templates** (Image und Vorlagen) und dann **Create image** (Image erstellen). **Tipp** Wenn diese Option deaktiviert ist, handelt es sich bei Ihrer Instance nicht um eine Amazon EBS-gestützte Instance. 1. Geben Sie auf der Seite **Create image** (Image erstellen) die folgenden Informationen an: 1. Geben Sie für **Image name** (Image-Name) einen eindeutigen Namen für das Image ein, der bis zu 127 Zeichen lang sein kann. 1. Für **Image description** (Image-Beschreibung), geben Sie eine optionale Beschreibung des Images mit einer Länge von maximal 255 Zeichen ein. 1. Bei **Instance neu starten** lassen Sie das Kontrollkästchen entweder aktiviert (Standardeinstellung) oder deaktivieren es. + Wenn **Instance neu starten** ausgewählt ist, startet Amazon EC2 bei der Erstellung des neuen AMI die Instance neu, damit Snapshots der angefügten Volumes erstellt werden können, während sich die Daten im Ruhezustand befinden, um einen konsistenten Zustand zu gewährleisten. + Ist **Instance neu starten** nicht ausgewählt wenn Amazon EC2 das neue AMI erstellt, wird es nicht heruntergefahren und startet die Instance nicht neu. **Warnung** Wenn Sie **Instance neu starten** abwählen, können wir die Dateisystemintegrität des erstellten Abbilds nicht garantieren. 1. **Instance volumes** (Instance-Volumes) – Sie können wie folgt das Stamm-Volume ändern sowie weitere Amazon-EBS- und Instance-Speicher-Volumes hinzufügen: 1. Das Stamm-Volume wird in der ersten Zeile definiert. + Um die Größe des Stamm-Volumes zu ändern, geben Sie für **Size (Größe)** den erforderlichen Wert ein. + Wenn Sie **Delete on termination (Bei Beenden löschen)** auswählen, wird das EBS-Volume gelöscht, sobald Sie die Instance beenden, die aus diesem AMI erstellt wurde. Wenn Sie **Delete on termination (Bei Beenden löschen)** nicht auswählen, wird das EBS-Volume nicht gelöscht, sobald Sie die Instance beenden. Weitere Informationen finden Sie unter [Daten beim Beenden einer Instance aufbewahren](preserving-volumes-on-termination.md). 1. Wählen Sie zum Hinzufügen eines EBS-Volumes die Option **Add volume (Volume hinzufügen)** (dadurch wird eine neue Zeile hinzugefügt). Wählen Sie als **Speichertyp** die Option **EBS** und füllen Sie die Felder in der Zeile aus. Wenn Sie eine Instance aus Ihrem neuen AMI starten, werden diese zusätzlichen Volumes automatisch der Instance zugeordnet. Leere Volumes müssen formatiert und „gemountet“ werden. Volumes, die auf einem Snapshot basieren, müssen „gemountet“ werden. 1. Informationen zum Hinzufügen eines Instance-Speicher-Volumes finden Sie unter [Instance-Speicher-Volumes zu einem Amazon-EC2-AMI hinzufügen](adding-instance-storage-ami.md). Wenn Sie eine Instance aus Ihrem neuen AMI starten, werden zusätzliche Volumes automatisch initialisiert und gemountet. Diese Volumes enthalten keine Daten aus den Instance-Speicher-Volumes der ausgeführten Instance, auf der Ihr AMI basiert. 1. **Snapshot-Ziel** – Wenn sich Ihre Instance-Volumes in einer Local Zone befinden, die lokale EBS-Snapshots unterstützt, wählen Sie aus, wo die AMI-Snapshots erstellt werden sollen: + **AWS-Region**: Erstellen Sie Snapshots in der übergeordneten Region der Local Zone Ihrer Volumes. + **AWS Lokale Zone**: Erstellen Sie Snapshots in derselben lokalen Zone wie Ihre Volumes. **Anmerkung** Diese Option wird nur in Local Zonen angezeigt, die lokale EBS-Snapshots unterstützen, und nur, wenn Ihre Instance in einer Local Zone erstellt wurde. Wenn sich das Volume in einer Region befindet, wird diese Option nicht angezeigt, und der Snapshot wird automatisch in derselben Region wie das Volume erstellt. Weitere Informationen finden Sie unter [Lokale Snapshots in Local Zones](https://docs.aws.amazon.com/ebs/latest/userguide/snapshots-localzones.html) im *Amazon-EBS-Benutzerhandbuch*. **Wichtig** Alle Snapshots der Volumes der Instance müssen sich am selben Speicherort befinden. Überprüfen Sie den Speicherort vorhandener Snapshots. Wenn sich vorhandene Snapshots an einem anderen Speicherort als dem ausgewählten Ziel befinden, schlägt die AMI-Erstellung fehl. 1. **Tags (Markierungen)** – Sie können das AMI und die Snapshots mit denselben Tags (Markierungen) oder mit unterschiedlichen Tags (Markierungen) markieren. + Um das AMI und die Snapshots mit den *gleichen* Tags (Markierungen) zu markieren, wählen Sie **Tag image and snapshots together (Image und Snapshots zusammen markieren)**. Die gleichen Tags (Markierungen) werden auf das AMI und jeden erstellten Snapshot angewendet. + Um das AMI und die Snapshots mit *verschiedenen* Tags (Markierungen) zu markieren, wählen Sie **Tag image and snapshots separately (Image und Snapshots separat markieren)**. Verschiedene Tags (Markierungen) werden auf das AMI und die erstellten Snapshots angewendet. Alle Snapshots erhalten jedoch die gleichen Tags (Markierungen). Sie können nicht jeden Snapshot mit einem anderen Tags (Markierungen) versehen. Sie fügen ein Tag (Markierung) hinzu, indem Sie **Add Tags (Tag (Markierung) hinzufügen)** auswählen und den Schlüssel und den Wert für das Tags (Markierungen) eingeben. Wiederholen Sie diesen Schritt für jeden Tag (Markierung). 1. Wenn Sie bereit sind, Ihr AMI zu erstellen, wählen Sie **Create image** (Image erstellen). 1. Sehen Sie den Status Ihres AMI während der Erstellung ein wie folgt: 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Legen Sie den Filter auf **Owned by me** (Eigentum von mir) fest, um Ihr AMI in der entsprechenden Liste zu finden. Am Anfang wird als Status `pending` angezeigt; nach einigen Minuten sollte sich der Status jedoch in `available` ändern. 1. (Optional) Wie Sie den Snapshot anzeigen, der für das neue AMI erstellt wurde: 1. Notieren Sie die ID des AMIs, das Sie im vorherigen Schritt ausfindig gemacht haben. 1. Wählen Sie im Navigationsbereich die Option **Snapshots**. 1. Stellen Sie den Filter auf **Owned by me** (Eigentum von mir) ein, und suchen Sie dann den Snapshot mit der neuen AMI-ID in der Spalte **Description** (Beschreibung). Wenn Sie eine Instance über dieses AMI starten, verwendet Amazon EC2 diesen Snapshot, um das Root-Volume der Instance zu erstellen. ------ #### [ AWS CLI ] **So erstellen Sie ein AMI** Verwenden Sie den Befehl [create-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html). ``` aws ec2 create-image \ --instance-id i-1234567890abcdef0 \ --name "my-web-server" \ --description "My web server image" \ --no-reboot ``` ------ #### [ PowerShell ] **So erstellen Sie ein AMI** Verwenden Sie das cmdlet [New-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Image.html). ``` New-EC2Image ` -InstanceId i-1234567890abcdef0 ` -Name "my-web-server" ` -Description "My web server image" ` -NoReboot $true ``` ------ ## Ein AMI aus einem Snapshot erstellen Wenn Sie über einen Snapshot des Root-Volumes einer Instance verfügen, können Sie ein AMI aus diesem Snapshot erstellen. **Anmerkung** In den meisten Fällen benötigen Red Hat, SUSE und SQL Server AMIs für Windows korrekte Lizenzinformationen, um im AMI vorhanden zu sein. Weitere Informationen finden Sie unter [Verstehen von AMI-Fakturierungsdaten](ami-billing-info.md). Beim Erstellen eines AMI aus einem Snapshot leitet der `RegisterImage`-Vorgang die korrekten Fakturierungsinformationen aus den Metadaten des Snapshots ab. Dazu müssen jedoch die entsprechenden Metadaten vorhanden sein. Um zu überprüfen, ob die richtigen Rechnungsinformationen verwendet wurden, überprüfen Sie das Feld **Plattformdetails** auf dem neuen AMI. Wenn das Feld leer ist oder nicht dem erwarteten Betriebssystemcode entspricht (z. B. Windows, Red Hat, SUSE oder SQL), war die AMI-Erstellung nicht erfolgreich. Sie sollten das AMI verwerfen und den Anweisungen unter [Ein AMI aus einer Instance erstellen](#how-to-create-ebs-ami) folgen. ------ #### [ Console ] **Ein AMI aus einem Snapshot erstellen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich die Option **Snapshots**. 1. Wählen Sie den Snapshot aus, aus dem das AMI erstellt werden soll, und wählen Sie dann **Actions** (Aktionen), **Create image from snapshot** (Image aus Snapshot erstellen) aus. 1. Geben Sie auf der Seite **Image von Snapshot erstellen** die folgenden Informationen an: 1. Geben Sie unter **Image-Name** einen beschreibenden Namen für das Image ein. 1. Geben Sie unter **Beschreibung** eine kurze Beschreibung für das Image ein. 1. Wählen Sie unter **Architektur** die Image-Architektur aus. Wählen Sie **i386** für 32Bbit, **x86\$164** für 64-Bit, **arm64** für 64-Bit-ARM oder **x86\$164** für 64-Bit-macOS. 1. Geben Sie für **Root-Gerätename** den Gerätenamen ein, der für das Root-Volume verwendet werden soll. Weitere Informationen finden Sie unter [Gerätenamen für Volumes auf EC2 Amazon-Instances](device_naming.md). 1. Wählen Sie für **Virtualisierungstyp** den Virtualisierungstyp aus, der von Instances verwendet werden soll, die von diesem AMI gestartet werden. Weitere Informationen finden Sie unter [Virtualisierungstypen](ComponentsAMIs.md#virtualization_types). 1. (Nur zur paravirtuellen Virtualisierung) Für **Kernel-ID**, wählen Sie den Betriebssystem-Kernel für das Image aus. Wenn Sie einen Snapshot des Root-Volumes einer Instance verwenden, wählen Sie dieselbe Kernel-ID wie die ursprüngliche Instance aus. Wenn Sie sich nicht sicher sind, verwenden Sie den Standardkernel. 1. (Nur für Paravirtualisierung) Wählen Sie für **RAM-Festplatten-ID** die RAM-Festplatte für das Image aus. Wenn Sie einen bestimmten Kernel ausgewählt haben, müssen Sie möglicherweise einen bestimmten RAM-Datenträger mit den Treibern auswählen, die ihn unterstützen. 1. Wählen Sie für den **Startmodus** den Startmodus für das Image aus, oder wählen Sie **Standard verwenden**, sodass eine Instance, wenn sie mit diesem AMI gestartet wird, mit dem vom Instance-Typ unterstützten Startmodus gestartet wird. Weitere Informationen finden Sie unter [Den Bootmodus eines Amazon-EC2-AMIs festlegen](set-ami-boot-mode.md). 1. (Optional) Passen Sie im Abschnitt **Blockgerät-Zuweisungen** das Root-Volume an und fügen Sie zusätzliche Daten-Volumes hinzu. Für jedes Volume können Sie Größe, Typ, Leistungsmerkmale, das Verhalten des Löschens beim Beenden und den Verschlüsselungsstatus angeben. Für das Stamm-Volume darf die Größe nicht kleiner sein als die Größe des Snapshots. Für den Volume-Typ ist standardmäßig die Allzweck-SSD `gp3` ausgewählt. 1. (Optional) Unter **Tags** können Sie dem neuen AMI ein oder mehrere Tags hinzufügen. Sie fügen ein Tag (Markierung) hinzu, indem Sie **Add Tags (Tag (Markierung) hinzufügen)** auswählen und den Schlüssel und den Wert für das Tags (Markierungen) eingeben. Wiederholen Sie diesen Schritt für jeden Tag (Markierung). 1. Wenn Sie bereit sind, Ihr AMI zu erstellen, wählen Sie **Create image** (Image erstellen). 1. (Nur Windows, Red Hat, SUSE und SQL Server) Um zu überprüfen, ob die richtigen Fakturierungsinformationen verwendet wurden, überprüfen Sie das Feld **Plattformdetails** auf dem neuen AMI. Wenn das Feld leer ist oder nicht dem erwarteten Betriebssystemcode entspricht (z. B. **Windows** oder **Red Hat**), war die AMI-Erstellung nicht erfolgreich. Sie sollten das AMI verwerfen und den Anweisungen unter [Ein AMI aus einer Instance erstellen](#how-to-create-ebs-ami) folgen. ------ #### [ AWS CLI ] **Um ein AMI aus einem Snapshot zu erstellen, verwenden Sie AWS CLI** Verwenden Sie den Befehl [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). ``` aws ec2 register-image \ --name my-image \ --root-device-name /dev/xvda \ --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0db2cf683925d191f} ``` ------ #### [ PowerShell ] **Um ein AMI aus einem Snapshot zu erstellen, verwenden Sie PowerShell** Verwenden Sie das cmdlet [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html). ``` $block = @{SnapshotId=snap-0db2cf683925d191f} Register-EC2Image ` -Name my-image ` -RootDeviceName /dev/xvda ` -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} ``` ------ # Ein Amazon-S3-gestütztes AMI erstellen Anhand des AMI, das Sie beim Starten Ihrer Instance angeben, wird der Typ des Root-Volumes ermittelt. Beginnen Sie auf einer Instance, die Sie über ein vorhandenes Amazon-S3-gestütztes Linux-AMI gestartet haben, um ein Amazon-S3-gestütztes Linux-AMI zu erstellen. Nachdem Sie die Instance an Ihre Anforderungen angepasst haben, können Sie das Volume als Paket bündeln (Bundle) und ein neues AMI erstellen und registrieren, um es zum Starten von neuen Instances mit diesen Anpassungen zu verwenden. Sie können kein Amazon S3-gestütztes Windows-AMI erstellen, da Windows den Instance-Speicher für das Root-Volume AMIs nicht unterstützt. **Wichtig** Nur die folgenden Instance-Typen unterstützen ein Instance-Speicher-Volume als Root-Volume und erfordern ein Amazon-S3-gestütztes AMI: C1, C3, D2, I2, M1, M2, M3, R3 und X1. Der AMI-Erstellungsprozess ist bei Amazon AMIs EBS-gestützten Systemen anders. Weitere Informationen finden Sie unter [Ein Amazon-EBS-gestütztes AMI erstellen](creating-an-ami-ebs.md). **Topics** + [ ## Übersicht über die Erstellung von AMI ](#process-creating-an-ami-instance-store) + [ ## Voraussetzungen ](#bundle-ami-prerequisites) + [ ## Erstellen eines AMI aus einer Amazon-Linux-Instance ](#amazon_linux_instructions) + [ # Die Amazon-EC2-AMI-Tools einrichten ](set-up-ami-tools.md) + [ # Referenz zu den Amazon EC2 AMI-Tools ](ami-tools-commands.md) + [ # Konvertieren Sie Ihre Amazon-S3-gestütztes AMI in ein Amazon EBS-gestütztes AMI ](Using_ConvertingS3toEBS.md) ## Übersicht über die Erstellung von AMI Im folgenden Diagramm ist der Prozess zum Erstellen eines AMI aus einer Instance mit einem Instance-Speicher-Root-Volume dargestellt. ![\[Erstellen eines Amazon-S3-gestützten AMI.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami_create_instance_store.png) Starten Sie zuerst eine Instance über ein AMI, das dem zu erstellenden AMI ähnelt. Sie können eine Verbindung mit Ihrer Instance herstellen und sie anpassen. Wenn die Instance nach Ihren Vorstellungen konfiguriert ist, können Sie dafür ein Paket (Bundle) erstellen. Es dauert mehrere Minuten, bis die Paketerstellung abgeschlossen ist. Nach Abschluss des Prozesses verfügen Sie über ein Paket, das aus einem Image-Manifest (`image.manifest.xml`) und Dateien (`image.part.`*xx*) besteht, die eine Vorlage für das Stamm-Volume enthalten. Als Nächstes laden Sie das Paket in Ihren Amazon S3-Bucket hoch und registrieren anschließend Ihr AMI. **Anmerkung** Um Objekte für Ihr Amazon-S3-gestütztes Linux-AMI in einen S3-Bucket hochzuladen, müssen ACLs für den Bucket aktiviert sein. Andernfalls kann Amazon EC2 keine Einstellungen für die ACLs hochzuladenden Objekte festlegen. Wenn Ihr Ziel-Bucket die vom Bucket-Besitzer erzwungene Einstellung für S3 Object Ownership verwendet, funktioniert dies nicht, da sie deaktiviert ACLs sind. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html). Beim Starten einer Instance mit dem neuen AMI erstellen wir das Stamm-Volume für die Instance mithilfe des Pakets, das Sie in Amazon S3 hochgeladen haben. Für den Speicherplatz, der von dem Paket in Amazon S3 verwendet wird, werden Ihrem Konto Kosten berechnet, bis Sie es löschen. Weitere Informationen finden Sie unter [Aufheben der Registrierung eines Amazon-EC2-AMI](deregister-ami.md). Wenn Sie Ihrer Instance zusätzlich zum Root-Volume Instance-Speicher-Volumes hinzufügen, enthält die Blockgerät-Zuweisung für das neue AMI Informationen zu diesen Volumes. Außerdem enthalten die Blockgerät-Zuweisungen für Instances, die Sie über das neue AMI starten, automatisch Informationen zu diesen Volumes. Weitere Informationen finden Sie unter [Blockgerät-Zuweisungen auf Amazon-EC2-Instances blockieren](block-device-mapping-concepts.md). ## Voraussetzungen Bevor Sie ein AMI erstellen können, müssen Sie die folgenden Aufgaben durchführen: + Installieren Sie die AMI-Tools. Weitere Informationen finden Sie unter [Die Amazon-EC2-AMI-Tools einrichten](set-up-ami-tools.md). + Installieren Sie das AWS CLI. Weitere Informationen finden Sie unter [Erste Schritte mit AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html). + Stellen Sie sicher, dass Sie über einen S3-Bucket für das Bundle verfügen und dass Ihr Bucket ACLs aktiviert ist. Weitere Informationen zur Konfiguration finden ACLs Sie unter [Konfiguration ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html). + Um einen S3-Bucket mit dem zu erstellen AWS-Managementkonsole, öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)und wählen Sie **Create Bucket**. + Um einen S3-Bucket mit dem zu erstellen AWS CLI, können Sie den Befehl [mb](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html) verwenden. Wenn Ihre installierte Version der AMI-Tools 1.5.18 oder höher ist, können Sie auch den `ec2-upload-bundle`-Befehl verwenden, um den S3-Bucket zu erstellen. Weitere Informationen finden Sie unter [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle). + Stellen Sie sicher, dass die Dateien in Ihrem Paket nicht im S3-Bucket verschlüsselt sind. Wenn Sie Verschlüsselung für Ihr AMI benötigen, können Sie stattdessen ein EBS-gestütztes AMI verwenden. Weitere Informationen finden Sie unter [Verschlüsselung mit EBS-gestützter Verschlüsselung verwenden AMIs](AMIEncryption.md). + Stellen Sie sicher, dass Sie Ihre AWS Konto-ID haben. Weitere Informationen finden Sie im *Referenzhandbuch zur AWS Kontoverwaltung unter AWS-Konto * [Identifikatoren anzeigen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html). + Stellen Sie sicher, dass Sie über Anmeldeinformationen zur Verwendung von AWS CLI verfügen. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffs-Anmeldeinformationen für die AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) im *Benutzerhandbuch für AWS Command Line Interface *. + Stellen Sie sicher, dass Sie über ein X.509-Zertifikat und den entsprechenden privaten Schlüssel verfügen. + Informationen zur Erstellung eines X.509-Zertifikats erhalten Sie unter [Verwalten von Signaturzertifikaten](set-up-ami-tools.md#ami-tools-managing-certs). Das X.509-Zertifikat und der private Schlüssel werden verwendet, um Ihr AMI zu verschlüsseln und zu entschlüsseln. + [China (Peking)] Verwenden Sie das Zertifikat `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-cn-north-1.pem`. + [AWS GovCloud (US-West)] Verwenden Sie das `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-gov.pem` Zertifikat. + Stellen Sie eine Verbindung mit Ihrer Instance her und passen Sie sie an. Sie können beispielsweise Software und Anwendungen installieren, Daten kopieren, temporäre Dateien löschen und die Linux-Konfiguration ändern. ## Erstellen eines AMI aus einer Amazon-Linux-Instance Die folgenden Verfahren beschreiben, wie Sie ein AMI aus einer Instance mit einem Instance-Speicher-Root-Volume erstellen, auf der Amazon Linux 1 ausgeführt wird. Sie funktionieren unter Umständen nicht für Instances, auf denen andere Linux-Verteilungen ausgeführt werden. **So bereiten Sie die Verwendung der AMI-Tools vor (nur HVM-Instances)** 1. Für die AMI-Tools ist das richtige Starten von GRUB Legacy-System erforderlich. Verwenden Sie den folgenden Befehl, um GRUB zu installieren: ``` [ec2-user ~]$ sudo yum install -y grub ``` 1. Installieren Sie die Pakete für die Partitionsverwaltung mit dem folgenden Befehl: ``` [ec2-user ~]$ sudo yum install -y gdisk kpartx parted ``` **So erstellen Sie ein AMI aus einer Amazon-Linux-Instance mit einem Instance-Speicher-Root-Volume** Hierbei wird vorausgesetzt, dass Sie die Voraussetzungen unter [Voraussetzungen](#bundle-ami-prerequisites) erfüllt haben. Ersetzen Sie in den folgenden Befehlen jeden Befehl *user input placeholder* durch Ihre eigenen Informationen. 1. Laden Sie Ihre Anmeldeinformationen auf Ihre Instance hoch. Wir verwenden diese Anmeldeinformationen, um sicherzustellen, dass nur Sie und Amazon EC2 Zugriff auf Ihr AMI haben. 1. Erstellen Sie auf Ihrer Instance wie folgt ein temporäres Verzeichnis für Ihre Anmeldeinformationen: ``` [ec2-user ~]$ mkdir /tmp/cert ``` Auf diese Weise können Sie Ihre Anmeldeinformationen aus der Image-Erstellung ausschließen. 1. Kopieren Sie Ihr X.509-Zertifikat und den dazugehörigen privaten Schlüssel von Ihrem Computer in das Verzeichnis `/tmp/cert` auf Ihrer Instance, indem Sie ein Secure Copy-Tool nutzen, z. B. [scp](linux-file-transfer-scp.md). Die Option `-i my-private-key.pem` im folgenden **scp**-Befehl ist der private Schlüssel, den Sie zum Herstellen der Verbindung für Ihre Instance mit SSH verwenden, und nicht der private X.509-Schlüssel. Beispiel: ``` you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem /path/to/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/ pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 717 0.7KB/s 00:00 cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 685 0.7KB/s 00:00 ``` Da dies reine Textdateien sind, können Sie das Zertifikat und den Schlüssel in einem Text-Editor öffnen und den Inhalt jeweils in neue Dateien unter kopiere `/tmp/cert`. 1. Bereiten Sie das Paket für den Upload in Amazon S3 vor, indem Sie den Befehl [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) über Ihre Instance ausführen. Achten Sie darauf, die Option `-e` anzugeben, um das Verzeichnis auszuschließen, in dem Ihre Anmeldeinformationen gespeichert sind. Während des Paketprozesses werden standardmäßig Dateien ausgeschlossen, die ggf. vertrauliche Informationen enthalten. Dies sind beispielsweise die Dateien `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` und `*/.bash_history`. Verwenden Sie die Option `--no-filter`, wenn Sie alle diese Dateien einbinden möchten. Mit der Option `--include` können Sie einzelne Dateien einbinden. **Wichtig** Standardmäßig wird beim Prozess zur Erstellung des AMI-Pakets eine komprimierte, verschlüsselte Sammlung von Dateien im Verzeichnis `/tmp` erstellt, das als Ihr Stamm-Volume dient. Falls unter `/tmp` nicht genügend freier Speicherplatz zum Speichern des Pakets vorhanden ist, müssen Sie mit der Option `-d /path/to/bundle/storage` einen anderen Speicherort für das Paket angeben. Einige Instances verfügen über unter `/mnt` oder `/media/ephemeral0` bereitgestellten flüchtigen Speicher, den Sie verwenden können. Alternativ können Sie auch ein neues Amazon-EBS-Volume erstellen, anfügen und bereitstellen, um das Paket zu speichern. Weitere Informationen finden Sie unter [Amazon-EBS-Volume erstellen](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html) im *Amazon-EBS-Benutzerhandbuch*. 1. Sie müssen den **ec2-bundle-vol**-Befehl als Root-Benutzer ausführen. Für die meisten Befehle können Sie **sudo** verwenden, um erhöhte Berechtigungen zu erhalten. In diesem Fall sollten Sie aber **sudo -E su** ausführen, um Ihre Umgebungsvariablen beizubehalten. ``` [ec2-user ~]$ sudo -E su ``` Beachten Sie, dass Sie in der bash-Eingabeaufforderung nun als root-Benutzer identifiziert werden und dass das Dollarzeichen durch einen Hashtag ersetzt wurde. Hiermit wird angegeben, dass Sie sich in einer root-Shell befinden: ``` [root ec2-user]# ``` 1. Führen Sie den Befehl [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) wie folgt aus, um das AMI-Paket zu erstellen: ``` [root ec2-user]# ec2-bundle-vol -k /tmp/cert/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c /tmp/cert/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 123456789012 -r x86_64 -e /tmp/cert --partition gpt ``` **Anmerkung** Verwenden Sie für die Regionen China AWS GovCloud (Peking) und (US-West) den `--ec2cert` Parameter und geben Sie die Zertifikate gemäß den [Voraussetzungen](#bundle-ami-prerequisites) an. Die Image-Erstellung kann einige Minuten dauern. Wenn dieser Befehl abgeschlossen ist, enthält Ihr `/tmp` (oder nicht standardmäßiges) Verzeichnis das Paket (`image.manifest.xml`und mehrere `image.part.` *xx* Dateien). 1. Beenden Sie die root-Shell. ``` [root ec2-user]# exit ``` 1. (Optional) Bearbeiten Sie die Blockgerät-Zuweisungen in der Datei `image.manifest.xml` für Ihr AMI, um mehr Instance-Speicher-Volumes hinzuzufügen. Weitere Informationen finden Sie unter [Blockgerät-Zuweisungen auf Amazon-EC2-Instances blockieren](block-device-mapping-concepts.md). 1. Erstellen Sie ein Backup der Datei `image.manifest.xml`. ``` [ec2-user ~]$ sudo cp /tmp/image.manifest.xml /tmp/image.manifest.xml.bak ``` 1. Formatieren Sie die Datei `image.manifest.xml` neu, damit sie leichter gelesen und bearbeitet werden kann. ``` [ec2-user ~]$ sudo xmllint --format /tmp/image.manifest.xml.bak > /tmp/image.manifest.xml ``` 1. Bearbeiten Sie die Blockgerät-Zuweisungen in `image.manifest.xml` mit einem Text-Editor. Das Beispiel unten enthält einen neuen Eintrag für das Instance-Speicher-Volume `ephemeral1`. **Anmerkung** Eine Liste der ausgeschlossenen Dateien finden Sie unter [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol). ``` ami sda ephemeral0 sdb ephemeral1 sdc root /dev/sda1 ``` 1. Speichern Sie die Datei `image.manifest.xml` und beenden Sie den Text-Editor. 1. Führen Sie den Befehl [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle) wie folgt aus, um Ihr Paket in Amazon S3 hochzuladen: ``` [ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m /tmp/image.manifest.xml -a your_access_key_id -s your_secret_access_key ``` **Wichtig** Wenn Sie Ihr AMI in einer anderen Region als US East (N. Virginia) registrieren möchten, müssen Sie sowohl die Zielregion mit der Option `--region` als auch einen Bucket-Pfad angeben, der in der Zielregion bereits vorhanden ist (bzw. einen eindeutigen Bucket-Pfad, der in der Zielregion erstellt werden kann). 1. (Optional) Nach dem Upload des Pakets in Amazon S3 können Sie das Paket mit dem folgenden `/tmp`-Befehl aus dem Verzeichnis **rm** auf der Instance entfernen: ``` [ec2-user ~]$ sudo rm /tmp/image.manifest.xml /tmp/image.part.* /tmp/image ``` **Wichtig** Wenn Sie mit der Option `-d /path/to/bundle/storage` einen Pfad in [Step 2](#step_with_bundle_path_amazon_linux) angegeben haben, sollten Sie diesen Pfad anstelle von `/tmp` verwenden. 1. Führen Sie den Befehl [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) wie folgt aus, um Ihr AMI zu registrieren: ``` [ec2-user ~]$ aws ec2 register-image --image-location amzn-s3-demo-bucket/bundle_folder/bundle_name/image.manifest.xml --name AMI_name --virtualization-type hvm ``` **Wichtig** Wenn Sie zuvor für den Befehl [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle) eine Region angegeben haben, müssen Sie die entsprechende Region für diesen Befehl noch einmal angeben. # Die Amazon-EC2-AMI-Tools einrichten Sie können die AMI-Tools verwenden, um Amazon S3-gestütztes Linux zu erstellen und zu verwalten. AMIs Um die Tools verwenden zu können, müssen Sie sie auf Ihrer Linux-Instance installieren. Die AMI-Tools sind als RPM-Paket und für Linux-Distributionen, die RPM nicht unterstützen, auch als ZIP-Datei verfügbar. **So richten Sie die AMI-Tools per RPM ein** 1. Installieren Sie Ruby mithilfe des Paket-Managers für Ihre Linux-Veteilung, z. B. yum. Beispiel: ``` [ec2-user ~]$ sudo yum install -y ruby ``` 1. Laden Sie die RPM-Datei mit einem Tool wie wget oder curl herunter. Beispiel: ``` [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.noarch.rpm ``` 1. Überprüfen Sie die Signatur der RPM-Datei, indem Sie den folgenden Befehl eingeben: ``` [ec2-user ~]$ rpm -K ec2-ami-tools.noarch.rpm ``` Der obige Befehl sollte angeben, dass es sich bei den Dateien und Hashes um Dateien SHA1 und MD5 Hashes handelt. `OK.` Wenn der Befehl angibt, dass es sich um Hashes handelt`NOT OK`, verwenden Sie den folgenden Befehl, um den Header und die Hashes der Datei anzuzeigen: SHA1 MD5 ``` [ec2-user ~]$ rpm -Kv ec2-ami-tools.noarch.rpm ``` Vergleichen Sie dann den Header SHA1 und die MD5 Hashes Ihrer Datei mit den folgenden verifizierten AMI-Tools-Hashes, um die Echtheit der Datei zu bestätigen: + Header SHA1: a1f662d6f25f69871104e6a62187fa4df508f880 + MD5: 9faff05258064e2f7909b66142de6782 Wenn der Header SHA1 und die MD5 Hashes Ihrer Datei mit den verifizierten AMI-Tools-Hashes übereinstimmen, fahren Sie mit dem nächsten Schritt fort. 1. Installieren Sie RPM mit dem folgenden Befehl: ``` [ec2-user ~]$ sudo yum install ec2-ami-tools.noarch.rpm ``` 1. Überprüfen Sie die Installation der AMI-Tools mit dem Befehl [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version). ``` [ec2-user ~]$ ec2-ami-tools-version ``` **Anmerkung** Wenn Sie einen Ladefehler wie „Diese Datei kann nicht geladen werden -- ec2/amitools/version (LoadError)“ erhalten, führen Sie den nächsten Schritt aus, um den Speicherort Ihrer AMI-Tools-Installation zu Ihrem Pfad hinzuzufügen. `RUBYLIB` 1. (Optional) Wenn Sie im vorherigen Schritt einen Fehler erhalten haben, ist es ratsam, dem `RUBYLIB`-Pfad den Installationsspeicherort Ihrer AMI-Tools hinzuzufügen. 1. Führen Sie den folgenden Befehl aus, um die hinzuzufügenden Pfade zu ermitteln. ``` [ec2-user ~]$ rpm -qil ec2-ami-tools | grep ec2/amitools/version /usr/lib/ruby/site_ruby/ec2/amitools/version.rb /usr/lib64/ruby/site_ruby/ec2/amitools/version.rb ``` Im obigen Beispiel befindet sich die fehlende Datei aus dem vorherigen Ladefehler unter `/usr/lib/ruby/site_ruby` und `/usr/lib64/ruby/site_ruby`. 1. Fügen Sie die Speicherorte aus dem vorherigen Schritt Ihrem `RUBYLIB`-Pfad hinzu. ``` [ec2-user ~]$ export RUBYLIB=$RUBYLIB:/usr/lib/ruby/site_ruby:/usr/lib64/ruby/site_ruby ``` 1. Überprüfen Sie die Installation der AMI-Tools mit dem Befehl [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version). ``` [ec2-user ~]$ ec2-ami-tools-version ``` **So richten Sie die AMI-Tools per ZIP-Datei ein** 1. Führen Sie die Ruby-Installation und das Entzippen mithilfe des Paket-Managers für Ihre Linux-Distribution durch, z. B. **apt-get**. Beispiel: ``` [ec2-user ~]$ sudo apt-get update -y && sudo apt-get install -y ruby unzip ``` 1. Laden Sie die ZIP-Datei mit einem Tool wie wget oder curl herunter. Beispiel: ``` [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip ``` 1. Entzippen Sie die Dateien in ein geeignetes Installationsverzeichnis, z. B. `/usr/local/ec2`. ``` [ec2-user ~]$ sudo mkdir -p /usr/local/ec2 $ sudo unzip ec2-ami-tools.zip -d /usr/local/ec2 ``` Beachten Sie, dass die ZIP-Datei einen Ordner ec2-ami-tools- enthält. *x* *x*. *x*, wo*x*. *x*. *x*ist die Versionsnummer der Tools (zum Beispiel`ec2-ami-tools-1.5.7`). 1. Legen Sie die Umgebungsvariable `EC2_AMITOOL_HOME` auf das Installationsverzeichnis für die Tools fest. Beispiel: ``` [ec2-user ~]$ export EC2_AMITOOL_HOME=/usr/local/ec2/ec2-ami-tools-x.x.x ``` 1. Fügen Sie die Tools Ihrer Umgebungsvariablen `PATH` hinzu. Beispiel: ``` [ec2-user ~]$ export PATH=$EC2_AMITOOL_HOME/bin:$PATH ``` 1. Sie können die Installation der AMI-Tools mit dem Befehl [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version) überprüfen. ``` [ec2-user ~]$ ec2-ami-tools-version ``` ## Verwalten von Signaturzertifikaten Für bestimmte Befehle in den AMI-Tools ist ein Signaturzertifikat erforderlich (auch als X.509-Zertifikat bezeichnet). Sie müssen das Zertifikat erstellen und es dann auf hochladen AWS. Beispielsweise können Sie zum Erstellen des Zertifikats ein Drittanbieter-Tool wie OpenSSL verwenden. **So erstellen Sie ein Signaturzertifikat** 1. Installieren und konfigurieren Sie OpenSSL. 1. Erstellen Sie mit dem Befehl `openssl genrsa` einen privaten Schlüssel und speichern Sie die Ausgabe in einer `.pem`-Datei. Wir empfehlen Ihnen, einen RSA-Schlüssel mit 2 048 oder 4 096 Bit zu erstellen. ``` openssl genrsa 2048 > private-key.pem ``` 1. Generieren Sie mit dem Befehl `openssl req` ein Zertifikat. ``` openssl req -new -x509 -nodes -sha256 -days 365 -key private-key.pem -outform PEM -out certificate.pem ``` Verwenden Sie den [upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)Befehl AWS, um das Zertifikat hochzuladen. ``` aws iam upload-signing-certificate --user-name user-name --certificate-body file://path/to/certificate.pem ``` Verwenden Sie den [list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)folgenden Befehl, um die Zertifikate für einen Benutzer aufzulisten: ``` aws iam list-signing-certificates --user-name user-name ``` Verwenden Sie den [update-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/update-signing-certificate.html)Befehl, um ein Signaturzertifikat für einen Benutzer zu deaktivieren oder erneut zu aktivieren. Mit dem folgenden Befehl wird das Zertifikat deaktiviert: ``` aws iam update-signing-certificate --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE --status Inactive --user-name user-name ``` Verwenden Sie den [delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)folgenden Befehl, um ein Zertifikat zu löschen: ``` aws iam delete-signing-certificate --user-name user-name --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE ``` # Referenz zu den Amazon EC2 AMI-Tools Sie können die Befehle der AMI-Tools verwenden, um Amazon S3-gestütztes Linux zu erstellen und zu verwalten. AMIs Weitere Informationen über das Einrichten der Tools finden Sie unter [Die Amazon-EC2-AMI-Tools einrichten](set-up-ami-tools.md). Weitere Information über Zugriffsschlüssel finden Sie unter [Verwalten von Zugriffsschlüsseln für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) im *IAM-Benutzerhandbuch*. **Topics** + [ ## ec2- ami-tools-version ](#ami-tools-version) + [ ## ec2-bundle-image ](#ami-bundle-image) + [ ## ec2-bundle-vol ](#ami-bundle-vol) + [ ## ec2-delete-bundle ](#ami-delete-bundle) + [ ## ec2-download-bundle ](#ami-download-bundle) + [ ## ec2-migrate-manifest ](#ami-migrate-manifest) + [ ## ec2-unbundle ](#ami-unbundle) + [ ## ec2-upload-bundle ](#ami-upload-bundle) + [ ## Allgemeine Optionen für AMI-Tools ](#common-args-ami) ## ec2- ami-tools-version ### Description Beschreibt die Version der AMI-Tools. ### Syntax **ec2-ami-tools-version** ### Ausgabe Die Versionsinformationen ### Beispiel Dieser Beispielbefehl zeigt die Versionsinformationen für die AMI-Tools an, die Sie verwenden. ``` [ec2-user ~]$ ec2-ami-tools-version 1.5.2 20071010 ``` ## ec2-bundle-image ### Description Erstellt ein Amazon-S3-gestütztes Linux-AMI aus einem Betriebssystem-Image, das in einer Loopback-Datei erstellt wurde. ### Syntax ****ec2-bundle-image** -c *path* -k *path* -u *account* -i *path* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [-p *prefix*]** ### Optionen `-c, --cert` *path* Die PEM-kodierte öffentliche RSA-Schlüsselzertifikatsdatei des Benutzers Erforderlich: Ja `-k, --privatekey` *path* Der Pfad zu einer PEM-kodierten RSA-Schlüsseldatei. Sie müssen diesen Schlüssel zum Entpacken dieses Pakets angeben, bewahren Sie ihn daher gut auf. Beachten Sie, dass der Schlüssel nicht in Ihrem AWS Konto registriert sein muss. Erforderlich: Ja `-u, --user ` *account* Die AWS Konto-ID des Benutzers ohne Bindestriche. Erforderlich: Ja `-i, --image` *path* Der Pfad zum Image, das gebündelt werden soll Erforderlich: Ja `-d, --destination` *path* Das Verzeichnis, in dem das Paket erstellt wird Standard: `/tmp` Erforderlich: Nein `--ec2cert` *path* Der Pfad zum Amazon EC2 X.509-Zertifikat mit öffentlichem Schlüssel, das zur Verschlüsselung des Image-Manifests verwendet wird. Die Regionen `us-gov-west-1` und `cn-north-1` verwenden ein nicht standardmäßiges öffentliches Schlüsselzertifikat, und der Pfad zu diesem Zertifikat muss mit dieser Option angegeben werden. Der Pfad zum Zertifikat variiert ausgehend von der Installationsmethode der AMI-Tools. Für Amazon Linux befinden sich die Zertifikate unter `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Wenn Sie die AMI-Tools aus der RPM- oder ZIP-Datei in [Die Amazon-EC2-AMI-Tools einrichten](set-up-ami-tools.md) installiert haben, befinden sich die Zertifikate unter `$EC2_AMITOOL_HOME/etc/ec2/amitools/`. Erforderlich: Nur für die Regionen `us-gov-west-1` und `cn-north-1`. `-r, --arch` *architecture* Image-Architektur. Wenn Sie die Architektur nicht in der Befehlszeile angeben, werden Sie dazu aufgefordert, sobald das Bündeln beginnt. Zulässige Werte: `i386` \$1 `x86_64` Erforderlich: Nein `--productcodes` *code1,code2,...* Produkt-Codes, die dem Image zum Zeitpunkt der Registrierung angefügt werden, durch Kommas getrennt Erforderlich: Nein `-B, --block-device-mapping` *mapping* Definiert, wie Blockgeräte für eine Instance dieses AMI bereitgestellt werden, wenn der Instance-Typ das angegebene Gerät unterstützt. Geben Sie eine durch Komma getrennte Liste von Schlüssel-Wert-Paaren an, wobei jeder Schlüssel ein virtueller Name und jeder Wert der entsprechende Gerätename ist. Virtuelle Namen umfassen Folgendes: + `ami` — Das Stammdateisystemgerät, wie es von der Instance erfasst wird + `root` — Das Stammdateisystemgerät, wie es vom Kernel erfasst wird + `swap` — Das Swap-Gerät, wie es von der Instance erfasst wird + `ephemeralN` — Das n-te Instance-Speicher-Volume Erforderlich: Nein `-p, --prefix` *prefix* Das Dateinamenpräfix für gebündelte AMI-Dateien Standard: Der Name der Imagedatei. Wenn der Pfad des Images beispielsweise `/var/spool/my-image/version-2/debian.img` ist, dann ist das Standardpräfix `debian.img`. Erforderlich: Nein `--kernel` *kernel\$1id* Veraltet. Verwenden Sie zum Festlegen des Kernels [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Erforderlich: Nein `--ramdisk` *ramdisk\$1id* Veraltet. Verwenden Sie zum Festlegen des RAM-Datenträgers (sofern erforderlich) [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Erforderlich: Nein ### Ausgabe Statusmeldung, die die Phasen und Status des Bündelungsprozesses beschreibt ### Beispiel Dieses Beispiel erstellt ein gebündeltes AMI aus einem Betriebssystem-Image, das in einer Loopback-Datei erstellt wurde. ``` [ec2-user ~]$ ec2-bundle-image -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -i image.img -d bundled/ -r x86_64 Please specify a value for arch [i386]: Bundling image file... Splitting bundled/image.gz.crypt... Created image.part.00 Created image.part.01 Created image.part.02 Created image.part.03 Created image.part.04 Created image.part.05 Created image.part.06 Created image.part.07 Created image.part.08 Created image.part.09 Created image.part.10 Created image.part.11 Created image.part.12 Created image.part.13 Created image.part.14 Generating digests for each part... Digests generated. Creating bundle manifest... ec2-bundle-image complete. ``` ## ec2-bundle-vol ### Description Erstellt ein Amazon-S3-gestütztes Linux-AMI durch Komprimieren, Verschlüsseln und Signieren einer Kopie des Root-Volumes für die Instance. Amazon EC2 versucht, Produktcodes, Kernel-Einstellungen und RAM-Disk-Einstellungen zu übernehmen und Gerätezuordnungen von der Instance zu blockieren. Während des Paketprozesses werden standardmäßig Dateien ausgeschlossen, die ggf. vertrauliche Informationen enthalten. Dies sind beispielsweise die Dateien `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` und `*/.bash_history`. Verwenden Sie die Option `--no-filter`, wenn Sie alle diese Dateien einbinden möchten. Mit der Option `--include` können Sie einzelne Dateien einbinden. Weitere Informationen finden Sie unter [Ein Amazon-S3-gestütztes AMI erstellen](creating-an-ami-instance-store.md). ### Syntax ****ec2-bundle-vol** -c *path* -k *path* -u *account* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [--all] [-e *directory1*,*directory2*,...] [-i *file1*,*file2*,...] [--no-filter] [-p *prefix*] [-s *size*] [--[no-]inherit] [-v *volume*] [-P *type*] [-S *script*] [--fstab *path*] [--generate-fstab] [--grub-config *path*]** ### Optionen `-c, --cert` *path* Die PEM-kodierte öffentliche RSA-Schlüsselzertifikatsdatei des Benutzers Erforderlich: Ja `-k, --privatekey ` *path* Der Pfad zur PEM-kodierten RSA-Schlüsseldatei des Benutzers Erforderlich: Ja `-u, --user` *account* Die AWS Konto-ID des Benutzers ohne Bindestriche. Erforderlich: Ja `-d, --destination` *destination* Das Verzeichnis, in dem das Paket erstellt wird Standard: `/tmp` Erforderlich: Nein `--ec2cert` *path* Der Pfad zum Amazon EC2 X.509-Zertifikat mit öffentlichem Schlüssel, das zur Verschlüsselung des Image-Manifests verwendet wird. Die Regionen `us-gov-west-1` und `cn-north-1` verwenden ein nicht standardmäßiges öffentliches Schlüsselzertifikat, und der Pfad zu diesem Zertifikat muss mit dieser Option angegeben werden. Der Pfad zum Zertifikat variiert ausgehend von der Installationsmethode der AMI-Tools. Für Amazon Linux befinden sich die Zertifikate unter `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Wenn Sie die AMI-Tools aus der RPM- oder ZIP-Datei in [Die Amazon-EC2-AMI-Tools einrichten](set-up-ami-tools.md) installiert haben, befinden sich die Zertifikate unter `$EC2_AMITOOL_HOME/etc/ec2/amitools/`. Erforderlich: Nur für die Regionen `us-gov-west-1` und `cn-north-1`. `-r, --arch ` *architecture* Die Architektur des Images. Wenn Sie sie nicht in der Befehlszeile angeben, werden Sie dazu aufgefordert, sobald das Bündeln beginnt. Zulässige Werte: `i386` \$1 `x86_64` Erforderlich: Nein `--productcodes` *code1,code2,...* Produkt-Codes, die dem Image zum Zeitpunkt der Registrierung angefügt werden, durch Kommas getrennt Erforderlich: Nein `-B, --block-device-mapping` *mapping* Definiert, wie Blockgeräte für eine Instance dieses AMI bereitgestellt werden, wenn der Instance-Typ das angegebene Gerät unterstützt. Geben Sie eine durch Komma getrennte Liste von Schlüssel-Wert-Paaren an, wobei jeder Schlüssel ein virtueller Name und jeder Wert der entsprechende Gerätename ist. Virtuelle Namen umfassen Folgendes: + `ami` — Das Stammdateisystemgerät, wie es von der Instance erfasst wird + `root` — Das Stammdateisystemgerät, wie es vom Kernel erfasst wird + `swap` — Das Swap-Gerät, wie es von der Instance erfasst wird + `ephemeralN` — Das n-te Instance-Speicher-Volume Erforderlich: Nein `-a, --all` Bündeln Sie alle Verzeichnisse, einschließlich derer, die sich auf remote bereitgestellten Dateisystemen befinden. Erforderlich: Nein `-e, --exclude ` *directory1,directory2,...* Eine Liste absoluter Verzeichnispfade und Dateien, die aus dem Bündelungsvorgang ausgeschlossen werden sollen. Dieser Parameter überschreibt die Option `--all`. Wenn ein Ausschließen festgelegt ist, werden die mit dem Parameter aufgeführten Verzeichnisse und Unterverzeichnisse nicht mit dem Volume gebündelt. Erforderlich: Nein `-i, --include ` *file1,file2,...* Eine Liste von Dateien, die in den Bündelungsvorgang einbezogen werden sollen. Die angegeben Dateien werden ansonsten aus dem AMI ausgeschlossen, da sie möglicherweise vertrauliche Informationen enthalten. Erforderlich: Nein `--no-filter` Wenn dies angegeben ist werden wir die Dateien nicht aus dem AMI ausschließen, da sie möglicherweise vertrauliche Informationen enthalten. Erforderlich: Nein `-p, --prefix ` *prefix* Das Dateinamenpräfix für gebündelte AMI-Dateien Standard: `image` Erforderlich: Nein `-s, --size` *size* Die Größe der zu erstellenden Image-Datei in MB (1024 \$1 1024 Bytes). Die maximale Größe ist 10240 MB. Standard: 10240 Erforderlich: Nein `--[no-]inherit` Gibt an, ob das Image die Metadaten der Instance erben soll (standardmäßig werden sie geerbt). Das Bündeln schlägt fehl, wenn Sie `--inherit` aktivieren, auf die Instance-Metadaten aber nicht zugegriffen werden kann. Erforderlich: Nein `-v, --volume ` *volume* Der absolute Pfad zum bereitgestellten Volume, aus dem das Bündel erstellt werden soll Standard: Das Stammverzeichnis (/) Erforderlich: Nein `-P, --partition` *type* Gibt an, ob das DatenträgerImage eine Partitionstabelle verwenden soll. Wenn Sie keinen Partitionstabellentyp angeben, wird standardmäßig der Typ festgelegt, der im übergeordneten Blockgerät des Volumes verwendet wird (sofern zutreffend), andernfalls ist der Standard `gpt`. Zulässige Werte: `mbr` \$1 `gpt` \$1 `none` Erforderlich: Nein `-S, --script` *script* Ein vor dem Bündeln auszuführendes Anpassungsskript. Das Skript muss ein einzelnes Argument, den Mountingpoint des Volumes, erwarten. Erforderlich: Nein `--fstab` *path* Der Pfad zum fstab, das im Image gebündelt werden soll. Wenn dies nicht angegeben ist, EC2 bündelt Amazon /etc/fstab. Erforderlich: Nein `--generate-fstab` Bündelt das Volume mit einem von Amazon EC2 bereitgestellten Fstab. Erforderlich: Nein `--grub-config` Der Pfad zu einer alternativen Grub-Konfigurationsdatei, die im Image gebündelt werden soll. Standardmäßig erwartet `ec2-bundle-vol`, dass entweder `/boot/grub/menu.lst` oder `/boot/grub/grub.conf` auf dem geklonten Image vorhanden ist. Mit dieser Option können Sie einen Pfad zu einer alternativen Grub-Konfigurationsdatei festlegen, der dann in die Standardeinstellungen (wenn vorhanden) kopiert wird. Erforderlich: Nein `--kernel` *kernel\$1id* Veraltet. Verwenden Sie zum Festlegen des Kernels [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Erforderlich: Nein `--ramdisk`*ramdisk\$1id* Veraltet. Verwenden Sie zum Festlegen des RAM-Datenträgers (sofern erforderlich) [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Erforderlich: Nein ### Ausgabe Statusmeldung, die die Phasen und Status der Bündelung beschreibt ### Beispiel Dieses Beispiel erstellt eine gebündeltes AMI durch Komprimieren, Verschlüsseln und Signieren eines Snapshots des Stammdateisystems des lokalen Computers. ``` [ec2-user ~]$ ec2-bundle-vol -d /mnt -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -r x86_64 Copying / into the image file /mnt/image... Excluding: sys dev/shm proc dev/pts proc/sys/fs/binfmt_misc dev media mnt proc sys tmp/image mnt/img-mnt 1+0 records in 1+0 records out mke2fs 1.38 (30-Jun-2005) warning: 256 blocks unused. Splitting /mnt/image.gz.crypt... Created image.part.00 Created image.part.01 Created image.part.02 Created image.part.03 ... Created image.part.22 Created image.part.23 Generating digests for each part... Digests generated. Creating bundle manifest... Bundle Volume complete. ``` ## ec2-delete-bundle ### Description Löscht das festgelegte Paket aus dem Amazon S3-Speicher. Wenn Sie ein Paket löschen, können Sie aus dem entsprechenden AMI keine Instances starten. ### Syntax ****ec2-delete-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] [--url *url*] [--region *region*] [--sigv *version*] [-m *path*] [-p *prefix*] [--clear] [--retry] [-y]** ### Optionen `-b, --bucket `*bucket* Der Name des Amazon S3-Buckets, der das gebündelte AMI enthält, gefolgt von einem optionalen, durch "/" getrennten Pfadpräfix Erforderlich: Ja `-a, --access-key` *access\$1key\$1id* Die AWS Zugriffsschlüssel-ID. Erforderlich: Ja `-s, --secret-key` *secret\$1access\$1key* Der AWS geheime Zugriffsschlüssel. Erforderlich: Ja `-t, --delegation-token` *token* Das Delegierungstoken, das an die AWS Anfrage weitergegeben werden soll. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *IAM-Benutzerhandbuch*. Erforderlich: Nur wenn Sie temporäre Sicherheitsanmeldeinformationen verwenden. Standard: Der Wert der `AWS_DELEGATION_TOKEN`-Umgebungsvariablen (wenn festgelegt) `--region`*region* Die in der Anforderungssignatur zu verwendende Region. Standard: `us-east-1` Erforderlich: Ist erforderlich, wenn Signaturversion 4 verwendet wird `--sigv`*Version* Die beim Signieren der Anforderung zu verwendende Signaturversion Zulässige Werte: `2` \$1 `4` Standard: `4` Erforderlich: Nein `-m, --manifest`*path* Der Pfad zur Manifestdatei Erforderlich: Sie müssen `--prefix` oder `--manifest` angeben. `-p, --prefix` *prefix* Das gebündelte AMI-Dateinamenpräfix. Geben Sie das gesamte Präfix an. Verwenden Sie beim Präfix "image.img" beispielsweise `-p image.img` und nicht `-p image`. Erforderlich: Sie müssen `--prefix` oder `--manifest` angeben. `--clear` Löscht nach dem Löschen des angegebenen Pakets den Amazon S3-Bucket, wenn er leer ist. Erforderlich: Nein `--retry` Versucht bei allen Amazon S3-Fehlern den Vorgang automatisch erneut, bis zu fünfmal pro Vorgang. Erforderlich: Nein `-y, --yes` Es wird automatisch davon ausgegangen, dass die Antwort auf alle Eingabeaufforderungen "ja" ist. Erforderlich: Nein ### Ausgabe Amazon EC2 zeigt Statusmeldungen an, die die Phasen und den Status des Löschvorgangs angeben. ### Beispiel Dieses Beispiel löscht ein Paket aus Amazon S3. ``` [ec2-user ~]$ ec2-delete-bundle -b amzn-s3-demo-bucket -a your_access_key_id -s your_secret_access_key Deleting files: amzn-s3-demo-bucket/image.manifest.xml amzn-s3-demo-bucket/image.part.00 amzn-s3-demo-bucket/image.part.01 amzn-s3-demo-bucket/image.part.02 amzn-s3-demo-bucket/image.part.03 amzn-s3-demo-bucket/image.part.04 amzn-s3-demo-bucket/image.part.05 amzn-s3-demo-bucket/image.part.06 Continue? [y/n] y Deleted amzn-s3-demo-bucket/image.manifest.xml Deleted amzn-s3-demo-bucket/image.part.00 Deleted amzn-s3-demo-bucket/image.part.01 Deleted amzn-s3-demo-bucket/image.part.02 Deleted amzn-s3-demo-bucket/image.part.03 Deleted amzn-s3-demo-bucket/image.part.04 Deleted amzn-s3-demo-bucket/image.part.05 Deleted amzn-s3-demo-bucket/image.part.06 ec2-delete-bundle complete. ``` ## ec2-download-bundle ### Description Lädt das angegebene Amazon S3-gestützte Linux AMIs aus dem Amazon S3 S3-Speicher herunter. ### Syntax ****ec2-download-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* -k *path* [--url *url*] [--region *region*] [--sigv *version*] [-m *file*] [-p *prefix*] [-d *directory*] [--retry]** ### Optionen `-b, --bucket` *bucket* Der Name des Amazon S3-Buckets, in dem sich das Paket befindet, gefolgt von einem optionalen, durch "/" getrennten Pfadpräfix Erforderlich: Ja `-a, --access-key` *access\$1key\$1id* Die AWS Zugriffsschlüssel-ID. Erforderlich: Ja `-s, --secret-key` *secret\$1access\$1key* Der AWS geheime Zugriffsschlüssel. Erforderlich: Ja `-k, --privatekey` *path* Der private Schlüssel, der zum Entschlüsseln des Manifests verwendet wird Erforderlich: Ja `--url` *url* Die Amazon S3-Service-URL Standard: `https://s3.amazonaws.com/` Erforderlich: Nein `--region` *region* Die in der Anforderungssignatur zu verwendende Region. Standard: `us-east-1` Erforderlich: Ist erforderlich, wenn Signaturversion 4 verwendet wird `--sigv` *version* Die beim Signieren der Anforderung zu verwendende Signaturversion Zulässige Werte: `2` \$1 `4` Standard: `4` Erforderlich: Nein `-m, --manifest` *file* Der Name der Manifestdatei (ohne den Pfad). Wir empfehlen Ihnen, dass Sie entweder das Manifest (`-m`) oder ein Präfix (`-p`) angeben. Erforderlich: Nein `-p, --prefix ` *prefix* Das Dateinamenpräfix für gebündelte AMI-Dateien Standard: `image` Erforderlich: Nein `-d, --directory ` *directory* Das Verzeichnis, in dem das heruntergeladene Paket gespeichert wird. Das Verzeichnis muss vorhanden sein. Standard: Das aktuelle Arbeitsverzeichnis Erforderlich: Nein `--retry` Versucht bei allen Amazon S3-Fehlern den Vorgang automatisch erneut, bis zu fünfmal pro Vorgang. Erforderlich: Nein ### Ausgabe Statusmeldungen werden angezeigt, die die unterschiedlichen Phasen und Status des Download-Vorgangs angeben. ### Beispiel Dieses Beispiel erstellt das `bundled`-Verzeichnis (mithilfe des Linux-Befehls **mkdir**) und lädt das Paket vom Amazon S3-Bucket `amzn-s3-demo-bucket` herunter. ``` [ec2-user ~]$ mkdir bundled [ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d mybundle Downloading manifest image.manifest.xml from amzn-s3-demo-bucket to mybundle/image.manifest.xml ... Downloading part image.part.00 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.00 ... Downloaded image.part.00 from amzn-s3-demo-bucket Downloading part image.part.01 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.01 ... Downloaded image.part.01 from amzn-s3-demo-bucket Downloading part image.part.02 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.02 ... Downloaded image.part.02 from amzn-s3-demo-bucket Downloading part image.part.03 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.03 ... Downloaded image.part.03 from amzn-s3-demo-bucket Downloading part image.part.04 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.04 ... Downloaded image.part.04 from amzn-s3-demo-bucket Downloading part image.part.05 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.05 ... Downloaded image.part.05 from amzn-s3-demo-bucket Downloading part image.part.06 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.06 ... Downloaded image.part.06 from amzn-s3-demo-bucket ``` ## ec2-migrate-manifest ### Description Verändert ein Amazon-S3-gestütztes Linux-AMI (z. B. das Zertifikat, den Kernel und den RAM-Datenträger) so, dass es eine andere Region unterstützt. ### Syntax ****ec2-migrate-manifest** -c *path* -k *path* -m *path* \$1(-a *access\$1key\$1id* -s *secret\$1access\$1key* --region *region*) \$1 (--no-mapping)\$1 [--ec2cert *ec2\$1cert\$1path*] [--kernel *kernel-id*] [--ramdisk *ramdisk\$1id*]** ### Optionen `-c, --cert` *path* Die PEM-kodierte öffentliche RSA-Schlüsselzertifikatsdatei des Benutzers Erforderlich: Ja `-k, --privatekey` *path* Der Pfad zur PEM-kodierten RSA-Schlüsseldatei des Benutzers Erforderlich: Ja `--manifest` *path* Der Pfad zur Manifestdatei Erforderlich: Ja `-a, --access-key` *access\$1key\$1id* Die ID des AWS Zugriffsschlüssels. Erforderlich: Ist erforderlich, wenn das automatische Mapping verwendet wird. `-s, --secret-key ` *secret\$1access\$1key* Der AWS geheime Zugriffsschlüssel. Erforderlich: Ist erforderlich, wenn das automatische Mapping verwendet wird. `--region` *region* Die in der Mapping-Datei zu suchende Region Erforderlich: Ist erforderlich, wenn das automatische Mapping verwendet wird. `--no-mapping` Deaktiviert das automatische Mapping von Kernels und RAM-Datenträgern. Während der Migration EC2 ersetzt Amazon den Kernel und die RAM-Disk in der Manifest-Datei durch eine Kernel- und RAM-Disk, die für die Zielregion konzipiert sind. Sofern der Parameter `--no-mapping` nicht angeben wurde, verwendet `ec2-migrate-bundle` unter Umständen die Vorgänge `DescribeRegions` und `DescribeImages` für automatisierte Zuweisungen. Erforderlich: Ist erforderlich, wenn Sie die Optionen `-a`, `-s` und `--region` nicht angeben, die für das automatische Mapping verwendet werden. `--ec2cert` *path* Der Pfad zum Amazon EC2 X.509-Zertifikat mit öffentlichem Schlüssel, das zur Verschlüsselung des Image-Manifests verwendet wird. Die Regionen `us-gov-west-1` und `cn-north-1` verwenden ein nicht standardmäßiges öffentliches Schlüsselzertifikat, und der Pfad zu diesem Zertifikat muss mit dieser Option angegeben werden. Der Pfad zum Zertifikat variiert ausgehend von der Installationsmethode der AMI-Tools. Für Amazon Linux befinden sich die Zertifikate unter `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Wenn Sie die AMI-Tools aus der ZIP-Datei in [Die Amazon-EC2-AMI-Tools einrichten](set-up-ami-tools.md) installiert haben, befinden sich die Zertifikate unter `$EC2_AMITOOL_HOME/etc/ec2/amitools/`. Erforderlich: Nur für die Regionen `us-gov-west-1` und `cn-north-1`. `--kernel` *kernel\$1id* Die ID des Kernels, der ausgewählt werden soll Wir empfehlen Ihnen die Verwendung von PV-GRUB anstelle von Kernels und RAM-Datenträgern. Weitere Informationen finden Sie unter [Vom Benutzer bereitgestellte Kernel](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) im *Benutzerhandbuch für Amazon Linux 2*. Erforderlich: Nein `--ramdisk` *ramdisk\$1id* Die ID des RAM-Datenträgers, der ausgewählt werden soll Wir empfehlen Ihnen die Verwendung von PV-GRUB anstelle von Kernels und RAM-Datenträgern. Weitere Informationen finden Sie unter [Vom Benutzer bereitgestellte Kernel](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) im *Benutzerhandbuch für Amazon Linux 2*. Erforderlich: Nein ### Ausgabe Statusmeldung, die die Phasen und Status des Bündelungsprozesses beschreibt ### Beispiel Dieses Beispiel kopiert das im `my-ami.manifest.xml`-Manifest angegebene AMI aus den USA in die EU. ``` [ec2-user ~]$ ec2-migrate-manifest --manifest my-ami.manifest.xml --cert cert-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --privatekey pk-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --region eu-west-1 Backing up manifest... Successfully migrated my-ami.manifest.xml It is now suitable for use in eu-west-1. ``` ## ec2-unbundle ### Description Erstellt das Paket neu aus einem Amazon-S3-gestützten AMI für Linux. ### Syntax ****ec2-unbundle** -k *path* -m *path* [-s *source\$1directory*] [-d *destination\$1directory*]** ### Optionen `-k, --privatekey` *path* Der Pfad zu Ihrer PEM-kodierten RSA-Schlüsseldatei Erforderlich: Ja `-m, --manifest` *path* Der Pfad zur Manifestdatei Erforderlich: Ja `-s, --source` *source\$1directory* Das Verzeichnis, das das Paket enthält Standard: Das aktuelle Verzeichnis Erforderlich: Nein `-d, --destination` *destination\$1directory* Das Verzeichnis, in dem das AMI entpackt wird. Das Zielverzeichnis muss vorhanden sein. Standard: Das aktuelle Verzeichnis Erforderlich: Nein ### Beispiel Dieses Linux- und UNIX-Beispiel entpackt das AMI, das in der `image.manifest.xml`-Datei angegeben ist. ``` [ec2-user ~]$ mkdir unbundled $ ec2-unbundle -m mybundle/image.manifest.xml -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -s mybundle -d unbundled $ ls -l unbundled total 1025008 -rw-r--r-- 1 root root 1048578048 Aug 25 23:46 image.img ``` ### Ausgabe Statusmeldungen werden angezeigt, die die unterschiedlichen Phasen und Status des Entpackvorgangs angeben. ## ec2-upload-bundle ### Description Lädt das Paket für ein Amazon S3-gestütztes Linux-AMI auf Amazon S3 hoch und legt die entsprechenden Zugriffskontrolllisten (ACLs) für die hochgeladenen Objekte fest. Weitere Informationen finden Sie unter [Ein Amazon-S3-gestütztes AMI erstellen](creating-an-ami-instance-store.md). **Anmerkung** Um Objekte in einen S3-Bucket für Ihr Amazon S3-gestütztes Linux-AMI hochzuladen, ACLs müssen Sie für den Bucket aktiviert sein. Andernfalls kann Amazon EC2 die ACLs hochzuladenden Objekte nicht festlegen. Wenn Ihr Ziel-Bucket die vom Bucket-Besitzer erzwungene Einstellung für S3 Object Ownership verwendet, funktioniert das nicht, weil sie deaktiviert ACLs sind. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html). ### Syntax ****ec2-upload-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] -m *path* [--url *url*] [--region *region*] [--sigv *version*] [--acl *acl*] [-d *directory*] [--part *part*] [--retry] [--skipmanifest]** ### Optionen `-b, --bucket` *bucket* Der Name des Amazon S3-Buckets, in dem das Paket gespeichert werden soll, gefolgt von einem optionalen durch "/" getrennten Pfadpräfix. Wenn der Bucket nicht vorhanden ist, wird er erstellt, sofern der Bucket-Name verfügbar ist. Wenn der Bucket nicht existiert und die AMI-Tools-Version 1.5.18 oder höher ist, legt dieser Befehl außerdem den ACLs für den Bucket fest. Erforderlich: Ja `-a, --access-key` *access\$1key\$1id* Ihre AWS Zugangsschlüssel-ID. Erforderlich: Ja `-s, --secret-key` *secret\$1access\$1key* Ihr AWS geheimer Zugangsschlüssel. Erforderlich: Ja `-t, --delegation-token` *token* Das Delegierungstoken, das an die AWS Anfrage weitergegeben werden soll. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *IAM-Benutzerhandbuch*. Erforderlich: Nur wenn Sie temporäre Sicherheitsanmeldeinformationen verwenden. Standard: Der Wert der `AWS_DELEGATION_TOKEN`-Umgebungsvariablen (wenn festgelegt) `-m, --manifest` *path* Der Pfad zur Manifestdatei Die Manifestdatei wird während des Bündelungsvorgangs erstellt. Sie finden sie in dem Verzeichnis, das das Paket enthält. Erforderlich: Ja `--url` *url* Veraltet. Verwenden Sie die Option `--region`, wenn Ihr Bucket nicht auf den Standort `EU` (nicht `eu-west-1`) beschränkt ist. Das Flag `--location` ist die einzige Möglichkeit, um auf diese spezifische Standortbeschränkung einzugehen. Die Amazon S3-Endpunkt-Service-URL Standard: `https://s3.amazonaws.com/` Erforderlich: Nein `--region` *region* Die Region, die in der Anforderungssignatur für den S3-Ziel-Bucket verwendet werden soll + Wenn der Bucket nicht vorhanden ist und Sie keine Region angeben, erstellt das Tool den Bucket ohne eine Standortbeschränkung (in `us-east-1`). + Wenn der Bucket nicht vorhanden ist und Sie eine Region angeben, erstellt das Tool den Bucket in der angegebenen Region. + Wenn der Bucket vorhanden ist und Sie keine Region angeben, verwendet das Tool den Standort des Buckets. + Wenn der Bucket vorhanden ist und Sie `us-east-1` als Region angeben, verwendet das Tool den tatsächlichen Standort des Buckets, ohne eine Fehlermeldung auszugeben, und vorhandene übereinstimmende Dateien werden überschrieben. + Wenn der Bucket vorhanden ist und Sie eine Region angeben, die nicht `us-east-1` ist und nicht mit dem tatsächlichen Standort des Buckets übereinstimmt, wird das Tool mit einem Fehler beendet. Wenn Ihr Bucket auf den Standort `EU` (nicht `eu-west-1`) beschränkt ist, verwenden Sie das Flag `--location`. Das Flag `--location` ist die einzige Möglichkeit, um auf diese spezifische Standortbeschränkung einzugehen. Standard: `us-east-1` Erforderlich: Ist erforderlich, wenn Signaturversion 4 verwendet wird `--sigv` *version* Die beim Signieren der Anforderung zu verwendende Signaturversion Zulässige Werte: `2` \$1 `4` Standard: `4` Erforderlich: Nein `--acl` *acl* Die Richtlinie für die Access Control List des gebündelten Images Zulässige Werte: `public-read` \$1 `aws-exec-read` Standard: `aws-exec-read` Erforderlich: Nein `-d, --directory` *directory* Das Verzeichnis, das die gebündelten AMI-Teile enthält Standard: Das Verzeichnis, das die Manifestdatei enthält (siehe die Option `-m`) Erforderlich: Nein `--part` *part* Beginnt mit dem Hochladen des angegebenen Teils und aller folgenden Teile. Beispiel, `--part 04`. Erforderlich: Nein `--retry` Versucht bei allen Amazon S3-Fehlern den Vorgang automatisch erneut, bis zu fünfmal pro Vorgang. Erforderlich: Nein `--skipmanifest` Lädt das Manifest nicht hoch. Erforderlich: Nein `--location` *location* Veraltet. Verwenden Sie die Option `--region`, wenn Ihr Bucket nicht auf den Standort `EU` (nicht `eu-west-1`) beschränkt ist. Das Flag `--location` ist die einzige Möglichkeit, um auf diese spezifische Standortbeschränkung einzugehen. Die Standortbeschränkung des Amazon S3-Ziel-Buckets. Wenn der Bucket vorhanden ist und Sie einen Standort angegeben haben, der nicht mit dem tatsächlichen Standort des Buckets übereinstimmt, wird das Tool mit einem Fehler beendet. Wenn der Bucket vorhanden ist und Sie keinen Standort angeben, verwendet das Tool den Standort des Buckets. Wenn der Bucket nicht vorhanden ist und Sie einen Standort angeben, erstellt das Tool den Bucket am angegebenen Standort. Wenn der Bucket nicht vorhanden ist und Sie keinen Standort angeben, erstellt das Tool den Bucket ohne eine Standortbeschränkung (in `us-east-1`). Standard: Wenn `--region` angegeben ist, wird der Standort auf die angegebene Region festgelegt. Wenn `--region` nicht angegeben ist, ist der Standort standardmäßig `us-east-1`. Erforderlich: Nein ### Ausgabe Amazon EC2 zeigt Statusmeldungen an, die die Phasen und den Status des Upload-Vorgangs angeben. ### Beispiel Dieses Beispiel lädt das Paket hoch, das vom `image.manifest.xml`-Manifest festgelegt wurde. ``` [ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key Creating bucket... Uploading bundled image parts to the S3 bucket amzn-s3-demo-bucket ... Uploaded image.part.00 Uploaded image.part.01 Uploaded image.part.02 Uploaded image.part.03 Uploaded image.part.04 Uploaded image.part.05 Uploaded image.part.06 Uploaded image.part.07 Uploaded image.part.08 Uploaded image.part.09 Uploaded image.part.10 Uploaded image.part.11 Uploaded image.part.12 Uploaded image.part.13 Uploaded image.part.14 Uploading manifest ... Uploaded manifest. Bundle upload completed. ``` ## Allgemeine Optionen für AMI-Tools Die meisten AMI-Tools akzeptieren die folgenden optionalen Parameter. `--help, -h` Zeigt die Hilfenachricht an. `--version` Zeigt die Version und das Copyright an. `--manual` Zeigt die manuelle Eingabe an. `--batch` Wird im Stapelmodus ausgeführt und unterdrückt interaktive Eingabeaufforderungen. `--debug` Zeigt Informationen an, die bei der Problembehebung hilfreich sind. # Konvertieren Sie Ihre Amazon-S3-gestütztes AMI in ein Amazon EBS-gestütztes AMI Sie können ein Amazon-S3-gestütztes Linux-AMI, dessen Eigentümer Sie sind, in ein Amazon-EBS-gestütztes Linux-AMI konvertieren. **Wichtig** Sie können kein AMI konvertieren, das Ihnen nicht gehört. **So konvertieren Sie ein Amazon-S3-gestütztes AMI in ein Amazon-EBS-gestütztes AMI** 1. Starten Sie eine Amazon Linux-Instance über ein Amazon EBS-gestütztes AMI. Weitere Informationen finden Sie unter [EC2-Instance mit dem Launch Instance Wizard in der Konsole starten](ec2-launch-instance-wizard.md). Auf Amazon Linux-Instances sind die Tools AWS CLI und AMI vorinstalliert. 1. Laden Sie den privaten X.509-Schlüssel, den Sie zum Bündeln Ihres Amazon-S3-gestützten AMI verwendet haben, auf Ihre Instance hoch. Wir verwenden diesen Schlüssel, um sicherzustellen, dass nur Sie und Amazon EC2 Zugriff auf Ihr AMI haben. 1. Erstellen Sie auf Ihrer Instance wie folgt ein temporäres Verzeichnis für Ihren privaten X.509-Schlüssel: ``` [ec2-user ~]$ mkdir /tmp/cert ``` 1. Kopieren Sie Ihren privaten X.509-Schlüssel von Ihrem Computer in das Verzeichnis `/tmp/cert` auf Ihrer Instance, indem Sie ein Secure Copy-Tool nutzen, z. B. [scp](linux-file-transfer-scp.md). Der *my-private-key* Parameter im folgenden Befehl ist der private Schlüssel, den Sie verwenden, um über SSH eine Verbindung zu Ihrer Instance herzustellen. Beispiel: ``` you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/ pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 717 0.7KB/s 00:00 ``` 1. Konfigurieren Sie Ihre Umgebungsvariablen für die Verwendung der AWS CLI. Weitere Informationen finden Sie unter [Umgebungsvariablen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html). 1. (Empfohlen) Legen Sie Umgebungsvariablen für Ihren AWS Zugriffsschlüssel, Ihren geheimen Schlüssel und Ihr Sitzungstoken fest. ``` [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key [ec2-user ~]$ export AWS_SESSION_TOKEN=your_session_token ``` 1. Legen Sie Umgebungsvariablen für Ihren AWS Zugriffsschlüssel und Ihren geheimen Schlüssel fest. ``` [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key ``` 1. Bereiten Sie ein Volume Amazon Elastic Block Store (Amazon EBS) für Ihr neues AMI vor. 1. Erstellen Sie ein leeres EBS-Volume in derselben Availability Zone wie für Ihre Instance, indem Sie den Befehl [create-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-volume.html) verwenden. Notieren Sie sich die Volume-ID in der Befehlsausgabe. **Wichtig** Dieses EBS-Volume muss mindestens die gleiche Größe wie das ursprüngliche Stamm-Volume des Instance-Speichers haben. ``` aws ec2 create-volume \ --size 10 \ --region us-west-2 \ --availability-zone us-west-2b ``` 1. Fügen Sie das Volume mit dem Befehl [attach-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-volume.html) an Ihre Amazon EBS-gestützte Instance an. ``` aws ec2 attach-volume \ --volume-id vol-01234567890abcdef \ --instance-id i-1234567890abcdef0 \ --region us-west-2 ``` 1. Erstellen Sie einen Ordner für Ihr Paket. ``` [ec2-user ~]$ mkdir /tmp/bundle ``` 1. Laden Sie das Paket für Ihr Instance Store-Backed AMI in das Verzeichnis `/tmp/bundle` herunter, indem Sie den Befehl [ec2-download-bundle](ami-tools-commands.md#ami-download-bundle) verwenden. ``` [ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m image.manifest.xml -a $AWS_ACCESS_KEY_ID -s $AWS_SECRET_ACCESS_KEY --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d /tmp/bundle ``` 1. Stellen Sie die Image-Datei mit dem Befehl [ec2-unbundle](ami-tools-commands.md#ami-unbundle) aus dem Paket wieder her. 1. Wechseln Sie in den Paketordner (bundle). ``` [ec2-user ~]$ cd /tmp/bundle/ ``` 1. Führen Sie den Befehl [ec2-unbundle](ami-tools-commands.md#ami-unbundle) aus. ``` [ec2-user bundle]$ ec2-unbundle -m image.manifest.xml --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ``` 1. Kopieren Sie die Dateien aus dem entpackten Image auf das neue EBS-Volume. ``` [ec2-user bundle]$ sudo dd if=/tmp/bundle/image of=/dev/sdb bs=1M ``` 1. Überprüfen Sie das Volume auf neue Partitionen, die aus dem Paket entpackt wurden. ``` [ec2-user bundle]$ sudo partprobe /dev/sdb1 ``` 1. Listen Sie die Blockgeräte auf, um den Gerätenamen für das Mounten ermitteln zu können. ``` [ec2-user bundle]$ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT /dev/sda 202:0 0 8G 0 disk └─/dev/sda1 202:1 0 8G 0 part / /dev/sdb 202:80 0 10G 0 disk └─/dev/sdb1 202:81 0 10G 0 part ``` In diesem Beispiel lautet die Partition für das Mounten `/dev/sdb1`, aber Ihr Gerätename lautet wahrscheinlich anders. Falls Ihr Volume nicht partitioniert ist, lautet das Gerät für das Mounten etwa `/dev/sdb` (ohne nachgestellte Ziffer für die Gerätepartition). 1. Erstellen Sie einen Mounting-Punkt für das neue EBS-Volume und mounten Sie das Volume. ``` [ec2-user bundle]$ sudo mkdir /mnt/ebs [ec2-user bundle]$ sudo mount /dev/sdb1 /mnt/ebs ``` 1. Öffnen Sie die Datei `/etc/fstab` auf dem EBS-Volume mit Ihrem bevorzugten Text-Editor (z. B. **vim** oder **nano**) und entfernen Sie alle Einträge für Instance-Speicher-Volumes (flüchtiger Speicher). Da das EBS-Volume unter `/mnt/ebs` gemountet wurde, befindet sich die Datei `fstab` unter `/mnt/ebs/etc/fstab`. ``` [ec2-user bundle]$ sudo nano /mnt/ebs/etc/fstab # LABEL=/ / ext4 defaults,noatime 1 1 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 /dev/sdb /media/ephemeral0 auto defaults,comment=cloudconfig 0 2 ``` In diesem Beispiel sollte die letzte Zeile entfernt werden. 1. Heben Sie das Mounting des Volumes auf und trennen Sie es von der Instance. ``` [ec2-user bundle]$ sudo umount /mnt/ebs [ec2-user bundle]$ aws ec2 detach-volume --volume-id vol-01234567890abcdef --region us-west-2 ``` 1. Erstellen Sie aus dem neuen EBS-Volume wie folgt ein AMI. 1. Erstellen Sie einen Snapshot des neuen EBS-Volumes. ``` [ec2-user bundle]$ aws ec2 create-snapshot --region us-west-2 --description "your_snapshot_description" --volume-id vol-01234567890abcdef ``` 1. Überprüfen Sie, ob Ihr Snapshot vollständig ist. ``` [ec2-user bundle]$ aws ec2 describe-snapshots --region us-west-2 --snapshot-id snap-0abcdef1234567890 ``` 1. Ermitteln Sie die auf dem ursprünglichen AMI verwendete Prozessorarchitektur, den Virtualisierungstyp und das Kernel-Image (`aki`) mit dem Befehl **describe-images**. Für diesen Schritt benötigen Sie die AMI-ID des ursprünglichen Amazon-S3-gestützten AMI. ``` [ec2-user bundle]$ aws ec2 describe-images --region us-west-2 --image-id ami-0abcdef1234567890 --output text IMAGES x86_64 amazon/amzn-ami-pv-2013.09.2.x86_64-s3 ami-8ef297be amazon available public machine aki-fc8f11cc instance-store paravirtual xen ``` In diesem Beispiel werden als Architektur `x86_64` und als Kernel-Image-ID `aki-fc8f11cc` verwendet. Nutzen Sie diese Werte im folgenden Schritt. Falls in der Ausgabe des obigen Befehls auch eine `ari`-ID aufgeführt ist, sollten Sie sich diese ebenfalls notieren. 1. Registrieren Sie Ihr neues AMI mit der Snapshot-ID Ihres neuen EBS-Volumes und den Werten aus dem vorherigen Schritt. Wenn in der Ausgabe des vorherigen Befehls eine `ari`-ID aufgeführt ist, sollten Sie diese im folgenden Befehl als `--ramdisk-id ari_id` einfügen. ``` [ec2-user bundle]$ aws ec2 register-image --region us-west-2 --name your_new_ami_name --block-device-mappings DeviceName=device-name,Ebs={SnapshotId=snap-0abcdef1234567890} --virtualization-type paravirtual --architecture x86_64 --kernel-id aki-fc8f11cc --root-device-name device-name ``` 1. (Optional) Nachdem Sie per Test sichergestellt haben, dass Sie über Ihr neues AMI eine Instance starten können, können Sie das für dieses Verfahren erstellte EBS-Volume löschen. ``` aws ec2 delete-volume --volume-id vol-01234567890abcdef ``` # Ein Amazon-EC2-AMI mit Windows Sysprep erstellen Das Microsoft System Preparation Tool (Windows Sysprep) erstellt eine generalisierte Version des Betriebssystems, wobei die instance-spezifische Systemkonfiguration entfernt wird, bevor ein neues Image erfasst wird. Wir empfehlen, [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) zu verwenden, um die Erstellung, Verwaltung und Bereitstellung von benutzerdefinierten, sicheren und up-to-date „goldenen“ Server-Images zu automatisieren, die vorinstalliert und mit Software und Einstellungen vorkonfiguriert sind. Sie können Windows Sysprep auch verwenden, um mithilfe der Windows-Startagenten Launch v2, EC2 Launch und EC2 EC2 Config ein standardisiertes AMI zu erstellen. **Wichtig** Verwenden Sie Windows Sysprep nicht zum Erstellen eines Instance-Backups. Windows Sysprep entfernt systemspezifische Informationen. Das Entfernen dieser Informationen kann unbeabsichtigte Folgen für ein Instance-Backup haben. Informationen zur Fehlerbehebung bei Windows Sysprep finden Sie unter [Fehlerbehebung bei Sysprep-Problemen mit Amazon-EC2-Windows-Instances](sysprep-troubleshoot.md). **Topics** + [ ## Sysprep-Phasen von Windows ](#sysprep-phases) + [ ## Bevor Sie beginnen ](#sysprep-begin) + [Verwenden Sie Windows Sysprep mit Launch v2 EC2](sysprep-using-ec2launchv2.md) + [Verwenden Sie Windows Sysprep mit Launch EC2](ec2launch-sysprep.md) + [Verwenden Sie Windows Sysprep mit Config EC2](sysprep-using.md) ## Sysprep-Phasen von Windows Folgende Phasen werden beim Ausführen von Windows Sysprep durchlaufen: + **Generalisieren**: Das Sysprep-Tool entfernt Image-spezifische Informationen und Konfigurationen. Zum Beispiel entfernt Windows Sysprep u. a. die Sicherheits-ID (SID), den Computer-Namen, die Ereignisprotokolle und bestimmte Treiber, um nur einige zu nennen. Anschließend kann vom Betriebssystem (OS) ein AMI erstellt werden. **Anmerkung** Wenn Sie Windows Sysprep mit den Windows-Start-Agenten ausführen, verhindert das System, dass Treiber entfernt werden, da `PersistAllDeviceInstalls` standardmäßig auf „wahr“ gesetzt ist. + **Spezialisieren**: Plug & Play durchsucht den Computer und installiert Treiber für alle erkannten Geräte. Das Sysprep-Tool erstellt Betriebssystemanforderungen, z. B. Computer-Name und SID. Optional können Sie Befehle in dieser Phase ausführen. + **Out-of-Box Experience (OOBE)**: Das System führt eine verkürzte Version von Windows Setup aus und fordert Sie auf, Informationen wie Systemsprache, Zeitzone und registrierte Organisation einzugeben. Wenn Sie Windows Sysprep mit Windows-Start-Agenten ausführen, automatisiert die Antwortdatei diese Phase. ## Bevor Sie beginnen + Sie sollten vor Ausführung von Windows Sysprep alle lokalen Benutzerkonten und alle Kontoprofile entfernen, abgesehen von einem einzigen Administratorkonto, mit dem Windows Sysprep ausgeführt wird. Wenn Sie Windows Sysprep mit zusätzlichen Konten und Profilen ausführen, könnte dies zu unerwarteten Verhalten führen, einschließlich des Verlusts von Profildaten oder des nicht erfolgreichen Abschlusses von Windows Sysprep. + Erfahren Sie mehr unter [Sysprep-Übersicht](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--system-preparation--overview). + Erfahren Sie, welche [Serverrollen von Sysprep unterstützt werden](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep-support-for-server-roles). # Erstellen Sie ein AMI mit Windows Sysprep mit Launch v2 EC2 Wenn Sie ein Image aus einer Instanz erstellen, auf der der EC2 Launch v2-Agent installiert ist, führt EC2 Launch v2 während der Vorbereitung des Images bestimmte Aufgaben aus. Dies beinhaltet die Arbeit mit Windows Sysprep. Weitere Informationen finden Sie unter [Sysprep-Phasen von Windows](ami-create-win-sysprep.md#sysprep-phases). **Topics** + [ ## Windows-Sysprep-Aktionen ](#sysprep-actions-ec2launchv2) + [ ## Nach Sysprep ](#sysprep-post-ec2launchv2) + [ ## Führen Sie Windows Sysprep mit EC2 Launch v2 aus ](#sysprep-gui-procedure-ec2launchv2) ## Windows-Sysprep-Aktionen Windows Sysprep und EC2 Launch v2 führen bei der Vorbereitung eines Images die folgenden Aktionen aus. 1. Wenn Sie im Dialogfeld **mit den **EC2Starteinstellungen** die Option Shutdown with Sysprep** wählen, führt das System den Befehl aus. `ec2launch sysprep` 1. EC2Launch v2 bearbeitet den Inhalt der `unattend.xml` Datei, indem der Registrierungswert unter gelesen wird. `HKEY_USERS\.DEFAULT\Control Panel\International\LocaleName` Die Datei befindet sich im folgenden Verzeichnis: `C:\ProgramData\Amazon\EC2Launch\sysprep`. 1. Das System führt das au `BeforeSysprep.cmd`. Dieser Befehl erstellt den folgenden Registrierungsschlüssel: **reg add "HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Control\$1Terminal Server" /v fDenyTSConnections /t REG\$1DWORD /d 1 /f** Der Registrierungsschlüssel deaktiviert RDP-Verbindungen bis sie erneut aktiviert werden. Die Deaktivierung von RDP-Verbindungen ist eine notwendige Sicherheitsmaßnahme, da während der ersten Boot-Session nach der Ausführung von Windows Sysprep kurzzeitig Verbindungen von RDP zugelassen werden und noch kein Administratorkennwort vergeben ist. 1. Der EC2 Launch v2-Dienst ruft Windows Sysprep auf, indem er den folgenden Befehl ausführt: **sysprep.exe /oobe /generalize /shutdown /unattend: "C:\$1ProgramData\$1Amazon\$1EC2Launch\$1sysprep\$1unattend.xml"** ### Generalisierungsphase + EC2Launch v2 entfernt imagespezifische Informationen und Konfigurationen wie den Computernamen und die SID. Wenn die Instance Mitglied einer Domain ist, wird sie von der Domain entfernt. Die `unattend.xml`-Antwortdatei enthält folgende Einstellungen, die sich auf diese Phase auswirken: + **PersistAllDeviceInstalls**: Diese Einstellung verhindert, dass Windows Setup Geräte entfernt und neu konfiguriert, wodurch der Image-Vorbereitungsprozess beschleunigt wird, da Amazon bestimmte Treiber zur Ausführung AMIs benötigt und die erneute Erkennung dieser Treiber einige Zeit in Anspruch nehmen würde. + **DoNotCleanUpNonPresentDevices**: Bei dieser Einstellung werden Plug & Play-Informationen für Geräte beibehalten, die derzeit nicht vorhanden sind. + Windows Sysprep beendet das Betriebssystem bei der Vorbereitung der Erstellung des AMI. Das System startet entweder eine neue Instance oder die ursprüngliche Instance. ### Spezialisierungsphase Das System erstellt OS-spezifische Anforderungen, z. B. Computer-Name und eine SID. Das System führt zudem die folgenden Aktionen basierend auf Konfigurationen durch, die Sie in der `unattend.xml`-Antwortdatei angeben. + **CopyProfile**: Windows Sysprep kann so konfiguriert werden, dass alle Benutzerprofile gelöscht werden, einschließlich des integrierten Administratorprofils. Die Einstellung behält das integrierte Administratorkonto bei, sodass alle an diesem Konto vorgenommenen Anpassungen auf das neue Image übertragen werden. Der Standardwert ist `True`. **CopyProfile**ersetzt das Standardprofil durch das vorhandene lokale Administratorprofil. Alle Konten, mit denen Sie sich nach der Ausführung von Windows Sysprep anmelden, erhalten bei der ersten Anmeldung eine Kopie dieses Profils und seiner Inhalte. Wenn es keine spezifischen Benutzerprofilanpassungen gibt, die Sie auf das neue Image übertragen möchten, legen Sie diese Einstellung auf fes `False`. Windows Sysprep entfernt alle Benutzerprofile. (Das spart Zeit und Festplattenspeicher). + **TimeZone**: Die Zeitzone ist standardmäßig auf Coordinate Universal Time (UTC) eingestellt. + **Synchronous command with order 1**: Das System führt den folgenden Befehl zur Aktivierung des Administratorkontos und Angabe der Passwortanforderungen aus. ``` net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES ``` + **Synchronous command with order 2**: Das System verschlüsselt das Administratorpasswort. Die Sicherheitsmaßnahme dient dazu, den Zugriff auf die Instance nach Abschluss von Windows Sysprep zu verhindern, wenn Sie die `setAdminAccount`-Einstellung nicht aktiviert haben. Das System führt den folgenden Befehl von Ihrem lokalen Start-Agent-Verzeichnis aus (`C:\Program Files\Amazon\EC2Launch\`) aus. ``` EC2Launch.exe internal randomize-password --username Administrator ``` + Um Remote-Desktop-Verbindungen zu aktivieren, setzt das System den Terminal-Server-Registrierungsschlüssel `fDenyTSConnections` auf „Falsch“. ### OOBE-Phase 1. Das System spezifiziert mithilfe der EC2 Launch v2-Antwortdatei die folgenden Konfigurationen: + `en-US` + `en-US` + `en-US` + `en-US` + `true` + `true` + `3` + `false` + `UTC` + `Amazon.com` + `EC2` **Anmerkung** Während der Phasen Generalisieren und Spezialisieren überwacht EC2 Launch v2 den Status des Betriebssystems. Wenn EC2 Launch v2 feststellt, dass sich das Betriebssystem in einer Sysprep-Phase befindet, veröffentlicht es die folgende Meldung im Systemprotokoll: Windows wird konfiguriert. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE 1. Auf dem System wird Launch v2 ausgeführt. EC2 ## Nach Sysprep Nach Abschluss von Windows Sysprep sendet EC2 Launch v2 die folgende Meldung an die Konsolenausgabe: ``` Windows sysprep configuration complete. ``` EC2Launch v2 führt dann die folgenden Aktionen aus: 1. Liest den Inhalt der `agent-config.yml`-Datei und führt konfigurierte Aufgaben aus. 1. Führt alle Aufgaben in der `preReady`-Phase aus. 1. Danach sendet es die Nachricht `Windows is ready` an die Systemprotokolle der Instance. 1. Führt alle Aufgaben in der `PostReady`-Phase aus. Weitere Informationen zu EC2 Launch v2 finden Sie unter[Den EC2Launch-v2-Agenten verwenden, um Aufgaben während des Starts einer EC2-Windows-Instance auszuführen](ec2launch-v2.md). ## Führen Sie Windows Sysprep mit EC2 Launch v2 aus Gehen Sie wie folgt vor, um mithilfe von Windows Sysprep mit EC2 Launch v2 ein standardisiertes AMI zu erstellen. 1. Suchen Sie in der Amazon-EC2-Konsole ein AMI, dass Sie kopieren wollen. 1. Starten Sie die Windows-Instance und stellen Sie eine Verbindung zu ihr her. 1. Einstellungen anpassen 1. Suchen Sie im **Windows-Startmenü** nach **Amazon EC2 Launch-Einstellungen** und wählen Sie diese aus. Weitere Informationen zu den Optionen und Einstellungen im Dialogfeld mit den Amazon **EC2Launch-Einstellungen** finden Sie unter[Konfigurieren Sie die EC2 Launch v2-Einstellungen für Windows-Instanzen](ec2launch-v2-settings.md). 1. Wenn Sie Änderungen vorgenommen haben, wählen Sie **Speichern** vor dem Herunterfahren. 1. Wählen Sie **Herunterfahren mit Sysprep** oder **Herunterfahren ohne Sysprep** aus. **Wenn Sie aufgefordert werden, zu bestätigen, dass Sie Windows Sysprep ausführen und die Instance herunterfahren möchten, klicken Sie auf Ja.** EC2Launch v2 führt Windows Sysprep aus. Sie werden dann von der Instance abgemeldet und die Instance wird beendet. Auf der Seite **Instances** in der Amazon EC2-Konsole wechselt der Instance-Status von `Running` zu `Stopping` und zu `Stopped`. Jetzt kann ein AMI aus dieser Instance erstellt werden. Sie können das Windows-Sysprep-Tool manuell mittels Befehlszeile und dem folgenden Befehl aufrufen: ``` "%programfiles%\amazon\ec2launch\ec2launch.exe" sysprep --shutdown=true ``` # Erstellen Sie ein AMI mit Windows Sysprep with Launch EC2 Wenn Sie ein Image aus einer Instanz erstellen, auf der der EC2 Launch-Agent installiert ist, führt EC2 Launch während der Vorbereitung des Images bestimmte Aufgaben aus. Dies beinhaltet die Arbeit mit Windows Sysprep. Weitere Informationen finden Sie unter [Sysprep-Phasen von Windows](ami-create-win-sysprep.md#sysprep-phases). EC2Launch bietet eine Standardantwortdatei und Batchdateien für Windows Sysprep, die den Imagevorbereitungsprozess auf Ihrem AMI automatisieren und sichern. Das Ändern dieser Dateien ist optional. Sie befinden sich standardmäßig in folgendem Verzeichnis: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`. **Wichtig** Verwenden Sie Windows Sysprep nicht zum Erstellen eines Instance-Backups. Windows Sysprep entfernt systemspezifische Informationen. Wenn Sie diese Informationen entfernen, könnte dies bei einer Instance-Sicherung unbeabsichtigte Folgen haben. **Topics** + [ ## EC2Starten Sie Antwort- und Batchdateien für Windows Sysprep ](#ec2launch-sysprep-answer-batch) + [ ## Führen Sie Windows Sysprep mit Launch aus EC2 ](#ec2launch-sysprep-running) + [ ## metadata/KMS Routen für Server 2016 und höher aktualisieren, wenn Sie ein benutzerdefiniertes AMI starten ](#update-metadata-KMS) ## EC2Starten Sie Antwort- und Batchdateien für Windows Sysprep Die EC2 Startantwortdatei und die Batchdateien für Windows Sysprep beinhalten Folgendes: `Unattend.xml` Dies ist die standardmäßige Antwortdatei. Wenn Sie **ShutdownWithSysprep**in der Benutzeroberfläche das Programm ausführen `SysprepInstance.ps1` oder auswählen, liest das System die Einstellung aus dieser Datei. `BeforeSysprep.cmd` Passen Sie diese Batchdatei so an, dass Befehle ausgeführt werden, bevor EC2 Launch Windows Sysprep ausführt. `SysprepSpecialize.cmd` Passen Sie diese Batch-Datei so an, dass Befehle während der Windows-Sysprep-Spezialisierungsphase ausführt werden. ## Führen Sie Windows Sysprep mit Launch aus EC2 Bei der vollständigen Installation von Windows Server 2016 und höher (mit Desktop-Oberfläche) können Sie Windows Sysprep with EC2 Launch manuell oder mithilfe der Anwendung **EC2** Launch Settings ausführen. **So führen Sie Windows Sysprep mit der Anwendung Launch Settings aus EC2** 1. Suchen oder erstellen Sie in der Amazon EC2-Konsole ein AMI mit Windows Server 2016 oder höher. 1. Starten Sie über das AMI eine Windows-Instance. 1. Stellen Sie eine Verbindung mit Ihrer Windows-Instance her, und passen Sie sie an. 1. Suchen Sie nach der Anwendung und führen Sie sie aus. **EC2LaunchSettings** Standardmäßig befindet sie sich in folgendem Verzeichnis: `C:\ProgramData\Amazon\EC2-Windows\Launch\Settings`. ![\[Anwendung der EC2-Starteinstellungen\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ec2launch-sysprep.png) 1. Wählen oder löschen Sie die Optionen nach Bedarf. Diese Einstellungen werden in der Datei `LaunchConfig.json` gespeichert. 1. Gehen Sie für **Administrator Password** wie folgt vor: + Wählen Sie **Zufällig**. EC2Launch generiert ein Passwort und verschlüsselt es mit dem Schlüssel des Benutzers. Die Einstellung wird vom System nach dem Start der Instance deaktiviert, so dass das Passwort weiterhin gilt, wenn die Instance neu gestartet bzw. angehalten und gestartet wird. + Wählen Sie **Specify**, und geben Sie ein Passwort ein, das den Systemanforderungen entspricht. Das Passwort wird in `LaunchConfig.json` im Klartext gespeichert und gelöscht, wenn Windows Sysprep das Administratorpasswort einstellt. Wenn Sie jetzt herunterfahren, wird das Passwort sofort festgelegt. EC2Launch verschlüsselt das Passwort mit dem Schlüssel des Benutzers. + Wählen Sie ein Passwort **DoNothing**und geben Sie es in der `unattend.xml` Datei an. Wenn Sie in der Datei `unattend.xml` kein Passwort angeben, ist das Administratorkonto deaktiviert. 1. Wählen Sie **Shutdown with Sysprep (Herunterfahren mit Sysprep)**. **Um Windows Sysprep manuell mit Launch auszuführen EC2** 1. Finden oder erstellen Sie in der Amazon EC2-Konsole ein AMI der Datacenter-Edition von Windows Server 2016 oder höher, das Sie duplizieren wollen. 1. Starten Sie die Windows-Instance und stellen Sie eine Verbindung zu ihr her. 1. Passen Sie die Instance an. 1. Geben Sie Einstellungen in der Datei `LaunchConfig.json` an. Diese Datei befindet sich standardmäßig im Verzeichnis `C:\ProgramData\Amazon\EC2-Windows\Launch\Config`. Geben Sie für `adminPasswordType` einen der folgenden Werte an: `Random` EC2Launch generiert ein Kennwort und verschlüsselt es mit dem Schlüssel des Benutzers. Die Einstellung wird vom System nach dem Start der Instance deaktiviert, so dass das Passwort weiterhin gilt, wenn die Instance neu gestartet bzw. angehalten und gestartet wird. `Specify` EC2Launch verwendet das Passwort, das Sie unter angeben. `adminPassword` Wenn das Passwort nicht den Systemanforderungen entspricht, generiert EC2 Lauch stattdessen ein zufälliges Passwort. Das Kennwort wird `LaunchConfig.json` als Klartext gespeichert und gelöscht, nachdem Windows Sysprep das Administratorkennwort festgelegt hat. EC2Launch verschlüsselt das Kennwort mithilfe des Benutzerschlüssels. `DoNothing` EC2Launch verwendet das Passwort, das Sie in der `unattend.xml` Datei angeben. Wenn Sie in der Datei `unattend.xml` kein Passwort angeben, ist das Administratorkonto deaktiviert. 1. (Optional) Geben Sie Einstellungen in `unattend.xml` und anderen Konfigurationsdateien an. Wenn Sie eine beaufsichtigte Installation planen, brauchen Sie keine Änderung in diesen Dateien vorzunehmen. Die Dateien befinden sich standardmäßig in folgendem Verzeichnis: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`. 1. Führen Sie in Windows PowerShell aus`./InitializeInstance.ps1 -Schedule`. Das Script befindet sich standardmäßig in folgendem Verzeichnis: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. Dieses Script plant die Initialisierung der Instance beim nächsten Starten. Sie müssen diese Script ausführen, bevor Sie im nächsten Schritt das Script `SysprepInstance.ps1` ausführen. 1. Führen Sie in Windows PowerShell aus`./SysprepInstance.ps1`. Das Script befindet sich standardmäßig in folgendem Verzeichnis: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. Sie werden von der Instance abgemeldet und die Instance wird beendet. Auf der Seite **Instances** in der Amazon EC2-Konsole wechselt der Instance-Zustand von `Running` zu `Stopping` und zu `Stopped`. Jetzt kann ein AMI aus dieser Instance erstellt werden. ## metadata/KMS Routen für Server 2016 und höher aktualisieren, wenn Sie ein benutzerdefiniertes AMI starten Gehen Sie wie folgt vor, um metadata/KMS Routen für Server 2016 und höher zu aktualisieren, wenn Sie ein benutzerdefiniertes AMI starten: + Führen Sie die LaunchSettings EC2-GUI aus (C:\$1\$1 AmazonProgramData\$1 EC2-Windows\$1 Launch\$1 Settings\$1 Ec2 LaunchSettings .exe) und wählen Sie die Option zum Herunterfahren mit Windows Sysprep aus. + Führen Sie EC2 aus LaunchSettings und fahren Sie es ohne Windows Sysprep herunter, bevor Sie das AMI erstellen. Dadurch wird veranlasst, dass die Initialisierungsaufgaben des EC2-Starts beim nächsten Systemstart ausgeführt werden. Die Routen werden dann basierend auf dem Subnetz für die Instance festgelegt. + Planen Sie die Initialisierungsaufgaben von EC2 Launch manuell neu, bevor Sie ein AMI von erstellen. [PowerShell](ec2launch-config.md#ec2launch-inittasks) **Wichtig** Beachten Sie das Standardverhalten beim Zurücksetzen des Passworts, bevor Sie Aufgaben neu planen. + Informationen zum Aktualisieren der Routen auf einer ausgeführten Instance, bei der eine Windows-Aktivierung oder Kommunikation mit Instance-Metadatenfehlern auftritt, finden Sie unter [„Windows kann nicht aktiviert werden“](common-messages.md#activate-windows). # Erstellen Sie ein AMI mit Windows Sysprep mit Config EC2 Wenn Sie ein Image aus einer Instanz erstellen, auf der der EC2 Config-Dienst installiert ist, führt EC2 Config während der Vorbereitung des Images bestimmte Aufgaben aus. Dies beinhaltet die Arbeit mit Windows Sysprep. Weitere Informationen finden Sie unter [Sysprep-Phasen von Windows](ami-create-win-sysprep.md#sysprep-phases). **Topics** + [ ## Windows-Sysprep-Aktionen ](#sysprep-actions) + [ ## Nach Sysprep ](#sysprep-post) + [ ## Führen Sie Windows Sysprep mit dem Config-Dienst aus EC2 ](#sysprep-gui-procedure) ## Windows-Sysprep-Aktionen Windows Sysprep und der EC2 Config-Dienst führen bei der Vorbereitung eines Images die folgenden Aktionen aus. 1. Wenn Sie im Dialogfeld **EC2-Serviceeigenschaften** die Option **Mit Sysprep herunterfahren** auswählen, führt das System den Befehl **ec2config.exe -sysprep** aus. 1. Der EC2 Config-Dienst liest den Inhalt der `BundleConfig.xml` Datei. Diese Datei befindet sich standardmäßig im folgenden Verzeichnis: `C:\Program Files\Amazon\Ec2ConfigService\Settings`. Die `BundleConfig.xml`-Datei umfasst die folgenden Einstellungen. Sie können diese Einstellungen ändern: + **AutoSysprep**: Gibt an, ob Windows Sysprep automatisch verwendet werden soll. Sie brauchen diesen Wert nicht zu ändern, wenn Sie Windows Sysprep vom Dialogfeld „EC2-Service-Eigenschaften“ aus ausführen. Der Standardwert ist `No`. + **Set RDPCertificate**: Legt ein selbstsigniertes Zertifikat für den Remote Desktop-Server fest. Auf diese Weise können Sie das Remote Desktop Protocol (RDP) sicher verwenden, um eine Verbindung zur Instance herzustellen. Ändern Sie den Wert in `Yes`, wenn neue Instances ein Zertifikat verwenden sollen. Diese Einstellung wird für Windows Server 2012 Instances nicht verwendet, da diese Betriebssysteme ihre eigenen Zertifikate generieren können. Der Standardwert ist `No`. + **SetPasswordAfterSysprep**: Legt ein zufälliges Passwort für eine neu gestartete Instanz fest, verschlüsselt es mit dem Benutzerstartschlüssel und gibt das verschlüsselte Passwort an die Konsole aus. Ändern Sie den Wert in `No`, wenn die neuen Instances nicht als zufällig verschlüsseltes Passwort festgelegt werden sollen. Der Standardwert ist `Yes`. + **PreSysprepRunCmd**: Der Speicherort des auszuführenden Befehls. Der Befehl befindet sich standardmäßig in folgendem Verzeichnis: `C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd` 1. Das System führt au `BeforeSysprep.cmd`. Dieser Befehl erstellt den folgenden Registrierungsschlüssel: ``` reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f ``` Der Registrierungsschlüssel deaktiviert RDP-Verbindungen bis sie erneut aktiviert werden. Die Deaktivierung von RDP-Verbindungen ist eine notwendige Sicherheitsmaßnahme, da während der ersten Boot-Session nach der Ausführung von Windows Sysprep kurzzeitig Verbindungen von RDP zugelassen werden und noch kein Administratorkennwort vergeben ist. 1. Der EC2 Config-Dienst ruft Windows Sysprep auf, indem er den folgenden Befehl ausführt: ``` sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown ``` ### Generalisierungsphase + Das Tool entfernt Image-spezifische Informationen und Konfigurationen, z. B. Computer-Name und SID. Wenn die Instance Mitglied einer Domain ist, wird sie von der Domain entfernt. Die `sysprep2008.xml`-Antwortdatei enthält folgende Einstellungen, die sich auf diese Phase auswirken: + **PersistAllDeviceInstalls**: Diese Einstellung verhindert, dass Windows Setup Geräte entfernt und neu konfiguriert, wodurch der Image-Vorbereitungsprozess beschleunigt wird, da Amazon bestimmte Treiber zur Ausführung AMIs benötigt und die erneute Erkennung dieser Treiber einige Zeit in Anspruch nehmen würde. + **DoNotCleanUpNonPresentDevices**: Bei dieser Einstellung werden Plug & Play-Informationen für Geräte beibehalten, die derzeit nicht vorhanden sind. + Windows Sysprep beendet das Betriebssystem bei der Vorbereitung der Erstellung des AMI. Das System startet entweder eine neue Instance oder die ursprüngliche Instance. ### Spezialisierungsphase Das System erstellt OS-spezifische Anforderungen, z. B. Computer-Name und eine SID. Das System führt zudem die folgenden Aktionen basierend auf Konfigurationen durch, die Sie in der sysprep2008.xml-Antwortdatei angeben. + **CopyProfile**: Windows Sysprep kann so konfiguriert werden, dass alle Benutzerprofile gelöscht werden, einschließlich des integrierten Administratorprofils. Die Einstellung behält das integrierte Administratorkonto bei, sodass alle an diesem Konto vorgenommenen Anpassungen auf das neue Image übertragen werden. Der Standardwert ist „True“. **CopyProfile**ersetzt das Standardprofil durch das vorhandene lokale Administratorprofil. Alle Konten, die sich nach der Ausführung von Windows Sysprep anmelden, erhalten bei der ersten Anmeldung eine Kopie dieses Profils und seiner Inhalte. Wenn es keine spezifischen Benutzerprofilanpassungen gibt, die Sie auf das neue Image übertragen möchten, legen Sie diese Einstellung auf „False“ fest. Windows Sysprep wird alle Benutzerprofile entfernen. Das spart Zeit und Festplattenspeicher. + **TimeZone**: Die Zeitzone ist standardmäßig auf Coordinate Universal Time (UTC) eingestellt. + **Synchronous command with order 1**: Das System führt den folgenden Befehl zur Aktivierung des Administratorkontos und Angabe der Passwortanforderungen aus. **net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES** + **Synchronous command with order 2**: Das System verschlüsselt das Administratorpasswort. Die Sicherheitsmaßnahme dient dazu, den Zugriff auf die Instance nach Abschluss von Windows Sysprep zu verhindern, wenn die ec2setpassword-Einstellung nicht aktiviert wurde. C:\$1Program Dateien\$1 Amazon\$1 Ec2ConfigService\$1 ScramblePassword .exe“ -u Administrator + **Synchronous command with order 3**: Das System führt den folgenden Befehl aus: C:\$1Program Dateien\$1 Amazon\$1 Ec2\$1 ScriptsConfigService\$1 .cmd SysprepSpecializePhase Der Befehl fügt den folgenden Registrierungsschlüssel hinzu, der RDP erneut aktiviert: reg füge „HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1 ControlCurrentControlSet\$1 Terminal Server“ /v FDeny /t REG\$1DWORD /d 0 /f hinzu TSConnections ### OOBE-Phase 1. Mithilfe der Antwortdatei des EC2 Config-Dienstes spezifiziert das System die folgenden Konfigurationen: + < InputLocale InputLocale >en-US + < SystemLocale >de-US + < UILanguage >de-US + < UserLocale >de-US + EULAPageWahre + < HideWirelessSetupIn OOBE>Wahr + < NetworkLocation >Andere + < PC>3 ProtectYour ProtectYour + < BluetoothTaskbarIconEnabled >falsch + < TimeZone >UTC + < RegisteredOrganization >Amazon.com + < RegisteredOwner RegisteredOwner >Amazon **Anmerkung** Während der Phasen Generalisieren und Spezialisieren überwacht der EC2 Config-Dienst den Status des Betriebssystems. Wenn EC2 Config feststellt, dass sich das Betriebssystem in einer Sysprep-Phase befindet, veröffentlicht es die folgende Meldung im Systemprotokoll: EC2ConfigMonitorState: 0 Windows wird konfiguriert. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE 1. Nach Abschluss der OOBE-Phase führt das System `SetupComplete.cmd` von folgendem Standort aus: `C:\Windows\Setup\Scripts\SetupComplete.cmd`. In Amazon Public AMIs vor April 2015 war diese Datei leer und es lief nichts auf dem Bild. In der öffentlichen AMIs Version, die nach April 2015 datiert wurde, enthält die Datei den folgenden Wert:**call "C:\$1Program Files\$1Amazon\$1Ec2ConfigService\$1Scripts\$1PostSysprep.cmd"**. 1. Das System führt `PostSysprep.cmd` aus, das die folgenden Vorgänge ausführt: + Legt das Administratorpasswort so fest, dass es nicht ablaufen kann. Wenn das Passwort abläuft, können sich Administratoren anschließend möglicherweise nicht mehr anmelden. + Legt den MSSQLServer Computernamen (falls installiert) so fest, dass der Name mit dem AMI synchronisiert wird. ## Nach Sysprep Nach Abschluss von Windows Sysprep senden die EC2 Config-Dienste die folgende Meldung an die Konsolenausgabe: ``` Windows sysprep configuration complete. Message: Sysprep Start Message: Sysprep End ``` EC2Config führt dann die folgenden Aktionen aus: 1. Liest den Inhalt der config.xml-Datei aus und führt alle aktivierten Plugins aus. 1. Führt alle Plugins vom Typ „Before Windows is ready“ gleichzeitig aus. + Ec2 SetPassword + Ec2 SetComputerName + Ec2 InitializeDrives + Ec2 EventLog + Ec2ConfigureRDP + Ec2-Ausgang RDPCert + Ec2 SetDriveLetter + Ec2 WindowsActivate + Ec2 DynamicBootVolumeSize 1. Sendet nach Abschluss die Meldung „Windows is ready“ an die Instance-Systemprotokolle. 1. Führt alle Plugins vom Typ „After Windows is ready“ gleichzeitig aus. + CloudWatch Amazon-Protokolle + UserData + AWS Systems Manager (Systems Manager) Weitere Informationen über Windows-Plug-ins finden Sie unter [Den EC2Config-Service verwenden, um Aufgaben während des Starts der EC2-Legacy-Windows-Betriebssysteminstance auszuführen](ec2config-service.md). ## Führen Sie Windows Sysprep mit dem Config-Dienst aus EC2 Gehen Sie wie folgt vor, um mithilfe von Windows Sysprep und dem EC2 Config-Dienst ein standardisiertes AMI zu erstellen. 1. Suchen Sie in der Amazon EC2-Konsole das zu duplizierende AMI oder [erstellen](creating-an-ami-ebs.md) Sie eines. 1. Starten Sie die Windows-Instance und stellen Sie eine Verbindung zu ihr her. 1. Passen Sie sie an. 1. Geben Sie die Konfigurationseinstellungen in der Antwortdatei des EC2 Config-Dienstes an: `C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml` 1. Klicken Sie im **Windows-Startmenü** auf **Alle Programme** und dann auf **EC2ConfigServiceEinstellungen**. 1. Wählen Sie die Registerkarte **Image (Image)** im Dialogfeld **Ec2 Service Properties (Ec2-Service-Eigenschaften)** aus. Weitere Informationen zu den Optionen und Einstellungen im Ec2 Service Properties-Dialogfeld finden Sie unter [Ec2-Service-Eigenschaften](ec2config-service.md). 1. **Wählen Sie eine Option für das Administratorkennwort und dann **Shutdown with Sysprep oder Shutdown without Sysprep** aus.** EC2Config bearbeitet die Einstellungsdateien auf der Grundlage der von Ihnen ausgewählten Passwortoption. + **Zufällig**: EC2 Config generiert ein Passwort, verschlüsselt es mit dem Schlüssel des Benutzers und zeigt das verschlüsselte Passwort auf der Konsole an. Die Einstellung wird nach dem ersten Start deaktiviert, sodass das Passwort weiterhin gilt, wenn die Instance neu gestartet bzw. angehalten und gestartet wird. + **Spezifizieren**: Das Passwort wird unverschlüsselt (Klartext) in der Windows-Sysprep-Antwortdatei gespeichert. Bei der nächsten Ausführung von Windows Sysprep wird das Administratorpasswort festgelegt. Wenn Sie den Service gleich beenden, wird das Passwort sofort festgelegt. Sobald der Service erneut startet, wird das Administratorpasswort entfernt. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können. + **Weiter vorhanden**: Das bestehende Passwort für das Administratorkonto ändert sich nicht, wenn Windows Sysprep ausgeführt oder EC2 Config neu gestartet wird. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können. 1. Klicken Sie auf **OK**. Wenn Sie zum Bestätigen der Ausführung von Windows Sysprep und zum Beenden der Instance aufgefordert werden, klicken Sie auf **Ja**. Sie werden feststellen, dass EC2 Config Windows Sysprep ausführt. Anschließend werden Sie von der Instance abgemeldet und die Instance wird beendet. Auf der Seite **Instances** in der Amazon EC2-Konsole wechselt der Instance-Zustand von `Running` zu `Stopping` und abschließend zu `Stopped`. Jetzt kann ein AMI aus dieser Instance erstellt werden. Sie können das Windows-Sysprep-Tool manuell mittels Befehlszeile und dem folgenden Befehl aufrufen: ``` "%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep"" ``` **Anmerkung** Die doppelten Anführungszeichen im Befehl sind nicht erforderlich, wenn sich Ihre CMD-Shell bereits im Verzeichnis C:\$1Program Files\$1 Amazon\$1 EC2ConfigService\$1 befindet. Achten Sie aber sorgfältig auf die Angabe der richtigen XML-Dateioptionen im Ordner `Ec2ConfigService\Settings`, andernfalls kann möglicherweise keine Verbindung zur Instance hergestellt werden. Weitere Informationen zu diesen Einstellungsdateien finden Sie unter [EC2Dateien mit Konfigurationseinstellungen](ec2config-service.md#UsingConfigXML_WinAMI). Ein Beispiel für die Konfiguration und das anschließende Ausführen von Windows Sysprep über die Befehlszeile finden Sie unter `Ec2ConfigService\Scripts\InstallUpdates.ps1`. # Kopieren eines Amazon-EC2-AMI Wenn Sie eine konsistente Amazon-EC2-Instance-Konfiguration für mehrere Regionen benötigen, können Sie ein einzelnes Amazon Machine Image (AMI) als Vorlage verwenden, um alle Instances zu starten. Es AMIs handelt sich jedoch um regionsspezifische Ressourcen — um eine Instance in einer bestimmten Region zu starten AWS-Region, muss sich das AMI in dieser Region befinden. Um dasselbe AMI in mehreren Regionen zu verwenden, müssen Sie es daher von der Quellregion in jede Zielregion kopieren. Die Methode, mit der Sie ein AMI kopieren, hängt davon ab, ob Sie regionsübergreifend *innerhalb derselben [Partition](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition)* oder *zwischen verschiedenen Partitionen* kopieren: + **Regionsübergreifendes Kopieren** — AMIs *Regionsübergreifendes Kopieren innerhalb derselben Partition, z. B. zwischen den Regionen innerhalb* der kommerziellen Partition. Diese Kopiermethode wird im folgenden Abschnitt beschrieben. + **Partitionsübergreifendes Kopieren — Kopieren** Sie AMIs *von einer Partition auf eine andere Partition*, z. B. von der kommerziellen Partition auf die AWS GovCloud (US) Partition. Weitere Informationen zu dieser Kopiermethode finden Sie unter [Speichern und Wiederherstellen eines AMIErlaubt AMIs](ami-store-restore.md). + **Kontoübergreifendes Kopieren** — Erstellen Sie eine Kopie eines AMI, das ein anderer AWS-Konto Benutzer [mit Ihrem AWS-Konto geteilt](sharingamis-explicit.md) hat. Diese Kopiermethode wird im folgenden Abschnitt beschrieben. Die Zeit, die benötigt wird, um den Kopiervorgang für regionsübergreifendes und kontenübergreifendes AMI-Kopieren abzuschließen, wird nach bestem Wissen berechnet. Wenn Sie die Fertigstellungszeit kontrollieren möchten, können Sie ein Abschlussfenster zwischen 15 Minuten und 48 Stunden angeben, um sicherzustellen, dass Ihr AMI innerhalb des erforderlichen Zeitraums kopiert wird. Für zeitbasierte AMI-Kopiervorgänge fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Zeitbasierte Kopien](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) im *Amazon-EBS-Benutzerhandbuch*. **Topics** + [ ## Überlegungen ](#copy-ami-considerations) + [ ## Kosten ](#copy-ami-costs) + [ # Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs ](copy-ami-permissions.md) + [ ## Kopieren eines AMI ](#ami-copy-steps) + [ ## Anhalten eines ausstehenden AMI-Kopiervorgangs ](#ami-copy-stop) + [ # Funktionsweise der Amazon-EC2-AMI-Kopierfunktion ](how-ami-copy-works.md) ## Überlegungen + **Genehmigung zum Kopieren AMIs** — Sie können IAM-Richtlinien verwenden, um Benutzern die Erlaubnis zum Kopieren zu erteilen oder zu verweigern. AMIs Ab dem 28. Oktober 2024 können Sie Berechtigungen auf Ressourcenebene für die `CopyImage`-Aktion im Quell-AMI angeben. Berechtigungen auf Ressourcenebene für das neue AMI sind wie bisher verfügbar. + **Startberechtigungen und Amazon S3 S3-Bucket-Berechtigungen** — kopiert AWS keine Startberechtigungen oder Amazon S3 S3-Bucket-Berechtigungen vom Quell-AMI in das neue AMI. Nachdem der Kopiervorgang abgeschlossen ist, können Sie Startberechtigungen und Amazon-S3-Bucketberechtigungen auf das neue AMI anwenden. + **Tags** – Sie können nur benutzerdefinierte AMI-Tags kopieren, die Sie an das Quell-AMI angefügt haben. System-Tags (Präfix mit `aws:`) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert. Wenn Sie ein AMI kopieren, können Sie dem neuen AMI und seinen Backup-Snapshots neue Tags hinzufügen. + **Kontingente für zeitbasierte AMI-Kopien** – Nachdem Sie Ihr *kumulatives Durchsatzkontingent für Snapshot-Kopien* erreicht haben, schlagen nachfolgende zeitbasierte AMI-Kopieranforderungen fehl. Weitere Informationen finden Sie unter [Kontingente für zeitbasierte Kopien](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-quota) im *Amazon-EBS-Benutzerhandbuch*. + **Unterstützte Quell-Ziel-Kopien** – Der Speicherort des Quell-AMI bestimmt, ob Sie es kopieren können und welche Ziele für das neue AMI zulässig sind: + Wenn sich das Quell-AMI in einer Region befindet, können Sie es innerhalb dieser Region, in eine andere Region, in einen mit dieser Region verknüpften Außenposten oder in eine Local Zone in dieser Region kopieren. + Wenn sich das Quell-AMI in einer Local Zone befindet, können Sie es innerhalb dieser Local Zone, in die übergeordnete Region dieser Local Zone oder in bestimmte andere Local Zonen mit derselben übergeordneten Region kopieren. + Wenn sich das Quell-AMI auf einem Outpost befindet, können Sie es nicht kopieren. + **CLI-Parameter für Quelle und Ziel** – Bei Verwendung der CLI werden die folgenden Parameter unterstützt, um den Quellspeicherort des zu kopierenden AMI und das Ziel des neuen AMI anzugeben. Beachten Sie, dass der Kopiervorgang in der Zielregion initiiert werden muss. Wenn Sie den `--region` Parameter weglassen, nimmt das Ziel die in Ihren AWS CLI Einstellungen konfigurierte Standardregion an. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/CopyingAMIs.html) ## Kosten Für das Kopieren eines AMI, wenn keine Abschlusszeit angegeben ist, fallen keine Gebühren an. Für zeitbasierte AMI-Kopiervorgänge fallen jedoch zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Zeitbasierte Kopien](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-pricing) im *Amazon-EBS-Benutzerhandbuch*. Es fallen die Standardgebühren für Datenspeicherung und -übertragung an. Wenn Sie ein EBS-gestütztes AMI kopieren, fallen Gebühren für die Speicherung zusätzlicher EBS-Snapshots an. # Erteilen Sie Berechtigungen zum Kopieren von Amazon EC2 AMIs Um ein EBS- oder Amazon-S3-gestütztes AMI zu kopieren, benötigen Sie die folgenden IAM-Berechtigungen: + `ec2:CopyImage` – Um das AMI zu kopieren. Für EBS-gestützte Geräte wird damit auch die Erlaubnis erteilt AMIs, die Backing-Snapshots des AMI zu kopieren. + `ec2:CreateTags` – So versehen Sie das Ziel-AMI mit Tags. Für EBS-gestützte Geräte wird außerdem die Erlaubnis erteiltAMIs, die Backing-Snapshots des Ziel-AMIs mit Tags zu versehen. Wenn Sie ein auf einer Instance-Speicher-gestütztes AMI kopieren, benötigen Sie die folgenden *zusätzlichen* IAM-Berechtigungen: + `s3:CreateBucket` – Um das S3-Bucket in der Zielregion für das neue AMI zu erstellen + `s3:PutBucketOwnershipControls`[— Zur Aktivierung ACLs für den neu erstellten S3-Bucket, sodass Objekte mit der gespeicherten ACL geschrieben werden können `aws-exec-read`](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl) + `s3:GetBucketAcl`— Um den ACLs für den Quell-Bucket zu lesen + `s3:ListAllMyBuckets`— Um einen vorhandenen S3-Bucket für AMIs in der Zielregion zu finden + `s3:GetObject` – Um die Objekte im Quell-Bucket zu lesen + `s3:PutObject` – Um die Objekte in den Ziel-Bucket zu schreiben + `s3:PutObjectAcl` – Um die Berechtigungen für die neuen Objekte in den Ziel-Bucket zu schreiben **Anmerkung** Ab dem 28. Oktober 2024 können Sie Berechtigungen auf Ressourcenebene für die `CopyImage`-Aktion im Quell-AMI angeben. Berechtigungen auf Ressourcenebene für das Ziel-AMI sind wie bisher verfügbar. Weitere Informationen finden Sie **CopyImage**in der Tabelle unter [Von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) in der *Service Authorization Reference.* ## Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI und zum Markieren des Ziel-AMI und der Snapshots Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes EBS-gestützte AMI zu kopieren und das Ziel-AMI und seine Backup-Snapshots mit Tags zu versehen. **Anmerkung** Ab dem 28. Oktober 2024 können Sie Snapshots im Element `Resource` angeben. Weitere Informationen finden Sie **CopyImage**in der Tabelle unter [Von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) in der *Service Authorization Reference.* ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*" ] }] } ``` ------ ## Beispiel für eine IAM-Richtlinie zum Kopieren eines EBS-gestützten AMI, aber Verweigerung des Tagging der neuen Snapshots Die `ec2:CopySnapshot`-Berechtigung wird automatisch gewährt, wenn Sie die `ec2:CopyImage`-Berechtigung erhalten. Die Berechtigung, die neuen Backup-Snapshots mit Tags zu versehen, kann explizit verweigert werden, wodurch der `Allow`-Effekt der `ec2:CreateTags`-Aktion außer Kraft gesetzt wird. Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes EBS-gestützte AMI zu kopieren, aber verweigert Ihnen, das Ziel-AMI und seine Backup-Snapshots mit Tags zu versehen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*" ] }, { "Effect": "Deny", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:::snapshot/*" } ] } ``` ------ ## Beispiel für eine IAM-Richtlinie zum Kopieren eines Amazon-S3-gestützten AMI und zum Markieren des Ziel-AMI Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigung, jedes Amazon-S3-gestützte AMI im angegebenen Quell-Bucket in die angegebene Region zu kopieren und das Ziel-AMI zu markieren. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash" ] } ] } ``` ------ Um den Amazon-Ressourcennamen (ARN) des AMI-Quell-Buckets zu finden, öffnen Sie die Amazon EC2-Konsole unter [https://console.aws.amazon.com/ec2/**AMIs**](https://console.aws.amazon.com/ec2/), wählen Sie im Navigationsbereich und suchen Sie den Bucket-Namen in der Spalte **Quelle**. **Anmerkung** Die `s3:CreateBucket`-Berechtigung ist nur erforderlich, wenn Sie das erste Mal ein Amazon-S3-gestütztes AMI in eine individuelle Region kopieren. Danach wird der Amazon S3 S3-Bucket, der bereits in der Region erstellt wurde, verwendet, um alle future Daten zu speichern AMIs , die Sie in diese Region kopieren. ## Kopieren eines AMI Sie können ein AMI kopieren, das Sie besitzen oder ein AMI, das mit Ihnen von einem anderen Konto geteilt wurde. Informationen zu den unterstützten Quell- und Zielkombinationen finden Sie unter [Überlegungen](#copy-ami-considerations). ------ #### [ Console ] **So kopieren Sie ein AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Konsolennavigationsleiste die Region mit dem AMI aus. 1. Wählen Sie im Navigationsbereich aus, ob **AMIs**die Liste der für Sie in der Region AMIs verfügbaren Objekte angezeigt werden soll. 1. Wenn Sie das AMI, das Sie kopieren möchten, nicht sehen, wählen Sie einen anderen Filter. Sie können nach „Mein AMIs **Eigentum**“, „**Private Bilder“, „**Öffentliche Bilder****“ und „**Deaktivierte Bilder“** filtern. 1. Wählen Sie das zu kopierende AMI und anschließend **Aktionen**, **AMI kopieren** aus. 1. Geben Sie auf der Seite **Amazon Machine Image (AMI) kopieren** die folgenden Informationen an: 1. **Name der AMI-Kopie**: Der Name für das neue AMI. Sie können die Betriebssysteminformationen in den Namen aufnehmen, da Amazon EC2 diese Informationen bei der Anzeige von Details zum AMI nicht bereitstellt. 1. **Beschreibung der AMI-Kopie**: Standardmäßig enthält die Beschreibung Informationen zum Quell-AMI zur Unterscheidung der Kopie vom Original. Sie können die Beschreibung bei Bedarf ändern. 1. **Zielregion**: Die Region, in die das AMI kopiert werden soll. Weitere Informationen erhalten Sie unter [Regionsübergreifendes Kopieren](how-ami-copy-works.md#copy-amis-across-regions) und [Kontoübergreifendes Kopieren](how-ami-copy-works.md#copy-ami-across-accounts). 1. **Tags kopieren**: Aktivieren Sie dieses Kontrollkästchen, um Ihre benutzerdefinierten AMI-Tags beim Kopieren des AMI einzubeziehen. System-Tags (Präfix mit `aws:`) und benutzerdefinierte Tags, die von anderen AWS-Konten angehängt wurden, werden nicht kopiert. 1. **Zeitbasiertes Kopieren**: Sie können wie folgt angeben, ob der Kopiervorgang innerhalb eines bestimmten Zeitrahmens oder nach bestem Wissen abgeschlossen werden soll: + Um den Kopiervorgang innerhalb eines bestimmten Zeitrahmens abzuschließen: + Wählen Sie **Zeitbasiertes Kopieren aktivieren** aus. + Geben Sie unter **Dauer der Fertigstellung** die Anzahl der Minuten (in Schritten von 15 Minuten) ein, die für den Kopiervorgang zulässig sind. Die Abschlussdauer gilt für alle Snapshots, die dem AMI zugeordnet sind. Weitere Informationen finden Sie unter [Zeitbasierte Kopien](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) im *Amazon-EBS-Benutzerhandbuch*. + So können Sie nach bestem Wissen kopieren lassen: + Lassen Sie die Option **Zeitbasiertes Kopieren aktivieren** nicht ausgewählt. 1. ( AMIs Nur EBS-gestützt) **EBS-Snapshots der AMI-Kopie verschlüsseln**: Wählen Sie dieses Kontrollkästchen, um die Ziel-Snapshots zu verschlüsseln oder um sie mit einem anderen Schlüssel erneut zu verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist das Kontrollkästchen **EBS-Snapshots der AMI-Kopie verschlüsseln** aktiviert und kann nicht deaktiviert werden. Weitere Informationen finden Sie unter [Verschlüsselung und Kopieren](how-ami-copy-works.md#ami-copy-encryption). 1. ( AMIs Nur EBS-gestützt) **KMS-Schlüssel: Der KMS-Schlüssel**, der zum Verschlüsseln der Ziel-Snapshots verwendet wird. 1. **Tags**: Sie können das neue AMI und die neuen Snapshots mit denselben Tags kennzeichnen oder sie mit verschiedenen Tags kennzeichnen. + Um das AMI und die Snapshots mit den *gleichen* Tags zu markieren, wählen Sie **Image und Snapshots zusammen markieren**. Die gleichen Tags werden auf das neue AMI und jeden erstellten Snapshot angewendet. + Um das AMI und die Snapshots mit *verschiedenen* Tags zu markieren, wählen Sie **Image und Snapshots separat markieren**. Unterschiedliche Tags werden auf das AMI und die erstellten Snapshots angewendet. Beachten Sie jedoch, dass alle neu erstellten Snapshots die gleichen Tags erhalten. Sie können nicht jeden neuen Snapshot mit einem anderen Tag versehen. Sie fügen ein Tag (Markierung) hinzu, indem Sie **Add Tags (Tag (Markierung) hinzufügen)** auswählen und den Schlüssel und den Wert für das Tags (Markierungen) eingeben. Wiederholen Sie diesen Schritt für jeden Tag (Markierung). 1. Wenn Sie bereit sind, das AMI zu kopieren, wählen Sie **AMI kopieren**. Der ursprüngliche Status des neuen AMI ist `Pending`. Der AMI-Kopiervorgang ist abgeschlossen, wenn der Status `Available` lautet. ------ #### [ AWS CLI ] **So kopieren Sie ein AMI von einer Region in eine andere** Verwenden Sie den Befehl [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html) . Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem `--source-region`-Parameter an. Sie können die Zielregion mithilfe des Parameters `--region` angeben (oder diesen Parameter weglassen, um die in Ihren AWS CLI -Einstellungen konfigurierte Standardregion anzunehmen). ``` aws ec2 copy-image \ --source-image-id ami-0abcdef1234567890 \ --source-region us-west-2 \ --name my-ami \ --region us-east-1 ``` Wenn Sie einen Ziel-Snapshot beim Kopieren eines AMI verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: `--encrypted` und `--kms-key-id`. **So kopieren Sie ein AMI von einer Region in eine Local Zone** Verwenden Sie den Befehl [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html) . Sie müssen die Quell- und Zielregionen angeben. Geben Sie die Quellregion mit dem `--source-region`-Parameter an. Sie geben die Ziel-Local-Zone mithilfe des Parameters `--destination-availability-zone` an (Sie können stattdessen `--destination-availability-zone-id` verwenden). Beachten Sie, dass Sie ein AMI nur von einer Region in eine Local Zone innerhalb derselben Region kopieren können. ``` aws ec2 copy-image \ --source-image-id ami-0abcdef1234567890 \ --source-region cn-north-1 \ --destination-availability-zone cn-north-1-pkx-1a \ --name my-ami \ --region cn-north-1 ``` **So kopieren Sie ein AMI von einer Local Zone in eine Region** Verwenden Sie den Befehl [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html) . Sie müssen die Quell- und Zielregionen angeben. Geben Sie die Quellregion mit dem `--source-region`-Parameter an. Sie geben die Zielregion mithilfe des Parameters `--region` an (oder lassen Sie diesen Parameter weg, um die in Ihren AWS CLI -Einstellungen konfigurierte Standardregion anzunehmen). Die Quell-Local-Zone wird vom Standort der angegebenen Quell-AMI-ID abgeleitet. Beachten Sie, dass Sie ein AMI nur von einer Local Zone in die übergeordnete Region kopieren können. ``` aws ec2 copy-image \ --source-image-id ami-0abcdef1234567890 \ --source-region cn-north-1 \ --name my-ami \ --region cn-north-1 ``` **So kopieren Sie ein AMI von einer Local Zone in eine andere Local Zone** Verwenden Sie den Befehl [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html) . Sie müssen die Quell- und Zielregionen angeben. Sie geben die Quellregion der Local Zone mit dem Parameter `--source-region` an. Sie geben die Ziel-Local-Zone mithilfe des Parameters `--destination-availability-zone` an (Sie können stattdessen `--destination-availability-zone-id` verwenden). Die Quell-Local-Zone wird vom Standort der angegebenen Quell-AMI-ID abgeleitet. Sie geben die übergeordnete Region der lokalen Zielzone mithilfe des `--region` Parameters an (oder lassen Sie diesen Parameter weg, um die in Ihren Einstellungen konfigurierte Standardregion anzunehmen). AWS CLI ``` aws ec2 copy-image \ --source-image-id ami-0abcdef1234567890 \ --source-region cn-north-1 \ --destination-availability-zone cn-north-1-pkx-1a \ --name my-ami \ --region cn-north-1 ``` ------ #### [ PowerShell ] **So kopieren Sie ein AMI von einer Region in eine andere** Verwenden Sie das cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Geben Sie die Quell- und Zielregionen an. Geben Sie die Quellregion mit dem `-SourceRegion`-Parameter an. Sie können die Zielregion mithilfe des `-Region` Parameters oder des Cmdlets [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html) angeben. ``` Copy-EC2Image ` -SourceImageId ami-0abcdef1234567890 ` -SourceRegion us-west-2 ` -Name my-ami ` -Region us-east-1 ``` Wenn Sie einen Ziel-Snapshot beim Kopieren eines AMI verschlüsseln, müssen Sie diese zusätzlichen Parameter angeben: `-Encrypted` und `-KmsKeyId`. **So kopieren Sie ein AMI von einer Region in eine Local Zone** Verwenden Sie das cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Sie müssen die Quell- und Zielregionen angeben. Geben Sie die Quellregion mit dem `-SourceRegion`-Parameter an. Sie geben die Ziel-Local-Zone mithilfe des Parameters `-DestinationAvailabilityZone` an (Sie können stattdessen `-DestinationAvailabilityZoneId` verwenden). Beachten Sie, dass Sie ein AMI nur von einer Region in eine Local Zone innerhalb derselben Region kopieren können. ``` Copy-EC2Image ` -SourceImageId ami-0abcdef1234567890 ` -SourceRegion cn-north-1 ` -DestinationAvailabilityZone cn-north-1-pkx-1a ` -Name my-ami ` -Region cn-north-1 ``` **So kopieren Sie ein AMI von einer Local Zone in eine Region** Verwenden Sie das cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Sie müssen die Quell- und Zielregionen angeben. Geben Sie die Quellregion mit dem `-SourceRegion`-Parameter an. Sie geben die Zielregion mithilfe des `-Region` Parameters oder des Cmdlets [AWSDefaultSet-Region an](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html). Die Quell-Local-Zone wird vom Standort der angegebenen Quell-AMI-ID abgeleitet. Beachten Sie, dass Sie ein AMI nur von einer Local Zone in die übergeordnete Region kopieren können. ``` Copy-EC2Image ` -SourceImageId ami-0abcdef1234567890 ` -SourceRegion cn-north-1 ` -Name my-ami ` -Region cn-north-1 ``` **So kopieren Sie ein AMI von einer Local Zone in eine andere Local Zone** Verwenden Sie das cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Sie müssen die Quell- und Zielregionen angeben. Sie geben die Quellregion der Local Zone mit dem Parameter `-SourceRegion` an. Sie geben die Ziel-Local-Zone mithilfe des Parameters `-DestinationAvailabilityZone` an (Sie können stattdessen `-DestinationAvailabilityZoneId` verwenden). Die Quell-Local-Zone wird vom Standort der angegebenen Quell-AMI-ID abgeleitet. Sie geben die übergeordnete Region der lokalen Zielzone mithilfe des `-Region` Parameters oder des Cmdlets [AWSDefaultSet-Region an](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html). ``` Copy-EC2Image ` -SourceImageId ami-0abcdef1234567890 ` -SourceRegion cn-north-1 ` -DestinationAvailabilityZone cn-north-1-pkx-1a ` -Name my-ami ` -Region cn-north-1 ``` ------ ## Anhalten eines ausstehenden AMI-Kopiervorgangs Sie können eine ausstehende AMI mit den folgenden Verfahren kopieren. ------ #### [ Console ] **So halten Sie einen AMI-Kopiervorgang an** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der oberen Navigationsleiste die Zielregion aus der Regionsauswahl aus. 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das entsprechende AMI und anschließend **Aktionen** und **AMI-Registrierung abmelden** aus. 1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **AMI abmelden** aus. ------ #### [ AWS CLI ] **So halten Sie einen AMI-Kopiervorgang an** Verwenden Sie den Befehl [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html). ``` aws ec2 deregister-image --image-id ami-0abcdef1234567890 ``` ------ #### [ PowerShell ] **So halten Sie einen AMI-Kopiervorgang an mit** Verwenden Sie das cmdlet [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html). ``` Unregister-EC2Image -ImageId ami-0abcdef1234567890 ``` ------ # Funktionsweise der Amazon-EC2-AMI-Kopierfunktion Durch Kopieren eines Quell-AMI wird ein identisches aber eindeutiges neues *AMI* erstellt, das wir auch als das Ziel-AMI bezeichnen. Das Ziel-AMI hat seine eigene eindeutige AMI-ID. Sie können das Quell-AMI ändern oder die Registrierung aufheben. Dies hat keine Auswirkungen auf das Ziel-AMI. Umgekehrt gilt dies auch. Mit einem EBS-gestützten AMI wird jeder der Backup-Snapshots zu einem identischen, aber eindeutigen Ziel-Snapshot kopiert. Wenn Sie eine AMI in eine neue Region kopieren, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Wenn Sie unverschlüsselte Backing-Snapshots verschlüsseln oder in einen neuen KMS-Schlüssel verschlüsseln, sind die Snapshots vollständige (nicht inkrementelle) Kopien. Nachfolgende Kopiervorgänge eines AMI-Ergebnisses in inkrementellen Kopien der Backing-Snapshots. **Topics** + [ ## Regionsübergreifendes Kopieren ](#copy-amis-across-regions) + [ ## Kontoübergreifendes Kopieren ](#copy-ami-across-accounts) + [ ## Zeitbasierte AMI-Kopiervorgänge ](#ami-time-based) + [ ## Verschlüsselung und Kopieren ](#ami-copy-encryption) ## Regionsübergreifendes Kopieren Das Kopieren eines AMI zwischen geografisch unterschiedlichen Regionen bietet folgende Vorteile: + Einheitliche globale Bereitstellung: Kopieren Sie ein AMI aus einer Region in eine andere, um einheitliche, auf dem gleichen AMI basierende Instances in verschiedenen Regionen zu starten. + Skalierbarkeit: Entwerfen Sie Anwendungen für den globalen Einsatz, die die Anforderungen Ihrer Benutzer erfüllen, unabhängig davon, wo sie sich befinden. + Performance: Steigern Sie die Leistung von Anwendungen, indem Sie sie verteilen und kritische Komponenten näher an die Benutzer rücken. Zudem können Sie regionsspezifische Features nutzen, z. B. Instance-Typen oder andere AWS -Dienste. + Hohe Verfügbarkeit: Sie können Anwendungen entwerfen und zwischen AWS -Regionen übergreifend bereitstellen, um die Verfügbarkeit zu erhöhen. Das folgende Diagramm veranschaulicht die Beziehungen zwischen einem Quell-AMI und zwei kopierten AMIs in unterschiedlichen Regionen, sowie die jeweils von ihnen gestarteten EC2-Instances. Beim Starten einer Instance von einem AMI verbleibt sie in derselben Region, in der sich auch das AMI befindet. Wenn Sie Änderungen am Quell-AMI vornehmen und möchten, dass sich diese Änderungen AMIs in den Zielregionen widerspiegeln, müssen Sie das Quell-AMI erneut in die Zielregionen kopieren. ![\[AMIs in verschiedene Regionen kopiert\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami_copy.png) Wenn Sie ein Amazon S3-gestütztes AMI zum ersten Mal in eine Region kopieren, erstellen wir einen Amazon S3 S3-Bucket für das in diese Region AMIs kopierte. Alle Amazon S3-gestützten Dateien AMIs , die Sie in diese Region kopieren, werden in diesem Bucket gespeichert. Die Bucket-Namen haben das folgende Format: amis-for- -in- -*account*. *region* *hash* Beispiel: `amis-for-123456789012-in-us-east-2-yhjmxvp6`. **Voraussetzung** Aktualisieren Sie vor dem Kopieren eines AMI die Inhalte des Quell-AMI, damit die Ausführung in einer anderen Region unterstützt wird. Aktualisieren Sie z. B. Datenbankverbindungs-Zeichenfolgen oder ähnliche Anwendungskonfigurationsdaten, sodass sie auf die entsprechenden Ressourcen verweisen. Andernfalls verwenden Instances, die vom neuen AMI in der Zielregion gestartet werden, möglicherweise noch die Ressourcen aus der Quellregion, was die Leistung beeinträchtigen und Kosten erhöhen kann. **Einschränkungen** + Die Zielregionen sind auf 300 gleichzeitige AMI-Kopiervorgänge beschränkt. Dies gilt auch für zeitbasierte AMI-Kopiervorgänge. + Sie können ein paravirtuelles AMI (PV) nicht in eine Region kopieren, die PV nicht unterstützt. AMIs Weitere Informationen finden Sie unter [Virtualisierungstypen](ComponentsAMIs.md#virtualization_types). ## Kontoübergreifendes Kopieren Wenn ein AMI von einem anderen [mit Ihrem geteilt AWS-Konto](sharingamis-explicit.md) wird AWS-Konto, können Sie das gemeinsame AMI kopieren. Man spricht auch von einem kontenübergreifenden Zugriff. Das AMI, das für Sie freigegeben wird, ist das Quell-AMI. Wenn Sie das Quell-AMI kopieren, erstellen Sie ein neues AMI. Das neue AMI wird oft als Ziel-AMI bezeichnet. **AMI-Kosten** + Bei einem freigegebenen AMI wird dem Konto des freigegebenen AMI der Speicher in der Region in Rechnung gestellt. + Wenn Sie ein AMI kopieren, das für Ihr Konto freigegeben wird, sind Sie der Eigentümer des Ziel-AMI in Ihrem Konto. + Dem Eigentümer des Quell-AMI werden die standardmäßigen Amazon-EBS- bzw. Amazon-S3-Übertragungsgebühren in Rechnung gestellt. + Die Gebühren für den Speicher des Ziel-AMI in der Zielregion werden Ihnen in Rechnung gestellt. **Berechtigungen für Ressourcen** Um ein AMI zu kopieren, das mit Ihnen von einem anderen Konto geteilt wurde, muss Ihnen der Besitzer des Quell-AMI Leseberechtigungen für den Speicher zuweisen, der das AMI sichert, und nicht nur für das AMI selbst. Der Speicher ist entweder der zugehörige EBS-Snapshot (für ein Amazon-EBS-gestütztes AMI) oder ein zugehöriger S3-Bucket (für ein Amazon-S3-gestütztes AMI). Wenn das freigegebene AMI über verschlüsselte Snapshots verfügt, muss der Eigentümer den bzw. die Schlüssel auch für Sie freigeben. Weitere Informationen zur Gewährung von Ressourcenberechtigungen für EBS-Snapshots finden Sie unter [Freigabe eines Amazon-EBS-Snapshots für andere AWS-Konten](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) im *Benutzerhandbuch für Amazon EBS*. Für S3-Buckets siehe [Identitäts- und Zugriffsmanagement in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html) im *Benutzerhandbuch für Amazon S3*. **Anmerkung** Tags, die an das Quell-AMI angefügt sind, werden nicht kontenübergreifend in das Ziel-AMI kopiert. ## Zeitbasierte AMI-Kopiervorgänge Wenn Sie einen zeitbasierten AMI-Kopiervorgang für ein EBS-gestütztes AMI mit einem einzelnen zugehörigen Snapshot initiieren, verhält es sich genauso wie ein **einzelner zeitbasierter Snapshot-Kopiervorgang**, und es gelten dieselben Durchsatzlimits. Wenn Sie einen zeitbasierten AMI-Kopiervorgang für ein EBS-gestütztes AMI mit mehreren zugehörigen Snapshots initiieren, verhält es sich genauso wie bei **gleichzeitigen zeitbasierten Snapshot-Kopiervorgängen**, und es gelten dieselben Durchsatzlimits. Jeder zugehörige Snapshot führt zu einer separaten Snapshot-Kopieranforderung, die jeweils zu Ihrem kumulativen Durchsatzkontingent für Snapshot-Kopien beiträgt. Die von Ihnen angegebene Abschlussdauer gilt für jeden zugehörigen Snapshot. Weitere Informationen finden Sie unter [Zeitbasierte Kopien](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) im *Amazon-EBS-Benutzerhandbuch*. ## Verschlüsselung und Kopieren In der folgenden Tabelle ist der Verschlüsselungssupport für diverse AMI-Kopierszenarien abgebildet. Sie können zwar einen nicht verschlüsselten Snapshot zur Erstellung eines verschlüsselten Snapshots erstellen, umgekehrt ist dies jedoch nicht möglich. | Szenario | Beschreibung | Unterstützt | | --- | --- | --- | | 1 | Nicht verschlüsselt zu nicht verschlüsselt | Ja | | 2 | Verschlüsselt zu verschlüsselt | Ja | | 3 | Nicht verschlüsselt zu verschlüsselt | Ja | | 4 | Verschlüsselt zu nicht verschlüsselt | Nein | **Anmerkung** Die Verschlüsselung während der `CopyImage` Aktion gilt nur für Amazon AMIs EBS-gestützte Anwendungen. Da ein Amazon-S3-gestütztes AMI keine Snapshots erfordert, können Sie mithilfe des Kopiervorgangs den Verschlüsselungsstatus nicht ändern. Wenn Sie ein AMI ohne Angabe von Verschlüsselungsparametern kopieren, wird der Backup-Snapshot in der Standardeinstellung mit seinem ursprünglichen Verschlüsselungsstatus kopiert. Wenn das Quell-AMI durch einen unverschlüsselten Snapshot gesichert wird, ist der resultierende Ziel-Snapshot daher auch unverschlüsselt. Wenn der Snapshot des Quell-AMIs verschlüsselt ist, wird auch der resultierende Ziel-Snapshot mit demselben Schlüssel verschlüsselt. AWS KMS Bei einem AMIs Backup durch mehrere Snapshots behält jeder Ziel-Snapshot den Verschlüsselungsstatus des entsprechenden Quell-Snapshots bei. Um den Verschlüsselungsstatus der Ziel-Backing-Snapshots während einer AMI-Kopie zu ändern, können Sie Verschlüsselungsparameter angeben. Das folgende Beispiel zeigt einen nicht standardmäßigen Fall, in dem mit der `CopyImage`-Aktion Verschlüsselungsparameter bereitgestellt werden, um den Verschlüsselungsstatus des Ziel-AMIs zu ändern. **Kopieren eines nicht verschlüsselten Quell-AMI zu einem verschlüsselten Ziel-AMI** In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot unterstütztes AMI in ein AMI mit einem verschlüsselten Stamm-Snapshot kopiert. Die Aktion `CopyImage` wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich eines vom Kunden verwalteten Schlüssels. Dadurch ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI durch einen Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt wird. In beiden Fällen fallen Speicherkosten für die Snapshots sowie Gebühren für alle Instances anAMIs, die Sie von einem der beiden AMI aus starten. **Anmerkung** Das Aktivieren von standardmäßige Verschlüsselung hat die gleiche Wirkung wie das Festlegen des `Encrypted`-Parameters auf `true` für alle Snapshots im AMI. ![\[Kopieren des AMI und verschlüsseln des Snapshots im laufenden Betrieb\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png) Wenn der `Encrypted`-Parameter festgelegt wird, wird der einzige Snapshot für diese Instance verschlüsselt. Wenn Sie den `KmsKeyId`-Parameter nicht angeben, wird der standardmäßige vom Kunden verwaltete Schlüssel zum Verschlüsseln der Snapshot-Kopie verwendet. Weitere Informationen zum Kopieren AMIs mit verschlüsselten Snapshots finden Sie unter. [Verschlüsselung mit EBS-gestützter Verschlüsselung verwenden AMIs](AMIEncryption.md) # Speichern und Wiederherstellen eines AMI mit S3 Sie können ein Amazon Machine Image (AMI) in einem Amazon S3-Bucket speichern, das AMI in einen anderen S3-Bucket kopieren und dann aus dem S3-Bucket wiederherstellen. Durch das Speichern und Wiederherstellen eines AMI mithilfe von S3-Buckets können Sie AMIs von einer AWS Partition auf eine andere kopieren, z. B. von der kommerziellen Hauptpartition auf die AWS GovCloud (US) Partition. Sie können auch Archivkopien von erstellen, AMIs indem Sie sie in einem S3-Bucket speichern. APIs Für das Speichern und Wiederherstellen eines AMI mit S3 werden `CreateStoreImageTask``DescribeStoreImageTasks`, und unterstützt`CreateRestoreImageTask`. `CopyImage`ist die empfohlene API für das Kopieren AMIs *innerhalb* einer AWS Partition. `CopyImage` kann jedoch kein AMI in eine *andere* Partition kopieren. Informationen zu den AWS Partitionen finden Sie *partition* auf der Seite [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*. **Warnung** Stellen Sie sicher, dass Sie beim Verschieben von Daten zwischen AWS Partitionen oder AWS Regionen alle geltenden Gesetze und Geschäftsanforderungen einhalten, einschließlich, aber nicht beschränkt auf, alle geltenden behördlichen Vorschriften und Anforderungen an die Datenresidenz. **Topics** + [ ## Anwendungsfälle ](#use-cases) + [ ## Einschränkungen ](#ami-store-restore-limitations) + [ ## Kosten ](#store-restore-costs) + [ # Funktionsweise der AMI-Speicherung- und -Wiederherstellung ](store-restore-how-it-works.md) + [ # Eine Aufgabe zum Speichern eines Images erstellen ](work-with-ami-store-restore.md) ## Anwendungsfälle **Topics** + [ ### Kopieren Sie ein AMI zwischen AWS Partitionen ](#copy-to-partition) + [ ### Erstellen Sie Archivkopien von AMIs ](#archival-copies) ### Kopieren Sie ein AMI zwischen AWS Partitionen Durch Speichern und Wiederherstellen eines AMI mithilfe von S3-Buckets können Sie ein AMI von einer AWS Partition auf eine andere oder von einer AWS Region in eine andere kopieren. Im folgenden Beispiel kopieren Sie ein AMI von der kommerziellen Hauptpartition auf die AWS GovCloud (US) Partition, insbesondere von der `us-east-2` Region in die `us-gov-east-1` Region. Um ein AMI von einer Partition auf eine andere zu kopieren, führen Sie die folgenden Schritte aus: + Speichern Sie das AMI in einem S3-Bucket in der aktuellen Region mithilfe von `CreateStoreImageTask`. In diesem Beispiel befindet sich der S3-Bucket in `us-east-2`. + Überwachen Sie den Fortschritt der Speicheraufgabe mithilfe von `DescribeStoreImageTasks`. Das Objekt wird im S3-Bucket sichtbar, wenn die Aufgabe abgeschlossen ist. + Kopieren Sie das gespeicherte AMI-Objekt mit einer Prozedur Ihrer Wahl in einen S3-Bucket in der Zielpartition. In diesem Beispiel befindet sich der S3-Bucket in `us-gov-east-1`. **Anmerkung** Da Sie für jede Partition unterschiedliche AWS Anmeldeinformationen benötigen, können Sie ein S3-Objekt nicht direkt von einer Partition auf eine andere kopieren. Der Prozess zum Kopieren eines S3-Objekts über Partitionen hinweg liegt außerhalb des Rahmens dieser Dokumentation. Wir stellen die folgenden Kopierprozesse als Beispiele zur Verfügung, aber Sie müssen den Kopierprozess verwenden, der Ihren Sicherheitsanforderungen entspricht. Um ein AMI über Partitionen hinweg zu kopieren, kann ein einfacher Kopiervorgang wie der Folgende ausreichen: Erst [das Objekt herunterladen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) (aus dem Quell-Bucket auf einen Zwischen-Host, z. B. eine EC2-Instance oder einen Laptop) und danach [das Objekt hochladen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) (vom Zwischen-Host in den Ziel-Bucket). Verwenden Sie für jede Phase des Prozesses die AWS Anmeldeinformationen für die Partition. Für eine nachhaltigere Nutzung sollten Sie erwägen, eine Anwendung zu entwickeln, die die Kopien verwaltet, möglicherweise mithilfe von [mehrteiligen S3-Downloads und -Uploads](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html). + Stellen Sie das AMI aus dem S3-Bucket in der Zielpartition mithilfe von `CreateRestoreImageTask` wieder her. In diesem Beispiel befindet sich der S3-Bucket in `us-gov-east-1`. + Überwachen Sie den Fortschritt der Wiederherstellungsaufgabe, indem Sie das AMI beschreiben, um zu überprüfen, wann sein Status verfügbar wird. Sie können auch die Fortschrittsprozentsätze der Snapshots, aus denen das wiederhergestellte AMI besteht, überwachen, indem Sie die Snapshots beschreiben. ### Erstellen Sie Archivkopien von AMIs Sie können Archivkopien von erstellen, AMIs indem Sie sie in einem S3-Bucket speichern. Das AMI wird in S3 in ein einzelnes Objekt gepackt, und alle AMI-Metadaten (ohne Freigabe-Informationen) bleiben als Teil des gespeicherten AMI erhalten. Die AMI-Daten werden im Rahmen des Speicherprozesses komprimiert. AMIs die Daten enthalten, die leicht komprimiert werden können, führen zu kleineren Objekten in S3. Um die Kosten zu senken, können Sie günstigere S3-Speicherstufen verwenden. Weitere Informationen finden Sie unter [Amazon-S3-Speicherklassen](https://aws.amazon.com/s3/storage-classes/) und [Amazon-S3-Preisen](https://aws.amazon.com/s3/pricing/) ## Einschränkungen + Um ein AMI zu speichern, AWS-Konto müssen Sie entweder Eigentümer des AMI und seiner Snapshots sein, oder das AMI und seine Snapshots müssen [direkt mit Ihrem Konto geteilt](sharingamis-explicit.md) werden. Sie können ein AMI nicht speichern, wenn es nur [öffentlich freigegeben](sharingamis-intro.md) ist. + Nur EBS-gestützte Dateien AMIs können mit diesen gespeichert werden. APIs + Paravirtual (PV) werden nicht unterstützt. AMIs + Die Größe eines AMI (vor der Komprimierung), das gespeichert werden kann, ist auf 5 000 GB beschränkt. + Kontingent für Speicher-Image-Anfragen: 1.200 GB an Speicherplatz (Snapshot-Daten) werden ausgeführt. + Kontingent für Anfragen zur Wiederherstellung von Images: 600 GB an Wiederherstellungsarbeiten (Snapshot-Daten) werden ausgeführt. + Für die Dauer der Speicheraufgabe dürfen die Snapshots nicht gelöscht werden und der IAM-Prinzipal, der die Speicherung durchführt, muss Zugriff auf die Snapshots haben, andernfalls schlägt der Speicherprozess fehl. + Sie können nicht mehrere Kopien eines AMI im selben S3-Bucket erstellen. + Ein AMI, das in einem S3-Bucket gespeichert ist, kann mit seiner ursprünglichen AMI-ID nicht wiederhergestellt werden. Sie können dies abschwächen, indem Sie [AMI-Aliasing](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html)verwenden. + Derzeit APIs werden das Speichern und Wiederherstellen nur mithilfe der AWS SDKs und der AWS Command Line Interface Amazon EC2 EC2-API unterstützt. Sie können ein AMI nicht mit der Amazon EC2-Konsole speichern und wiederherstellen. ## Kosten Wenn Sie AMIs mit S3 speichern und wiederherstellen, werden Ihnen die Dienste, die vom Speichern und Wiederherstellen in Anspruch genommen werden APIs, sowie die Datenübertragung in Rechnung gestellt. APIs Sie verwenden S3 und die EBS Direct API (von diesen intern für den APIs Zugriff auf die Snapshot-Daten verwendet). Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/) und [Amazon EBS – Preise](https://aws.amazon.com/ebs/pricing/). # Funktionsweise der AMI-Speicherung- und -Wiederherstellung Um ein AMI mit S3 zu speichern und wiederherzustellen, verwenden Sie Folgendes APIs: + `CreateStoreImageTask` – Speichert das AMI in einem S3-Bucket + `DescribeStoreImageTasks` – Liefert den Fortschritt der AMI-Speicheraufgabe + `CreateRestoreImageTask` – Stellt das AMI aus einem S3-Bucket wieder her **Topics** + [ ## CreateStoreImageTask ](#CreateStoreImageTask) + [ ## DescribeStoreImageTasks ](#DescribeStoreImageTasks) + [ ## CreateRestoreImageTask ](#CreateRestoreImageTask) + [ ## Dateipfade ](#file-paths-in-s3) ## CreateStoreImageTask Die `CreateStoreImageTask`-API speichert ein AMI als einzelnes Objekt in einem S3-Bucket. Die API erstellt eine Aufgabe, die alle Daten aus dem AMI und seinen Snapshots liest und dann einen [mehrteiligen S3-Upload](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) verwendet, um die Daten in einem S3-Objekt zu speichern. Die API nimmt alle Komponenten des AMI, einschließlich der meisten AMI-Metadaten, und aller im non-Region-specific AMI enthaltenen EBS-Snapshots und packt sie in ein einziges Objekt in S3. Die Daten werden im Rahmen des Upload-Prozesses komprimiert, um den in S3 verwendeten Speicherplatz zu reduzieren, sodass das Objekt in S3 möglicherweise kleiner ist als die Summe der Größe der Snapshots im AMI. Wenn für das Konto, das diese API aufruft, AMI- und Snapshot-Tags (Markierungen) sichtbar sind, bleiben diese erhalten. Das Objekt in S3 hat die gleiche ID wie das AMI, jedoch mit einer `.bin`-Erweiterung. Die folgenden Daten werden auch als S3-Metadaten-Tags (Markierungen) für das S3-Objekt gespeichert: AMI-Name, AMI-Beschreibung, AMI-Registrierungsdatum, AMI-Besitzerkonto und ein Zeitstempel für den Speichervorgang. Die Zeit, die benötigt wird, um die Aufgabe abzuschließen, hängt von der Größe des AMI ab. Dies hängt auch davon ab, wie viele andere Aufgaben ausgeführt werden, da Aufgaben in die Warteschlange gestellt werden. Sie können den Fortschritt der Aufgabe verfolgen, indem Sie die `DescribeStoreImageTasks`-API aufrufen. Die Summe der Größen aller laufenden Dateien ist auf 1.200 GB EBS-Snapshot-Daten pro Konto begrenzt. AMIs Die weitere Aufgabenerstellung wird abgelehnt, bis die laufenden Aufgaben unter dem Grenzwert liegen. Wenn beispielsweise derzeit ein AMI mit 200 GB Snapshot-Daten und ein anderes AMI mit 400 GB Snapshot-Daten gespeichert wird, wird eine weitere Anforderung akzeptiert, da die laufende Gesamtzahl 600 GB beträgt, was unter dem Limit liegt. Wenn jedoch derzeit ein einzelnes AMI mit 1.200 GB an Snapshot-Daten gespeichert wird, werden weitere Aufgaben zurückgewiesen, bis die Aufgabe abgeschlossen ist. ## DescribeStoreImageTasks Die `DescribeStoreImageTasks`-API beschreibt den Fortschritt der AMI-Speicheraufgaben. Sie können Aufgaben für bestimmte AMIs Aufgaben beschreiben. Wenn Sie nichts angeben AMIs, erhalten Sie eine paginierte Liste aller Store-Image-Aufgaben, die in den letzten 31 Tagen bearbeitet wurden. Für jede AMI-Aufgabe gibt die Antwort an, ob die Aufgabe `InProgress`, `Completed` oder `Failed` ist. Bei Aufgaben `InProgress` zeigt die Antwort einen geschätzten Fortschritt in Prozent. Aufgaben werden in umgekehrter chronologischer Reihenfolge aufgeführt. Derzeit können nur Aufgaben des Vormonats eingesehen werden. ## CreateRestoreImageTask Die `CreateRestoreImageTask`-API startet eine Aufgabe, die ein AMI aus einem S3-Objekt wiederherstellt, das zuvor mithilfe einer `CreateStoreImageTask`-Anforderung erstellt wurde. Die Wiederherstellungsaufgabe kann in derselben oder einer anderen Region ausgeführt werden, in der die Speicheraufgabe ausgeführt wurde. Der S3-Bucket, aus dem das AMI-Objekt wiederhergestellt wird, muss sich in derselben Region befinden, in der die Wiederherstellungsaufgabe angefordert wird. Das AMI wird in dieser Region wiederhergestellt. Das AMI wird mit seinen Metadaten wie dem Namen, der Beschreibung und den Blockgeräte-Zuweisungen wiederhergestellt, die den Werten des gespeicherten AMI entsprechen. Der Name muss AMIs in der Region für dieses Konto eindeutig sein. Wenn Sie keinen Namen angeben, erhält das neue AMI den gleichen Namen wie das ursprüngliche AMI. Das AMI erhält eine neue AMI-ID, die zum Zeitpunkt des Wiederherstellungsprozesses generiert wird. Die Zeit, die zum Abschließen der AMI-Wiederherstellungsaufgabe benötigt wird, hängt von der Größe des AMI ab. Dies hängt auch davon ab, wie viele andere Aufgaben ausgeführt werden, da Aufgaben in die Warteschlange gestellt werden. Sie können den Fortschritt der Aufgabe anzeigen, indem Sie das AMI ([describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)) oder seine EBS-Snapshots ([describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)) beschreiben. Wenn die Aufgabe fehlschlägt, werden das AMI und die Snapshots in einen fehlgeschlagenen Zustand verschoben. Die Summe der Größen aller laufenden Dateien ist auf 600 GB (basierend auf der AMIs Größe nach der Wiederherstellung) an EBS-Snapshot-Daten pro Konto begrenzt. Die weitere Aufgabenerstellung wird abgelehnt, bis die laufenden Aufgaben unter dem Grenzwert liegen. ## Dateipfade Sie können Dateipfade beim Speichern und Wiederherstellen AMIs wie folgt verwenden: + Beim Speichern eines AMI in S3 kann der Dateipfad zum Bucket-Namen hinzugefügt werden. Intern trennt das System den Pfad vom Bucket-Namen und fügt den Pfad dann dem Objektschlüssel hinzu, der zum Speichern des AMI generiert wird. Der vollständige Objektpfad wird in der Antwort auf den API-Aufruf angezeigt. + Da bei der Wiederherstellung des AMI ein Objektschlüsselparameter verfügbar ist, kann der Pfad am Anfang des Objektschlüsselwerts hinzugefügt werden. **Beispiel: Bucket-Name mit angehängtem Dateipfad** Wenn Sie das AMI speichern, geben Sie den Dateipfad nach dem Bucket-Namen an. ``` amzn-s3-demo-bucket/path1/path2 ``` Der resultierende Objektschlüssel sieht wie folgt aus. ``` path1/path2/ami-0abcdef1234567890.bin ``` Wenn Sie das AMI wiederherstellen, geben Sie den Bucket-Namen und den Objektschlüssel an. Beispiele finden Sie unter [Eine Aufgabe zum Speichern eines Images erstellen](work-with-ami-store-restore.md#create-store-image-task). # Eine Aufgabe zum Speichern eines Images erstellen Wenn Sie ein AMI in einem S3-Bucket speichern, wird eine Aufgabe zum Speichern von Images erstellt. Sie können die Aufgabe zum Speichern von Images verwenden, um den Fortschritt und das Ergebnis des Prozesses zu überwachen. **Topics** + [ ## Sicherung Ihrer AMIs ](#securing-amis) + [ ## Berechtigungen für das Speichern und Wiederherstellen mit S3 AMIs ](#ami-s3-permissions) + [ ## Eine Aufgabe zum Speichern eines Images erstellen ](#create-store-image-task) + [ ## Eine Aufgabe zum Wiederherstellen eines Images erstellen ](#create-restore-image-task) ## Sicherung Ihrer AMIs Es ist wichtig sicherzustellen, dass das S3-Bucket mit ausreichender Sicherheit konfiguriert ist, um den Inhalt des AMI zu sichern, und dass die Sicherheit so lange erhalten bleibt, wie die AMI-Objekte im Bucket verbleiben. Wenn dies nicht möglich ist, APIs wird deren Verwendung nicht empfohlen. Stellen Sie sicher, dass der öffentliche Zugriff auf den S3-Bucket nicht erlaubt ist. Wir empfehlen, die [serverseitige Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) für die S3-Buckets zu aktivieren, in denen Sie die speichern AMIs, obwohl dies nicht erforderlich ist. Informationen zum Festlegen der geeigneten Sicherheitseinstellungen für Ihre S3-Buckets finden Sie in den folgenden Sicherheitsthemen: + [Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) + [Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) + [Welche S3-Bucket-Richtlinie kann ich verwenden, um die AWS Config Regel s3- einzuhalten? bucket-ssl-requests-only](https://repost.aws/knowledge-center/s3-bucket-policy-for-config-rule) + [Aktivieren der Amazon S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) Wenn die AMI-Snapshots in das S3-Objekt kopiert werden, werden die Daten danach über TLS-Verbindungen kopiert. Sie können AMIs mit verschlüsselten Snapshots speichern, aber die Snapshots werden im Rahmen des Speichervorgangs entschlüsselt. ## Berechtigungen für das Speichern und Wiederherstellen mit S3 AMIs Wenn Ihre IAM-Prinzipale AMIs mithilfe von Amazon S3 speichern oder wiederherstellen, müssen Sie ihnen die erforderlichen Berechtigungen erteilen. Die folgende Beispielrichtlinie enthält alle Aktionen, die erforderlich sind, um einem IAM-Prinzipal die Durchführung der Speicher- und Wiederherstellungsaufgaben zu ermöglichen. Sie können auch IAM-Richtlinien erstellen, die Prinzipalen nur Zugriff auf bestimmte Ressourcen gewähren. Weitere Beispielrichtlinien finden Sie unter [Zugriffsverwaltung für AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*. **Anmerkung** Wenn die Snapshots, aus denen das AMI besteht, verschlüsselt sind oder Ihr Konto standardmäßig für Verschlüsselung aktiviert ist, muss Ihr IAM-Prinzipal über die Berechtigung verfügen, den KMS-Schlüssel zu verwenden. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:PutObjectTagging", "s3:AbortMultipartUpload", "ebs:CompleteSnapshot", "ebs:GetSnapshotBlock", "ebs:ListChangedBlocks", "ebs:ListSnapshotBlocks", "ebs:PutSnapshotBlock", "ebs:StartSnapshot", "ec2:CreateStoreImageTask", "ec2:DescribeStoreImageTasks", "ec2:CreateRestoreImageTask", "ec2:GetEbsEncryptionByDefault", "ec2:DescribeTags", "ec2:CreateTags" ], "Resource": "*" } ] } ``` ------ ## Eine Aufgabe zum Speichern eines Images erstellen Um ein AMI in einem S3-Bucket zu speichern, erstellen Sie zunächst eine Aufgabe zum Speichern von Images. Die Zeit, die benötigt wird, um die Aufgabe abzuschließen, hängt von der Größe des AMI ab. Sie können den Fortschritt der Aufgabe verfolgen, bis sie erfolgreich ist oder fehlschlägt. ------ #### [ AWS CLI ] **So erstellen Sie eine Aufgabe zum Speichern von Images** Verwenden Sie den Befehl [create-store-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-store-image-task.html). ``` aws ec2 create-store-image-task \ --image-id ami-0abcdef1234567890 \ --bucket amzn-s3-demo-bucket ``` Es folgt eine Beispielausgabe. ``` { "ObjectKey": "ami-0abcdef1234567890.bin" } ``` **So beschreiben Sie den Fortschritt der Aufgabe zum Speichern von Images** Verwenden Sie den Befehl [describe-store-image-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-store-image-tasks.html). ``` aws ec2 describe-store-image-tasks \ --image-ids ami-0abcdef1234567890 \ --query StoreImageTaskResults[].StoreTaskState \ --output text ``` Es folgt eine Beispielausgabe. ``` InProgress ``` ------ #### [ PowerShell ] **So erstellen Sie eine Aufgabe zum Speichern von Images** Verwenden Sie das cmdlet [New-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2StoreImageTask.html). ``` New-EC2StoreImageTask ` -ImageId ami-0abcdef1234567890 ` -Bucket amzn-s3-demo-bucket ``` Es folgt eine Beispielausgabe. ``` ObjectKey : ami-0abcdef1234567890.bin ``` **So beschreiben Sie den Fortschritt der Aufgabe zum Speichern von Images** Verwenden Sie das cmdlet [Get-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StoreImageTask.html). ``` (Get-EC2StoreImageTask -ImageId ami-0abcdef1234567890).StoreTaskState ``` Es folgt eine Beispielausgabe. ``` InProgress ``` ------ ## Eine Aufgabe zum Wiederherstellen eines Images erstellen Sie müssen einen Namen für das wiederhergestellte AMI angeben. Der Name muss AMIs in der Region für dieses Konto eindeutig sein. Das wiederhergestellte AMI erhält eine neue AMI-ID. ------ #### [ AWS CLI ] **So erstellen Sie eine Aufgabe zum Wiederherstellen eines Images** Verwenden Sie den Befehl [create-restore-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-restore-image-task.html). ``` aws ec2 create-restore-image-task \ --object-key ami-0abcdef1234567890.bin \ --bucket amzn-s3-demo-bucket \ --name "my-restored-ami" ``` Es folgt eine Beispielausgabe. ``` { "ImageId": "ami-1234567890abcdef0" } ``` ------ #### [ PowerShell ] **So erstellen Sie eine Aufgabe zum Wiederherstellen eines Images** Verwenden Sie das cmdlet [New-EC2RestoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RestoreImageTask.html). ``` New-EC2RestoreImageTask ` -ObjectKey ami-0abcdef1234567890.bin ` -Bucket amzn-s3-demo-bucket ` -Name "my-restored-ami" ``` Es folgt eine Beispielausgabe. ``` ImageId : ami-1234567890abcdef0 ``` ------ # Verwenden Sie AMI-Abstammung, um den Ursprung eines AMI nachzuverfolgen AMI-Abstammung hilft Ihnen dabei, den Ursprung eines AMI nachzuvollziehen, indem es die IDs und Regionen aller seiner Vorfahren AMIs zurückgibt. Wenn Sie ein AMI erstellen oder kopieren, behält das neue AMI die ID und Region seines Quell-AMI (übergeordnetes AMI) bei. Auf diese Weise können Sie die Kette bis AMIs zum Root-AMI verfolgen. **Wichtigste Vorteile** Die Verwendung von AMI ancestry hilft Ihnen: + Verfolgen Sie AMI-Derivate, um die Einhaltung interner Richtlinien sicherzustellen. + Identifizieren Sie potenziell anfällig AMIs , wenn ein Sicherheitsproblem in einem Vorgänger-AMI gefunden wird. + Behalten Sie den Überblick über die AMI-Ursprünge in mehreren Regionen. **Topics** + [ ## So funktioniert AMI ancestry ](#how-ami-ancestry-works) + [ ## Überlegungen ](#ami-ancestry-conditions) + [ ## AMI-Abstammung anzeigen ](#view-ami-ancestry) + [ ## Das Quell-AMI identifizieren ](#identify-source-ami-used-to-create-new-ami) ## So funktioniert AMI ancestry Die AMI-Abstammung identifiziert das übergeordnete AMI, mit dem das angegebene AMI erstellt wurde, das übergeordnete AMI usw., bis hin zum Root-AMI. Funktionsweise: + Jedes AMI zeigt die ID und Region seines Quell-AMI (übergeordnetes) AMI an. + Beginnend mit Ihrem ausgewählten AMI werden in der Liste der Abstammungseinträge die einzelnen übergeordneten AMI nacheinander angezeigt. + Die Liste der Abstammungseinträge reicht zurück, bis sie das Root-AMI erreicht. Das Root-AMI ist eines der folgenden: + Ein öffentliches AMI von einem [verifizierten Anbieter](sharing-amis.md#verified-ami-provider) (identifiziert durch seinen Eigentümeralias, der entweder `amazon` oder lautet`aws-marketplace`). + Ein AMI ohne aufgezeichneten Vorfahren. Wenn Sie beispielsweise verwenden, [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)um ein AMI direkt aus einer Reihe von Snapshots zu erstellen, gibt es kein Quell-AMI, das verfolgt werden kann, anders als beim Erstellen eines AMI aus einer Instance. + Ein AMI, dessen Quell-AMI von einer anderen [Partition](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition) stammt. + Das 50. AMI in der Liste. Die maximale Anzahl von AMIs in einer Abstammungsliste ist 50. ## Überlegungen + Die ID und Region des Quell-AMI sind nur für die AMIs Erstellung mit [CreateImage[CopyImage](CopyingAMIs.md#ami-copy-steps)](creating-an-ami-ebs.md#how-to-create-ebs-ami), oder verfügbar [CreateRestoreImageTask](store-restore-how-it-works.md#CreateRestoreImageTask). + Bei AMIs Created using [CreateImage](creating-an-ami-ebs.md#how-to-create-ebs-ami)(erstellt ein AMI aus einer Instance) ist die Quell-AMI-ID die ID des AMI, das zum Starten der Instance verwendet wurde. + Die AMI-Quellinformationen sind nicht verfügbar für: + AMIs erstellt mit [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot), weil sie aus Snapshots erstellt wurden. + Für einige ältere AMIs. + Die AMI-Quellinformationen bleiben erhalten, wenn: + AMIs werden regionsübergreifend kopiert. + Quellen AMIs sind deregistriert (gelöscht). + Sie haben keinen Zugriff auf die Quelle. AMIs + Jede Ahnenliste ist auf 50 AMIs begrenzt. ## AMI-Abstammung anzeigen Sie können die Herkunft eines AMIs mit den folgenden Methoden anzeigen. ------ #### [ Console ] **So zeigen Sie die Herkunft eines AMI an** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie ein AMI aus und klicken Sie auf die Registerkarte **AMI-Herkunft**. 1. In der Tabelle mit den **AMI-Abstammungseinträgen** sind alle AMIs in der Abstammungsliste enthaltenen Einträge aufgeführt. + **AMI-ID** — Die Kennung jedes AMI in der Abstammungsliste. Der erste Eintrag in der Tabelle ist das ausgewählte AMI, gefolgt von seinen Vorfahren. + **Quell-AMI-ID** — Die ID des AMI, aus dem das AMI in der **AMI-ID-Spalte** erstellt wurde. Ein Bindestrich (**-**) zeigt das Ende der AMI-Abstammungsliste an. + **Quell-AMI-Region** — Der AWS-Region Ort, an dem sich das Quell-AMI befindet. + **Abstammungsebene** — Die Position in der Abstammungsliste, wobei: + **0 (Eingabe-AMI)** gibt das ausgewählte AMI an, dessen Herkunft Sie wissen möchten. + Zunehmende Zahlen zeigen ältere Vorfahren. + ***n*(originales AMI)** gibt das Stamm-AMI an, wobei die Zahl angibt, wie weit die Abstammungsliste zurückreicht. + **Erstellungsdatum** — Wann das AMI erstellt wurde, im UTC-Format. + **Eigentümer-Alias** — Der Alias des AMI-Besitzers (z. B.`amazon`). Ein Bindestrich (**-**) gibt an, dass das AMI keinen Besitzer-Alias hat. ------ #### [ AWS CLI ] **So zeigen Sie die Herkunft eines AMI an** Verwenden Sie den Befehl [get-image-ancestry](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-ancestry.html) und geben Sie die AMI-ID an. ``` aws ec2 get-image-ancestry \ --image-id ami-1111111111EXAMPLE \ --region us-east-1 ``` Es folgt eine Beispielausgabe. Die Ausgabe wird AMIs in der Reihenfolge der Herkunft aufgeführt: Der erste Eintrag ist das angegebene (Eingabe-) AMI, gefolgt von seinem übergeordneten AMI, dem übergeordneten und so weiter, und endet mit dem Stamm-AMI. ``` { "ImageAncestryEntries": [ { "CreationDate": "2025-01-17T18:37:50.000Z", "ImageId": "ami-1111111111EXAMPLE", // Input AMI "SourceImageId": "ami-2222222222EXAMPLE", "SourceImageRegion": "us-east-1" }, { "CreationDate": "2025-01-17T18:37:50.000Z", "ImageId": "ami-2222222222EXAMPLE", // Parent AMI "SourceImageId": "ami-3333333333EXAMPLE", "SourceImageRegion": "us-east-1" }, ... { "CreationDate": "2025-01-17T18:37:50.000Z", "ImageId": "ami-8888888888EXAMPLE", // Root AMI "ImageOwnerAlias": "aws-marketplace", "SourceImageId": "ami-9999999999EXAMPLE", "SourceImageRegion": "us-east-2" } ] } ``` ------ #### [ PowerShell ] **So zeigen Sie die Herkunft eines AMI an** Verwenden Sie das cmdlet [Get-EC2ImageAncestry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAncestry.html). ``` Get-EC2ImageAncestry -ImageId ami-1111111111EXAMPLE ``` Es folgt eine Beispielausgabe. Die Ausgabe wird AMIs in der Reihenfolge der Herkunft aufgeführt: Der erste Eintrag ist das angegebene (Eingabe-) AMI, gefolgt von seinem übergeordneten AMI, dem übergeordneten und so weiter, und endet mit dem Stamm-AMI. ``` ImageAncestryEntries : { @{ CreationDate = "2025-01-17T18:37:50.000Z" ImageId = "ami-1111111111EXAMPLE" # Input AMI SourceImageId = "ami-2222222222EXAMPLE" SourceImageRegion = "us-east-1" }, @{ CreationDate = "2025-01-17T18:37:50.000Z" ImageId = "ami-2222222222EXAMPLE" # Parent AMI SourceImageId = "ami-3333333333EXAMPLE" SourceImageRegion = "us-east-1" }, ... @{ CreationDate = "2025-01-17T18:37:50.000Z" ImageId = "ami-8888888888EXAMPLE" # Root AMI ImageOwnerAlias = "aws-marketplace" SourceImageId = "ami-9999999999EXAMPLE" SourceImageRegion = "us-east-2" } } ``` ------ ## Das Quell-AMI identifizieren Wenn Sie nur das unmittelbar übergeordnete (Quell-) AMI identifizieren müssen, das zur Erstellung eines AMI verwendet wurde, können Sie die folgenden Methoden verwenden. ------ #### [ Console ] **Um das Quell-AMI zu identifizieren, das zur Erstellung des ausgewählten AMI verwendet wurde** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie dias AMI aus, um seine Details anzuzeigen. Die Quell-AMI-Informationen werden in den folgenden Feldern angezeigt: **Quell-AMI-ID** und **Quell-AMI-Region** ------ #### [ AWS CLI ] **Um das Quell-AMI zu identifizieren, das zur Erstellung des angegebenen AMI verwendet wurde** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --region us-east-1 \ --image-ids ami-0abcdef1234567890 \ --query "Images[].{ID:SourceImageId,Region:SourceImageRegion}" ``` Es folgt eine Beispielausgabe. ``` [ { "ID": "ami-0abcdef1234567890", "Region": "us-west-2" } } ``` ------ #### [ PowerShell ] **Um das Quell-AMI zu identifizieren, das zur Erstellung des angegebenen AMI verwendet wurde** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` Get-EC2Image -ImageId ami-0abcdef1234567890 | Select SourceImageId, SourceImageRegion ``` Es folgt eine Beispielausgabe. ``` SourceImageId SourceImageRegion ------------- ----------------- ami-0abcdef1234567890 us-west-2 ``` ------ # Verwaltung und Überwachung der AMI-Nutzung AWS bietet mehrere Funktionen, mit denen Sie Ihre AMI-Nutzung effektiv verwalten und überwachen können. Sie können nachverfolgen, welche Konten Ihr geteiltes Konto verwenden AMIs, ermitteln, wann Sie zuletzt verwendet AMIs wurden, und herausfinden, auf welche Ressourcen in Ihrem AWS-Konto Konto spezifisch AMIs verwiesen wird. Die folgende Tabelle bietet einen Überblick über die Features für die Verwaltung und Überwachung der AMI-Nutzung: | Feature | Anwendungsfall | Wichtigste Vorteile | | --- | --- | --- | | [AMI-Nutzungsberichte](your-ec2-ami-usage.md) | Verschaffen Sie AWS-Konten sich einen Überblick darüber, wer Ihr AMI verwendet AMIs und wie häufig jedes AMI verwendet wird. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/ec2-ami-usage.html) | | [Nachverfolgung der letzten Verwendung](ami-last-launched-time.md) | Überprüfen Sie, wann Ihr AMI zuletzt verwendet wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/ec2-ami-usage.html) | | [AMI-Referenzprüfung](ec2-ami-references.md) | Stellen Sie sicher, dass Ihre AWS Ressourcen die neuesten kompatiblen Versionen verwenden. AMIs | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/ec2-ami-usage.html) | **Topics** + [ # Ihre AMI-Nutzung anzeigen ](your-ec2-ami-usage.md) + [ # Prüfen, wann ein Amazon-EC2-AMI zuletzt verwendet wurde ](ami-last-launched-time.md) + [ # Identifizieren Sie Ihre angegebenen Ressourcen AMIs ](ec2-ami-references.md) # Ihre AMI-Nutzung anzeigen Wenn Sie Ihre Amazon Machine Images (AMIs) mit anderen teilen AWS-Konten— sei es mit bestimmten Organisationen AWS-Konten, Organisationseinheiten (OUs) oder öffentlich — können Sie anhand von AMI-Nutzungsberichten sehen, wie diese verwendet AMIs werden. Die Berichte bieten Einblick in: + AWS-Konten Welche verwenden Ihre In-Instances oder AMIs Startvorlagen EC2 + Wie viele EC2 Instances oder Startvorlagen verweisen auf jedes AMI AMI-Nutzungsberichte helfen Ihnen dabei, Ihr System AMIs effektiver zu verwalten, indem sie Ihnen helfen: + Identifizieren Sie die Ressourcentypen AWS-Konten und die Ressourcentypen, auf die Sie verweisen, AMIs damit Sie sich sicher abmelden oder deaktivieren können. AMIs + Identifizieren Sie ungenutzte Dateien AMIs für die Abmeldung, um die Speicherkosten zu senken. + Identifizieren Sie die am häufigsten verwendeten. AMIs **Topics** + [ ## So funktionieren AMI-Nutzungsberichte ](#how-ami-usage-reports-work) + [ ## Einen AMI-Nutzungsbericht erstellen ](#create-ami-usage-reports) + [ ## AMI-Nutzungsberichte anzeigen ](#view-ami-usage-reports) + [ ## Einen AMI-Nutzungsbericht löschen ](#delete-ami-usage-reports) + [ ## Berichtskontingente ](#ami-usage-report-quotas) ## So funktionieren AMI-Nutzungsberichte Beim Erstellen eines AMI-Nutzungsberichts geben Sie Folgendes an: + Das AMI, über das berichtet werden soll. + Die AWS-Konten zu überprüfenden (bestimmte Konten oder alle Konten). + Die zu prüfenden Ressourcentypen (EC2 Instanzen, Startvorlagen oder beides). + Bei Startvorlagen die Anzahl der zu überprüfenden Versionen (standardmäßig die 20 neuesten Versionen). Amazon EC2 erstellt für jedes AMI einen separaten Bericht. Jeder Bericht enthält: + Eine Liste der AWS-Konten Benutzer des AMI. + Eine Anzahl der Ressourcen, die auf das AMI verweisen, nach Ressourcentyp pro Konto. Beachten Sie, dass bei Startvorlagen die Anzahl nur 1 beträgt, wenn in mehreren Versionen einer Startvorlage auf ein AMI verwiesen wird. **Wichtig** Wenn Sie einen AMI-Nutzungsbericht generieren, enthält er möglicherweise nicht die neuesten Aktivitäten. Instance-Aktivitäten der letzten 24 Stunden und Aktivitäten zum Starten von Vorlagen der letzten Tage werden möglicherweise nicht im Bericht angezeigt. Amazon löscht einen Bericht EC2 automatisch 30 Tage nach der Erstellung. Sie können Berichte von der EC2 Konsole herunterladen, um sie lokal zu speichern. ## Einen AMI-Nutzungsbericht erstellen Um zu sehen, wie Ihr AMI verwendet wird, müssen Sie zunächst einen AMI-Nutzungsbericht erstellen, in dem Sie die Konten und Ressourcentypen angeben, über die berichtet werden soll. Nachdem der Bericht erstellt wurde, können Sie den Inhalt des Berichts anzeigen. Sie können den Bericht auch von der EC2 Konsole herunterladen. ------ #### [ Console ] **So erstellen Sie einen AMI-Nutzungsbericht** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie ein AMI aus und wählen Sie dann **Aktionen**, **AMI-Nutzung**, **Meine AMI-Nutzung anzeigen**. 1. Führen Sie auf der Seite **Meinen AMI-Nutzungsbericht erstellen** die folgenden Schritte aus: 1. Wählen Sie unter **Ressourcentypen** einen oder mehrere Ressourcentypen aus, über die ein Bericht erstellt werden soll. 1. Führen Sie unter **Account (Konto) IDs** eine der folgenden Aktionen aus: + Wählen Sie **Konten angeben IDs** und anschließend für jedes **Konto, über das ein Bericht erstellt werden soll, die Option Konto-ID hinzufügen** aus. + Wählen Sie **Alle Konten einbeziehen**, um Berichte über alle Konten zu erstellen. 1. Wählen Sie **Meinen AMI-Nutzungsbericht erstellen** aus. 1. Wählen Sie auf der AMI-Seite die Registerkarte **Meine AMI-Nutzung** aus. 1. Wählen Sie eine Bericht-ID aus, um dessen Details anzuzeigen. ------ #### [ AWS CLI ] **So erstellen Sie einen AMI-Nutzungsbericht für eine Liste von Konten** Verwenden Sie den [create-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image-usage-report.html)Befehl mit den folgenden erforderlichen Parametern: + `--image-id` – Die ID des AMI, über das berichtet werden soll. + `--resource-types` – Die Ressourcentypen, die überprüft werden sollen. Im folgenden Beispiel handelt es sich bei den zu prüfenden Ressourcentypen um EC2 Instances und Startvorlagen. Darüber hinaus wird auch die Anzahl der zu überprüfenden Versionen der Startvorlagen angegeben (`version-depth=100`). Um Berichte über bestimmte Konten zu erstellen, verwenden Sie den Parameter `--account-ids`, um die ID der einzelnen Konten anzugeben, für die ein Bericht erstellt werden soll. ``` aws ec2 create-image-usage-report \ --image-id ami-0abcdef1234567890 \ --account-ids 111122223333 444455556666 123456789012 \ --resource-types ResourceType=ec2:Instance \ 'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]' ``` **So erstellen Sie einen AMI-Nutzungsbericht für alle Konten** Um Berichte über alle Konten zu erstellen, die das angegebene AMI verwenden, verwenden Sie denselben Befehl, lassen Sie jedoch den Parameter `--account-ids` weg. ``` aws ec2 create-image-usage-report \ --image-id ami-0abcdef1234567890 \ --resource-types ResourceType=ec2:Instance \ 'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]' ``` Es folgt eine Beispielausgabe. ``` { "ReportId": "amiur-00b877d192f6b02d0" } ``` **So überwachen Sie den Status der Berichterstellung** Verwenden Sie den [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)Befehl und geben Sie die Berichts-ID an. ``` aws ec2 describe-image-usage-reports --report-ids amiur-00b877d192f6b02d0 ``` Es folgt eine Beispielausgabe. Der Anfangswert für das `State`-Feld ist `pending`. Um die Berichtseinträge anzeigen zu können, muss der Status `available` sein. ``` { "ImageUsageReports": [ { "ImageId": "ami-0e9ae3dc21c2b3a64", "ReportId": "amiur-abcae3dc21c2b3999", "ResourceTypes": [ {"ResourceType": "ec2:Instance"} ], "State": "pending", "CreationTime": "2025-09-29T13:27:12.322000+00:00", "ExpirationTime": "2025-10-28T13:27:12.322000+00:00" } ] } ``` ------ #### [ PowerShell ] **So erstellen Sie einen AMI-Nutzungsbericht für eine Liste von Konten** Verwenden Sie das [New-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2ImageUsageReport.html)Cmdlet mit den folgenden erforderlichen Parametern: + `-ImageId` – Die ID des AMI, über das berichtet werden soll. + `-ResourceType` – Die Ressourcentypen, die überprüft werden sollen. Im folgenden Beispiel handelt es sich bei den zu prüfenden Ressourcentypen um EC2 Instances und Startvorlagen. Darüber hinaus wird auch die Anzahl der zu überprüfenden Versionen der Startvorlagen angegeben (`'version-depth' = 100`). Um Berichte über bestimmte Konten zu erstellen, verwenden Sie den Parameter `-AccountId`, um die ID der einzelnen Konten anzugeben, für die ein Bericht erstellt werden soll. ``` New-EC2ImageUsageReport ` -ImageId ami-0abcdef1234567890 ` -AccountId 111122223333 444455556666 123456789012 ` -ResourceType @( @{ResourceType = 'ec2:Instance'}, @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100} }) ``` **So erstellen Sie einen AMI-Nutzungsbericht für alle Konten** Um Berichte über alle Konten zu erstellen, die das angegebene AMI verwenden, verwenden Sie denselben Befehl, lassen Sie jedoch den Parameter `-AccountId` weg. ``` New-EC2ImageUsageReport ` -ImageId ami-0abcdef1234567890 ` -ResourceType @( @{ResourceType = 'ec2:Instance'}, @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100} }) ``` Es folgt eine Beispielausgabe. ``` ReportId -------- amiur-00b877d192f6b02d0 ``` **So überwachen Sie den Status der Berichterstellung** Verwenden Sie den [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)Befehl und geben Sie die Berichts-ID an. ``` Get-EC2ImageUsageReport -ReportId amiur-00b877d192f6b02d0 ``` Es folgt eine Beispielausgabe. Der Anfangswert für das `State`-Feld ist `pending`. Um die Berichtseinträge anzeigen zu können, muss der Status `available` sein. ``` ImageUsageReports ----------------- {@{ImageId=ami-0e9ae3dc21c2b3a64; ReportId=amiur-abcae3dc21c2b3999; ResourceTypes=System.Object[]; State=pending; CreationTime=2025-09-29; ExpirationTime=2025-10-28}} ``` ------ ## AMI-Nutzungsberichte anzeigen Sie können alle Nutzungsberichte anzeigen, die Sie in den letzten 30 Tagen für ein AMI erstellt haben. Amazon löscht einen Bericht EC2 automatisch 30 Tage nach der Erstellung. Für jeden Bericht können Sie diejenigen sehen, die AWS-Konten das AMI verwenden, und für jedes Konto die Anzahl der Ressourcen, die auf das AMI verweisen, nach Ressourcentyp. Sie können auch sehen, wann die Erstellung des Berichts initiiert wurde. Diese Informationen sind nur verfügbar, wenn sich der Bericht im Status **Vollständig** (Konsole) oder `available` (AWS CLI) befindet. **Wichtig** Wenn Sie einen AMI-Nutzungsbericht generieren, enthält er möglicherweise nicht die neuesten Aktivitäten. Instance-Aktivitäten der letzten 24 Stunden und Aktivitäten zum Starten von Vorlagen der letzten Tage werden möglicherweise nicht im Bericht angezeigt. ------ #### [ Console ] **So zeigen Sie einen AMI-Nutzungsbericht an** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie ein AMI aus. 1. Wählen Sie die Registerkarte **Meine Nutzungsberichte**. Die Berichtsliste zeigt: + Alle Berichte, die in den letzten 30 Tagen für das ausgewählte AMI generiert wurden. + Für jeden Bericht wird in der Spalte **Zeit der Berichtsinitiierung** das Datum angezeigt, an dem der Bericht erstellt wurde. 1. Wählen Sie die ID eines Berichts, um dessen Inhalt anzuzeigen. 1. Um auf der Seite mit den AMI-Details zur Registerkarte **Meine Nutzungsberichte** zurückzukehren, wählen Sie **Alle Berichte für dieses AMI anzeigen** aus. ------ #### [ AWS CLI ] **So listen Sie alle AMI-Nutzungsberichte für das angegebene AMI auf** Verwenden Sie den [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)Befehl und geben Sie die ID des AMI an, um eine Liste seiner Berichte zu erhalten. ``` aws ec2 describe-image-usage-reports --image-ids ami-0abcdef1234567890 ``` Es folgt eine Beispielausgabe. Jede Berichts-ID wird zusammen mit den Ressourcentypen, die gescannt wurden, sowie den Erstellungs- und Ablaufdaten des Berichts aufgeführt. Anhand dieser Informationen können Sie die Berichte identifizieren, deren Einträge Sie anzeigen möchten. ``` { "ImageUsageReports": [ { "ImageId": "ami-0abcdef1234567890", "ReportId": "amiur-1111111111111111", "ResourceTypes": [ { "ResourceType": "ec2:Instance" } ], "State": "available", "CreationTime": "2025-09-29T13:27:12.322000+00:00", "ExpirationTime": "2025-10-28T13:27:12.322000+00:00", "Tags": [] }, { "ImageId": "ami-0abcdef1234567890", "ReportId": "amiur-22222222222222222", "ResourceTypes": [ { "ResourceType": "ec2:Instance" }, { "ResourceType": "ec2:LaunchTemplate" } ], "State": "available", "CreationTime": "2025-10-01T13:27:12.322000+00:00", "ExpirationTime": "2025-10-30T13:27:12.322000+00:00", "Tags": [] } ], "NextToken": "opaque" } ``` **So zeigen Sie den Inhalt eines AMI-Nutzungsberichts für das angegebene AMI an** Verwenden Sie den Befehl [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) und geben Sie die ID des AMI an. Die Antwort gibt alle Berichte für das angegebene AMI zurück und zeigt die Konten, die das AMI verwendet haben, und deren Ressourcenanzahl. ``` aws ec2 describe-image-usage-report-entries --image-ids ami-0abcdef1234567890 ``` Es folgt eine Beispielausgabe. ``` { "ImageUsageReportEntries": [ { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:Instance", "AccountId": "123412341234", "UsageCount": 15, "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00", "ReportId": "amiur-1111111111111111" }, { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:Instance", "AccountId": "123412341234", "UsageCount": 2, "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00", "ReportId": "amiur-22222222222222222" }, { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:Instance", "AccountId": "001100110011", "UsageCount": 39, "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00", "ReportId": "amiur-22222222222222222" } ], "NextToken": "opaque" } ``` **So zeigen Sie den Inhalt eines AMI-Nutzungsberichts für den angegebenen Bericht an** Verwenden Sie den Befehl [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) und geben Sie die ID des Berichts an. Die Antwort gibt alle Einträge für den angegebenen Bericht zurück und zeigt die Konten, die das AMI verwendet haben, und deren Ressourcenanzahl. ``` aws ec2 describe-image-usage-report-entries --report-ids amiur-11111111111111111 ``` Es folgt eine Beispielausgabe. ``` { "ImageUsageReportEntries": [ { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:Instance", "AccountId": "123412341234", "UsageCount": 15, "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00", "ReportId": "amiur-11111111111111111" }, { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:LaunchTemplate", "AccountId": "123412341234", "UsageCount": 4, "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00", "ReportId": "amiur-11111111111111111" }, { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:LaunchTemplate", "AccountId": "001100110011", "UsageCount": 2, "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00", "ReportId": "amiur-11111111111111111" } ], "NextToken": "opaque" } ``` ------ #### [ PowerShell ] **So listen Sie alle AMI-Nutzungsberichte für das angegebene AMI auf** Verwenden Sie das [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)Cmdlet und geben Sie die ID des AMI an, um eine Liste seiner Berichte abzurufen. ``` Get-EC2ImageUsageReport -ImageId ami-0abcdef1234567890 ``` Es folgt eine Beispielausgabe. Jede Berichts-ID wird zusammen mit den Ressourcentypen, die gescannt wurden, sowie den Erstellungs- und Ablaufdaten des Berichts aufgeführt. Anhand dieser Informationen können Sie die Berichte identifizieren, deren Einträge Sie anzeigen möchten. ``` @{ ImageUsageReports = @( @{ ImageId = "ami-0abcdef1234567890" ReportId = "amiur-1111111111111111" ResourceTypes = @( @{ ResourceType = "ec2:Instance" } ) State = "available" CreationTime = "2025-09-29T13:27:12.322000+00:00" ExpirationTime = "2025-10-28T13:27:12.322000+00:00" }, @{ ImageId = "ami-0abcdef1234567890" ReportId = "amiur-22222222222222222" ResourceTypes = @( @{ ResourceType = "ec2:Instance" } ) State = "available" CreationTime = "2025-09-30T13:27:12.322000+00:00" ExpirationTime = "2025-10-29T13:27:12.322000+00:00" }, @{ ImageId = "ami-0abcdef1234567890" ReportId = "amiur-33333333333333333" ResourceTypes = @( @{ ResourceType = "ec2:Instance" } ) State = "available" CreationTime = "2025-10-01T13:27:12.322000+00:00" ExpirationTime = "2025-10-30T13:27:12.322000+00:00" } ) NextToken = "opaque" } ``` **So zeigen Sie den Inhalt eines AMI-Nutzungsberichts für das angegebene AMI an** Verwenden Sie das [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)Cmdlet und geben Sie die ID des AMI an. Die Antwort gibt alle Berichte für das angegebene AMI zurück und zeigt die Konten, die das AMI verwendet haben, und deren Ressourcenanzahl. ``` Get-EC2ImageUsageReportEntry -ImageId ami-0abcdef1234567890 ``` Es folgt eine Beispielausgabe. ``` ImageUsageReportEntries : {@{ ImageId = "ami-0abcdef1234567890" ResourceType = "ec2:Instance" AccountId = "123412341234" UsageCount = 15 ReportCreationTime = "2025-09-29T13:27:12.322000+00:00" ReportId = "amiur-1111111111111111" }, @{ ImageId = "ami-0abcdef1234567890" ResourceType = "ec2:Instance" AccountId = "123412341234" UsageCount = 7 ReportCreationTime = "2025-09-30T13:27:12.322000+00:00" ReportId = "amiur-22222222222222222" }...} NextToken : opaque ``` **So zeigen Sie den Inhalt eines AMI-Nutzungsberichts für den angegebenen Bericht an** Verwenden Sie das [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)Cmdlet und geben Sie die ID des Berichts an. Die Antwort gibt alle Einträge für den angegebenen Bericht zurück und zeigt die Konten, die das AMI verwendet haben, und deren Ressourcenanzahl. ``` Get-EC2ImageUsageReportEntry -ReportId amiur-11111111111111111 ``` Es folgt eine Beispielausgabe. ``` ImageUsageReportEntries : {@{ ImageId = "ami-0abcdef1234567890" ResourceType = "ec2:Instance" AccountId = "123412341234" UsageCount = 15 ReportCreationTime = "2025-09-29T13:27:12.322000+00:00" ReportId = "amiur-11111111111111111" }, @{ ImageId = "ami-0abcdef1234567890" ResourceType = "ec2:LaunchTemplate" AccountId = "123412341234" UsageCount = 4 ReportCreationTime = "2025-09-29T13:27:12.322000+00:00" ReportId = "amiur-11111111111111111" }, @{ ImageId = "ami-0abcdef1234567890" ResourceType = "ec2:LaunchTemplate" AccountId = "************" UsageCount = 2 ReportCreationTime = "2025-09-29T13:27:12.322000+00:00" ReportId = "amiur-11111111111111111" }} NextToken : opaque ``` ------ ## Einen AMI-Nutzungsbericht löschen Amazon löscht einen Bericht EC2 automatisch 30 Tage nach seiner Erstellung. Sie können ihn vor diesem Zeitpunkt manuell löschen. ------ #### [ Console ] **So löschen Sie einen AMI-Nutzungsbericht** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie ein AMI aus. 1. Wählen Sie die Registerkarte **Meine AMI-Nutzung**. 1. Wählen Sie das Optionsfeld neben dem Bericht aus, den Sie löschen möchten, und wählen Sie dann **Löschen**. ------ #### [ AWS CLI ] **So löschen Sie einen AMI-Nutzungsbericht** Verwenden Sie den [delete-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-image-usage-report.html)Befehl und geben Sie die ID des Berichts an. ``` aws ec2 delete-image-usage-report --report-id amiur-0123456789abcdefg ``` ------ #### [ PowerShell ] **So löschen Sie einen AMI-Nutzungsbericht** Verwenden Sie das [Remove-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2ImageUsageReport.html)Cmdlet und geben Sie die ID des Berichts an. ``` Remove-EC2ImageUsageReport -ReportId amiur-0123456789abcdefg ``` ------ ## Berichtskontingente Die folgenden Kontingente gelten für die Erstellung von AMI-Nutzungsberichten. Die Kontingente gelten pro AWS-Region. | Description | Kontingent | | --- | --- | | In Bearbeitung (pending) AMI-Nutzungsberichte pro AWS-Konto | 2.000 | | In Bearbeitung (pending) AMI-Nutzungsberichte pro AMI | 1 | # Prüfen, wann ein Amazon-EC2-AMI zuletzt verwendet wurde Amazon EC2 verfolgt automatisch das Datum und die Uhrzeit, zu der Ihr AMI zuletzt zum Starten einer Instance verwendet wurde. Wenn Sie über ein AMI verfügen, das lange Zeit nicht mehr zum Starten einer Instance verwendet wurde, sollten Sie überlegen, ob das AMI für eine [Abmeldung](deregister-ami.md) oder [Veraltung](ami-deprecate.md) geeignet ist. **Überlegungen** + Wenn ein AMI verwendet wird, um eine Instance zu starten, kommt es zu einer Verzögerung von 24 Stunden, bevor diese Nutzung gemeldet wird. + Sie müssen der Eigentümer der AMI sein, um die letzte Startzeit zu erfahren. + AMI-Nutzungsdaten sind ab April 2017 verfügbar. ------ #### [ Console ] **Uhrzeit des letzten Starts eines AMI anzeigen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigationsbereich die Option **AMIs** aus. 1. Wählen Sie in der Filterleiste **Owned by me** (In meinem Besitz) aus. 1. Aktivieren Sie das Kontrollkästchen für das AMI. 1. Suchen Sie auf der Registerkarte **Details** nach **Uhrzeit des letzten Starts**. ------ #### [ AWS CLI ] **So zeigen Sie die letzte Startzeit an, indem Sie das AMI beschreiben** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Falls `LastLaunchedTime` nicht in der Ausgabe vorhanden ist, stellen Sie sicher, dass Sie Eigentümer des AMI sind. ``` aws ec2 describe-images \ --image-id ami-0abcdef1234567890 \ --query Images[].LastLaunchedTime \ --output text ``` Es folgt eine Beispielausgabe. ``` 2025-02-17T20:22:19Z ``` **So zeigen Sie die Uhrzeit des letzten Starts eines AMI an** Verwenden Sie den Befehl [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html). Sie müssen Eigentümer des angegebenen AMI sein. ``` aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute lastLaunchedTime \ --query LastLaunchedTime.Value \ --output text ``` Es folgt eine Beispielausgabe. ``` 2025-02-17T20:22:19Z ``` ------ #### [ PowerShell ] **So zeigen Sie die letzte Startzeit an, indem Sie das AMI beschreiben** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Falls `LastLaunchedTime` nicht in der Ausgabe vorhanden ist, stellen Sie sicher, dass Sie Eigentümer des AMI sind. ``` (Get-EC2Image -ImageId ami-0abcdef1234567890).LastLaunchedTime ``` Es folgt eine Beispielausgabe. ``` 2025-02-17T20:22:19Z ``` **So zeigen Sie die Uhrzeit des letzten Starts eines AMI an** Verwenden Sie das cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html). Sie müssen Eigentümer des angegebenen AMI sein. ``` (Get-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute LastLaunchedTime).LastLaunchedTime ``` Es folgt eine Beispielausgabe. ``` 2025-02-17T20:22:19Z ``` ------ # Identifizieren Sie Ihre angegebenen Ressourcen AMIs Sie können Ihre AWS Ressourcen identifizieren, die auf bestimmte Amazon Machine Images (AMIs) verweisen, unabhängig davon, ob sie öffentlich oder privat AMIs sind oder wem sie gehören. Durch diese Transparenz können Sie sicherstellen, dass Ihre Ressourcen die neuesten konformen Daten verwenden AMIs. **Wichtigste Vorteile** Die Überprüfung der AMI-Referenzen hilft Ihnen: + Prüfen Sie die Verwendung von AMIs in Ihrem Konto. + Prüfen Sie, wo AMIs auf bestimmte verwiesen wird. + Sorgen Sie für die Einhaltung der Vorschriften, indem Sie Ihre Ressourcen auf den neuesten Stand bringenAMIs.   **Topics** + [ ## Unterstützte Ressourcen ](#ec2-ami-references-supported-resources) + [ ## So funktionieren AMI-Referenzprüfungen ](#how-ami-references-works) + [ ## Erforderliche IAM-Berechtigungen ](#ami-references-required-permissions) + [ ## Schritte zur Überprüfung von AMI-Referenzen ](#ami-reference-procedures) ## Unterstützte Ressourcen AMI-Referenzen können in den Folgenden überprüft werden: + EC2-Instanzen + Startvorlagen + SSM-Parameter + Image-Rezepte von Image Builder + Container-Rezepte von Image Builder ## So funktionieren AMI-Referenzprüfungen **Grundlegender Vorgang** Wenn Sie eine AMI-Referenzprüfung durchführen, gehen Sie wie folgt vor: + Geben Sie an, welche überprüft AMIs werden sollen. + Wählen Sie aus, welche Ressourcentypen gescannt werden sollen. + Sie erhalten eine Liste Ihrer Ressourcen, die auf die angegebenen Ressourcen verweisen AMIs. **Auswahl des Ressourcentyps** In der Konsole wählen Sie die Ressourcentypen aus, die gescannt werden sollen. In der CLI geben Sie die zu scannenden Ressourcentypen mit einem oder beiden der folgenden CLI-Parameter an: + `IncludeAllResourceTypes`: Scannt alle unterstützten Ressourcentypen. + `ResourceTypes`: Scannt die angegebenen Ressourcentypen. **Umfang der Antworten** Sie können den Umfang der Antwort für EC2-Instances und Startvorlagen festlegen, indem Sie die `ResourceTypeOptions`-Werte mithilfe des Parameters `ResourceTypes` anpassen. Sowohl die Konsole als auch der `IncludeAllResourceTypes`-Parameter verwenden Standardoptionswerte. Wenn `ResourceTypes` und `IncludeAllResourceTypes` zusammen verwendet werden, haben die `ResourceTypes`-Optionswerte Vorrang vor den Standardwerten. Die Standardwerte lauten wie folgt: | Ressourcentyp | Umfangsoption (`OptionName`) | Zweck | Standardwerte für `OptionValue` und Konsole | | --- | --- | --- | --- | | EC2-Instanzen | state-name | Nach Instance-Status filtern | pending, running, shutting-down, terminated, stopping, stopped (alle Status) | | Startvorlagen | version-depth | Geben Sie die Anzahl der Startvorlagenversionen an, die überprüft werden sollen (ausgehend von der neuesten Version) | 10 (neueste Versionen) | ## Erforderliche IAM-Berechtigungen Um mithilfe der DescribeImageReferences API Ihre Ressourcen zu identifizieren, die auf die angegebenen Ressourcen verweisen AMIs, benötigen Sie die folgenden IAM-Berechtigungen, um die Ressourcen zu beschreiben: + `ec2:DescribeInstances` + `ec2:DescribeLaunchTemplates` + `ec2:DescribeLaunchTemplateVersions` + `ssm:DescribeParameters` + `ssm:GetParameters` + `imagebuilder:ListImageRecipes` + `imagebuilder:ListContainerRecipes` + `imagebuilder:GetContainerRecipe` **Beispiel für eine IAM-Richtlinie für die Verwendung der DescribeImageReferences-API** Die folgende Beispielrichtlinie gewährt Ihnen die Berechtigungen zur Verwendung der DescribeImageReferences-API, einschließlich der Berechtigungen zur Beschreibung von EC2-Instances, Startvorlagen und Systems-Manager-Parametern, sowie Image-Rezepten und Container-Rezepten von Image Builder. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeImageReferences", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ssm:DescribeParameters", "ssm:GetParameters", "imagebuilder:ListImageRecipes", "imagebuilder:ListContainerRecipes", "imagebuilder:GetContainerRecipe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ec2-images.amazonaws.com" ] } } } ] } ``` ------ **Wichtig** Wir empfehlen dringend, die AWS verwaltete Richtlinie zu verwenden, [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html)anstatt die Richtlinie selbst zu erstellen. Das Erstellen einer benutzerdefinierten IAM-Richtlinie, die nur die erforderlichen Berechtigungen bereitstellt, erfordert Zeit und Fachwissen und erfordert Aktualisierungen, sobald neue Ressourcentypen verfügbar werden. Die `AmazonEC2ImageReferencesAccessPolicy`-verwaltete Richtlinie: Gewährt sämtliche Berechtigungen zur Verwendung der DescribeImageReferences-API, (einschließlich der Berechtigungen zur Beschreibung von EC2-Instances, Startvorlagen und Systems-Manager-Parametern, sowie Image-Rezepten und Container-Rezepten von Image Builder). Unterstützt automatisch neue Ressourcentypen, sobald sie verfügbar sind (besonders wichtig, wenn der `IncludeAllResourceTypes`-Parameter verwendet wird). Sie können die `AmazonEC2ImageReferencesAccessPolicy`-Richtlinie an Ihre IAM-Identitäten (Benutzer, Gruppen und Rollen) anhängen. Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html) in der *Referenz zu AWS -verwalteten Richtlinien*. ## Schritte zur Überprüfung von AMI-Referenzen Verwenden Sie die folgenden Verfahren, um zu ermitteln, auf welche Ihrer AWS Ressourcen auf die angegebenen Ressourcen verwiesen wird AMIs. ------ #### [ Console ] **Um die angegebenen Ressourcen zu identifizieren AMIs** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie eine oder mehrere aus AMIs , um nach Referenzen zu suchen. 1. Wählen Sie **Aktionen**, **AMI-Nutzung**, **Referenzierte Ressourcen anzeigen**. 1. Gehen Sie auf der AMIs Seite **Ressourcen anzeigen, die auf die ausgewählten Ressourcen verweisen**, wie folgt vor: 1. Wählen Sie unter **Ressourcentypen** einen oder mehrere Ressourcentypen aus. 1. Wählen Sie **Ressourcen anzeigen** aus. 1. Der AMIs Abschnitt **Ressourcen, die auf die Auswahl verweisen**, wird angezeigt. In der Liste werden die Ressourcen angezeigt, die auf die angegebenen Ressourcen verweisen. AMIs Jede Reihe stellt die folgenden Informationen bereit: + **AMI-ID** – Die ID des AMIs, auf das verwiesen wird. + **Ressourcentyp** – Der Ressourcentyp der Ressource, die auf das AMI verweist. + **Ressourcen-ID** – Die ID der Ressource, die auf das AMI verweist. ------ #### [ AWS CLI ] **So überprüfen Sie AMI-Referenzen für bestimmte Ressourcentypen** Verwenden Sie den Befehl [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) mit dem Parameter `--resource-types`. Im folgenden Beispiel werden EC2-Instances (Zuordnung nach Instance-Status), Startvorlagen (Zuordnung nach den 20 neuesten Versionen von Startvorlagen) und andere spezifische Ressourcentypen überprüft. ``` aws ec2 describe-image-references \ --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \ --resource-types \ 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \ 'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \ 'ResourceType=ssm:Parameter' \ 'ResourceType=imagebuilder:ImageRecipe' \ 'ResourceType=imagebuilder:ContainerRecipe' ``` Es folgt eine Beispielausgabe. ``` { "ImageReferences": [ { "ImageId": "ami-0abcdef1234567890", "ResourceType": "ec2:Instance", "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0" }, { "ImageId": "ami-1234567890abcdef0", "ResourceType": "ec2:LaunchTemplate", "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0" } ] } ``` **So überprüfen Sie AMI-Referenzen für alle unterstützten Ressourcentypen** Verwenden Sie den Befehl [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) mit dem Parameter `--include-all-resource-types`. ``` aws ec2 describe-image-references \ --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \ --include-all-resource-types ``` **So überprüfen Sie AMI-Referenzen für alle unterstützten Ressourcentypen und spezifischen Optionen** Verwenden Sie den [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)Befehl sowohl mit den `--resource-types` Parametern als `--include-all-resource-types` auch. In diesem Beispiel werden alle Ressourcentypen überprüft und gleichzeitig die Antwort für EC2-Instances auf laufende oder ausstehende Instances beschränkt. ``` aws ec2 describe-image-references \ --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \ --include-all-resource-types \ --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' ``` ------ #### [ PowerShell ] **So überprüfen Sie AMI-Referenzen für bestimmte Ressourcentypen** Verwenden Sie das [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)Cmdlet mit dem `-ResourceType` Parameter. Im folgenden Beispiel werden EC2-Instances (Zuordnung nach Instance-Status), Startvorlagen (Zuordnung nach den 20 neuesten Versionen von Startvorlagen) und andere spezifische Ressourcentypen überprüft. ``` Get-EC2ImageReference ` -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' ` -ResourceType @( @{ ResourceType = 'ec2:Instance' ResourceTypeOptions = @( @{ OptionName = 'state-name' OptionValues = @('running', 'pending') } ) }, @{ ResourceType = 'ec2:LaunchTemplate' ResourceTypeOptions = @( @{ OptionName = 'version-depth' OptionValues = @('20') } ) }, @{ ResourceType = 'ssm:Parameter' }, @{ ResourceType = 'imagebuilder:ImageRecipe' }, @{ ResourceType = 'imagebuilder:ContainerRecipe' } ) ``` **So überprüfen Sie AMI-Referenzen für alle unterstützten Ressourcentypen** Verwenden Sie das [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)Cmdlet mit dem Parameter. `-IncludeAllResourceTypes` ``` Get-EC2ImageReference ` -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' ` -IncludeAllResourceTypes ``` **So überprüfen Sie AMI-Referenzen für alle unterstützten Ressourcentypen und spezifischen Optionen** Verwenden Sie das [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)Cmdlet sowohl mit den als auch mit den Parametern. `-IncludeAllResourceTypes` `-ResourceType` In diesem Beispiel werden alle Ressourcentypen überprüft und gleichzeitig die Antwort für EC2-Instances auf laufende oder ausstehende Instances beschränkt. ``` Get-EC2ImageReference ` -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' ` -IncludeAllResourceTypes ` -ResourceType @( @{ ResourceType = 'ec2:Instance' ResourceTypeOptions = @( @{ OptionName = 'state-name' OptionValues = @('running', 'pending') } ) } ) ``` ------ # Ein Amazon-AMI als veraltet kennzeichnen EC2 Sie können ein AMI verwerfen, um anzuzeigen, dass es veraltet ist und nicht verwendet werden sollte. Sie können auch ein zukünftiges Ablaufdatum für ein AMI angeben, das angibt, wann das AMI veraltet ist. Beispielsweise können Sie ein AMI verwerfen, das nicht mehr aktiv verwaltet wird oder Sie können ein AMI verwerfen, das durch eine neuere Version ersetzt wurde. Standardmäßig werden veraltete Versionen AMIs nicht in AMI-Listen angezeigt, sodass neue Benutzer sie nicht verwenden können. out-of-date AMIs Vorhandene Benutzer und Start-Services wie Startvorlagen und Auto-Scaling-Gruppen können jedoch weiterhin ein veraltetes AMI verwenden, indem sie dessen ID angeben. Um das AMI zu löschen, sodass Benutzer und Services es nicht verwenden können, müssen Sie es [Abmelden](deregister-ami.md). Nachdem ein AMI veraltet ist: + Für AMI-Benutzer erscheint das veraltete AMI nicht in [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)API-Aufrufen, es sei denn, Sie geben seine ID an oder geben an, dass das veraltete AMIs AMI erscheinen muss. AMI-Besitzer werden AMIs in [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)API-Aufrufen weiterhin als veraltet eingestuft. + Für AMI-Benutzer kann das veraltete AMI nicht über die EC2 Konsole ausgewählt werden. Ein veraltetes AMI wird beispielsweise nicht im AMI-Katalog des Launch Instance Wizard angezeigt. AMI-Besitzern wird AMIs in der Konsole weiterhin „veraltet“ angezeigt. EC2 + Wenn Sie AMI-Benutzer die ID eines veralteten AMI kennen, können Sie weiterhin Instances starten, die das veraltete AMI verwenden, indem Sie die API, CLI oder die verwenden. SDKs + Startdienste, wie Startvorlagen und Auto Scaling Scaling-Gruppen, können weiterhin auf veraltete AMIs Dienste verweisen. + EC2 Instances, die mit einem AMI gestartet wurden, das später als veraltet gilt, sind nicht betroffen und können gestoppt, gestartet und neu gestartet werden. Sie können sowohl private als auch öffentliche Daten als veraltet kennzeichnen. AMIs **Topics** + [ ## Kosten ](#ami-deprecate-costs) + [ ## Überlegungen ](#ami-deprecate-limitations) + [ ## AMI als veraltet kennzeichnen ](#deprecate-ami) + [ ## Beschreiben Sie „veraltet“ AMIs ](#describe-deprecate-ami) + [ ## Aufhebung der AMI-Veraltung ](#cancel-deprecate-ami) ## Kosten Wenn Sie ein AMI veralten lassen, wird das AMI nicht gelöscht. Der AMI-Besitzer zahlt weiterhin für die Snapshots des AMI. Um die Zahlung für die Schnappschüsse einzustellen, muss der AMI-Besitzer das AMI löschen, indem er es [abmeldet](deregister-ami.md). ## Überlegungen + Um ein AMI veralten zu lassen, müssen Sie der Besitzer des AMI sein. + AMIs die in letzter Zeit nicht zum Starten einer Instance verwendet wurden, eignen sich möglicherweise als veraltet oder für die Abmeldung. Weitere Informationen finden Sie unter [Prüfen, wann ein Amazon-EC2-AMI zuletzt verwendet wurde](ami-last-launched-time.md). + Sie können EBS-gestützte AMI-Richtlinien für Amazon Data Lifecycle Manager erstellen, um die Abwertung von EBS-gestützten zu automatisieren. AMIs Weitere Informationen finden Sie unter [AMI-Lebenszyklusrichtlinien erstellen](https://docs.aws.amazon.com/ebs/latest/userguide/ami-policy.html). + Standardmäßig AMIs ist das Verfallsdatum aller öffentlichen Dateien auf zwei Jahre ab dem Datum der AMI-Erstellung festgelegt. Sie können das Veralterungsdatum auf weniger als zwei Jahre festlegen. Um das Veralterungsdatum zu stornieren oder weiter in die Zukunft zu verschieben, müssen Sie das AMI privat machen, indem Sie es nur [für bestimmte AWS -Konten freigeben](sharingamis-explicit.md). ## AMI als veraltet kennzeichnen Sie können ein AMI an einem bestimmten Datum und einer bestimmten Uhrzeit veralten lassen Sie müssen Eigentümer des AMI sein. Die Obergrenze für das Verfallsdatum liegt ab sofort bei 10 Jahren, mit Ausnahme von Public AMIs, wo die Obergrenze 2 Jahre ab dem Erstellungsdatum beträgt. Sie können kein Datum angeben, das in der Vergangenheit liegt. ------ #### [ Console ] **AMI an einem bestimmten Datum als veraltet kennzeichnen** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigator **AMIs**. 1. Wählen Sie in der Filterleiste **Owned by me** (In meinem Besitz) aus. 1. Wählen Sie das AMI und dann **Actions** (Aktionen), **Manage AMI Deprecation** (AMI-Veralterung verwalten) aus. Sie können mehrere auswählen AMIs , um dasselbe Verfallsdatum für mehrere AMIs gleichzeitig festzulegen. 1. Wählen Sie das Kontrollkästchen **Aktivieren** aus und geben Sie dann das Datum und die Uhrzeit für die Veraltung ein. 1. Wählen Sie **Speichern**. ------ #### [ AWS CLI ] **AMI an einem bestimmten Datum als veraltet kennzeichnen** Verwenden Sie den Befehl [enable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deprecation.html). Wenn Sie einen Wert für Sekunden angeben, EC2 rundet Amazon die Sekunden auf die nächste Minute ab. ``` aws ec2 enable-image-deprecation \ --image-id ami-0abcdef1234567890 \ --deprecate-at "2025-04-15T13:17:12.000Z" ``` ------ #### [ PowerShell ] **AMI an einem bestimmten Datum als veraltet kennzeichnen** Verwenden Sie das cmdlet [Enable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeprecation.html). Wenn Sie einen Wert für Sekunden angeben, EC2 rundet Amazon die Sekunden auf die nächste Minute ab. ``` Enable-EC2ImageDeprecation ` -ImageId ami-0abcdef1234567890 ` -DeprecateAt 2025-04-15T13:17:12.000Z ``` ------ ## Beschreiben Sie „veraltet“ AMIs Sie können das Datum und die Uhrzeit der Verfallszeit eines AMI anzeigen und nach dem Verfallsdatum AMIs filtern. ------ #### [ Console ] **Veralterungsdatum eines AMI anzeigen** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigator das AMI aus **AMIs**, und wählen Sie es anschließend aus. 1. Überprüfen Sie das Feld **Uhrzeit der Veraltung**. Wenn Sie das Kontrollkästchen neben dem AMI aktiviert haben, befindet es sich auf der Registerkarte **Details**. Das Feld zeigt das Datum und die Uhrzeit der Veralterung des AMI. Wenn das Feld leer ist, ist das AMI nicht als veraltet gekennzeichnet. **Um nach dem AMIs Verfallsdatum zu filtern** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigator **AMIs**. 1. Wählen Sie in der Filterleiste „In **meinem Besitz**“ oder „**Private Bilder**“ (zu privaten Bildern gehören sowohl Bilder AMIs, die mit Ihnen geteilt wurden, als auch Bilder, die Ihnen gehören). 1. Geben Sie in der Suchleiste **Deprecation time** ein (während Sie die Buchstaben eingeben, wird der Filter **Deprecation time** (Uhrzeit der Veralterung) angezeigt) und wählen Sie dann einen Operator sowie ein Datum und eine Uhrzeit aus. ------ #### [ AWS CLI ] Wenn Sie alle beschreiben AMIs, hängen die Ergebnisse davon ab, ob Sie ein AMI-Benutzer oder der AMI-Besitzer sind. + **AMI-Benutzer** — Wenn Sie alle beschreiben, werden standardmäßig veraltete Versionen ausgeschlossen AMIs, AMIs die zwar mit Ihnen geteilt werden, Ihnen aber nicht gehören. Um veraltete Versionen AMIs in die Ergebnisse aufzunehmen, geben Sie die Option an. `--include-deprecated` + **AMI-Besitzer** — Wenn Sie alles beschreiben AMIs, sind alle AMIs Ihre Besitztümer, auch veraltete AMIs, enthalten. Sie können veraltete Dateien, die Sie besitzen, nicht ausschließen AMIs , indem Sie die Option verwenden. `--no-include-deprecated` **Um bei der Beschreibung von „Alle“ für ein Konto die Option „veraltet AMIs “ einzubeziehen AMIs** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images --owners 123456789012 \ --include-deprecated ``` **Um das Veraltete AMIs Element für Ihr Konto zu beschreiben** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --owners self \ --query "Images[?DeprecationTime!=null].ImageId" \ --output text ``` Es folgt eine Beispielausgabe. ``` ami-0abcdef1234567890 ``` **Veralterungsdatum eines AMI beschreiben** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Wenn `DeprecationTime` es in der Ausgabe nicht vorhanden ist, wird für das AMI keine Außerbetriebnahme durchgeführt oder für einen zukünftigen Zeitpunkt festgelegt. ``` aws ec2 describe-images \ --image-ids ami-0abcdef1234567890 \ --query Images[].DeprecationTime \ --output text ``` Es folgt eine Beispielausgabe. ``` 2025-05-01T00:00:00.000Z ``` ------ #### [ PowerShell ] **Um die veralteten AMIs Versionen für Ihr Konto aufzulisten** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image -Owner self | Where-Object {$_.DeprecationTime -ne $null}).ImageId ``` Es folgt eine Beispielausgabe. ``` ami-0abcdef1234567890 ``` **Veralterungsdatum eines AMI beschreiben** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Wenn `DeprecationTime` es in der Ausgabe nicht vorhanden ist, wird für das AMI keine Außerbetriebnahme durchgeführt oder für einen zukünftigen Zeitpunkt festgelegt. ``` (Get-EC2Image -ImageId ami-0abcdef1234567890).DeprecationTime ``` Es folgt eine Beispielausgabe. ``` 2025-05-01T00:00:00.000Z ``` ------ ## Aufhebung der AMI-Veraltung Sie können die Außerbetriebnahme eines AMI abbrechen, wodurch das Datum und die Uhrzeit der Außerbetriebnahme entfernt werden. Sie müssen der AMI-Besitzer sein, um dieses Verfahren durchführen zu können. ------ #### [ Console ] **So brechen Sie die Veralterung eines AMI ab** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigator **AMIs**. 1. Wählen Sie in der Filterleiste **Owned by me** (In meinem Besitz) aus. 1. Wählen Sie das AMI und dann **Actions** (Aktionen), **Manage AMI Deprecation** (AMI-Veralterung verwalten) aus. Sie können mehrere auswählen AMIs , um die Einstellung mehrerer AMIs gleichzeitig aufzuheben. 1. Deaktivieren Sie das Kontrollkästchen **Aktivieren** und wählen Sie dann **Speichern** aus. ------ #### [ AWS CLI ] **So brechen Sie die Veralterung eines AMI ab** Verwenden Sie den folgenden [disable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deprecation.html)-Befehl. ``` aws ec2 disable-image-deprecation --image-id ami-0abcdef1234567890 ``` ------ #### [ PowerShell ] **So brechen Sie die Veralterung eines AMI ab** Verwenden Sie das cmdlet [Disable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeprecation.html). ``` Disable-EC2ImageDeprecation -ImageId ami-0abcdef1234567890 ``` ------ # Ein Amazon EC2 AMI deaktivieren Sie können ein AMI deaktivieren, um zu verhindern, dass es für Instance-Starts verwendet wird. Sie können keine neuen Instances von einem deaktivierten AMI aus starten. Sie können ein deaktiviertes AMI erneut aktivieren, sodass es wieder für Instance-Starts verwendet werden kann. Sie können sowohl privat als auch öffentlich deaktivieren AMIs. Um die Speicherkosten für deaktivierte EBS-gestützte AMIs Geräte zu senken, die selten genutzt werden, aber langfristig aufbewahrt werden müssen, können Sie die zugehörigen Snapshots archivieren. Weitere Informationen finden Sie unter [Amazon-EBS-Snapshots archivieren](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) im *Amazon-EBS-Benutzerhandbuch*. **Topics** + [ ## So funktioniert die AMI-Deaktivierung ](#how-disable-ami-works) + [ ## Kosten ](#ami-disable-costs) + [ ## Voraussetzungen ](#ami-disable-prerequisites) + [ ## Erforderliche IAM-Berechtigungen ](#ami-disable-iam-permissions) + [ ## Deaktivieren eines AMIs ](#disable-ami) + [ ## Beschreiben Sie deaktiviert AMIs ](#describe-disabled-ami) + [ ## Ein deaktiviertes AMI erneut aktivieren ](#re-enable-a-disabled-ami) ## So funktioniert die AMI-Deaktivierung **Warnung** Durch die Deaktivierung eines AMI werden alle Startberechtigungen entfernt. **Wenn ein AMI deaktiviert ist:** + Der Status des AMI ändert sich zu `disabled`. + Ein deaktiviertes AMI kann nicht freigegeben werden. Wenn ein AMI öffentlich war oder zuvor freigegeben wurde, wird es privat gemacht. Wenn ein AMI mit einer AWS-Konto Organisation oder Organisationseinheit geteilt wurde, verlieren diese den Zugriff auf das deaktivierte AMI. + Ein deaktiviertes AMI wird standardmäßig nicht in [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)-API-Aufrufen angezeigt. + Ein deaktiviertes AMI wird nicht unter dem Konsolenfilter **Owned by me** angezeigt. Verwenden Sie den Konsolenfilter Disabled Images AMIs, um nach **deaktivierten Bildern** zu suchen. + Ein deaktiviertes AMI ist nicht verfügbar, um Instance-Starts in der EC2 Konsole auszuwählen. Ein deaktiviertes AMI wird beispielsweise nicht im AMI-Katalog im Launch Instance Wizard oder beim Erstellen einer Startvorlage angezeigt. + Startdienste, wie Startvorlagen und Auto Scaling Scaling-Gruppen, können weiterhin auf Deaktivierte verweisen AMIs. Nachfolgende Instance-Starts von einem deaktivierten AMI aus schlagen fehl. Wir empfehlen daher, Startvorlagen und Auto Scaling Scaling-Gruppen so zu aktualisieren, dass sie AMIs nur als Referenz verfügbar sind. + EC2 Instances, die zuvor mit einem AMI gestartet wurden, das anschließend deaktiviert wurde, sind nicht betroffen und können gestoppt, gestartet und neu gestartet werden. + Sie können keine Snapshots löschen, die mit „Deaktiviert“ verknüpft sind. AMIs Der Versuch, einen zugehörigen Snapshot zu löschen, führt zu dem `snapshot is currently in use`-Fehler. **Wenn ein AMI wieder aktiviert wird:** + Der Status des AMI ändert sich auf `available` und es kann zum Starten von Instances verwendet werden. + Das AMI kann gemeinsam genutzt werden. + AWS-Konten, Organisationen und Organisationseinheiten, die den Zugriff auf das AMI verloren haben, als es deaktiviert wurde, erhalten nicht automatisch wieder Zugriff, aber das AMI kann wieder mit ihnen geteilt werden. ## Kosten Wenn Sie ein AMI deaktivieren, wird das AMI nicht gelöscht. Wenn es sich bei dem AMI um ein EBS-gestütztes AMI handelt, zahlen Sie weiterhin für die EBS-Snapshots des AMI. Wenn Sie das AMI behalten möchten, können Sie möglicherweise Ihre Speicherkosten senken, indem Sie die Snapshots archivieren. Weitere Informationen finden Sie unter [Amazon-EBS-Snapshots archivieren](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) im *Amazon-EBS-Benutzerhandbuch*. Wenn Sie das AMI und seine Snapshots nicht behalten möchten, müssen Sie das AMI abmelden und die Snapshots löschen. Weitere Informationen finden Sie unter [Aufheben der Registrierung eines AMI](deregister-ami.md). ## Voraussetzungen Um ein AMI zu deaktivieren oder erneut zu aktivieren, müssen Sie das AMI besitzen. ## Erforderliche IAM-Berechtigungen Sie benötigen die folgenden IAM-Berechtigungen, um ein AMI zu deaktivieren und erneut zu aktivieren: + `ec2:DisableImage` + `ec2:EnableImage` ## Deaktivieren eines AMIs Sie können ein AMI deaktivieren, indem Sie die EC2 Konsole oder die AWS Command Line Interface (AWS CLI) verwenden. Sie müssen der AMI-Besitzer sein, um dieses Verfahren durchführen zu können. ------ #### [ Console ] **So deaktivieren Sie ein AMI** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigationsbereich die Option **AMIs** aus. 1. Wählen Sie in der Filterleiste **Owned by me** (In meinem Besitz) aus. 1. Wählen Sie das AMI aus, dann **Aktionen** und anschließend **AMI deaktivieren**. Sie können mehrere auswählen AMIs , um sie gleichzeitig zu deaktivieren. 1. Wählen Sie im Fenster **AMI deaktivieren** die Option **AMI deaktivieren** aus. ------ #### [ AWS CLI ] **So deaktivieren Sie ein AMI** Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html)-Befehl. ``` aws ec2 disable-image --image-id ami-0abcdef1234567890 ``` ------ #### [ PowerShell ] **So deaktivieren Sie ein AMI** Verwenden Sie das cmdlet [Disable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2Image.html). ``` Disable-EC2Image -ImageId ami-0abcdef1234567890 ``` ------ ## Beschreiben Sie deaktiviert AMIs Sie können die Anzeige deaktiviert AMIs in der EC2 Konsole und mithilfe von anzeigen AWS CLI. Sie müssen der AMI-Besitzer sein, um die Anzeige deaktiviert zu haben AMIs. Deaktivierte AMIs Benutzer werden als privat eingestuft. Sie können deaktivierte Inhalte also nicht aufrufen, AMIs wenn Sie nicht der Besitzer sind. ------ #### [ Console ] **Zur Ansicht „Deaktiviert“ AMIs** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigationsbereich die Option **AMIs** aus. 1. Wählen Sie in der Filterleiste **Deaktivierte Images** aus. ![\[Der Filter für deaktivierte Images.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-filter-by-disabled-images.png) ------ #### [ AWS CLI ] Wenn Sie alle AMIs beschreiben, AMIs sind die Deaktivierten standardmäßig nicht in den Ergebnissen enthalten. Um Deaktivierte AMIs in die Ergebnisse aufzunehmen, geben Sie die `--include-disabled` Option an. Das `State`-Feld für ein AMI ist `disabled`, wenn das AMI deaktiviert ist. **Um „ AMIs Deaktiviert“ in die Beschreibung „Alle“ AMIs für ein Konto einzubeziehen** Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)-Befehl. ``` aws ec2 describe-images \ --owners 123456789012 \ --include-disabled ``` **Um die Deaktivierten AMIs für dein Konto aufzulisten** Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)-Befehl. ``` aws ec2 describe-images \ --owners self \ --include-disabled \ --filters Name=state,Values=disabled \ --query Images[].ImageId \ --output text ``` Es folgt eine Beispielausgabe. ``` ami-0abcdef1234567890 ``` **So beschreiben Sie den Status eines AMI** Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)-Befehl. Wenn `DeprecationTime` es in der Ausgabe nicht vorhanden ist, wird für das AMI keine Außerbetriebnahme durchgeführt oder für einen zukünftigen Zeitpunkt festgelegt. ``` aws ec2 describe-images \ --image-ids ami-0abcdef1234567890 \ --query Images[].State \ --output text ``` Es folgt eine Beispielausgabe. ``` disabled ``` ------ #### [ PowerShell ] Wenn Sie alle AMIs beschreiben, AMIs sind die Deaktivierten standardmäßig nicht in den Ergebnissen enthalten. Um Deaktivierte AMIs in die Ergebnisse aufzunehmen, geben Sie den `-IncludeDisabled` Parameter an. Das `State`-Feld für ein AMI ist `disabled`, wenn das AMI deaktiviert ist. **Um die Deaktivierten AMIs für Ihr Konto aufzulisten** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image ` -Owner self ` -IncludeDisabled $true | Where-Object {$_.State -eq "disabled"}).ImageId ``` Es folgt eine Beispielausgabe. ``` ami-0abcdef1234567890 ``` **So beschreiben Sie den Status eines AMI** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image -ImageId ami-0abcdef1234567890).State.Value ``` Es folgt eine Beispielausgabe. ``` disabled ``` ------ ## Ein deaktiviertes AMI erneut aktivieren Sie können ein zuvor deaktiviertes AMI reaktivieren. Sie müssen der AMI-Besitzer sein, um dieses Verfahren durchführen zu können. ------ #### [ Console ] **So reaktivieren Sie ein zuvor deaktiviertes AMI** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im linken Navigationsbereich die Option **AMIs** aus. 1. Wählen Sie in der Filterleiste **Deaktivierte Images** aus. 1. Wählen Sie das AMI aus, dann **Aktionen** und anschließend **AMI aktivieren**. Sie können mehrere auswählen AMIs , um mehrere gleichzeitig wieder zu aktivieren. AMIs 1. Wählen Sie im Fenster **AMI aktivieren** die Option **Aktivieren** aus. ------ #### [ AWS CLI ] **So reaktivieren Sie ein zuvor deaktiviertes AMI** Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html)-Befehl. ``` aws ec2 enable-image --image-id ami-0abcdef1234567890 ``` ------ #### [ PowerShell ] **So reaktivieren Sie ein zuvor deaktiviertes AMI** Verwenden Sie das cmdlet [Enable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2Image.html). ``` Enable-EC2Image -ImageId ami-0abcdef1234567890 ``` ------ # Aufheben der Registrierung eines Amazon-EC2-AMI Wenn Sie ein AMI abmelden, löscht Amazon EC2 es dauerhaft. Nachdem Sie ein AMI abgemeldet haben, können Sie es nicht mehr verwenden, um neue Instances zu starten. Sie können die Registrierung eines AMI aufheben, wenn Sie es nicht mehr verwenden. Zum Schutz vor versehentlicher oder böswilliger Aufhebung der Registrierung eines AMI können Sie den [Aufhebungsschutz](ami-deregistration-protection.md) aktivieren. Wenn Sie die Registrierung eines EBS-gesicherten AMI versehentlich aufheben, können Sie es nur dann über den [Papierkorb](https://docs.aws.amazon.com/ebs/latest/userguide/recycle-bin.html) wiederherstellen, wenn Sie es innerhalb des zulässigen Zeitraums wiederherstellen, bevor es endgültig gelöscht wird. Wenn Sie ein AMI abmelden, können Sie optional gleichzeitig die zugeordneten Snapshots löschen. Wenn ein Snapshot jedoch mehreren zugeordnet ist AMIs, wird er nicht gelöscht, auch wenn er zum Löschen angegeben wurde, obwohl das AMI trotzdem deregistriert wird. Für alle Snapshots, die nicht gelöscht werden, werden weiterhin Speichergebühren in Rechnung gestellt. Die Aufhebung der Registrierung eines AMI hat keine Auswirkungen auf Instances, die über das AMI gestartet wurden. Sie können diese Instances weiter verwenden. Standardmäßig hat die Aufhebung der Registrierung eines AMI auch keine Auswirkungen auf Snapshots, die während des AMI-Erstellungsprozesses erstellt wurden. Für Sie fallen weiterhin Nutzungskosten für diese Instances und Speicherkosten für den Snapshot an. Um unnötige Kosten zu vermeiden, empfehlen wir Ihnen daher, alle Instances zu beenden und Snapshots, die nicht gebraucht werden, zu löschen. Sie können die Snapshots entweder automatisch während der Abmeldung oder manuell nach der Abmeldung löschen. Weitere Informationen finden Sie unter [Vermeiden Sie Kosten, die durch ungenutzte Ressourcen entstehen](#delete-unneeded-resources-to-avoid-unnecessary-costs). Für Instances, die von einem AMI gestartet wurden, das anschließend deregistriert wurde, können Sie mit dem Befehl dennoch einige allgemeine Informationen über das AMI anzeigen. `describe-instance-image-metadata` AWS CLI Weitere Informationen finden Sie unter [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html). **Topics** + [ ## Überlegungen ](#deregister-ami-considerations) + [ ## Aufheben der Registrierung eines AMI ](#deregister-an-ami) + [ ## Vermeiden Sie Kosten, die durch ungenutzte Ressourcen entstehen ](#delete-unneeded-resources-to-avoid-unnecessary-costs) + [ # Schützen Sie ein Amazon-EC2-AMI vor der Aufhebung der Registrierung ](ami-deregistration-protection.md) ## Überlegungen + Sie können ein AMI, das nicht Ihrem Konto gehört, nicht abmelden. + Sie können Amazon EC2 nicht verwenden, um ein AMI zu deregistrieren, das vom Service verwaltet wird. AWS Backup Verwenden Sie stattdessen, AWS Backup um die entsprechenden Wiederherstellungspunkte im Backup-Tresor zu löschen. Weitere Informationen finden Sie unter [Löschen von Backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) im *AWS Backup Entwickler-Leitfaden*. ## Aufheben der Registrierung eines AMI Sie können die Registrierung mit EBS-Unterstützung und Amazon S3-Unterstützung aufheben. AMIs AMIs Bei AMIs EBS-gestützten Geräten können Sie optional die zugehörigen Snapshots gleichzeitig löschen. Wenn ein Snapshot jedoch mit einem anderen verknüpft ist AMIs, wird er nicht gelöscht, auch wenn er zum Löschen angegeben wurde. ------ #### [ Console ] **So heben Sie die Registrierung eines AMI auf** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie in der Filterleiste Mein **Eigentum aus, um** Ihre verfügbaren Bilder aufzulisten AMIs, oder wählen Sie **Deaktivierte Bilder**, um Ihre deaktivierten Bilder aufzulisten AMIs. 1. Wählen Sie das AMI für die Aufhebung der Registrierung. 1. Wählen Sie **Aktionen**, **AMI abmelden** aus. 1. (Optional) Um die zugeordneten Snapshots während der Abmeldung zu löschen, aktivieren Sie das Kontrollkästchen **Zugeordnete Snapshots löschen**. **Anmerkung** Wenn ein Snapshot mit einem anderen verknüpft ist AMIs, wird er nicht gelöscht, auch wenn das Kontrollkästchen aktiviert ist. 1. Wählen Sie **AMI abmelden**. Es kann einige Minuten dauern, bis die Konsole das AMI aus der Liste entfernt. Wählen Sie **Refresh (Aktualisieren)** aus, um den Status zu aktualisieren. ------ #### [ AWS CLI ] **So heben Sie die Registrierung eines AMI auf** Verwenden Sie den folgenden Befehl [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html). ``` aws ec2 deregister-image --image-id ami-0abcdef1234567890 ``` **So melden Sie ein AMI ab und löschen die zugeordneten Snapshots** Verwenden Sie den Befehl [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) und geben Sie den Parameter `--delete-associated-snapshots` an. Beachten Sie, dass ein Snapshot, wenn er einem anderen zugeordnet ist AMIs, nicht gelöscht wird, auch wenn Sie diesen Parameter angeben. ``` aws ec2 deregister-image \ --image-id ami-0abcdef1234567890 \ --delete-associated-snapshots ``` ------ #### [ PowerShell ] **So heben Sie die Registrierung eines AMI auf** Verwenden Sie das cmdlet [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html). ``` Unregister-EC2Image -ImageId ami-0abcdef1234567890 ``` **So melden Sie ein AMI ab und löschen die zugeordneten Snapshots** Verwenden Sie das [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)Cmdlet und geben Sie den `-DeleteAssociatedSnapshots` Parameter an. Beachten Sie, dass ein Snapshot, der mit einem anderen verknüpft ist AMIs, nicht gelöscht wird, auch wenn Sie diesen Parameter angeben. ``` Unregister-EC2Image ` -ImageId ami-0abcdef1234567890 ` -DeleteAssociatedSnapshots ``` ------ ## Vermeiden Sie Kosten, die durch ungenutzte Ressourcen entstehen Wenn Sie ein AMI abmelden, werden standardmäßig nicht alle mit dem AMI verknüpften Ressourcen gelöscht. Zu diesen Ressourcen gehören die Snapshots für EBS-gestützte AMIs und die Dateien in Amazon S3 für Amazon S3-gestützte Dateien. AMIs Wenn Sie ein AMI abmelden, werden auch keine Instances, die von dem AMI gestartet werden, beendet oder gestoppt. Es fallen weiterhin Kosten für das Speichern der Snapshots und Dateien an, und es fallen Kosten für alle laufenden Instances an. Um diese Art von unnötigen Kosten zu vermeiden, empfehlen wir Ihnen, alle nicht benötigten Ressourcen zu löschen. **EBS-gestützt AMIs** + Löschen Sie die zugeordneten Snapshots, während Sie das AMI abmelden. Weitere Informationen finden Sie unter [Aufheben der Registrierung eines AMI](#deregister-an-ami). + Wenn Sie ein AMI abmelden, ohne die zugeordneten Snaphots zu löschen, können Sie manuell [die Snapshots löschen](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-snapshot.html#ebs-delete-snapshot). Der Snapshot des Instance-Root-Volumes, der während der AMI-Erstellung erstellt wurde, hat das folgende Beschreibungsformat: ``` Created by CreateImage(i-1234567890abcdef0) for ami-0abcdef1234567890 ``` + Wenn Sie die Instances, die über das AMI gestartet wurden, nicht mehr benötigen, können Sie sie [anhalten](Stop_Start.md#starting-stopping-instances) oder [beenden](terminating-instances.md#terminating-instances-console). Um die Instances aufzulisten, filtern Sie nach der ID des AMI. **Amazon S3-unterstützt AMIs** + Löschen Sie das Bundle in Amazon S3 wie folgt mit dem Befehl [ec2-delete-bundle](ami-tools-commands.md#ami-delete-bundle) (AMI-Tools). + Wenn der Amazon-S3-Bucket nach dem Löschen des Pakets leer ist und Sie diesen Bucket nicht mehr verwenden möchten, können Sie [den Bucket löschen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html). + Wenn Sie die Instances, die über das AMI gestartet wurden, nicht mehr benötigen, können Sie sie [beenden](terminating-instances.md#terminating-instances-console). Um die Instances aufzulisten, filtern Sie nach der ID des AMI. # Schützen Sie ein Amazon-EC2-AMI vor der Aufhebung der Registrierung Sie können den *Abmeldeschutz* für ein AMI aktivieren, um ein versehentliches oder böswilliges Löschen zu verhindern. Wenn Sie den Abmeldeschutz aktivieren, kann das AMI von keinem Benutzer abgemeldet werden, unabhängig von dessen IAM-Berechtigungen. Wenn Sie das AMI abmelden möchten, müssen Sie zuerst den Abmeldeschutz für das AMI deaktivieren. Wenn Sie den Abmeldeschutz für ein AMI aktivieren, haben Sie die Möglichkeit, eine 24-stündige Ruhephase einzuplanen. Diese Ruhephase ist die Zeit, in der der Abmeldeschutz auch nach dem Ausschalten aktiv bleibt. Während dieser Ruhephase kann das AMI nicht abgemeldet werden. Nach Ablauf der Ruhephase kann die Registrierung des AMI aufgehoben werden. Der Abmeldeschutz ist standardmäßig für alle vorhandenen und neuen Geräte deaktiviert. AMIs ## Abmeldeschutz einschalten Verwenden Sie die folgenden Verfahren, um den Abmeldeschutz einzuschalten. ------ #### [ Console ] **So schalten Sie den Abmeldeschutz ein** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie in der Filterleiste Mein **Eigentum aus, um Ihre verfügbaren Bilder aufzulisten** AMIs, oder wählen Sie Deaktivierte Bilder, um Ihre **deaktivierten Bilder** aufzulisten. AMIs 1. Wählen Sie das AMI aus, für das Sie den Abmeldeschutz aktivieren möchten, und klicken Sie dann auf **Aktionen**, **AMI-Abmeldeschutz verwalten.** 1. Im Dialogfeld **AMI-Abmeldeschutz verwalten** können Sie den Abmeldeschutz mit oder ohne Ruhephase aktivieren. Wählen Sie eine der folgenden Optionen: + **Mit einer Ruhephase von 24 Stunden aktivieren** – Bei einer Abklingzeit kann das AMI 24 Stunden lang nicht abgemeldet werden, wenn der Abmeldeschutz ausgeschaltet ist. + **Ohne Ruhephase aktivieren** – Ohne Abklingzeit kann das AMI sofort abgemeldet werden, wenn der Abmeldeschutz ausgeschaltet ist. 1. Wählen Sie **Speichern**. ------ #### [ AWS CLI ] **So schalten Sie den Abmeldeschutz ein** Verwenden Sie den Befehl [enable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deregistration-protection.html). Um die optionale Ruhephase zu aktivieren, fügen Sie die Option `--with-cooldown` hinzu. ``` aws ec2 enable-image-deregistration-protection \ --image-id ami-0abcdef1234567890 \ --with-cooldown ``` ------ #### [ PowerShell ] **So schalten Sie den Abmeldeschutz ein** Verwenden Sie das cmdlet [Enable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeregistrationProtection.html). Um die optionale Ruhephase zu aktivieren, setzen Sie den Parameter `-WithCooldown` auf `true`. ``` Enable-EC2ImageDeregistrationProtection ` -ImageId ami-0abcdef1234567890 ` -WithCooldown $true ``` ------ ## Abmeldeschutz ausschalten Gehen Sie wie folgt vor, um den Abmeldeschutz zu auszuschalten. Wenn Sie bei der Aktivierung des Abmeldeschutzes für das AMI eine 24-stündige Ruhephase gewählt haben, können Sie das AMI nicht sofort abmelden, wenn Sie den Abmeldeschutz ausschalten. Diese 24-stündige Ruhephase ist die Zeit, in der der Abmeldeschutz auch nach dem Ausschalten aktiv bleibt. Während dieser Ruhephase kann das AMI nicht abgemeldet werden. Nach Ablauf der Ruhephase kann die Registrierung des AMI aufgehoben werden. ------ #### [ Console ] **So schalten Sie den Abmeldeschutz aus** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wähle in der Filterleiste „Mein **Eigentum**“, um deine verfügbaren Bilder aufzulisten AMIs, oder wähle **Deaktivierte Bilder**, um deine deaktivierten Bilder aufzulisten AMIs. 1. Wählen Sie das AMI aus, für das Sie den Abmeldeschutz zu deaktivieren wollen, und wählen Sie dann **Aktionen**, **AMI-Abmeldeschutz verwalten aus.** 1. Wählen Sie im Dialogfeld **AMI-Abmeldeschutz verwalten** die Option **Deaktivieren** aus. 1. Wählen Sie **Speichern**. ------ #### [ AWS CLI ] **So schalten Sie den Abmeldeschutz aus** Verwenden Sie den Befehl [disable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deregistration-protection.html). ``` aws ec2 disable-image-deregistration-protection --image-id ami-0abcdef1234567890 ``` ------ #### [ PowerShell ] **So schalten Sie den Abmeldeschutz aus** Verwenden Sie das cmdlet [Disable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeregistrationProtection.html). ``` Disable-EC2ImageDeregistrationProtection -ImageId ami-0abcdef1234567890 ``` ------ # Instance-Startverhalten mit Amazon-EC2-Startmodi Wenn ein Computer hochfährt, ist die erste Software, die er ausführt, für die Initialisierung der Plattform und die Bereitstellung einer Schnittstelle für das Betriebssystem zur Durchführung plattformspezifischer Vorgänge verantwortlich. In Amazon EC2 werden zwei Varianten der Startmodus-Software unterstützt: Unified Extensible Firmware Interface (UEFI) und Legacy BIOS. **Mögliche Startmodus-Parameter für ein AMI** Ein AMI kann einen der folgenden Werte für den Startmodus-Parameter annehmen: `uefi`, `legacy-bios` oder `uefi-preferred`. Der AMI-Startmodus-Parameter ist optional. Denn AMIs ohne Startmodus-Parameter AMIs verwenden die von diesen aus gestarteten Instances den Standard-Startmodus-Wert des Instance-Typs. **Der Zweck des AMI-Startmodus-Parameters** Der AMI-Startmodus-Parameter signalisiert Amazon EC2, welcher Startmodus beim Starten einer Instance verwendet werden soll. Wenn der Startmodus-Parameter auf `uefi` festgelegt ist, versucht EC2, die Instance mit UEFI zu starten. Wenn das Betriebssystem nicht für die Verwendung von UEFI konfiguriert ist, wird die Instance nicht erfolgreich gestartet. **UEFI-Bevorzugt-Startmodus-Parameter** Mithilfe des `uefi-preferred` Startmodus-Parameters können Sie festlegen AMIs , dass sowohl UEFI als auch Legacy-BIOS unterstützt werden. Wenn der Startmodus-Parameter auf `uefi-preferred` festgelegt ist und der Instance-Typ UEFI unterstützt, wird die Instance auf UEFI gestartet. Wenn der Instance-Typ UEFI nicht unterstützt, wird die Instance auf Legacy-BIOS gestartet. **Warnung** Einige Features, wie UEFI Secure Boot, sind nur auf Instances verfügbar, die auf UEFI gestartet werden. Wenn Sie den `uefi-preferred`-AMI-Startmodus-Parameter mit einem Instance-Typ verwenden, der UEFI nicht unterstützt, wird die Instance als Legacy-BIOS gestartet und das UEFI-abhängige Feature wird deaktiviert. Wenn Sie auf die Verfügbarkeit eines UEFI-abhängigen Features angewiesen sind, setzen Sie Ihren AMI-Startmodus-Parameter auf `uefi`. **Standard-Startmodi für Instance-Typen** + Instance-Typen für Graviton: UEFI + Instance-Typen für Intel und AMD: Legacy-System BIOS **Zonenunterstützung** UEFI-Boot wird nicht in Wavelength Zones unterstützt. **Topics** + [ # Voraussetzungen für den Start einer EC2-Instance im UEFI-Bootmodus ](launch-instance-boot-mode.md) + [ # Den Bootmodus-Parameter für ein Amazon-EC2-AMI bestimmen ](ami-boot-mode.md) + [ # Die unterstützten Bootmodi eines EC2-Instance-Typs bestimmen ](instance-type-boot-mode.md) + [ # Den Bootmodus einer EC2-Instance bestimmen ](instance-boot-mode.md) + [ # Den Boot-Modus des Betriebssystems für Ihre EC2 Instance bestimmen ](os-boot-mode.md) + [ # Den Bootmodus eines Amazon-EC2-AMIs festlegen ](set-ami-boot-mode.md) + [ # UEFI-Variablen für Amazon-EC2-Instances ](uefi-variables.md) + [ # UEFI Secure Boot für Amazon-EC2-Instances ](uefi-secure-boot.md) # Voraussetzungen für den Start einer EC2-Instance im UEFI-Bootmodus Der Bootmodus der Instance wird durch die Konfiguration des AMI, das darin enthaltene Betriebssystem und den Instance-Typ bestimmt. Um eine Instance im UEFI-Boot-Modus zu starten, müssen Sie die folgenden Anforderungen erfüllen. **AMI** Das AMI muss für UEFI wie folgt konfiguriert sein: + **Betriebssystem** – Das im AMI enthaltene Betriebssystem muss für die Verwendung von UEFI konfiguriert sein, andernfalls wird der Start der Instance fehlschlagen. Weitere Informationen finden Sie unter [Den Boot-Modus des Betriebssystems für Ihre EC2 Instance bestimmen](os-boot-mode.md). + **AMI-Startmodus-Parameter** – Der Startmodus-Parameter des AMI muss auf `uefi` oder `uefi-preferred` eingestellt sein. Weitere Informationen finden Sie unter [Den Bootmodus-Parameter für ein Amazon-EC2-AMI bestimmen](ami-boot-mode.md). **Linux** — Die folgenden Linux-Betriebssysteme AMIs unterstützen UEFI: + Amazon Linux 2023 + Amazon Linux 2 (nur Graviton-Instance-Typen) Für andere AMIs Linux-Versionen müssen Sie [das AMI konfigurieren](set-ami-boot-mode.md), das AMI über [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/) importieren oder das AMI über importieren. [CloudEndure](https://docs.cloudendure.com/) **Windows** — Die folgenden Windows AMIs unterstützen UEFI: + Windows\$1Server-2025-\$1 (außer mit dem Namenspräfix) AMIs `BIOS-` + TPM-Windows\$1Server-2022-English-Full-Base + TPM-Windows\$1Server-2022-English-Core-Base + TPM-Windows\$1Server-2019-English-Full-Base + TPM-Windows\$1Server-2019-English-Core-Base + TPM-Windows\$1Server-2016-English-Full-Base + TPM-Windows\$1Server-2016-English-Core-Base **Instance-Typ** Alle auf dem AWS Nitro System aufgebauten Instanzen unterstützen sowohl UEFI als auch Legacy-BIOS, mit Ausnahme der folgenden: Bare-Metal-Instances, G4ad, P4, u-3tb1, u-6tb1 DL1, u-9tb1, u-12tb1, u-18tb1, u-24tb1 und. VT1 Weitere Informationen finden Sie unter [Die unterstützten Bootmodi eines EC2-Instance-Typs bestimmen](instance-type-boot-mode.md). Die folgende Tabelle zeigt, dass der Startmodus einer Instance (angezeigt in der Spalte **Resultierender Startmodus der Instance**) durch eine Kombination aus dem Startmodus-Parameter des AMI (Spalte 1), der Startmodus-Konfiguration des im AMI enthaltenen Betriebssystems (Spalte 2) und der Startmodus-Unterstützung des Instance-Typs (Spalte 3) bestimmt wird. | AMI-Startmodus-Parameter | Startmodus-Konfiguration des Betriebssystems | Instance-Typ Startmodus-Unterstützung | Resultierender Startmodus der Instance | | --- | --- | --- | --- | | UEFI | UEFI | UEFI | UEFI | | Legacy BIOS | Legacy BIOS | Legacy BIOS | Legacy BIOS | | UEFI Preferred | UEFI | UEFI | UEFI | | UEFI Preferred | UEFI | UEFI und Legacy BIOS | UEFI | | UEFI Preferred | Legacy BIOS | Legacy BIOS | Legacy BIOS | | UEFI Preferred | Legacy BIOS | UEFI und Legacy BIOS | Legacy BIOS | | Kein Startmodus angegeben – ARM | UEFI | UEFI | UEFI | | Kein Startmodus angegeben – x86 | Legacy BIOS | UEFI und Legacy BIOS | Legacy BIOS | # Den Bootmodus-Parameter für ein Amazon-EC2-AMI bestimmen Der AMI-Startmodus-Parameter ist optional. Ein AMI kann einen der folgenden Werte für den Startmodus-Parameter annehmen: `uefi`, `legacy-bios` oder `uefi-preferred`. Einige AMIs haben keinen Startmodus-Parameter. Wenn ein AMI keinen Startmodus-Parameter hat, verwenden die Instances, die von diesem AMI gestartet werden, den Standardwert des Instance-Typs, der `uefi` für Graviton und `legacy-bios` für alle Intel- und AMD-Instance-Typen ist. ------ #### [ Console ] **So ermitteln Sie den Startmodus-Parameter eines AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich das AMI aus **AMIs**, und wählen Sie es dann aus. 1. Überprüfen Sie das Feld **Startmodus**. + Ein Wert von **uefi** gibt an, dass das AMI UEFI unterstützt. + Ein Wert von **uefi-preferred** gibt an, dass das AMI sowohl UEFI als auch Legacy BIOS unterstützt. + Wenn kein Wert vorhanden ist, verwenden die über das AMI gestarteten Instances den Standardwert des Instance-Typs. **So ermitteln Sie den Startmodus-Parameter eines AMI beim Start einer Instance** Wenn Sie eine Instance mit dem Launch Instance Wizard starten, überprüfen Sie bei der Auswahl eines AMI das Feld **Startmodus**. Weitere Informationen finden Sie unter [Anwendungs- und Betriebssystem-Images (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami). ------ #### [ AWS CLI ] **So ermitteln Sie den Startmodus-Parameter eines AMI** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html), um den Startmodus eines AMI zu bestimmen. ``` aws ec2 describe-images \ --region us-east-1 \ --image-id ami-0abcdef1234567890 \ --query Images[].BootMode \ --output text ``` Es folgt eine Beispielausgabe. ``` uefi ``` Ein Wert von `uefi` in der Ausgabe gibt an, dass das AMI UEFI unterstützt. Ein Wert von `uefi-preferred` gibt an, dass das AMI sowohl UEFI als auch Legacy BIOS unterstützt. Wenn kein Wert vorhanden ist, verwenden die über das AMI gestarteten Instances den Standardwert des Instance-Typs. ------ #### [ PowerShell ] **So ermitteln Sie den Startmodus-Parameter eines AMI** Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html), um den Startmodus eines AMI zu bestimmen. ``` Get-EC2Image -Region us-east-1 ` -ImageId ami-0abcdef1234567890 | Format-List Name, BootMode, TpmSupport ``` Es folgt eine Beispielausgabe. ``` Name : TPM-Windows_Server-2016-English-Full-Base-2023.05.10 BootMode : uefi TpmSupport : v2.0 ``` In der Ausgabe gibt der Wert von `BootMode` den Startmodus des AMI an. Ein Wert von `uefi` gibt an, dass das AMI UEFI unterstützt. Ein Wert von `uefi-preferred` gibt an, dass das AMI sowohl UEFI als auch Legacy BIOS unterstützt. Wenn kein Wert vorhanden ist, verwenden die über das AMI gestarteten Instances den Standardwert des Instance-Typs. ------ # Die unterstützten Bootmodi eines EC2-Instance-Typs bestimmen Sie können die unterstützten Startmodi eines Instance-Typs ermitteln. Die Amazon-EC2-Konsole zeigt die unterstützten Startmodi eines Instance-Typen nicht an. ------ #### [ AWS CLI ] Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html), um die unterstützten Startmodi eines Instance-Typs zu ermitteln. Der `--query`-Parameter filtert die Ausgabe so, dass nur die unterstützten Bootmodi zurückgegeben werden. Das folgende Beispiel zeigt, dass der angegebene Instance-Typ sowohl den Startmodus UEFI als auch den Startmodus Legacy BIOS unterstützt. ``` aws ec2 describe-instance-types \ --instance-types m5.2xlarge \ --query "InstanceTypes[*].SupportedBootModes" ``` Es folgt eine Beispielausgabe. ``` [ [ "legacy-bios", "uefi" ] ] ``` Das folgende Beispiel zeigt, dass `t2.xlarge` nur Legacy BIOS unterstützt. ``` aws ec2 describe-instance-types \ --instance-types t2.xlarge \ --query "InstanceTypes[*].SupportedBootModes" ``` Es folgt eine Beispielausgabe. ``` [ [ "legacy-bios" ] ] ``` ------ #### [ PowerShell ] Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html), um die unterstützten Startmodi eines Instance-Typs zu ermitteln. Das folgende Beispiel zeigt, dass `m5.2xlarge` sowohl den Startmodus UEFI als auch den Startmodus Legacy-System BIOS unterstützt. ``` Get-EC2InstanceType -InstanceType m5.2xlarge | Format-List InstanceType, SupportedBootModes ``` Es folgt eine Beispielausgabe. ``` InstanceType : m5.2xlarge SupportedBootModes : {legacy-bios, uefi} ``` Das folgende Beispiel zeigt, dass `t2.xlarge` nur Legacy BIOS unterstützt. ``` Get-EC2InstanceType -InstanceType t2.xlarge | Format-List InstanceType, SupportedBootModes ``` Es folgt eine Beispielausgabe. ``` InstanceType : t2.xlarge SupportedBootModes : {legacy-bios} ``` ------ **So bestimmen Sie die Instance-Typen, die UEFI unterstützen** Sie können die Instance-Typen bestimmen, die UEFI unterstützen. Die Amazon-EC2-Konsole zeigt die Unterstützung für UEFI eines Instance-Typen nicht an. ------ #### [ AWS CLI ] Die verfügbaren Instance-Typen variieren je nach AWS-Region. Verwenden Sie den [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)Befehl, um die verfügbaren Instance-Typen zu sehen, die UEFI in einer Region unterstützen. Schließen Sie den Parameter `--filters` ein, um die Ergebnisse auf die Instance-Typen zu beschränken, die UEFI unterstützen, und den Parameter `--query`, um die Ausgabe auf den Wert von `InstanceType` zu beschränken. ``` aws ec2 describe-instance-types \ --filters Name=supported-boot-mode,Values=uefi \ --query "InstanceTypes[*].[InstanceType]" --output text | sort ``` ------ #### [ PowerShell ] Die verfügbaren Instance-Typen variieren je nach AWS-Region. Verwenden Sie das Cmdlet, um die verfügbaren Instanztypen anzuzeigen, die [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)UEFI in einer Region unterstützen. ``` Get-EC2InstanceType | ` Where-Object {$_.SupportedBootModes -Contains "uefi"} | ` Sort-Object InstanceType | ` Format-Table InstanceType -GroupBy CurrentGeneration ``` ------ **So bestimmen Sie die Instance-Typen, die UEFI Secure Boot unterstützen und nichtflüchtige Variablen beibehalten** Bare-Metal-Instances unterstützen kein UEFI Secure Boot und keine nicht-flüchtigen Variablen, daher werden sie in diesen Beispielen nicht mit ausgegeben. Informationen zu UEFI Secure Boot finden Sie unter [UEFI Secure Boot für Amazon-EC2-Instances](uefi-secure-boot.md). ------ #### [ AWS CLI ] Verwenden Sie den [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)Befehl und schließen Sie die Bare-Metal-Instances von der Ausgabe aus. ``` aws ec2 describe-instance-types \ --filters Name=supported-boot-mode,Values=uefi Name=bare-metal,Values=false \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort ``` ------ #### [ PowerShell ] Verwenden Sie das [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)Cmdlet und schließen Sie die Bare-Metal-Instanzen von der Ausgabe aus. ``` Get-EC2InstanceType | ` Where-Object { ` $_.SupportedBootModes -Contains "uefi" -and ` $_.BareMetal -eq $False } | ` Sort-Object InstanceType | ` Format-Table InstanceType, SupportedBootModes, BareMetal, ` @{Name="SupportedArchitectures"; Expression={$_.ProcessorInfo.SupportedArchitectures}} ``` ------ # Den Bootmodus einer EC2-Instance bestimmen Der Startmodus einer Instance wird in der Amazon-EC2-Konsole im Feld **Startmodus** und durch den `currentInstanceBootMode`-Parameter in der AWS CLI angezeigt. Wenn eine Instance gestartet wird, wird der Wert für ihren Startmodus-Parameter wie folgt durch den Wert des Startmodus-Parameters des zum Start verwendeten AMI bestimmt: + Ein AMI mit dem Startmodus-Parameter `uefi` erstellt eine Instance mit dem `currentInstanceBootMode`-Parameter `uefi`. + Ein AMI mit dem Startmodus-Parameter `legacy-bios` erstellt eine Instance mit dem `currentInstanceBootMode`-Parameter ` legacy-bios`. + Ein AMI mit dem Startmodus-Parameter `uefi-preferred` erstellt eine Instance mit dem `currentInstanceBootMode`-Parameter `uefi`, wenn der Instance-Typ UEFI unterstützt; andernfalls erstellt es eine Instance mit einem `currentInstanceBootMode`-Parameter von `legacy-bios`. + Ein AMI ohne Startmodus-Parameterwert erstellt eine Instance mit einem `currentInstanceBootMode`-Parameterwert, der davon abhängt, ob es sich bei der AMI-Architektur um ARM oder x86 handelt, und vom unterstützten Startmodus des Instance-Typs. Der Standard-Startmodus ist `uefi` für Graviton-Instance-Typen und `legacy-bios` für Intel- und AMD-Instance-Typen. ------ #### [ Console ] **So ermitteln Sie den Startmodus einer Instance** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Klicken Sie im Navigationsbereich auf **Instances** und wählen Sie anschließend Ihre Instance aus. 1. Überprüfen Sie auf der Registerkarte **Details** das Feld **Startmodus**. ------ #### [ AWS CLI ] **So ermitteln Sie den Startmodus einer Instance** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html), um den Startmodus einer Instance zu bestimmen. Sie können auch den Startmodus des AMI bestimmen, das zum Erstellen der Instance verwendet wurde. ``` aws ec2 describe-instances \ --region us-east-1 \ --instance-ids i-1234567890abcdef0 \ --query Reservations[].Instances[].BootMode \ --output text ``` Es folgt eine Beispielausgabe. ``` uefi ``` ------ #### [ PowerShell ] **So ermitteln Sie den Startmodus einer Instance** Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html), um den Startmodus einer Instance zu bestimmen. Sie können auch den Startmodus des AMI bestimmen, das zum Erstellen der Instance verwendet wurde. ``` (Get-EC2Instance ` -InstanceId i-1234567890abcdef0).Instances | Format-List BootMode, CurrentInstanceBootMode, InstanceType, ImageId ``` Es folgt eine Beispielausgabe. ``` BootMode : uefi CurrentInstanceBootMode : uefi InstanceType : c5a.large ImageId : ami-0abcdef1234567890 ``` ------ # Den Boot-Modus des Betriebssystems für Ihre EC2 Instance bestimmen Der Startmodus des AMI leitet Amazon EC2 an, welcher Startmodus zum Starten einer Instance verwendet werden soll. Um festzustellen, ob das Betriebssystem Ihrer Instance für UEFI konfiguriert ist, müssen Sie mithilfe von SSH (Linux-Instances) oder RDP (Windows-Intances) eine Verbindung mit Ihrer Instance herstellen. Verwenden Sie die Anleitung für das Betriebssystem Ihrer Instance. ## Linux **Ermitteln des Startmodus des Betriebssystems der Instance** 1. [Stellen Sie eine Verbindung zu Ihrer Linux-Instance mit SSH her](connect-linux-inst-ssh.md). 1. Um den Startmodus des Betriebssystems anzuzeigen, führen Sie einen der folgenden Schritte aus: + Führen Sie den folgenden Befehl aus. ``` [ec2-user ~]$ sudo /usr/sbin/efibootmgr ``` Erwartete Ausgabe einer im UEFI-Startmodus gestarteten Instance ``` BootCurrent: 0001 Timeout: 0 seconds BootOrder: 0000,0001 Boot0000* UiApp Boot0001* UEFI Amazon Elastic Block Store vol-xyz ``` + Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Verzeichnis `/sys/firmware/efi` vorhanden ist. Dieses Verzeichnis ist nur dann vorhanden, wenn die Instance mit UEFI gestartet wird. Wenn das Verzeichnis nicht vorhanden ist, gibt der Befehl `Legacy BIOS Boot Detected` zurück. ``` [ec2-user ~]$ [ -d /sys/firmware/efi ] && echo "UEFI Boot Detected" || echo "Legacy BIOS Boot Detected" ``` Erwartete Ausgabe einer im UEFI-Startmodus gestarteten Instance ``` UEFI Boot Detected ``` Erwartete Ausgabe einer im Legacy-System BIOS-Startmodus gestarteten Instance ``` Legacy BIOS Boot Detected ``` + Führen Sie den folgenden Befehl aus, um zu überprüfen, ob EFI in der Ausgabe `dmesg` enthalten ist. ``` [ec2-user ~]$ dmesg | grep -i "EFI" ``` Erwartete Ausgabe einer im UEFI-Startmodus gestarteten Instance ``` [ 0.000000] efi: Getting EFI parameters from FDT: [ 0.000000] efi: EFI v2.70 by EDK II ``` ## Windows **Ermitteln des Startmodus des Betriebssystems der Instance** 1. [Stellen Sie eine Verbindung mit Ihrer Windows-Instance mithilfe von RDP her](connecting_to_windows_instance.md). 1. Wechseln Sie zu **Systeminformationen** und überprüfen Sie die Zeile **BIOS-Modus**. ![\[Das Systeminformationsfenster zeigt die ausgewählte BIOS-Modus-Zeile. Der Wert für den BIOS-Modus ist Legacy.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/BIOS-mode-win.png) # Den Bootmodus eines Amazon-EC2-AMIs festlegen Standardmäßig übernimmt das AMI den Startmodus der EC2-Instance, die zum Erstellen des AMI verwendet wird. Wenn Sie beispielsweise ein AMI aus einer EC2-Instance erstellen, die mit Legacy BIOS ausgeführt wird, ist der Startmodus des neuen AMI `legacy-bios`. Wenn Sie ein AMI aus einer EC2-Instance mit dem Startmodus `uefi-preferred` erstellen, ist der Startmodus des neuen AMI `uefi-preferred`. Wenn Sie ein AMI registrieren, können Sie den Startmodus des AMI auf `uefi`, `legacy-bios` oder `uefi-preferred` festlegen. Wenn der AMI-Startmodus auf `uefi-preferred` gesetzt ist, startet die Instance wie folgt: + Bei Instance-Typen, die sowohl UEFI als auch Legacy BIOS unterstützen (z. B. `m5.large`), startet die Instance mit UEFI. + Bei Instance-Typen, die nur Legacy BIOS unterstützen (z. B. `m4.large`), startet die Instance mit Legacy BIOS. Wenn Sie den AMI-Startmodus auf `uefi-preferred` einstellen, muss das Betriebssystem die Fähigkeit unterstützen, sowohl UEFI als auch Legacy BIOS zu starten. Um eine vorhandene Legacy-BIOS-basierte Instance in UEFI oder eine vorhandene UEFI-basierte Instance in Legacy BIOS zu konvertieren, müssen Sie zunächst das Volume und das Betriebssystem der Instance anpassen, damit der ausgewählte Startmodus unterstützt wird. Erstellen Sie dann einen Snapshot des Volumes. Erstellen Sie zuletzt ein AMI aus dem Snapshot. **Überlegungen** + Durch das Festlegen des AMI-Startmodus-Parameters wird das Betriebssystem nicht automatisch für den angegebenen Startmodus konfiguriert. Sie müssen zuerst entsprechende Änderungen am Volume und am Betriebssystem der Instance vornehmen, um den Start mit dem ausgewählten Startmodus zu unterstützen. Andernfalls kann das resultierende AMI nicht verwendet werden. Wenn Sie beispielsweise eine ältere BIOS-basierte Windows-Instanz in UEFI konvertieren, können Sie das GPT-Tool von Microsoft verwenden, um die Systemfestplatte von MBR in [MBR2GPT](https://learn.microsoft.com/en-us/windows/deployment/mbr-to-gpt) zu konvertieren. Die erforderlichen Änderungen sind betriebssystemspezifisch. Weitere Informationen finden Sie im Handbuch zu Ihrem Betriebssystem. + Sie können nicht den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) oder das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html) verwenden, um ein AMI zu erstellen, das sowohl [NitroTPM](nitrotpm.md) als auch UEFI Preferred unterstützt. + Einige Features, wie UEFI Secure Boot, sind nur auf Instances verfügbar, die auf UEFI gestartet werden. Wenn Sie den `uefi-preferred`-AMI-Startmodus-Parameter mit einem Instance-Typ verwenden, der UEFI nicht unterstützt, wird die Instance als Legacy-BIOS gestartet und das UEFI-abhängige Feature wird deaktiviert. Wenn Sie auf die Verfügbarkeit eines UEFI-abhängigen Features angewiesen sind, setzen Sie Ihren AMI-Startmodus-Parameter auf `uefi`. ------ #### [ AWS CLI ] **So legen Sie den Startmodus für ein AMI fest** 1. Nehmen Sie entsprechende Änderungen am Volume und am Betriebssystem der Instance vor, um den Start mit dem ausgewählten Startmodus zu unterstützen. Die erforderlichen Änderungen sind betriebssystemspezifisch. Weitere Informationen finden Sie im Handbuch zu Ihrem Betriebssystem. **Warnung** Wenn Sie diesen Schritt nicht ausführen, ist das AMI nicht verwendbar. 1. Um die Volume-ID der Instance zu ermitteln, verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html). Im nächsten Schritt erstellen Sie einen Snapshot des Volumes. ``` aws ec2 describe-instances \ --instance-ids i-1234567890abcdef0 \ --query Reservations[].Instances[].BlockDeviceMappings ``` Es folgt eine Beispielausgabe. ``` [ [ { "DeviceName": "/dev/xvda", "Ebs": { "AttachTime": "2024-07-11T01:05:51+00:00", "DeleteOnTermination": true, "Status": "attached", "VolumeId": "vol-1234567890abcdef0" } } ] ] ``` 1. Um einen Snapshot des Volumes zu erstellen, verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html). Verwenden Sie die Volume-ID aus dem vorherigen Schritt. ``` aws ec2 create-snapshot \ --volume-id vol-01234567890abcdef \ --description "my snapshot" ``` Es folgt eine Beispielausgabe. ``` { "Description": "my snapshot", "Encrypted": false, "OwnerId": "123456789012", "Progress": "", "SnapshotId": "snap-0abcdef1234567890", "StartTime": "", "State": "pending", "VolumeId": "vol-01234567890abcdef", "VolumeSize": 30, "Tags": [] } ``` 1. Warten Sie bis der Status des Snapshots `completed` lautet, bevor Sie mit dem nächsten Schritt fortfahren. Um den Status des Snapshots abzufragen, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)-Befehl mit der Snapshot-ID aus dem vorherigen Schritt. ``` aws ec2 describe-snapshots \ --snapshot-ids snap-0abcdef1234567890 \ --query Snapshots[].State \ --output text ``` Es folgt eine Beispielausgabe. ``` completed ``` 1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html), um ein neues AMI zu erstellen. Kopieren Sie den Wert von `SnapshotId` aus der Ausgabe von **CreateSnapshot**. + Um den Startmodus auf UEFI festzulegen, fügen Sie den Parameter `--boot-mode` mit einem Wert von `uefi` hinzu. ``` aws ec2 register-image \ --description "my image" \ --name "my-image" \ --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \ --root-device-name /dev/sda1 \ --virtualization-type hvm \ --ena-support \ --boot-mode uefi ``` + Um den Startmodus auf `uefi-preferred` einzustellen, legen Sie den Wert von `--boot-mode` auf `uefi-preferred` fest. ``` aws ec2 register-image \ --description "my description" \ --name "my-image" \ --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \ --root-device-name /dev/sda1 \ --virtualization-type hvm \ --ena-support \ --boot-mode uefi-preferred ``` 1. (Optional) Um zu überprüfen, ob das neu erstellte AMI den angegebenen Startmodus aufweist, verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --image-id ami-1234567890abcdef0 \ --query Images[].BootMode \ --output text ``` Es folgt eine Beispielausgabe. ``` uefi ``` ------ #### [ PowerShell ] **So legen Sie den Startmodus für ein AMI fest** 1. Nehmen Sie entsprechende Änderungen am Volume und am Betriebssystem der Instance vor, um den Start mit dem ausgewählten Startmodus zu unterstützen. Die erforderlichen Änderungen sind betriebssystemspezifisch. Weitere Informationen finden Sie im Handbuch zu Ihrem Betriebssystem. **Warnung** Wenn Sie diesen Schritt nicht ausführen, ist das AMI nicht verwendbar. 1. Um die Volume-ID der Instance zu ermitteln, verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html). ``` (Get-EC2Instance ` -InstanceId i-1234567890abcdef0).Instances.BlockDeviceMappings.Ebs ``` Es folgt eine Beispielausgabe. ``` AssociatedResource : AttachTime : 7/11/2024 1:05:51 AM DeleteOnTermination : True Operator : Status : attached VolumeId : vol-01234567890abcdef ``` 1. Um einen Snapshot des Volumes zu erstellen, verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html). Verwenden Sie die Volume-ID aus dem vorherigen Schritt. ``` New-EC2Snapshot ` -VolumeId vol-01234567890abcdef ` -Description "my snapshot" ``` Es folgt eine Beispielausgabe. ``` AvailabilityZone : Description : my snapshot Encrypted : False FullSnapshotSizeInBytes : 0 KmsKeyId : OwnerId : 123456789012 RestoreExpiryTime : SnapshotId : snap-0abcdef1234567890 SseType : StartTime : 4/25/2025 6:08:59 PM State : pending StateMessage : VolumeId : vol-01234567890abcdef VolumeSize : 30 ``` 1. Warten Sie bis der Status des Snapshots `completed` lautet, bevor Sie mit dem nächsten Schritt fortfahren. Um den Status des Snapshots abzufragen, verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) mit der Snapshot-ID aus dem vorherigen Schritt. ``` (Get-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890).State.Value ``` Es folgt eine Beispielausgabe. ``` completed ``` 1. Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html), um ein neues AMI zu erstellen. Kopieren Sie den Wert von `SnapshotId` aus der Ausgabe von **New-EC2Snapshot**. + Um den Startmodus auf UEFI festzulegen, fügen Sie den Parameter `-BootMode` mit einem Wert von `uefi` hinzu. ``` $block = @{SnapshotId=snap-0abcdef1234567890} Register-EC2Image ` -Description "my image" ` -Name "my-image" ` -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} ` -RootDeviceName /dev/xvda ` -EnaSupport $true ` -BootMode uefi ``` + Um den Startmodus auf `uefi-preferred` einzustellen, legen Sie den Wert von `-BootMode` auf `uefi-preferred` fest. ``` $block = @{SnapshotId=snap-0abcdef1234567890} Register-EC2Image ` -Description "my image" ` -Name "my-image" ` -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} ` -RootDeviceName /dev/xvda ` -EnaSupport $true ` -BootMode uefi-preferred ``` 1. (Optional) Um zu überprüfen, ob das neu erstellte AMI den angegebenen Startmodus aufweist, verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image ` -ImageId ami-1234567890abcdef0).BootMode.Value ``` Es folgt eine Beispielausgabe. ``` uefi ``` ------ # UEFI-Variablen für Amazon-EC2-Instances Wenn Sie eine Instance starten, für die der Startmodus auf UEFI eingestellt ist, wird eine Schlüssel-Werte-Datenbank für Variablen erstellt. Der Speicher kann von UEFI und dem Instance-Betriebssystem zum Speichern von UEFI-Variablen verwendet werden. UEFI-Variablen werden vom Bootloader und dem Betriebssystem verwendet, um den frühen System-Startup zu konfigurieren. Sie ermöglichen es dem Betriebssystem, bestimmte Einstellungen des Startvorgangs zu verwalten, wie die Startreihenfolge oder die Verwaltung der Schlüssel für UEFI Secure Boot. **Warnung** Jeder, der eine Verbindung mit der Instanz herstellen kann (und möglicherweise jede Software, die auf der Instanz ausgeführt wird), oder jeder, der berechtigt ist, die [GetInstanceUefiData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetInstanceUefiData.html)API auf der Instanz zu verwenden, kann die Variablen lesen. Speichern Sie sensible Daten wie Passwörter oder personenbezogene Daten niemals im UEFI-Variablenspeicher. **UEFI-Variablen-Persistenz** + Bei Instances, die an oder vor dem 10. Mai 2022 gestartet wurden, werden UEFI-Variablen beim Neustart oder Stopp gelöscht. + Bei Instances, die am oder nach dem 11. Mai 2022 gestartet werden, werden UEFI-Variablen, die als nicht flüchtig gekennzeichnet sind, beim Neustart und Stopp/Start beibehalten. + Bare-Metal-Instances behalten nicht flüchtige UEFI-Variablen über Instance-Stopp-/Start-Vorgänge hinweg nicht bei. # UEFI Secure Boot für Amazon-EC2-Instances UEFI Secure Boot baut auf dem langjährigen sicheren Startprozess von Amazon EC2 auf und bietet zusätzliche Funktionen, mit defense-in-depth denen Kunden Software vor Bedrohungen schützen können, die auch nach Neustarts bestehen. Es stellt sicher, dass die Instance nur Software startet, die mit kryptografischen Schlüsseln signiert ist. Die Schlüssel werden in der Schlüsseldatenbank des [UEFI nicht flüchtige Variablenspeicher](uefi-variables.md) gespeichert. UEFI Secure Boot verhindert die unbefugte Änderung des Bootflows der Instance. **Topics** + [ # Wie UEFI Secure Boot mit Amazon-EC2-Instances funktioniert ](how-uefi-secure-boot-works.md) + [ # Anforderungen für UEFI Secure Boot in Amazon EC2 ](launch-instance-with-uefi-sb.md) + [ # Überprüfen, ob eine Amazon-EC2-Instance für UEFI Secure Boot aktiviert ist ](verify-uefi-secure-boot.md) + [ # Ein Linux-AMI mit benutzerdefinierten UEFI-Secure-Boot-Schlüsseln erstellen ](create-ami-with-uefi-secure-boot.md) + [ # Erstellen Sie den AWS binären Blob für UEFI Secure Boot ](aws-binary-blob-creation.md) # Wie UEFI Secure Boot mit Amazon-EC2-Instances funktioniert UEFI Secure Boot ist ein in UEFI spezifiziertes Feature, das eine Überprüfung des Status der Bootchain ermöglicht. Sie soll sicherstellen, dass nach der Selbstinitialisierung der Firmware nur kryptographisch verifizierte UEFI-Binärdateien ausgeführt werden. Zu diesen Binärdateien gehören UEFI-Treiber und der Haupt-Bootloader sowie kettengeladene Komponenten. UEFI Secure Boot spezifiziert vier wichtige Datenbanken, die in einer Vertrauenskette verwendet werden. Die Datenbanken werden im UEFI-Variablenspeicher gespeichert. Die Vertrauenskette lautet wie folgt: **Plattformschlüssel (PK)-Datenbank** Die PK-Datenbank ist der Vertrauensanker. Sie enthält einen einzigen öffentlichen PK-Schlüssel, der in der Vertrauenskette zum Aktualisieren der Schlüsselaustausch-Schlüssel (KEK)-Datenbank verwendet wird. Um die PK-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel, um eine Aktualisierungsanforderung zu signieren. Dies beinhaltet das Löschen der PK-Datenbank durch Schreiben eines leeren PK-Schlüssels. **Schlüsselaustausch-Schlüssel (KEK)-Datenbank** Die KEK-Datenbank ist eine Liste öffentlicher KEK-Schlüssel, die in der Vertrauenskette zum Aktualisieren der Signatur (db)- und Deny-Liste (dbx)-Datenbanken verwendet werden. Um die um die öffentliche KEK-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel, um eine Aktualisierungsanforderung zu signieren. **Signatur (db)-Datenbank** Die db-Datenbank ist eine Liste von öffentlichen Schlüsseln und Hashes, die in der Vertrauenskette verwendet werden, um alle UEFI-Boot-Binärdateien zu validieren. Um die db-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel einen der privaten KEK-Schlüssel, um eine Aktualisierungsanforderung zu signieren. **Signatur-Deny-Liste (dbx)-Datenbank** Die dbx-Datenbank ist eine Liste von öffentlichen Schlüsseln und binären Hashes, die nicht vertrauenswürdig sind und in der Vertrauenskette als Widerrufsdatei verwendet werden. Die dbx-Datenbank hat immer Vorrang vor allen anderen wichtigen Datenbanken. Um die dbx-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel oder einen der privaten KEK-Schlüssel, um eine Aktualisierungsanforderung zu signieren. Das UEFI-Forum unterhält eine öffentlich zugängliche dbx für viele bekanntermaßen fehlerhafte Binärdateien und Zertifikate unter [https://uefi.org/revocationlistfile](https://uefi.org/revocationlistfile). **Wichtig** UEFI Secure Boot erzwingt die Signaturvalidierung für alle UEFI-Binärdateien. Um die Ausführung einer UEFI-Binärdatei in UEFI Secure Boot zu erlauben, signieren Sie sie mit einem der oben beschriebenen privaten db-Schlüssel. Standardmäßig ist UEFI Secure Boot deaktiviert und das System befindet sich im `SetupMode`. Wenn sich das System im `SetupMode` befindet, können alle Schlüsselvariablen ohne kryptografische Signatur aktualisiert werden. Wenn der PK gesetzt ist, ist UEFI Secure Boot aktiviert und der wird beendet. SetupMode # Anforderungen für UEFI Secure Boot in Amazon EC2 Wenn Sie eine [Amazon-EC2-Instance](LaunchingAndUsingInstances.md) mit einem unterstützten AMI und einem unterstützten Instance-Typ starten, validiert diese Instance automatisch UEFI-Boot-Binärdateien anhand ihrer UEFI-Secure-Boot-Datenbank. Es ist keine zusätzliche Konfiguration erforderlich. Sie können UEFI Secure Boot auch nach dem Start für eine Instance konfigurieren. **Anmerkung** UEFI Secure Boot schützt Ihre Instance und ihr Betriebssystem vor Änderungen im Bootflow. Wenn Sie ein neues AMI aus einem Quell-AMI erstellen, bei dem UEFI Secure Boot aktiviert ist, und bestimmte Parameter während des Kopiervorgangs ändern, wie beispielsweise die `UefiData` innerhalb des AMI, können Sie UEFI Secure Boot deaktivieren. **Topics** + [ ## Unterstützt AMIs ](#uefi-amis) + [ ## Unterstützte Instance-Typen ](#uefi-instance) ## Unterstützt AMIs **Linux AMIs** Um eine Linux-Instance zu starten, muss für das Linux-AMI UEFI Secure Boot aktiviert sein. Amazon Linux unterstützt UEFI Secure Boot ab AL2023 Version 2023.1. UEFI Secure Boot ist jedoch standardmäßig nicht aktiviert. AMIs Weitere Informationen finden Sie unter [UEFI Secure Boot](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) im *AL2023 Benutzerhandbuch*. Ältere Versionen von Amazon Linux AMIs sind nicht für UEFI Secure Boot aktiviert. Um ein unterstütztes AMI zu verwenden, müssen Sie eine Reihe von Konfigurationsschritten für Ihr eigenes Linux-AMI ausführen. Weitere Informationen finden Sie unter [Ein Linux-AMI mit benutzerdefinierten UEFI-Secure-Boot-Schlüsseln erstellen](create-ami-with-uefi-secure-boot.md). **Windows AMIs** Um eine Windows-Instance zu starten, muss für das Windows-AMI UEFI Secure Boot aktiviert sein. *Informationen zu einem AWS Windows-AMI, das für UEFI Secure Boot mit Microsoft-Schlüsseln vorkonfiguriert ist, [finden Sie unter Suchen Sie nach einem mit NitroTPM und UEFI Secure Boot AMIs konfigurierten Windows Server](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) in der Windows-Referenz.AWS AMIs * Derzeit wird das Importieren von Windows mit UEFI Secure Boot über den Befehl [import-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html) nicht unterstützt. ## Unterstützte Instance-Typen Alle virtualisierten Instance-Typen, die UEFI unterstützen, unterstützen auch UEFI Secure Boot. Informationen zu den Instance-Typen, die UEFI Secure Boot unterstützen, finden Sie unter [Anforderungen für den UEFI-Bootmodus](launch-instance-boot-mode.md). **Anmerkung** Bare-Metal-Instance-Typen unterstützen UEFI Secure Boot nicht. # Überprüfen, ob eine Amazon-EC2-Instance für UEFI Secure Boot aktiviert ist Sie können die folgenden Verfahren verwenden, um festzustellen, ob ein Amazon EC2 für UEFI Secure Boot aktiviert ist. ## Linux-Instances Sie können das `mokutil`-Serviceprogramm verwenden, um zu überprüfen, ob eine Linux Instance für UEFI Secure Boot freigegeben ist. Wenn `mokutil` nicht auf Ihrer Instance installiert ist, müssen Sie es installieren. Die Installationsanweisungen für Amazon Linux 2 finden Sie unter [Suchen und Installieren von Softwarepaketen auf einer Amazon-Linux-2-Instance](https://docs.aws.amazon.com/linux/al2/ug/find-install-software.html). Für andere Linux-Verteilungen schauen Sie in der spezifischen Dokumentation. **So überprüfen Sie, ob eine Linux-Instance für UEFI Secure Boot aktiviert ist** Verbinden Sie sich mit Ihrer Instance und führen Sie den folgenden Befehl als `root` in einem Terminal-Fenster aus. ``` mokutil --sb-state ``` Es folgt eine Beispielausgabe. + Wenn UEFI Secure Boot aktiviert ist, enthält die Ausgabe `SecureBoot enabled`. + Wenn UEFI Secure Boot nicht aktiviert ist, enthält die Ausgabe `SecureBoot disabled` oder `Failed to read SecureBoot`. ## Windows-Instances **So überprüfen Sie, ob eine Windows-Instance für UEFI Secure Boot aktiviert ist** 1. Verbinden Sie sich mit der Instance. 1. Öffnen Sie das msinfo32-Tool. 1. Überprüfen Sie das Feld **Secure Boot State** (Sicherer Boot-Status). Wenn UEFI Secure Boot aktiviert ist, lautet der Wert **Unterstützt**, wie in der folgenden Abbildung dargestellt. ![\[Sicherer Startstatus innerhalb der Systeminformationen.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/secure-boot-state-win.png) Sie können auch das PowerShell Windows-Cmdlet verwenden, um den Secure `Confirm-SecureBootUEFI` Boot-Status zu überprüfen. Weitere Informationen zum Cmdlet finden Sie unter [Confirm- SecureBoot UEFI](https://learn.microsoft.com/en-us/powershell/module/secureboot/confirm-securebootuefi) in der Microsoft-Dokumentation. # Ein Linux-AMI mit benutzerdefinierten UEFI-Secure-Boot-Schlüsseln erstellen Diese Anleitung zeigt Ihnen, wie Sie ein Linux-AMI mit UEFI Secure Boot und benutzerdefinierten privaten Schlüsseln erstellen. Amazon Linux unterstützt UEFI Secure Boot ab AL2023 Version 2023.1. Weitere Informationen finden Sie unter [UEFI Secure Boot on AL2023](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) im *Amazon Linux 2023-Benutzerhandbuch*. **Wichtig** Das folgende Verfahren ist nur für **fortgeschrittene Benutzer** vorgesehen. Sie müssen über ausreichende Kenntnisse im Bootflow der SSL- und Linux-Distribution verfügen, um diese Verfahren verwenden zu können. **Voraussetzungen** + Die folgenden Tools werden verwendet: + OpenSSL – [https://www.openssl.org/](https://www.openssl.org/) + [efivar — efivar https://github.com/rhboot/](https://github.com/rhboot/efivar) + [efitools — https://git.kernel. org/pub/scm/linux/kernel/git/jejb/efitools.git/](https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/) + [get-instance-uefi-data](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) command + Ihre Linux-Instance muss mit einem Linux-AMI gestartet worden sein, das den UEFI-Startmodus unterstützt und es müssen nichtflüchtige Daten vorhanden sein. Neu erstellte Instances ohne UEFI Secure Boot-Schlüssel werden in `SetupMode` erstellt, wodurch Sie Ihre eigenen Schlüssel registrieren können. Einige AMIs sind mit UEFI Secure Boot vorkonfiguriert und Sie können die vorhandenen Schlüssel nicht ändern. Wenn Sie die Schlüssel ändern möchten, müssen Sie ein neues AMI basierend auf dem ursprünglichen AMI erstellen. Sie haben zwei Möglichkeiten, die Schlüssel im Variablenspeicher zu propagieren, die in den folgenden Optionen A und B beschrieben sind. Option A beschreibt, wie dies innerhalb der Instance geschieht und den Fluss echter Hardware nachahmt. Option B beschreibt, wie ein binäres Blob erstellt wird, das dann als base64-kodierte Datei übergeben wird, wenn Sie das AMI erstellen. Für beide Optionen müssen Sie zuerst die drei Schlüsselpaare erstellen, die für die Vertrauenskette verwendet werden. **Topics** + [ ## Aufgabe 1: Schlüsselpaare erstellen ](#uefi-secure-boot-create-three-key-pairs) + [ ## Aufgabe 2 – Option A: Fügen Sie innerhalb der Instance Schlüssel zum Variablenspeicher hinzu ](#uefi-secure-boot-optionA) + [ ## Aufgabe 2 – Option B: Erstellen Sie ein binäres Blob mit einem vorgefüllten Variablenspeicher ](#uefi-secure-boot-optionB) ## Aufgabe 1: Schlüsselpaare erstellen UEFI Secure Boot basiert auf den folgenden drei Schlüsseldatenbanken, die in einer Vertrauenskette verwendet werden: dem Plattformschlüssel (PK), dem Schlüsselaustauschschlüssel (KEK) und der Signaturdatenbank (db).¹ Sie erstellen jeden Schlüssel auf der Instance. Um die öffentlichen Schlüssel in einem Format vorzubereiten, das für den UEFI Secure Boot-Standard gültig ist, erstellen Sie für jeden Schlüssel ein Zertifikat. `DER` definiert das SSL-Format (Binärkodierung eines Formats). Anschließend konvertieren Sie jedes Zertifikat in eine UEFI-Signaturliste, bei der es sich um das Binärformat handelt, das von UEFI Secure Boot verstanden wird. Und schließlich signieren Sie jedes Zertifikat mit dem entsprechenden Schlüssel. **Topics** + [ ### Bereiten Sie die Erstellung der Schlüsselpaare vor ](#uefisb-prepare-to-create-key-pairs) + [ ### Schlüsselpaar 1: Erstellen Sie den Plattformschlüssel (PK) ](#uefisb-create-key-pair-1) + [ ### Schlüsselpaar 2: Erstellen Sie den Schlüsselaustauschschlüssel (KEK) ](#uefisb-create-key-pair-2) + [ ### Schlüsselpaar 3: Erstellen Sie die Signaturdatenbank (db) ](#uefisb-create-key-pair-3) + [ ### Signieren Sie das Boot-Image (Kernel) mit dem privaten Schlüssel. ](#uefi-secure-boot-sign-kernel) ### Bereiten Sie die Erstellung der Schlüsselpaare vor Erstellen Sie vor dem Erstellen der Schlüsselpaare einen global eindeutigen Bezeichner (GUID), der bei der Schlüsselgenerierung verwendet werden soll. 1. [Stellen Sie eine Verbindung zur Instance her.](connect.md) 1. Führen Sie in der Eingabeaufforderung einen Shell-Befehl aus. ``` uuidgen --random > GUID.txt ``` ### Schlüsselpaar 1: Erstellen Sie den Plattformschlüssel (PK) Der PK ist der Vertrauensanker für UEFI Secure Boot-Instances. Die private PK wird verwendet, um den KEK zu aktualisieren, der wiederum dazu verwendet werden kann, autorisierte Schlüssel zur Signaturdatenbank (db) hinzuzufügen. Der X.509-Standard wird zum Erstellen des Schlüsselpaars verwendet. Informationen zum Standard finden Sie unter [X.509](https://en.wikipedia.org/wiki/X.509) auf *Wikipedia*. **So erstellen Sie den PK** 1. Erstellen Sie den Schlüssel. Sie müssen die Variable `PK` benennen. ``` openssl req -newkey rsa:4096 -nodes -keyout PK.key -new -x509 -sha256 -days 3650 -subj "/CN=Platform key/" -out PK.crt ``` Die folgenden Parameter werden angegeben: + `-keyout PK.key` – Die private Schlüsseldatei. + `-days 3650` – Die Anzahl der Tage, an denen das Zertifikat gültig ist. + `-out PK.crt` – Das Zertifikat, das zum Erstellen der UEFI-Variablen verwendet wird. + `CN=Platform key` – Der gemeinsame Name (common name, CN) für den Schlüssel. Sie können stattdessen den Namen Ihrer eigenen Organisation eingeben. *Platform key* 1. Erstellen Sie das Zertifikat. ``` openssl x509 -outform DER -in PK.crt -out PK.cer ``` 1. Wandeln Sie das Zertifikat in eine UEFI-Signaturliste um. ``` cert-to-efi-sig-list -g "$(< GUID.txt)" PK.crt PK.esl ``` 1. Signieren Sie die UEFI-Signaturliste mit dem privaten PK (selbstsigniert). ``` sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt PK PK.esl PK.auth ``` ### Schlüsselpaar 2: Erstellen Sie den Schlüsselaustauschschlüssel (KEK) Der private KEK wird verwendet, um Schlüssel zur Datenbank hinzuzufügen, was die Liste der autorisierten Signaturen darstellt, die im System gestartet werden sollen. **So erstellen Sie den KEK** 1. Erstellen Sie den Schlüssel. ``` openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=Key Exchange Key/" -out KEK.crt ``` 1. Erstellen Sie das Zertifikat. ``` openssl x509 -outform DER -in KEK.crt -out KEK.cer ``` 1. Wandeln Sie das Zertifikat in eine UEFI-Signaturliste um. ``` cert-to-efi-sig-list -g "$(< GUID.txt)" KEK.crt KEK.esl ``` 1. Signieren Sie die Signaturliste mit dem privaten PK. ``` sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt KEK KEK.esl KEK.auth ``` ### Schlüsselpaar 3: Erstellen Sie die Signaturdatenbank (db) Die db-Liste enthält autorisierte Schlüssel, die zum Booten auf dem System autorisiert sind. Um die Liste zu ändern, ist der private KEK erforderlich. Boot-Images werden mit dem privaten Schlüssel signiert, der in diesem Schritt erstellt wird. **So erstellen Sie den db** 1. Erstellen Sie den Schlüssel. ``` openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=Signature Database key/" -out db.crt ``` 1. Erstellen Sie das Zertifikat. ``` openssl x509 -outform DER -in db.crt -out db.cer ``` 1. Wandeln Sie das Zertifikat in eine UEFI-Signaturliste um. ``` cert-to-efi-sig-list -g "$(< GUID.txt)" db.crt db.esl ``` 1. Signieren Sie die Signaturliste mit dem privaten KEK. ``` sign-efi-sig-list -g "$(< GUID.txt)" -k KEK.key -c KEK.crt db db.esl db.auth ``` ### Signieren Sie das Boot-Image (Kernel) mit dem privaten Schlüssel. Für Ubuntu 22.04 erfordern die folgenden Images Signaturen. ``` /boot/efi/EFI/ubuntu/shimx64.efi /boot/efi/EFI/ubuntu/mmx64.efi /boot/efi/EFI/ubuntu/grubx64.efi /boot/vmlinuz ``` **So signieren Sie ein Image** Verwenden Sie die folgende Syntax, um ein Image zu signieren. ``` sbsign --key db.key --cert db.crt --output /boot/vmlinuz /boot/vmlinuz ``` **Anmerkung** Sie müssen alle neuen Kernel signieren. *`/boot/vmlinuz`* wird normalerweise einen Link zum zuletzt installierten Kernel führen. In der Dokumentation Ihrer Distribution erfahren Sie mehr über Ihre Bootchain und die erforderlichen Images. ¹ Vielen Dank an die ArchWiki Community für all die Arbeit, die sie geleistet hat. Die Befehle zum Erstellen des PK, zum Erstellen des KEK, zum Erstellen der Datenbank und zum Signieren des Images stammen aus [Creating keys](https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Creating_keys), das vom ArchWiki Wartungsteam and/or und den Mitwirkenden verfasst wurde. ArchWiki ## Aufgabe 2 – Option A: Fügen Sie innerhalb der Instance Schlüssel zum Variablenspeicher hinzu Nachdem Sie die [drei Schlüsselpaare](#uefi-secure-boot-create-three-key-pairs) erstellt haben, können Sie eine Verbindung zu Ihrer Instance herstellen und die Schlüssel innerhalb der Instance zum Variablenspeicher hinzufügen, indem Sie die folgenden Schritte ausführen. Führen Sie alternativ die Schritte unter [Aufgabe 2 – Option B: Erstellen Sie ein binäres Blob mit einem vorgefüllten Variablenspeicher](#uefi-secure-boot-optionB) aus. **Topics** + [ ### Schritt 1: Starten Sie eine Instance mit UEFI Secure Boot-Unterstützung ](#step1-launch-uefi-sb) + [ ### Schritt 2: Konfigurieren Sie eine Instance zur Unterstützung von UEFI Secure Boot ](#step2-launch-uefi-sb) + [ ### Schritt 3: Erstellen eines AMI Ihrer Instance ](#step3-launch-uefi-sb) ### Schritt 1: Starten Sie eine Instance mit UEFI Secure Boot-Unterstützung Wenn Sie mit den folgenden Voraussetzungen [eine Instance starten](LaunchingAndUsingInstances.md), kann die Instance dann für die Unterstützung von UEFI Secure Boot konfiguriert werden. Sie können die Unterstützung für UEFI Secure Boot nur für eine Instance beim Start aktivieren; Sie können sie später nicht aktivieren. **Voraussetzungen** + **AMI** – Das Linux-AMI muss den UEFI-Startmodus unterstützen. Um zu überprüfen, ob das AMI den UEFI-Startmodus unterstützt, muss der AMI-Startmodus-Parameter **uefi** sein. Weitere Informationen finden Sie unter [Den Bootmodus-Parameter für ein Amazon-EC2-AMI bestimmen](ami-boot-mode.md). Beachten Sie, dass AWS nur Linux AMIs so konfiguriert ist, dass es UEFI für Graviton-basierte Instance-Typen unterstützt. AWS stellt derzeit kein x86\$164-Linux AMIs bereit, das den UEFI-Boot-Modus unterstützt. Sie können Ihr eigenes AMI so konfigurieren, dass es den UEFI-Boot-Modus für alle Architekturen unterstützt. Um ein Ihren eigenes AMI für die Unterstützung des UEFI-Startmodus zu konfigurieren, müssen Sie eine Reihe von Konfigurationsschritten auf Ihrem eigenen AMI durchführen. Weitere Informationen finden Sie unter [Den Bootmodus eines Amazon-EC2-AMIs festlegen](set-ami-boot-mode.md). + **Instance-Typ** – Alle virtualisierten Instance-Typen, die UEFI unterstützen, unterstützen auch UEFI Secure Boot. Bare-Metal-Instance-Typen unterstützen UEFI Secure Boot nicht. Informationen zu den Instance-Typen, die UEFI Secure Boot unterstützen, finden Sie unter [Anforderungen für den UEFI-Bootmodus](launch-instance-boot-mode.md). + Starten Sie Ihre Instance nach dem Veröffentlichen von UEFI Secure Boot. Nur Instances, die nach dem 10. Mai 2022 (als UEFI Secure Boot veröffentlicht wurde) gestartet wurden, können UEFI Secure Boot unterstützen. Nachdem Sie Ihre Instance gestartet haben, können Sie überprüfen, ob sie für die Unterstützung von UEFI Secure Boot konfiguriert werden kann (mit anderen Worten, Sie können mit [Schritt 2](#step2-launch-uefi-sb) fortfahren), indem Sie prüfen, ob UEFI-Daten vorhanden sind. Das Vorhandensein von UEFI-Daten weist darauf hin, dass nichtflüchtige Daten beibehalten werden. **So überprüfen Sie, ob die Instance für Schritt 2 bereit ist** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) und geben Sie die Instance-ID an. ``` aws ec2 get-instance-uefi-data --instance-id i-1234567890abcdef0 ``` Die Instance ist bereit für Schritt 2, wenn UEFI-Daten in der Ausgabe vorhanden sind. Wenn die Ausgabe leer ist, kann die Instance nicht für die Unterstützung von UEFI Secure Boot konfiguriert werden. Dies kann passieren, wenn Ihre Instance gestartet wurde, bevor die UEFI Secure Boot-Unterstützung verfügbar wurde. Starten Sie eine neue Instance und versuchen Sie es erneut. ### Schritt 2: Konfigurieren Sie eine Instance zur Unterstützung von UEFI Secure Boot #### Registrieren Sie die Schlüsselpaare in Ihrem UEFI-Variablenspeicher in der Instance **Warnung** Sie müssen Ihre Boot-Images signieren, *nachdem* Sie die Schlüssel registriert haben, sonst können Sie Ihre Instance nicht starten. Nachdem Sie die signierten UEFI-Signaturlisten (`PK`, `KEK` und `db`) erstellt haben, müssen sie bei der UEFI-Firmware registriert sein. Schreiben in der `PK`-Variablen ist nur möglich, wenn: + Es ist noch keine PK angemeldet, was angegeben wird, wenn die `SetupMode`Variable `1` ist. Prüfen Sie dies mit dem folgenden Befehl: Die Ausgabe ist entweder `1` oder `0`. ``` efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode ``` + Die neue PK ist durch den privaten Schlüssel der bestehenden PK signiert. **So melden Sie die Schlüssel in Ihrem UEFI-Variablenspeicher an** Die folgenden Befehle müssen in der Instance ausgeführt werden. Wenn aktiviert SetupMode ist (der Wert ist`1`), können die Schlüssel registriert werden, indem die folgenden Befehle auf der Instanz ausgeführt werden: ``` [ec2-user ~]$ efi-updatevar -f db.auth db ``` ``` [ec2-user ~]$ efi-updatevar -f KEK.auth KEK ``` ``` [ec2-user ~]$ efi-updatevar -f PK.auth PK ``` **So überprüfen Sie, ob UEFI Secure Boot aktiviert ist** Führen Sie die Schritte unter [Überprüfen, ob eine Amazon-EC2-Instance für UEFI Secure Boot aktiviert ist](verify-uefi-secure-boot.md) aus, um zu überprüfen, ob UEFI Secure Boot aktiviert ist. Sie können Ihren UEFI-Variablenspeicher jetzt mit dem CLI-Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) exportieren oder mit dem nächsten Schritt fortfahren und Ihre Boot-Images signieren, um sie in einer UEFI Secure Boot-fähigen Instance neu zu starten. ### Schritt 3: Erstellen eines AMI Ihrer Instance Um ein AMI aus der Instance zu erstellen, können Sie die Konsole oder die `CreateImage` API, CLI oder verwenden SDKs. Informationen zur Verwendung der Konsole finden Sie unter [Ein Amazon-EBS-gestütztes AMI erstellen](creating-an-ami-ebs.md). Die API-Anweisungen finden Sie unter [CreateImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html). **Anmerkung** Die `CreateImage`-API kopiert den UEFI-Variablenspeicher der Instance automatisch in das AMI. Die Konsole verwendet die `CreateImage`-API. Nachdem Sie Instances mit diesem AMI gestartet haben, haben die Instances denselben UEFI-Variablenspeicher. ## Aufgabe 2 – Option B: Erstellen Sie ein binäres Blob mit einem vorgefüllten Variablenspeicher Nachdem Sie die [drei Schlüsselpaare](#uefi-secure-boot-create-three-key-pairs) erstellt haben, können Sie ein binäres Blob erstellen, das einen vorgefüllten Variablenspeicher enthält, der die UEFI Secure Boot-Schlüssel enthält. Führen Sie alternativ die Schritte unter [Aufgabe 2 – Option A: Fügen Sie innerhalb der Instance Schlüssel zum Variablenspeicher hinzu](#uefi-secure-boot-optionA) aus. **Warnung** Sie müssen Ihre Boot-Images signieren, *bevor* Sie die Schlüssel registrieren, sonst können Sie Ihre Instance nicht starten. **Topics** + [ ### Schritt 1: Erstellen Sie einen neuen Variablenspeicher oder aktualisieren Sie einen vorhandenen ](#uefi-secure-boot-create-or-update-variable) + [ ### Schritt 2: Hochladen des binären Blobs bei der AMI-Erstellung ](#uefi-secure-boot-upload-binary-blob-on-ami-creation) ### Schritt 1: Erstellen Sie einen neuen Variablenspeicher oder aktualisieren Sie einen vorhandenen Sie können den Variablenspeicher *offline* ohne eine laufende Instance erstellen, indem Sie das Python-Uefivars-Tool verwenden. Das Tool kann aus Ihren Schlüsseln einen neuen Variablenspeicher erstellen. Das Skript unterstützt derzeit das EDK2 Format, das AWS Format und eine JSON-Darstellung, die mit Tools auf höherer Ebene einfacher zu bearbeiten ist. **So erstellen Sie den Variablenspeicher offline ohne laufende Instance** 1. Laden Sie das Tool unter folgendem Link herunter. ``` https://github.com/awslabs/python-uefivars ``` 1. Erstellen Sie einen neuen Variablenspeicher von Ihren Schlüsseln, indem Sie den folgenden Befehl ausführen. Dadurch wird ein Base64-kodierter Binär-Blob in .bin erstellt. *your\$1binary\$1blob* Das Tool unterstützt auch das Aktualisieren eines binären Blobs über die `-I`-Parameter. ``` ./uefivars.py -i none -o aws -O your_binary_blob.bin -P PK.esl -K KEK.esl --db db.esl --dbx dbx.esl ``` ### Schritt 2: Hochladen des binären Blobs bei der AMI-Erstellung Verwenden Sie [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) um Ihre UEFI-Variablenspeicherdaten zu übergeben. Geben Sie für den Parameter `--uefi-data` geben Sie Ihr binäres Blob an, und geben Sie für den Parameter `--boot-mode` `uefi` an. ``` aws ec2 register-image \ --name uefi_sb_tpm_register_image_test \ --uefi-data $(cat your_binary_blob.bin) \ --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId=snap-0123456789example,DeleteOnTermination=true}" \ --architecture x86_64 \ --root-device-name /dev/sda1 \ --virtualization-type hvm \ --ena-support \ --boot-mode uefi ``` # Erstellen Sie den AWS binären Blob für UEFI Secure Boot Sie können die folgenden Schritte ausführen, um die UEFI Secure Boot-Variablen während der AMI-Erstellung anzupassen. Der KEK, der in diesen Schritten verwendet wird, ist auf dem Stand von September 2021. Wenn Microsoft den KEK aktualisiert, müssen Sie den neuesten KEK verwenden. **Um den AWS binären Blob zu erstellen** 1. Erstellen Sie eine leere PK-Signaturliste. ``` touch empty_key.crt cert-to-efi-sig-list empty_key.crt PK.esl ``` 1. Laden Sie die KEK-Zertifikate herunter. ``` https://go.microsoft.com/fwlink/?LinkId=321185 ``` 1. Verpacken Sie die KEK-Zertifikate in einer UEFI-Signaturliste (`siglist`). ``` sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt ``` 1. Laden Sie Microsofts DB-Zertifikate herunter. ``` https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt ``` 1. Generieren Sie die DB-Signaturliste. ``` sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl ``` 1. Das Unified Extensible Firmware Interface Forum stellt die DBX-Dateien nicht mehr zur Verfügung. Sie werden jetzt von Microsoft am bereitgestellt GitHub. Laden Sie das neueste DBX-Update aus dem Microsoft Secure Boot-Updates-Repository unter [https://github.com/microsoft/secureboot\$1objects](https://github.com/microsoft/secureboot_objects) herunter. 1. Entpacken Sie die signierte Update-Binärdatei. Erstellen Sie `SplitDbxContent.ps1` mit dem folgenden Skriptinhalt. [Alternativ können Sie das Skript aus der Galerie mit installieren. PowerShell ](https://www.powershellgallery.com/packages/SplitDbxContent/1.0) `Install-Script -Name SplitDbxContent` ``` <#PSScriptInfo .VERSION 1.0 .GUID ec45a3fc-5e87-4d90-b55e-bdea083f732d .AUTHOR Microsoft Secure Boot Team .COMPANYNAME Microsoft .COPYRIGHT Microsoft .TAGS Windows Security .LICENSEURI .PROJECTURI .ICONURI .EXTERNALMODULEDEPENDENCIES .REQUIREDSCRIPTS .EXTERNALSCRIPTDEPENDENCIES .RELEASENOTES Version 1.0: Original published version. #> <# .DESCRIPTION Splits a DBX update package into the new DBX variable contents and the signature authorizing the change. To apply an update using the output files of this script, try: Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite' .EXAMPLE .\SplitDbxAuthInfo.ps1 DbxUpdate_x64.bin #> # Get file from script input $file = Get-Content -Encoding Byte $args[0] # Identify file signature $chop = $file[40..($file.Length - 1)] if (($chop[0] -ne 0x30) -or ($chop[1] -ne 0x82 )) { Write-Error "Cannot find signature" exit 1 } # Signature is known to be ASN size plus header of 4 bytes $sig_length = ($chop[2] * 256) + $chop[3] + 4 $sig = $chop[0..($sig_length - 1)] if ($sig_length -gt ($file.Length + 40)) { Write-Error "Signature longer than file size!" exit 1 } # Content is everything else $content = $file[0..39] + $chop[$sig_length..($chop.Length - 1)] # Write signature and content to files Set-Content -Encoding Byte signature.p7 $sig Set-Content -Encoding Byte content.bin $content ``` Verwenden Sie das Skript, um die signierten DBX-Dateien zu entpacken. ``` PS C:\Windows\system32> SplitDbxContent.ps1 .\dbx.bin ``` Dadurch werden zwei Dateien erzeugt – `signature.p7` und `content.bin`. Verwenden Sie `content.bin` im nächsten Schritt. 1. Erstellen Sie einen UEFI-Variablenspeicher mit dem `uefivars.py`-Skript. ``` ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/content.bin ``` 1. Prüfen Sie das binäre Blob und den UEFI-Variablenspeicher. ``` ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less ``` 1. Sie können das Blob aktualisieren, indem Sie es erneut an dasselbe Tool übergeben. ``` ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/content.bin ``` Erwartete Ausgabe ``` Replacing PK Replacing KEK Replacing db Replacing dbx ``` # Verschlüsselung mit EBS-gestützter Verschlüsselung verwenden AMIs AMIs die durch Amazon EBS-Snapshots unterstützt werden, können die Vorteile der Amazon EBS-Verschlüsselung nutzen. Snapshots von Daten- und Stamm-Volumes können verschlüsselt und einem AMI zugeordnet werden. Sie können Instances starten und Images mit vollständiger EBS-Verschlüsselungsunterstützung kopieren. Verschlüsselungsparameter für diese Operationen werden in allen Regionen unterstützt, in denen sie AWS KMS verfügbar sind. EC2-Instances mit verschlüsselten EBS-Volumes werden auf die gleiche Weise wie andere Instances gestartet. AMIs Zudem können Sie einige oder alle Volumes während des Starts verschlüsseln, wenn Sie eine Instance von einem AMI starten, das von unverschlüsselten EBS-Snapshots unterstützt wird. Wie bei EBS-Volumes AMIs können Snapshots entweder standardmäßig oder mit einem von Ihnen angegebenen AWS KMS key, vom Kunden verwalteten Schlüssel verschlüsselt werden. In allen Fällen müssen Sie die Berechtigung haben, den ausgewählten Verschlüsselung zu verwenden. AMIs mit verschlüsselten Snapshots können sie von mehreren Konten gemeinsam genutzt werden. AWS Weitere Informationen finden Sie unter [Grundlegendes zur gemeinsamen AMI-Nutzung in Amazon EC2](sharing-amis.md). **Topics** + [ ## Instance-startende Szenarien ](#AMI-encryption-launch) + [ ## Image-kopierende Szenarien ](#AMI-encryption-copy) ## Instance-startende Szenarien Amazon EC2 EC2-Instances werden AMIs mithilfe der `RunInstances` Aktion mit Parametern gestartet, die über die Blockgerätezuweisung bereitgestellt werden, entweder über die Amazon EC2-API oder CLI AWS-Managementkonsole oder direkt mithilfe der Amazon EC2 EC2-API oder CLI. Weitere Informationen finden Sie unter [Blockgerät-Zuweisungen auf Amazon-EC2-Instances blockieren](block-device-mapping-concepts.md). Beispiele für die Steuerung der Blockgerätezuweisung über die AWS CLI finden Sie unter [EC2-Instances starten, auflisten und beenden](https://docs.aws.amazon.com/cli/latest/userguide/cli-services-ec2-instances.html). Ohne explizite Verschlüsselungsparameter behält eine `RunInstances`-Aktion standardmäßig den bestehenden Verschlüsselungsstatus der Quell-Snapshots eines AMI bei, während EBS-Volumes von diesen wiederhergestellt werden. Wenn standardmäßige Verschlüsselung aktiviert ist, werden alle Volumes, die aus dem AMI erstellt werden (ob aus verschlüsselten oder unverschlüsselten Snapshots), verschlüsselt. Wenn die Verschlüsselung standardmäßig nicht aktiviert ist, behält die Instance den Verschlüsselungsstatus der AMI bei. Sie können auch eine Instance starten und gleichzeitig einen neuen Verschlüsselungsstatus auf die sich ergebenden Volumes anwenden, indem Sie Verschlüsselungsparameter angeben. Folglich werden die folgenden Verhaltensweisen beobachtet: **Starten ohne Verschlüsselungsparameter** + Ein unverschlüsselter Snapshot wird in ein unverschlüsseltes Volume wiederhergestellt, es sei denn, die standardmäßige Verschlüsselung ist aktiviert. In diesem Fall werden alle neu erstellten Volumes verschlüsselt. + Ein verschlüsselter Snapshot, den Sie besitzen, wird in ein Volume wiederhergestellt, das mit demselben Verschlüsselung verschlüsselt wird. + Ein verschlüsselter Snapshot, der Ihnen nicht gehört (z. B. wenn das AMI mit Ihnen geteilt wird), wird auf einem Volume wiederhergestellt, das mit dem Standard-KMS-Schlüssel Ihres AWS Kontos verschlüsselt ist. Durch Angeben von Verschlüsselungsparametern können die Standard-Verhaltensweisen überschrieben werden. Die verfügbaren Parameter sind `Encrypted` und `KmsKeyId`. Werden nur die `Encrypted`-Parameter festgelegt, ergibt sich Folgendes: **Instance-Start-Verhaltensweisen, wenn `Encrypted` festgelegt, aber keine `KmsKeyId` angegeben ist** + Ein unverschlüsselter Snapshot wird in einem EBS-Volume wiederhergestellt, das mit dem Standard-KMS-Schlüssel Ihres AWS -Kontos verschlüsselt wird. + Ein verschlüsselter Snapshot, den Sie besitzen, wird in ein EBS-Volume wiederhergestellt, das mit demselben Verschlüsselung verschlüsselt wird. (Mit anderen Worten, der `Encrypted`-Parameter ist wirkungslos.) + Ein verschlüsselter Snapshot, der Ihnen nicht gehört (d. h., das AMI wird mit Ihnen geteilt), wird auf einem Volume wiederhergestellt, das mit dem Standard-KMS-Schlüssel Ihres AWS Kontos verschlüsselt ist. (Mit anderen Worten, der `Encrypted`-Parameter ist wirkungslos.) Durch Festlegen der Parameter `Encrypted` und `KmsKeyId` können Sie einen nicht standardmäßigen Verschlüsselung für eine Verschlüsselungsoperation angeben. Dadurch ergeben sich die folgenden Verhaltensweisen: **Instance, bei der `Encrypted` und `KmsKeyId` festgelegt sind** + Ein unverschlüsselter Snapshot wird in ein EBS-Volume wiederhergestellt, das mit dem angegebenen Verschlüsselung verschlüsselt wird. + Ein verschlüsselter Snapshot wird in ein EBS-Volume wiederhergestellt, das nicht mit dem ursprünglichen Verschlüsselung, sondern mit dem angegebenen Verschlüsselung verschlüsselt wird. Das Senden einer `KmsKeyId` ohne Festlegen des `Encrypted`-Parameters führt zu einem Fehler. Die folgenden Abschnitte enthalten Beispiele für das Starten von Instances AMIs mit nicht standardmäßigen Verschlüsselungsparametern. In jedem dieser Szenarien ergibt sich durch die in der `RunInstances`-Aktionen bereitgestellten Parameter eine Änderung des Verschlüsselungsstatus während der Wiederherstellung eines Volumes aus einem Snapshot. Informationen zur Verwendung der Konsole zum Starten einer Instance von einem AMI aus finden Sie unter [Starten Sie eine Amazon-EC2-Instance](LaunchingAndUsingInstances.md). ### Verschlüsseln eines Volumes während des Startens In diesem Beispiel wird ein von einem unverschlüsselten Snapshot unterstütztes AMI verwendet, um eine EC2-Instance mit einem verschlüsselten EBS-Volume zu starten. ![\[Starten Sie die Instance und verschlüsseln Sie das Volume im laufenden Betrieb.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-launch-convert.png) Der Parameter `Encrypted` für sich allein bewirkt, dass das Volume für diese Instance verschlüsselt wird. Die Angabe eines Parameters `KmsKeyId` ist optional. Wenn keine KMS-Schlüssel-ID angegeben ist, wird der Standard-KMS-Schlüssel des AWS Kontos zur Verschlüsselung des Volumes verwendet. Geben Sie den Parameter `KmsKeyId` an, um das Volume mit einem anderen eigenen Verschlüsselung zu verschlüsseln. ### Neuverschlüsseln eines Volumes während des Startens In diesem Beispiel wird ein von einem verschlüsselten Snapshot unterstütztes AMI verwendet, um eine EC2-Instance mit einem EBS-Volume zu starten, das mit einem neuen Verschlüsselung verschlüsselt wird. ![\[Starten Sie die Instance und verschlüsseln Sie das Volume im laufenden Betrieb neu.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-launch-encrypted.png) Wenn Sie das AMI besitzen und keine Verschlüsselungsparameter angeben, verfügt die resultierende Instance über ein Volume, das mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt wird. Wenn das AMI gemeinsam genutzt wird und nicht Ihnen gehört – und Sie keine Verschlüsselungsparameter angeben – wird das Volume mit Ihrem Standard-Verschlüsselung verschlüsselt. Werden die Verschlüsselungsparameter wie gezeigt angegeben, wird das Volume mit dem angegebenen Verschlüsselung verschlüsselt. ### Ändern des Verschlüsselungsstatus mehrerer Volumes während des Startens In diesem komplexeren Beispiel wird ein von mehreren Snapshots unterstütztes AMI (jedes mit einem eigenen Verschlüsselungsstatus) verwendet, um eine EC2-Instance mit einem neu verschlüsselten und einem erneut verschlüsselten Volume zu starten. ![\[Verschlüsseln und Neuverschlüsseln Sie mehrere Volumes während des Startens.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-launch-mixed.png) In diesem Szenario wird die `RunInstances`-Aktion mit Verschlüsselungsparametern für jeden der Quell-Snapshots bereitgestellt. Wenn alle möglichen Verschlüsselungsparameter angegeben sind, ist die sich ergebende Instance unabhängig davon, ob Sie die AMI besitzen, identisch. ## Image-kopierende Szenarien Amazon EC2 AMIs werden mithilfe der `CopyImage` Aktion entweder über die Amazon EC2-API oder CLI AWS-Managementkonsole oder direkt über die Amazon EC2 EC2-API oder CLI kopiert. Ohne explizite Verschlüsselungsparameter behält eine `CopyImage`-Aktion standardmäßig den bestehenden Verschlüsselungsstatus der Quell-Snapshots eines AMI während des Kopierens bei. Sie können auch ein AMI kopieren und gleichzeitig einen neuen Verschlüsselungsstatus auf seine zugeordneten EBS-Snapshots anwenden, indem Sie Verschlüsselungsparameter angeben. Folglich werden die folgenden Verhaltensweisen beobachtet: **Kopieren ohne Verschlüsselungsparameter** + Ein unverschlüsselter Snapshot wird in einen anderen unverschlüsselten Snapshot kopiert, es sei denn, die standardmäßige Verschlüsselung ist aktiviert. In diesem Fall werden alle neu erstellten Snapshots verschlüsselt. + Ein verschlüsselter Snapshot, den Sie besitzen, wird in einen Snapshot kopiert, der mit demselben Verschlüsselung verschlüsselt wird. + Ein verschlüsselter Snapshot, der Ihnen nicht gehört (d. h., das AMI wird mit Ihnen geteilt), wird in einen Snapshot kopiert, der mit dem Standard-KMS-Schlüssel Ihres AWS Kontos verschlüsselt ist. All diese Standard-Verhaltensweisen können durch Angeben von Verschlüsselungsparametern überschrieben werden. Die verfügbaren Parameter sind `Encrypted` und `KmsKeyId`. Werden nur die `Encrypted`-Parameter festgelegt, ergibt sich Folgendes: **Copy-image-Verhaltensweisen, wenn `Encrypted` festgelegt, aber keine `KmsKeyId` angegeben ist** + Ein unverschlüsselter Snapshot wird in einen Snapshot kopiert, der mit dem Standard-KMS-Schlüssel des AWS -Kontos verschlüsselt wird. + Ein verschlüsselter Snapshot wird in einen Snapshot kopiert, der mit demselben Verschlüsselung verschlüsselt wird. (Mit anderen Worten, der `Encrypted`-Parameter ist wirkungslos.) + Ein verschlüsselter Snapshot, der Ihnen nicht gehört (d. h., das AMI wird mit Ihnen geteilt), wird auf ein Volume kopiert, das mit dem Standard-KMS-Schlüssel Ihres AWS Kontos verschlüsselt ist. (Mit anderen Worten, der `Encrypted`-Parameter ist wirkungslos.) Durch Festlegen der Parameter `Encrypted` und `KmsKeyId` können Sie einen kundenverwalteten Verschlüsselung für eine Verschlüsselungsoperation angeben. Dadurch ergeben sich die folgenden Verhaltensweisen: **Copy-image-Verhaltensweisen, wenn `Encrypted` und `KmsKeyId` festgelegt sind** + Ein unverschlüsselter Snapshot wird in einen Snapshot kopiert, der mit dem angegebenen Verschlüsselung verschlüsselt wird. + Ein verschlüsselter Snapshot wird in einen Snapshot kopiert, der nicht mit dem ursprünglichen Verschlüsselung, sondern mit dem angegebenen Verschlüsselung verschlüsselt wird. Das Senden einer `KmsKeyId` ohne Festlegen des `Encrypted`-Parameters führt zu einem Fehler. Der folgende Abschnitt enthält ein Beispiel für das Kopieren eines AMI mit nicht standardmäßigen Verschlüsselungsparametern, wodurch sich der Verschlüsselungsstatus ändert. Detaillierte Anweisungen zur Verwendung der Konsole finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md). ### Verschlüsseln eines unverschlüsselten Images während des Kopierens In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot unterstütztes AMI in ein AMI mit einem verschlüsselten Stamm-Snapshot kopiert. Die Aktion `CopyImage` wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich eines vom Kunden verwalteten Schlüssels. Dadurch ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI durch einen Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt wird. In beiden Fällen fallen Speicherkosten für die Snapshots sowie Gebühren für alle Instances anAMIs, die Sie von einem der beiden AMI aus starten. **Anmerkung** Das Aktivieren von standardmäßige Verschlüsselung hat die gleiche Wirkung wie das Festlegen des `Encrypted`-Parameters auf `true` für alle Snapshots im AMI. ![\[Kopieren des AMI und verschlüsseln des Snapshots im laufenden Betrieb\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png) Wenn der `Encrypted`-Parameter festgelegt wird, wird der einzige Snapshot für diese Instance verschlüsselt. Wenn Sie den `KmsKeyId`-Parameter nicht angeben, wird der standardmäßige vom Kunden verwaltete Schlüssel zum Verschlüsseln der Snapshot-Kopie verwendet. **Anmerkung** Sie können auch ein Image mit mehreren Snapshots kopieren und den Verschlüsselungsstatus individuell konfigurieren. # Grundlegendes zur gemeinsamen AMI-Nutzung in Amazon EC2 Ein *gemeinsames AMI* ist ein AMI, das ein Entwickler nach der Erstellung für Andere verfügbar macht. Eine der einfachsten Möglichkeiten zum Einstieg in Amazon EC2 ist die Verwendung eines gemeinsamen AMI, dessen Komponenten Sie benötigen, und das Hinzufügen von benutzerdefinierten Inhalten. Du kannst auch eigene erstellen AMIs und sie mit anderen teilen. Die Verwendung gemeinsamer AMIs erfolgt auf eigenes Risiko. Amazon kann die Integrität oder Sicherheit von AMIs, die von anderen Amazon EC2-Benutzern geteilt werden, nicht gewährleisten. Daher sollten Sie gemeinsam genutzten Code AMIs genauso behandeln wie jeden fremden Code, den Sie möglicherweise in Ihrem eigenen Rechenzentrum einsetzen möchten, und die entsprechende Sorgfaltspflicht walten lassen. Wir empfehlen Ihnen, eine AMI von einer vertrauenswürdigen Quelle zu beziehen, beispielsweise von einem verifizierten Anbieter. ## Verifizierter Anbieter In der Amazon EC2 EC2-Konsole werden öffentliche AMIs Inhalte, die Amazon oder einem verifizierten Amazon-Partner gehören, als **Verifizierter Anbieter** gekennzeichnet. Sie können auch den AWS CLI Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) verwenden, um öffentliche Inhalte zu identifizieren, die von einem AMIs verifizierten Anbieter stammen. Öffentliche Images, die im Besitz von Amazon oder einem verifizierten Partner sind, haben einen Aliasbesitzer, der entweder `amazon`, `aws-backup-vault` oder `aws-marketplace` ist. In der CLI-Ausgabe erscheinen diese Werte für `ImageOwnerAlias`. Andere Benutzer können ihre nicht mit einem Alias versehen. AMIs Auf diese Weise können Sie ganz einfach AMIs bei Amazon oder verifizierten Partnern suchen. Um ein verifizierter Anbieter zu werden, müssen Sie sich als Verkäufer auf der AWS Marketplace registrieren. Nach der Registrierung können Sie Ihr AMI auf der AWS Marketplace auflisten. Weitere Informationen finden Sie unter [Erste Schritte als Verkäufer](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) und [AMI-basierte Produkte](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) im *AWS Marketplace -Verkäuferhandbuch*. **Topics** + [ ## Verifizierter Anbieter ](#verified-ami-provider) + [ # Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen ](usingsharedamis-finding.md) + [ # Bereiten Sie sich auf die Verwendung von Shared für Linux AMIs vor ](usingsharedamis-confirm.md) + [ # Steuern Sie die Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs ](ec2-allowed-amis.md) + [ # Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen ](sharingamis-intro.md) + [ # Verstehen Sie, öffentlichen Zugriff sperren für AMIs ](block-public-access-to-amis.md) + [ # Ein AMI für bestimmte Organisationen oder Organisationseinheiten freigeben ](share-amis-with-organizations-and-OUs.md) + [ # Teilen Sie ein AMI mit bestimmten AWS Konten ](sharingamis-explicit.md) + [ # Kündigen Sie die gemeinsame Nutzung eines AMI mit Ihrem AWS-Konto ](cancel-sharing-an-AMI.md) + [ # Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs ](building-shared-amis.md) **Wenn Sie nach Informationen zu anderen Themen suchen** + Weitere Informationen über die Erstellung eines AMI finden Sie unter [Ein Amazon-S3-gestütztes AMI erstellen](creating-an-ami-instance-store.md) oder [Ein Amazon-EBS-gestütztes AMI erstellen](creating-an-ami-ebs.md). + Informationen zum Erstellen, Bereitstellen und Verwalten Ihrer Anwendungen auf der AWS Marketplace finden Sie in der [AWS Marketplace -Dokumentation](https://docs.aws.amazon.com/marketplace/). # Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen Sie können die Amazon-EC2-Konsole oder die Befehlszeilenschnittstelle verwenden, um öffentliche oder private freigegebene AMIs zu suchen, die Sie für Ihre Amazon-EC2-Instances verwenden können. AMIs sind eine regionale Ressource. Wenn Sie also nach einem gemeinsamen AMI (öffentlich oder privat) suchen, müssen Sie in derselben Region danach suchen, aus der es freigegeben wird. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md). ------ #### [ Console ] Die Konsole bietet ein AMI-Filterfeld. Sie können Ihre Suchanfragen auch mithilfe der Filter im **Suchfeld** eingrenzen. **So suchen Sie ein freigegebenes AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie beim ersten Filter eine der folgenden Optionen aus: + **Private Bilder** — Listet alle auf AMIs , die mit Ihnen geteilt wurden. + **Öffentliche Bilder** — Listet alle öffentlichen Bilder auf AMIs. 1. (Optional) Um nur die öffentlichen Images von Amazon anzuzeigen, wählen Sie das Feld **Suche** und wählen Sie dann aus den Menüoptionen **Besitzer-Alias**, dann **=** und dann **amazon**. 1. (Optional) Fügen Sie Filter hinzu, um Ihre Suche AMIs so einzugrenzen, dass sie Ihren Anforderungen entsprechen. **So suchen Sie ein gemeinsames öffentliches AMI von einem [verifizierten Anbieter](sharing-amis.md#verified-ami-provider)** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich die Option **AMI-Katalog** aus. 1. Wählen Sie **Community AMIs**. 1. Wählen Sie im Bereich **Ergebnisse verfeinern** die Option **Verifizierter Anbieter** aus. Das Label **Verifizierter Anbieter** gibt an, dass AMIs sie von Amazon oder einem verifizierten Partner stammen. ------ #### [ AWS CLI ] Verwenden Sie zum [Auflisten den Befehl describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). AMIs Sie können die Liste auf die Typen beschränken AMIs , die Sie interessieren, wie in den folgenden Beispielen gezeigt. **Um alle öffentlichen Inhalte aufzulisten AMIs** Der folgende Befehl listet alle öffentlichen Dateien auf AMIs, einschließlich aller öffentlichen Dateien AMIs , deren Eigentümer Sie sind. ``` aws ec2 describe-images --executable-users all ``` **Zur Liste AMIs mit expliziten Startberechtigungen** Der folgende Befehl listet die auf, AMIs für die Sie explizite Startberechtigungen haben. Diese Liste enthält keine AMIs , die Sie besitzen. ``` aws ec2 describe-images --executable-users self ``` **Zur Liste, die verifizierten Anbietern AMIs gehört** Der folgende Befehl listet die Anbieter auf, die AMIs sich im Besitz [verifizierter Anbieter](sharing-amis.md#verified-ami-provider) befinden. Öffentliche AMIs Eigentümer verifizierter Anbieter (entweder Amazon oder verifizierte Partner) haben einen Aliasinhaber, der `aws-marketplace` im Kontofeld als `amazon``aws-backup-vault`, oder angezeigt wird. Auf diese Weise können Sie problemlos AMIs verifizierte Anbieter finden. Andere Benutzer können ihre nicht mit einem Alias versehenAMIs. ``` aws ec2 describe-images \ --owners amazon aws-marketplace \ --query 'Images[*].[ImageId]' \ --output text ``` **Zur Liste, die einem Konto AMIs gehört** Der folgende Befehl listet die Objekte auf, die dem angegebenen Benutzer AMIs gehören AWS-Konto. ``` aws ec2 describe-images --owners 123456789012 ``` **Um einen Bereich AMIs mithilfe eines Filters zu verwenden** Um die Anzahl der angezeigten Typen zu reduzieren AMIs, verwenden Sie einen Filter, um nur die Typen aufzulistenAMIs , die Sie interessieren. Verwenden Sie beispielsweise den folgenden Filter, um nur AMIs EBS-gestützte Daten anzuzeigen. ``` --filters "Name=root-device-type,Values=ebs" ``` ------ #### [ PowerShell ] Verwenden Sie das [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)Cmdlet (Tools für Windows PowerShell) zum Auflisten. AMIs Sie können die Liste auf die Typen beschränken AMIs , die Sie interessieren, wie in den folgenden Beispielen gezeigt. **Um alle öffentlichen Inhalte aufzulisten AMIs** Der folgende Befehl listet alle öffentlichen Dateien auf AMIs, einschließlich aller öffentlichen Dateien AMIs , deren Eigentümer Sie sind. ``` Get-EC2Image -ExecutableUser all ``` **Zur Liste AMIs mit expliziten Startberechtigungen** Der folgende Befehl listet die auf, AMIs für die Sie explizite Startberechtigungen haben. Diese Liste enthält keine AMIs , die Sie besitzen. ``` Get-EC2Image -ExecutableUser self ``` **Zur Liste, die verifizierten Anbietern AMIs gehört** Der folgende Befehl listet die Anbieter auf, die AMIs sich im Besitz [verifizierter Anbieter](sharing-amis.md#verified-ami-provider) befinden. Öffentliche AMIs Eigentümer verifizierter Anbieter (entweder Amazon oder verifizierte Partner) haben einen Aliasinhaber, der `aws-marketplace` im Kontofeld als `amazon``aws-backup-vault`, oder angezeigt wird. Auf diese Weise können Sie problemlos AMIs verifizierte Anbieter finden. Andere Benutzer können ihre nicht mit einem Alias versehenAMIs. ``` Get-EC2Image -Owner amazon aws-marketplace ``` **Zur Liste, die einem Konto AMIs gehört** Der folgende Befehl listet die Objekte auf, die dem angegebenen Benutzer AMIs gehören AWS-Konto. ``` Get-EC2Image -Owner 123456789012 ``` **Um einen Bereich AMIs mithilfe eines Filters zu verwenden** Um die Anzahl der angezeigten Typen zu reduzieren AMIs, verwenden Sie einen Filter, um nur die Typen aufzulistenAMIs , die Sie interessieren. Verwenden Sie beispielsweise den folgenden Filter, um nur AMIs EBS-gestützte Daten anzuzeigen. ``` -Filter @{Name="root-device-type"; Values="ebs"} ``` ------ # Bereiten Sie sich auf die Verwendung von Shared für Linux AMIs vor Bevor Sie ein freigegebenes AMI für Linux verwenden, führen Sie die folgenden Schritte durch, um sicherzustellen, dass keine vorinstallierten Anmeldeinformationen vorhanden sind, die einem Dritten unerwünschten Zugriff auf Ihre Instance ermöglichen würden, und dass keine vorkonfigurierte Fernprotokollierung vorhanden ist, die sensible Daten an Dritte übertragen könnte. Informationen zur Erhöhung der Systemsicherheit finden Sie in der Dokumentation für die von der AMI verwendete Linux-Distribution. Damit Sie den Zugriff auf die Instance nicht unabsichtlich verlieren, empfehlen wir das Initiieren von zwei SSH-Sitzungen, wobei eine Sitzung offen bleibt, bis Sie alle unbekannten Anmeldeinformationen entfernt und bestätigt haben, dass Sie sich noch immer mit SSH in Ihrer Instance anmelden können. 1. Ermitteln Sie nicht autorisierte öffentliche SSH-Schlüssel und deaktivieren Sie sie. Der einzige Schlüssel in der Datei sollte der zum Starten des AMI verwendete sein. Mit dem folgenden Befehl suchen Sie `authorized_keys`-Dateien: ``` [ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \; ``` 1. Deaktivieren Sie Passwort-basierte Authentifizierung für den Root-Benutzer. Öffnen Sie die Datei `sshd_config` und bearbeiten Sie die `PermitRootLogin`-Zeile wie folgt: ``` PermitRootLogin without-password ``` Alternativ können Sie die Funktion zum Anmelden in der Instance als Root-Benutzer deaktivieren: ``` PermitRootLogin No ``` Starten Sie den sshd-Service neu. 1. Überprüfen Sie, ob es andere Benutzer gibt, die sich bei Ihrer Instance anmelden können. Benutzer mit Super-User-Privilegien sind besonders gefährlich. Entfernen oder sperren Sie die Passwörter unbekannter Konten. 1. Prüfen Sie, ob nicht verwendete offene Ports bestehen, die Netzwerkdienste ausführen und auf eingehende Verbindungen warten. 1. Um die vorkonfigurierte Fernprotokollierung zu verhindern, sollten Sie die vorhandene Konfigurationsdatei löschen und den `rsyslog`-Service neu starten. Beispiel: ``` [ec2-user ~]$ sudo rm /etc/rsyslog.conf [ec2-user ~]$ sudo service rsyslog restart ``` 1. Überprüfen Sie, ob alle cron-Aufträge rechtmäßig sind. Wenn Sie ein öffentliches AMI entdecken, das ein Sicherheitsrisiko darstellt, wenden Sie sich an das AWS -Sicherheitsteam. Weitere Informationen erhalten Sie im [AWS -Sicherheitszentrum](https://aws.amazon.com/security/). # Steuern Sie die Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion *Zugelassen* verwenden. Sie geben Kriterien an, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden. Bevor Sie die AMIs Einstellungen für Zulässig aktivieren, können Sie den *Überwachungsmodus* aktivieren, um eine Vorschau anzuzeigen, welche angezeigt AMIs werden oder nicht. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Verwenden Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl außerdem, um Instances zu finden, die mit AMIs gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs. Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in jeder AWS-Region konfiguriert werden, in denen Sie die Verwendung von AMIs steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*. **Anmerkung** Die AMIs Funktion „Zulässig“ steuert nur die Entdeckung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten immer für Benutzer in Ihrem Konto auffindbar und nutzbar. **Die wichtigsten Vorteile von Allowed AMIs** + **Compliance und Sicherheit**: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird. + **Effizientes Management**: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter. + **Zentralisierte Implementierung auf Kontoebene**: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren. **Topics** + [ ## So funktioniert „Zulässig“ AMIs ](#how-allowed-amis-works) + [ ## Bewährte Methoden für die Implementierung von Allowed AMIs ](#best-practice-for-implementing-allowed-amis) + [ ## Erforderliche IAM-Berechtigungen ](#iam-permissions-for-allowed-amis) + [ # Verwalten Sie die Einstellungen für „Zugelassen“ AMIs ](manage-settings-allowed-amis.md) ## So funktioniert „Zulässig“ AMIs Um zu kontrollieren, welche Daten in Ihrem Konto entdeckt und verwendet werden AMIs können, definieren Sie eine Reihe von Kriterien, anhand derer die Daten bewertet werden sollen AMIs. Die Kriterien bestehen aus einem oder mehreren `ImageCriterion`, wie im folgenden Diagramm dargestellt. Eine Erklärung folgt dem Diagramm. ![\[Die Hierarchie der zulässigen AMIs ImageCriteria Konfigurationen.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png) Die Konfiguration besteht aus drei Ebenen: + **1** – Parameterwerte + Parameter mit mehreren Werten + `ImageProviders` + `ImageNames` + `MarketplaceProductCodes` Ein AMI kann mit *beliebigen* Werten innerhalb eines Parameters übereinstimmen, um zulässig zu sein. Beispiel: `ImageProviders` = `amazon` **ODER** Konto `111122223333` **ODER** Konto `444455556666` (Die Bewertungslogik für Parameterwerte ist im Diagramm nicht dargestellt.) + Parameter mit einem Wert: + `CreationDateCondition` + `DeprecationTimeCondition` + **2** – `ImageCriterion` + Gruppiert mehrere Parameter mit **UND**-Logik. + Ein AMI muss *allen* Parametern innerhalb eines `ImageCriterion` entsprechen, um zulässig zu sein. + Beispiel: `ImageProviders` = `amazon` **UND** `CreationDateCondition` = 300 Tage oder weniger + **3** – `ImageCriteria` + Gruppiert mehrere `ImageCriterion` mit **ODER**-Logik. + Ein AMI kann einem *beliebigen* `ImageCriterion` entsprechen, um zulässig zu sein. + Bildet die vollständige Konfiguration, anhand derer AMIs bewertet wird. **Topics** + [ ### Zulässige AMIs Parameter ](#allowed-amis-criteria) + [ ### Zulässige Konfiguration AMIs ](#allowed-amis-json-configuration) + [ ### So werden Kriterien bewertet ](#how-allowed-amis-criteria-are-evaluated) + [ ### Einschränkungen ](#allowed-amis-json-configuration-limits) + [ ### Zulässige AMIs Operationen ](#allowed-amis-operations) ### Zulässige AMIs Parameter Sie können die folgenden Parameter konfigurieren, um `ImageCriterion` zu erstellen: `ImageProviders` Die AMI-Anbieter, deren erlaubt AMIs sind. Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind: + `amazon`— Ein Alias zur Identifizierung, das von Amazon oder verifizierten Anbietern AMIs erstellt wurde + `aws-marketplace`— Ein Alias zur Identifizierung, AMIs erstellt von verifizierten Anbietern in der AWS Marketplace + `aws-backup-vault`— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist. + AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs + `none`— Zeigt an, dass nur von Ihrem Konto AMIs erstellte Dateien entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn angegeben, können keine anderen Kriterien angegeben werden. `ImageNames` Die Namen sind zulässig AMIs, wobei exakte Übereinstimmungen oder Platzhalter (`?`oder`*`) verwendet werden. `MarketplaceProductCodes` Die AWS Marketplace Produktcodes für erlaubt AMIs. `CreationDateCondition` Das Höchstalter für erlaubt AMIs. `DeprecationTimeCondition` Der maximale Zeitraum seit dem Verfallsdatum für zulässig. AMIs Die gültigen Werte und Einschränkungen für jedes Kriterium finden Sie [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)in der *Amazon EC2 API-Referenz.* ### Zulässige Konfiguration AMIs Die Kernkonfiguration für „Zulässig“ AMIs ist die `ImageCriteria` Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs. Die folgende JSON-Struktur zeigt die Parameter, die angegeben werden können: ``` { "State": "enabled" | "disabled" | "audit-mode", "ImageCriteria" : [ { "ImageProviders": ["string",...], "MarketplaceProductCodes": ["string",...], "ImageNames":["string",...], "CreationDateCondition" : { "MaximumDaysSinceCreated": integer }, "DeprecationTimeCondition" : { "MaximumDaysSinceDeprecated": integer } }, ... } ``` #### ImageCriteria Beispiel Im folgenden `ImageCriteria`-Beispiel werden vier `ImageCriterion` konfiguriert. Ein AMI ist zulässig, wenn es mit einem dieser `ImageCriterion` übereinstimmt. Weitere Informationen über das Auswerten der Kriterien finden Sie unter [So werden Kriterien bewertet](#how-allowed-amis-criteria-are-evaluated). ``` { "ImageCriteria": [ // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890" { "MarketplaceProductCodes": [ "abcdefg1234567890" ] }, // ImageCriterion 2: Allow AMIs from providers whose accounts are // "123456789012" OR "123456789013" AND AMI age is less than 300 days { "ImageProviders": [ "123456789012", "123456789013" ], "CreationDateCondition": { "MaximumDaysSinceCreated": 300 } }, // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" // AND with names following the pattern "golden-ami-*" { "ImageProviders": [ "123456789014" ], "ImageNames": [ "golden-ami-*" ] }, // ImageCriterion 4: Allow AMIs from Amazon or verified providers // AND which aren't deprecated { "ImageProviders": [ "amazon" ], "DeprecationTimeCondition": { "MaximumDaysSinceDeprecated": 0 } } ] } ``` ### So werden Kriterien bewertet In der folgenden Tabelle werden die Bewertungsregeln erläutert, mit denen festgelegt wird, ob ein AMI zulässig ist, und es wird gezeigt, wie der Operator `AND` bzw. `OR` auf jeder Ebene angewendet wird: | Auswertungsdaten | Operator | Anforderung für ein zulässiges AMI | | --- | --- | --- | | Parameterwerte für ImageProviders, ImageNames und MarketplaceProductCodes | OR | AMI muss mit mindestens einem Wert in jeder Parameterliste übereinstimmen | | ImageCriterion | AND | AMI muss allen Parametern in jedem ImageCriterion entsprechen | | ImageCriteria | OR | AMI muss mit einem der ImageCriterion übereinstimmen | Sehen wir uns anhand der obigen Bewertungsregeln an, wie diese auf [ImageCriteria Beispiel](#allowed-amis-json-configuration-example) angewendet werden können: + `ImageCriterion`1: Erlaubt AMIs , die den AWS Marketplace Produktcode haben `abcdefg1234567890` `OR` + `ImageCriterion`2: AMIs Genehmigungen, die diese beiden Kriterien erfüllen: + Gehört einem der Konten `123456789012` `OR` `123456789013` + `AND` + In den letzten 300 Tagen erstellt `OR` + `ImageCriterion`3: AMIs Genehmigungen, die diese beiden Kriterien erfüllen: + Gehört dem Konto `123456789014` + `AND` + Benannt nach dem Muster `golden-ami-*` `OR` + `ImageCriterion`4: Ermöglicht AMIs , die diese beiden Kriterien erfüllen: + Von Amazon oder verifizierten Anbietern veröffentlicht (durch den `amazon`-Alias angegeben) + `AND` + Nicht veraltet (die maximale Anzahl von Tagen seit der Außerbetriebnahme beträgt `0`) ### Einschränkungen Das `ImageCriteria` enthält bis zu: + 10 `ImageCriterion` Jedes `ImageCriterion` enthält bis zu: + 200 Werte für `ImageProviders` + 50 Werte für `ImageNames` + 50 Werte für `MarketplaceProductCodes` **Beispiel für Grenzwerte** Unter Verwendung des Vorhergehenden [ImageCriteria Beispiel](#allowed-amis-json-configuration-example): + Es gibt 4 `ImageCriterion`. Bis zu 6 weitere können der Anforderung hinzugefügt werden, um das Limit von 10 zu erreichen. + Im ersten `ImageCriterion` gibt es 1 Wert für `MarketplaceProductCodes`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen. + Im zweiten `ImageCriterion` gibt es 2 Werte für `ImageProviders`. Bis zu 198 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 200 zu erreichen. + Im dritten `ImageCriterion` gibt es 1 Wert für `ImageNames`. Bis zu 49 weitere können diesem `ImageCriterion` hinzugefügt werden, um das Limit von 50 zu erreichen. ### Zulässige AMIs Operationen Die AMIs Funktion „Zugelassen“ hat drei Betriebszustände für die Verwaltung der Bildkriterien: **aktiviert**, **deaktiviert** und **Überwachungsmodus**. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen. **Aktiviert** Wenn „ AMIs Zulässig“ aktiviert ist: + Die `ImageCriteria` werden angewendet. + Nur zulässige AMIs sind in der EC2-Konsole auffindbar APIs und verwenden daher Images (z. B. die beschreiben, kopieren, speichern oder andere Aktionen ausführen, die Images verwenden). + Instances können nur mit der Option „Zugelassen“ gestartet werden. AMIs **Disabled** Wenn Allowed deaktiviert AMIs ist: + Die `ImageCriteria` werden nicht angewendet. + Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs. **Prüfmodus** Im Prüfmodus: + Die `ImageCriteria` sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs. + In der EC2-Konsole wird im Feld **Allowed image** für jedes AMI entweder **Ja** oder **Nein** angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist. + In der Befehlszeile enthält die Antwort für den `describe-image` Vorgang `"ImageAllowed": true` oder gibt `"ImageAllowed": false` an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist. + In der EC2-Konsole wird im AMI-Katalog neben **Nicht erlaubt** angezeigt AMIs , wenn Zulässig aktiviert ist und für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist. ## Bewährte Methoden für die Implementierung von Allowed AMIs Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren. 1. **Prüfmodus aktivieren** Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Status können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum ermöglicht. 1. **Legen Sie die zulässigen Kriterien fest AMIs ** Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen. **Anmerkung** Wenn Sie AWS verwaltete Services wie Amazon ECS, Amazon EKS oder AWS Lambda Managed Instances verwenden, empfehlen wir, den `amazon` Alias anzugeben, der AMIs erstellt von AWS zugelassen werden soll. Diese Dienste hängen davon ab, ob Amazon Instances veröffentlicht hat AMIs , um sie zu starten. Seien Sie vorsichtig, wenn Sie `CreationDateCondition` Einschränkungen für irgendwelche festlegen. AMIs Wenn Sie zu restriktive Datumsbedingungen festlegen (z. B. AMIs dürfen sie weniger als 5 Tage alt sein), kann dies zu Fehlern beim Starten von Instances führen, wenn die Daten AMIs, unabhängig davon, ob sie von AWS oder anderen Anbietern stammen, nicht innerhalb des angegebenen Zeitrahmens aktualisiert werden. Wir empfehlen die Kombination von `ImageNames` mit `ImageProviders`, um eine bessere Kontrolle und Spezifität zu gewährleisten. Durch die alleinige Verwendung von `ImageNames` kann ein AMI möglicherweise nicht eindeutig identifiziert werden. 1. **Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt** Sie können die Konsole oder die CLI verwenden, um alle Instances zu identifizieren, mit AMIs denen gestartet wurde und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs. Konsole: Verwenden Sie die [ec2- instance-launched-with-allowed AWS Config -ami-Regel](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html), um zu überprüfen, ob laufende oder gestoppte Instances gestartet wurden AMIs , die Ihren Zulassungskriterien entsprechen. AMIs Die Regel lautet **NON\$1COMPLIANT**, wenn ein AMI die AMIs Zulassungskriterien nicht erfüllt, und COMPLIANT, falls dies **der** Fall ist. Die Regel funktioniert nur, wenn die AMIs Einstellung „Zugelassen“ auf „**Aktiviert**“ oder „**Überwachungsmodus**“ gesetzt ist. CLI: Führen Sie den [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)Befehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Informationen zur Verwendung der Konsole und der CLI finden Sie unter [Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs). 1. **Zulässig aktivieren AMIs** Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs. 1. **Instance-Starts überwachen** Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs 1. **Pilot neu AMIs** Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, werden folgende Methoden AWS empfohlen: + Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können. + Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben. Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs ## Erforderliche IAM-Berechtigungen Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen: + `GetAllowedImagesSettings` + `EnableAllowedImagesSettings` + `DisableAllowedImagesSettings` + `ReplaceImageCriteriaInAllowedImagesSettings` # Verwalten Sie die Einstellungen für „Zugelassen“ AMIs Sie können die Einstellungen für Zulässig verwalten AMIs. Diese Einstellungen gelten pro Region pro Konto. **Topics** + [ ## Zulässig aktivieren AMIs ](#enable-allowed-amis-criteria) + [ ## Legen Sie die AMIs Kriterien für Zulässig fest ](#update-allowed-amis-criteria) + [ ## Deaktivieren Sie Erlaubt AMIs ](#disable-allowed-amis-criteria) + [ ## Holen Sie sich die AMIs Kriterien für zulässige ](#identify-allowed-amis-state-and-criteria) + [ ## Finden Sie heraus AMIs , dass diese erlaubt sind ](#identify-amis-that-meet-allowed-amis-criteria) + [ ## Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind ](#identify-instances-with-allowed-AMIs) ## Zulässig aktivieren AMIs Sie können „Zulässig“ aktivieren AMIs und die AMIs Kriterien „Zulässig“ angeben. Wir empfehlen, dass Sie im Überwachungsmodus beginnen, der Ihnen zeigt, welche Kriterien von den Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken. ------ #### [ Console ] **Um „Zugelassen“ zu aktivieren AMIs** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs. 1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus. 1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Überwachungsmodus** oder **Aktiviert** aus. Es wird empfohlen, im Überwachungsmodus zu beginnen, die Kriterien zu testen und dann zu diesem Schritt zurückzukehren, um die Option Zulässig zu aktivieren AMIs. 1. (Optional) Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein. 1. Wählen Sie **Aktualisieren** aus. ------ #### [ AWS CLI ] **Um „Zugelassen“ zu aktivieren AMIs** Verwenden Sie den Befehl [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html). ``` aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled ``` Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an. ``` aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode ``` ------ #### [ PowerShell ] **Um „Zugelassen“ zu aktivieren AMIs** Verwenden Sie das cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html). ``` Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled ``` Um stattdessen den Prüfmodus zu aktivieren, geben Sie `audit-mode` statt `enabled` an. ``` Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode ``` ------ ## Legen Sie die AMIs Kriterien für Zulässig fest Nachdem Sie „Zugelassen“ aktiviert haben AMIs, können Sie die AMIs Kriterien „Zulässig“ festlegen oder ersetzen. Die korrekte Konfiguration und gültige Werte finden Sie unter [Zulässige Konfiguration AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) und [Zulässige AMIs Parameter](ec2-allowed-amis.md#allowed-amis-criteria). ------ #### [ Console ] **Um die AMIs Kriterien „Zulässig“ festzulegen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs. 1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus. 1. Geben Sie für **AMI-Kriterien** die Kriterien im JSON-Format ein. 1. Wählen Sie **Aktualisieren** aus. ------ #### [ AWS CLI ] **Um die AMIs Kriterien „Zulässig“ festzulegen** Verwenden Sie den allowed-images-settings Befehl [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) und geben Sie die JSON-Datei an, die die zulässigen AMIs Kriterien enthält. ``` aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json ``` ------ #### [ PowerShell ] **Um die zulässigen AMIs Kriterien festzulegen** Verwenden Sie das [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)Cmdlet und geben Sie die JSON-Datei an, die die Zulassungskriterien enthält. AMIs ``` $imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria ``` ------ ## Deaktivieren Sie Erlaubt AMIs Sie können „Zulässig“ AMIs wie folgt deaktivieren. ------ #### [ Console ] **Um „Zugelassen“ zu deaktivieren AMIs** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs. 1. Wählen Sie auf der AMIs Registerkarte **Zulässig** die Option **Verwalten** aus. 1. Wählen Sie für **Zulässige AMIs Einstellungen** die Option **Deaktiviert** aus. 1. Wählen Sie **Aktualisieren** aus. ------ #### [ AWS CLI ] **Um „Zugelassen“ zu deaktivieren AMIs** Verwenden Sie den Befehl [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html). ``` aws ec2 disable-allowed-images-settings ``` ------ #### [ PowerShell ] **Um „Zugelassen“ zu deaktivieren AMIs** Verwenden Sie das cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html). ``` Disable-EC2AllowedImagesSetting ``` ------ ## Holen Sie sich die AMIs Kriterien für zulässige Sie können den aktuellen Status der AMIs Einstellung Zulässig und der AMIs Kriterien Zulässig abrufen. ------ #### [ Console ] **Um den AMIs Status und die Kriterien „Zulässig“ abzurufen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Zulässig** aus AMIs. 1. Auf der AMIs Registerkarte **Zulässig** ist die ** AMIs Einstellung Zulässige Einstellungen** auf **Aktiviert**, **Deaktiviert** oder **Überwachungsmodus** gesetzt. 1. Wenn der Status von Allowed entweder **Enabled** oder **Audit Mode AMIs ** lautet, werden **AMI-Kriterien** die AMI-Kriterien im JSON-Format angezeigt. ------ #### [ AWS CLI ] **Um den Status und die Kriterien „ AMIs Zugelassen“ abzurufen** Verwenden Sie den Befehl [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html). ``` aws ec2 get-allowed-images-settings ``` In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt. ``` { "State": "audit-mode", "ImageCriteria": [ { "MarketplaceProductCodes": [ "abcdefg1234567890" ] }, { "ImageProviders": [ "123456789012", "123456789013" ], "CreationDateCondition": { "MaximumDaysSinceCreated": 300 } }, { "ImageProviders": [ "123456789014" ], "ImageNames": [ "golden-ami-*" ] }, { "ImageProviders": [ "amazon" ], "DeprecationTimeCondition": { "MaximumDaysSinceDeprecated": 0 } } ], "ManagedBy": "account" } ``` ------ #### [ PowerShell ] **Um den AMIs Status und die Kriterien „Zulässig“ abzurufen** Verwenden Sie das cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html). ``` Get-EC2AllowedImagesSetting | Select-Object ` State, ` ManagedBy, ` @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, ` @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, ` @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, ` @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, ` @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}} ``` In der folgenden Beispielausgabe ist der Status `audit-mode` und die Image-Kriterien sind im Konto festgelegt. ``` State : audit-mode ManagedBy : account ImageProviders : {123456789012, 123456789013, 123456789014, amazon} MarketplaceProductCodes : {abcdefg1234567890} ImageNames : {golden-ami-*} MaximumDaysSinceCreated : 300 MaximumDaysSinceDeprecated: 0 ``` ------ ## Finden Sie heraus AMIs , dass diese erlaubt sind Sie können herausfinden AMIs , welche nach den aktuellen AMIs Zulassungskriterien zulässig oder nicht zulässig sind. **Anmerkung** AMIs Zulässig muss sich im Überwachungsmodus befinden. ------ #### [ Console ] **Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI aus. 1. Suchen Sie auf der Registerkarte **Details** (wenn Sie das Kontrollkästchen aktiviert haben) oder im Übersichtsbereich (wenn Sie die AMI-ID ausgewählt haben) das Feld **Zulässiges AMI**. + **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien. Dieses AMI steht Benutzern in Ihrem Konto zur Verfügung, nachdem Sie Allowed aktiviert habenAMIs. + **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien. 1. Wählen Sie im Navigationsbereich die Option **AMI-Katalog** aus. Ein AMI, das als **Nicht zulässig** markiert ist, weist auf ein AMI hin, das die AMIs Zulassungskriterien nicht erfüllt. Dieses AMI ist für Benutzer in Ihrem Konto nicht sichtbar oder verfügbar, wenn Zulässig aktiviert AMIs ist. ------ #### [ AWS CLI ] **Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --image-id ami-0abcdef1234567890 \ --query Images[].ImageAllowed \ --output text ``` Es folgt eine Beispielausgabe. ``` True ``` **Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --filters "Name=image-allowed,Values=true" \ --max-items 10 \ --query Images[].ImageId ``` Es folgt eine Beispielausgabe. ``` ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88 ``` ------ #### [ PowerShell ] **Um zu überprüfen, ob ein AMI die zulässigen AMIs Kriterien erfüllt** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` (Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed ``` Es folgt eine Beispielausgabe. ``` True ``` **Um herauszufinden AMIs , ob sie die zulässigen AMIs Kriterien erfüllen** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` Get-EC2Image ` -Filter @{Name="image-allows";Values="true"} ` -MaxResult 10 | ` Select ImageId ``` Es folgt eine Beispielausgabe. ``` ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88 ``` ------ ## Suchen Sie nach Instances AMIs , die von dort aus gestartet wurden, die nicht erlaubt sind Sie können die Instances identifizieren, die mit einem AMI gestartet wurden, das die AMIs Zulassungskriterien nicht erfüllt. ------ #### [ Console ] **So überprüfen Sie, ob eine Instance mit einem nicht zulässigen AMI gestartet wurde** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Instances** aus. 1. Wählen Sie die Instance aus. 1. Suchen Sie auf der Registerkarte **Details** unter **Instance-Details** **Zulässiges Image**. + **Ja** — Das AMI erfüllt die zulässigen AMIs Kriterien. + **Nein** — Das AMI erfüllt nicht die zulässigen AMIs Kriterien. ------ #### [ AWS CLI ] **So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind** Verwenden Sie den Befehl [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) mit dem Filter `image-allowed`. ``` aws ec2 describe-instance-image-metadata \ --filters "Name=image-allowed,Values=false" \ --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \ --output table ``` Es folgt eine Beispielausgabe. ``` -------------------------------------------------- | DescribeInstanceImageMetadata | +----------------------+-------------------------+ | i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 | | i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f | | i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 | | i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 | | i-0781e91cfeca3179d | ami-00c257e12d6828491 | | i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 | +----------------------+-------------------------+ ``` ------ #### [ PowerShell ] **So finden Sie Instances, die damit gestartet wurden AMIs , dass sie nicht erlaubt sind** Verwenden Sie das cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html). ``` Get-EC2InstanceImageMetadata ` -Filter @{Name="image-allowed";Values="false"} | ` Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}} ``` Es folgt eine Beispielausgabe. ``` InstanceId ImageId ---------- ------- i-08fd74f3f1595fdbd ami-09245d5773578a1d6 i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0 i-006a6a4e8870c828f ami-0a70b9d193ae8a799 i-0781e91cfeca3179d ami-00c257e12d6828491 i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9 ``` ------ #### [ AWS Config ] Sie können die **ec2- instance-launched-with-allowed AWS Config -ami-Regel** hinzufügen, sie für Ihre Anforderungen konfigurieren und sie dann zur Evaluierung Ihrer Instances verwenden. *Weitere Informationen finden Sie unter [AWS Config Regeln hinzufügen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) und [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) im Entwicklerhandbuch.AWS Config * ------ # Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen Sie können Ihr AMI öffentlich zugänglich machen, indem Sie es mit allen teilen AWS-Konten. Wenn Sie verhindern möchten, dass Ihr Konto öffentlich geteilt wird AMIs, können Sie die Option *Öffentlichen Zugriff sperren für* aktivieren AMIs. Dadurch werden alle Versuche, ein AMI zu veröffentlichen, blockiert, was dazu beiträgt, unbefugten Zugriff und potenziellen Missbrauch von AMI-Daten zu verhindern. Beachten Sie, dass sich die Aktivierung des Blocks öffentlichen Zugriffs nicht auf Ihre AMIs bereits öffentlich verfügbaren Dateien auswirkt. Sie bleiben weiterhin öffentlich verfügbar. Weitere Informationen finden Sie unter [Verstehen Sie, öffentlichen Zugriff sperren für AMIs](block-public-access-to-amis.md). Wenn Sie nur bestimmten Konten erlauben möchten, Ihr AMI zum Starten von Instances zu verwenden, lesen Sie [Teilen Sie ein AMI mit bestimmten AWS Konten](sharingamis-explicit.md). **Topics** + [ ## Überlegungen ](#considerations-for-sharing-public-AMIs) + [ ## Ein AMI mit allen AWS Konten teilen (öffentlich teilen) ](#share-an-ami-publicly) ## Überlegungen Beachten Sie Folgendes, bevor Sie ein AMI öffentlich machen. + **Eigentum** — Um ein AMI zu veröffentlichen, AWS-Konto müssen Sie Eigentümer des AMI sein. + **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md). + **Öffentlichen Zugriff blockieren** — Um ein AMI öffentlich zu teilen, AMIs muss in jeder Region, in der das AMI öffentlich geteilt wird, die [Sperrung des öffentlichen Zugriffs für](block-public-access-to-amis.md) deaktiviert sein. Nachdem Sie das AMI öffentlich geteilt haben, können Sie Block Public Access wieder aktivieren, AMIs um zu verhindern, dass Ihr AMIs AMI weiter öffentlich geteilt wird. + **Einige AMIs können nicht veröffentlicht werden** — Wenn Ihr AMI eine der folgenden Komponenten enthält, können Sie es nicht veröffentlichen (aber Sie können [das AMI mit bestimmten teilen AWS-Konten](sharingamis-explicit.md)): + Verschlüsselte Volumes + Snapshots von verschlüsselten Volumes + Produkt-Codes + **Offenlegung sensibler Daten vermeiden**: Damit beim Freigeben eines AMI keine sensiblen Daten offengelegt werden, lesen Sie die Sicherheitserwägungen in [Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs](building-shared-amis.md) und folgen Sie den empfohlenen Verfahren. + **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen. + **Automatische Deprecation** — Standardmäßig AMIs ist das Verfallsdatum aller öffentlichen Inhalte auf zwei Jahre ab dem Erstellungsdatum des AMI festgelegt. Sie können das Veralterungsdatum auf weniger als zwei Jahre festlegen. Um das Verfallsdatum zu stornieren oder das Verfallsdatum auf ein späteres Datum zu verschieben, müssen Sie das AMI privat machen, indem Sie es nur mit bestimmten Personen [teilen](sharingamis-explicit.md). AWS-Konten + **Obsolete entfernen AMIs** — Wenn ein öffentliches AMI sein Verfallsdatum erreicht hat und sechs oder mehr Monate lang keine neuen Instances über das AMI gestartet wurden, wird AWS schließlich die öffentliche Freigabeeigenschaft entfernt, sodass veraltete Instanzen AMIs nicht in den öffentlichen AMI-Listen erscheinen. + **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten. ## Ein AMI mit allen AWS Konten teilen (öffentlich teilen) Nachdem Sie ein AMI veröffentlicht haben, ist es in **Community AMIs** in der Konsole verfügbar, auf die Sie über den **AMI-Katalog** im linken Navigator der EC2-Konsole oder beim Starten einer Instance über die Konsole zugreifen können. Beachten Sie, dass es eine Weile dauern kann, bis ein AMI in der **Community** erscheint, AMIs nachdem Sie es veröffentlicht haben. ------ #### [ Console ] **Veröffentlichen eines AMI** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI in der Liste aus und wählen Sie **Aktionen**, **AMI-Berechtigungen bearbeiten** aus. 1. Unter **AMI-Verfügbarkeit** wählen Sie **Öffentlich** aus. 1. Wählen Sie **Änderungen speichern ** aus. ------ #### [ AWS CLI ] Jedes AMI hat eine `launchPermission` Eigenschaft, die steuert AWS-Konten, welche außer denen des Besitzers dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die `launchPermission` Eigenschaft eines AMI ändern, können Sie das AMI öffentlich machen (wodurch allen Startberechtigungen gewährt werden AWS-Konten) oder es nur mit den von Ihnen angegebenen AWS-Konten Benutzern teilen. Sie können ein Konto zur Liste der Konten hinzufügen oder IDs daraus entfernen, die Startberechtigungen für ein AMI haben. Um ein AMI zu veröffentlichen, geben Sie die `all`-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben. **Veröffentlichen eines AMI** 1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) wie folgt, um die `all`-Gruppe zur `launchPermission`-Liste für das angegebene AMI hinzuzufügen. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{Group=all}]" ``` 1. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)-Befehl. ``` aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission ``` 1. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die `all`-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{Group=all}]" ``` ------ #### [ PowerShell ] Jedes AMI hat eine `launchPermission` Eigenschaft, die steuert AWS-Konten, welche außer denen des Besitzers dieses AMI zum Starten von Instances verwenden dürfen. Indem Sie die `launchPermission` Eigenschaft eines AMI ändern, können Sie das AMI öffentlich machen (wodurch allen Startberechtigungen gewährt werden AWS-Konten) oder es nur mit den von Ihnen angegebenen AWS-Konten Benutzern teilen. Sie können ein Konto zur Liste der Konten hinzufügen oder IDs daraus entfernen, die Startberechtigungen für ein AMI haben. Um ein AMI zu veröffentlichen, geben Sie die `all`-Gruppe an. Sie können öffentliche und explizite Startberechtigungen angeben. **Veröffentlichen eines AMI** 1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) wie folgt, um die `all`-Gruppe zur `launchPermission`-Liste für das angegebene AMI hinzuzufügen. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType add ` -UserGroup all ``` 1. Um die Startberechtigungen des AMI zu überprüfen, verwenden Sie den folgenden [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)-Befehl. ``` Get-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ``` 1. (Optional) Um das AMI erneut privat zu machen, entfernen Sie die `all`-Gruppe aus den Startberechtigungen. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType remove ` -UserGroup all ``` ------ # Verstehen Sie, öffentlichen Zugriff sperren für AMIs Um zu verhindern, dass Ihre Inhalte öffentlich geteilt werden AMIs, können Sie die Option „*Öffentlichen Zugriff sperren*“ AMIs auf Kontoebene aktivieren. Wenn Block Public Access aktiviert ist, wird jeder Versuch, ein AMI öffentlich zu machen, automatisch blockiert. Wenn Sie jedoch bereits öffentlich sind AMIs, bleiben sie weiterhin öffentlich verfügbar. Um sie öffentlich zu teilen AMIs, müssen Sie den öffentlichen Zugriff blockieren deaktivieren. Wenn Sie mit dem Teilen fertig sind, empfiehlt es sich, die Option „Öffentlichen Zugriff sperren“ wieder zu aktivieren, um ein unbeabsichtigtes öffentliches Teilen Ihrer Inhalte zu verhindern. AMIs **Anmerkung** Diese Einstellung wird auf Kontoebene konfiguriert, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Es muss in allen Bereichen konfiguriert werden, in AWS-Region denen Sie verhindern möchten, dass Ihre Inhalte öffentlich geteilt werden. AMIs Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*. Sie können die IAM-Berechtigungen auf Administratorbenutzer beschränken, sodass nur dieser den öffentlichen Zugriff aktivieren oder deaktivieren kann. AMIs **Topics** + [ ## Standardeinstellungen ](#block-public-access-to-amis-default-settings) + [ # Verwalte die Einstellung „Öffentlichen Zugriff blockieren“ für AMIs ](manage-block-public-access-for-amis.md) ## Standardeinstellungen Die AMIs Einstellung „**Öffentlichen Zugriff blockieren für**“ ist standardmäßig entweder aktiviert oder deaktiviert, je nachdem, ob Ihr Konto neu oder bereits vorhanden ist und ob Sie über ein öffentliches AMIs Konto verfügen. In der folgenden Tabelle werden die Standardeinstellungen aufgeführt: | AWS Konto | Sperren Sie den öffentlichen Zugriff für die AMIs Standardeinstellung | | --- | --- | | Neue Konten | Aktiviert | | Bestehende Konten ohne öffentliche Konten AMIs ¹ | Aktiviert | | Bestehende Konten mit einem oder mehreren öffentlichen Konten AMIs | Disabled | ¹ Wenn Ihr Konto AMIs am oder nach dem 15. Juli 2023 über ein oder mehrere öffentliche Konten verfügte, AMIs ist die Option **Öffentlichen Zugriff sperren** für für Ihr Konto standardmäßig deaktiviert, auch wenn Sie anschließend alle Konten AMIs privat gemacht haben. # Verwalte die Einstellung „Öffentlichen Zugriff blockieren“ für AMIs Sie können die Einstellung „Öffentlicher Zugriff“ für Ihre AMIs verwalten, um zu kontrollieren, ob sie öffentlich geteilt werden können. Sie können den aktuellen Status der Blockierung des öffentlichen Zugriffs für Ihre AMIs mithilfe der Amazon-EC2-Konsole oder der AWS CLI aktivieren, deaktivieren oder anzeigen. ## Sehen Sie sich den Status „Öffentlichen Zugriff blockieren“ an für AMIs Um zu sehen, ob das öffentliche Teilen von Ihnen in Ihrem Konto gesperrt AMIs ist, können Sie den Status für die Sperrung des öffentlichen Zugriffs einsehen AMIs. Sie müssen den jeweiligen Bundesstaat einsehen, AWS-Region in dem Sie sehen möchten, ob das öffentliche Teilen Ihres Kontos gesperrt AMIs ist. **Erforderliche Berechtigungen** Um die aktuelle Einstellung zum Sperren des öffentlichen Zugriffs für abzurufen AMIs, benötigen Sie die `GetImageBlockPublicAccessState` IAM-Berechtigung. ------ #### [ Console ] **Um den Status der Blockierung des öffentlichen Zugriffs AMIs in der angegebenen Region anzuzeigen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die der Status „Öffentlicher Zugriff gesperrt“ angezeigt werden soll AMIs. 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus. 1. Aktivieren Sie unter **Öffentlichen Zugriff sperren für AMIs** das Feld **Öffentlicher Zugriff**. Der Wert lautet entweder **Neues öffentliches Teilen blockiert** oder **Neues öffentliches Teilen erlaubt**. ------ #### [ AWS CLI ] **Um den Status „Öffentlichen Zugriff blockieren“ abzurufen für AMIs** Verwenden Sie den Befehl [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). Der Wert ist entweder `block-new-sharing` oder `unblocked`. **Beispiel: Für eine spezifische Region** ``` aws ec2 get-image-block-public-access-state --region us-east-1 ``` Das `ManagedBy`-Feld gibt die Entität an, die die Einstellung konfiguriert hat. `account` zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von `declarative-policy` würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*. ``` { "ImageBlockPublicAccessState": "block-new-sharing", "ManagedBy": "account" } ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 get-image-block-public-access-state \ --region $region \ --output text) echo -e "$region \t $output" ); done ``` Es folgt eine Beispielausgabe. ``` Region Public Access State -------------- ---------------------- ap-south-1 block-new-sharing eu-north-1 unblocked eu-west-3 block-new-sharing ... ``` ------ #### [ PowerShell ] **Um den Status des Blockierens des öffentlichen Zugriffs für abzurufen AMIs** Verwenden Sie das cmdlet [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html). Der Wert ist entweder `block-new-sharing` oder `unblocked`. **Beispiel: Für eine spezifische Region** ``` Get-EC2ImageBlockPublicAccessState -Region us-east-1 ``` Es folgt eine Beispielausgabe. ``` block-new-sharing ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` (Get-EC2Region).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_) } } | ` Format-Table -AutoSize ``` Es folgt eine Beispielausgabe. ``` Region PublicAccessState ------ ----------------- ap-south-1 block-new-sharing eu-north-1 block-new-sharing eu-west-3 block-new-sharing ... ``` ------ ## Aktivieren Sie „Öffentlichen Zugriff blockieren“ für AMIs Um zu verhindern, dass Ihre Inhalte öffentlich geteilt werden AMIs, aktivieren Sie die Option Öffentlichen Zugriff sperren für AMIs auf Kontoebene. Sie müssen die Option „Öffentlichen Zugriff sperren“ für AMIs alle AWS-Region Bereiche aktivieren, in denen Sie das öffentliche Teilen Ihrer Daten verhindern möchten AMIs. Wenn Sie bereits öffentlich sind AMIs, bleiben diese öffentlich verfügbar. **Erforderliche Berechtigungen** Um die Einstellung „Öffentlichen Zugriff blockieren“ für zu aktivieren AMIs, benötigen Sie die `EnableImageBlockPublicAccess` IAM-Berechtigung. **Überlegungen** + Es kann bis zu 10 Minuten dauern, diese Einstellung zu konfigurieren. Wenn Sie während dieser Zeit den Status des öffentlichen Zugriffs beschreiben, lautet die Antwort `unblocked`. Wenn die Konfiguration abgeschlossen ist, lautet die Antwort `block-new-sharing`. ------ #### [ Console ] **Um die Option „Öffentlichen Zugriff blockieren“ für die angegebene AMIs Region zu aktivieren** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die die Sperrung des öffentlichen Zugriffs aktiviert werden soll AMIs. 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus. 1. Wählen Sie unter **Öffentlichen Zugriff sperren für AMIs die** Option **Verwalten** aus. 1. Wählen Sie das Kontrollkästchen **Öffentliche Freigabe blockieren** und wählen Sie **Aktualisieren**. ------ #### [ AWS CLI ] **Um „Öffentlichen Zugriff blockieren“ zu aktivieren für AMIs** Verwenden Sie den Befehl [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html). **Beispiel: Für eine spezifische Region** ``` aws ec2 enable-image-block-public-access \ --region us-east-1 \ --image-block-public-access-state block-new-sharing ``` Es folgt eine Beispielausgabe. ``` { "ImageBlockPublicAccessState": "block-new-sharing" } ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 enable-image-block-public-access \ --region $region \ --image-block-public-access-state block-new-sharing \ --output text) echo -e "$region \t $output" ); done ``` Es folgt eine Beispielausgabe. ``` Region Public Access State -------------- ---------------------- ap-south-1 block-new-sharing eu-north-1 block-new-sharing eu-west-3 block-new-sharing ... ``` ------ #### [ PowerShell ] **Um den öffentlichen Zugriff blockieren für zu aktivieren AMIs** Verwenden Sie den Befehl [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html). **Beispiel: Für eine spezifische Region** ``` Enable-EC2ImageBlockPublicAccess ` -Region us-east-1 ` -ImageBlockPublicAccessState block-new-sharing ``` Es folgt eine Beispielausgabe. ``` Value ----- block-new-sharing ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` (Get-EC2Region).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = ( Enable-EC2ImageBlockPublicAccess ` -Region $_ ` -ImageBlockPublicAccessState block-new-sharing) } } | ` Format-Table -AutoSize ``` Es folgt eine Beispielausgabe. ``` Region PublicAccessState ------ ----------------- ap-south-1 block-new-sharing eu-north-1 block-new-sharing eu-west-3 block-new-sharing ... ``` ------ ## Deaktivieren Sie die Option „Öffentlichen Zugriff blockieren“ für AMIs Damit die Nutzer in Ihrem Konto Ihr Konto öffentlich teilen können AMIs, deaktivieren Sie die Option „Öffentlichen Zugriff sperren“ auf Kontoebene. Sie müssen die Sperrung des öffentlichen Zugriffs für AMIs alle AWS-Region Bereiche deaktivieren, in denen Sie das öffentliche Teilen Ihrer Daten zulassen möchtenAMIs. **Erforderliche Berechtigungen** Um die Einstellung „Öffentlichen Zugriff blockieren“ für zu deaktivieren AMIs, benötigen Sie die `DisableImageBlockPublicAccess` IAM-Berechtigung. **Überlegungen** + Es kann bis zu 10 Minuten dauern, diese Einstellung zu konfigurieren. Wenn Sie während dieser Zeit den Status des öffentlichen Zugriffs beschreiben, lautet die Antwort `block-new-sharing`. Wenn die Konfiguration abgeschlossen ist, lautet die Antwort `unblocked`. ------ #### [ Console ] **Um den öffentlichen Zugriff blockieren für die angegebene AMIs Region zu deaktivieren** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie in der Navigationsleiste (oben auf dem Bildschirm) die Region aus, für die Sie die Sperrung des öffentlichen Zugriffs deaktivieren möchten AMIs. 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus. 1. Wählen Sie unter **Öffentlichen Zugriff sperren für AMIs die** Option **Verwalten** aus. 1. Wählen Sie das Kontrollkästchen **Öffentliche Freigabe blockieren** ab und wählen Sie **Speichern**. 1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **confirm** ein und wählen Sie dann **Allow public sharing (Öffentliches Teilen zulassen)** aus. ------ #### [ AWS CLI ] **Um den öffentlichen Zugriff blockieren für zu deaktivieren AMIs** Verwenden Sie den Befehl [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html). **Beispiel: Für eine spezifische Region** ``` aws ec2 disable-image-block-public-access --region us-east-1 ``` Es folgt eine Beispielausgabe. ``` { "ImageBlockPublicAccessState": "unblocked" } ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 disable-image-block-public-access \ --region $region \ --output text) echo -e "$region \t $output" ); done ``` Es folgt eine Beispielausgabe. ``` Region Public Access State -------------- ---------------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ... ``` ------ #### [ PowerShell ] **Um den öffentlichen Zugriff blockieren für zu deaktivieren AMIs** Verwenden Sie das cmdlet [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html). **Beispiel: Für eine spezifische Region** ``` Disable-EC2ImageBlockPublicAccess -Region us-east-1 ``` Es folgt eine Beispielausgabe. ``` Value ----- unblocked ``` **Beispiel: Für all Regionen in Ihrem Konto** ``` (Get-EC2Region).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_) } } | ` Format-Table -AutoSize ``` Es folgt eine Beispielausgabe. ``` Region PublicAccessState ------ ----------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ... ``` ------ # Ein AMI für bestimmte Organisationen oder Organisationseinheiten freigeben [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. Sie können ein AMI zusätzlich zur [Freigabe für bestimmte Konten](sharingamis-explicit.md) für eine von Ihnen erstellte Organisation oder Organisationseinheit (OE) freigeben. Eine Organisation ist eine juristische Stelle, die Sie erstellen, um Ihre AWS-Konten zu konsolidieren und zentral zu verwalten. Sie können die Konten in einer hierarchischen, Baumstruktur organisieren, mit einem [Stamm](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) an der Spitze und [Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit), die unterhalb des Organisationsstamms angeordnet sind. Jedes Konto kann direkt zum Stammkonto hinzugefügt oder einem der Konten OUs in der Hierarchie zugeordnet werden. Weitere Informationen finden Sie unter [AWS -Organizations – Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *AWS Organizations -Benutzerhandbuch*. Wenn Sie ein AMI für eine Organisation oder eine OE freigeben, erhalten alle untergeordneten Konten Zugriff auf das AMI. Im folgenden Diagramm wird das AMI beispielsweise mit einer Organisationseinheit der obersten Ebene geteilt (durch den Pfeil bei der Nummer **1** angezeigt). Alle Konten OUs und, die sich unterhalb dieser Organisationseinheit der obersten Ebene befinden (gekennzeichnet durch die gepunktete Linie bei Nummer **2**), haben ebenfalls Zugriff auf das AMI. Die Konten in der Organisation und OE außerhalb der gestrichelten Linie (gekennzeichnet durch die Zahl **3**) haben keinen Zugriff auf das AMI, da sie der OE nicht untergeordnet sind, für die das AMI freigegeben ist. ![\[Das AMI wird mit einer Organisationseinheit geteilt, und alle Kinder OUs und Konten erhalten Zugriff auf das AMI.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png) **Topics** + [ ## Überlegungen ](#considerations-org-ou) + [ # Den ARN einer Organisation oder Organisationseinheit abrufen ](get-org-ou-ARN.md) + [ # Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels ](allow-org-ou-to-use-key.md) + [ # Gemeinsame Nutzung von AMI mit einer Organisation oder OU verwalten ](share-amis-org-ou-manage.md) ## Überlegungen Beachten Sie bei der Weitergabe AMIs an bestimmte Organisationen oder Organisationseinheiten Folgendes. + **Eigentümerschaft** – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein. + **Freigabelimits** — Der AMI-Besitzer kann ein AMI mit jeder Organisation oder Organisationseinheit teilen, auch mit Organisationen OUs , denen er nicht angehört. Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter [Amazon-EC2-Service-Quotas](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2). + **Tags** – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI teilen, sind Ihre benutzerdefinierten Tags für niemanden AWS-Konto in einer Organisation oder Organisationseinheit verfügbar, mit der das AMI geteilt wird. + **ARN-Format**: Wenn Sie eine Organisation oder OE in einem Befehl angeben, achten Sie darauf, das richtige ARN-Format zu verwenden. Sie erhalten eine Fehlermeldung, wenn Sie nur die ID angeben, z. B. wenn Sie nur `o-123example` oder `ou-1234-5example` angeben. Richtige ARN-Formate: + ARN der Organisation: `arn:aws:organizations::111122223333:organization/organization-id` + OE-ARN: `arn:aws:organizations::111122223333:ou/organization-id/ou-id` Wobei Folgendes gilt: + *`111122223333`* ist ein Beispiel für die 12-stellige Konto-ID für das Verwaltungskonto. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation oder die Organisationseinheit beschreiben, um den ARN zu erhalten, der die Verwaltungskontonummer enthält. Weitere Informationen finden Sie unter [Den ARN einer Organisation oder Organisationseinheit abrufen](get-org-ou-ARN.md). + *`organization-id`* ist die Organisations-ID, beispielsweise `o-123example`. + *`ou-id`* ist die ID der Organisationseinheit, beispielsweise `ou-1234-5example`. Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*. + **Verschlüsselung und Schlüssel** — Sie können Daten teilen AMIs , die durch unverschlüsselte und verschlüsselte Snapshots gesichert sind. + Die verschlüsselten Snapshots müssen mit einem vom Kunden verwalteten Schlüssel verschlüsselt sein. Sie können keine Dateien teilenAMIs , die auf Snapshots basieren, die mit dem verwalteten AWS Standardschlüssel verschlüsselt wurden. + Wenn Sie ein AMI gemeinsam nutzen, das auf verschlüsselten Snapshots basiert, müssen Sie den Organisationen oder OUs der Verwendung der vom Kunden verwalteten Schlüssel, die zur Verschlüsselung der Snapshots verwendet wurden, gestatten. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md). + **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der Region verfügbar, in der Sie es freigegeben haben. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md). + **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Wenn die Benutzer jedoch eine Instance mit Ihrem AMI gestartet haben, können sie danach von der gestarteten Instance aus ein AMI erstellen. + **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten. # Den ARN einer Organisation oder Organisationseinheit abrufen Die Organisation und die Organisationseinheit ARNs enthalten die 12-stellige Verwaltungskontonummer. Wenn Sie die Verwaltungskontonummer nicht kennen, können Sie die Organisation und die Organisationseinheit beschreiben, um den jeweiligen ARN zu erhalten. In den folgenden Beispielen ist `123456789012` die Konto-ID des Verwaltungskontos. **Erforderliche Berechtigungen** Bevor Sie die erhalten können ARNs, müssen Sie über die Erlaubnis verfügen, Organisationen und Organisationseinheiten zu beschreiben. Die folgende Richtlinie bietet die erforderliche Berechtigung. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:Describe*" ], "Resource": "*" } ] } ``` ------ ------ #### [ AWS CLI ] **So erhalten Sie den ARN einer Organisation** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Fügen Sie die Option `--query` hinzu, um nur den Organisations-ARN zurückzugeben. ``` aws organizations describe-organization --query 'Organization.Arn' ``` Es folgt eine Beispielausgabe. ``` "arn:aws:organizations::123456789012:organization/o-1234567abc" ``` **So erhalten Sie den ARN einer Organisationseinheit** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Verwenden Sie den `--query`-Parameter, um nur den ARN der Organisationseinheit zurückzugeben. ``` aws organizations describe-organizational-unit \ --organizational-unit-id ou-a123-b4567890 \ --query 'OrganizationalUnit.Arn' ``` Es folgt eine Beispielausgabe. ``` "arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890" ``` ------ #### [ PowerShell ] **So erhalten Sie den ARN einer Organisation** Verwenden Sie das ORGOrganization Cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html). ``` (Get-ORGOrganization).Arn ``` Es folgt eine Beispielausgabe. ``` arn:aws:organizations::123456789012:organization/o-1234567abc ``` **So erhalten Sie den ARN einer Organisationseinheit** Verwenden Sie das [Cmdlet Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html). ``` (Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn ``` Es folgt eine Beispielausgabe. ``` arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890 ``` ------ # Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels Wenn Sie ein AMI gemeinsam nutzen, das durch verschlüsselte Snapshots unterstützt wird, müssen Sie auch den Organisationen oder Organisationseinheiten (OUs) erlauben, die KMS-Schlüssel zu verwenden, die zum Verschlüsseln der Snapshots verwendet wurden. **Anmerkung** Die verschlüsselten Snapshots müssen mit einem *vom Kunden verwalteten* Schlüssel verschlüsselt sein. Sie können keine Dateien teilen AMIs , die auf Snapshots basieren, die mit dem verwalteten Standardschlüssel verschlüsselt sind. AWS Um den Zugriff auf den KMS-Schlüssel zu steuern, können Sie in der [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) die Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) verwenden, um nur bestimmten Prinzipalen Zugriff auf die angegebenen Aktionen zu gewähren. Ein Principal kann ein Benutzer, eine IAM-Rolle, ein Verbundbenutzer oder AWS-Konto ein Root-Benutzer sein. Die Bedingungsschlüssel werden wie folgt verwendet: + `aws:PrincipalOrgID` – Erlaubt jeden Prinzipal, der zu der Organisation gehört, die durch die angegebene ID repräsentiert wird. + `aws:PrincipalOrgPaths`— Erlaubt jeden Prinzipal, der zu den durch die angegebenen Pfade OUs dargestellten gehört. Um einer Organisation (einschließlich der zugehörigen Konten OUs und Konten) die Erlaubnis zur Verwendung eines KMS-Schlüssels zu erteilen, fügen Sie der Schlüsselrichtlinie die folgende Anweisung hinzu. ``` { "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } } ``` Um bestimmten OUs (und den zugehörigen Konten) Berechtigungen zur Verwendung eines KMS-Schlüssels zu erteilen, können Sie eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt. ``` { "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } } ``` Weitere Beispiele für Bedingungsanweisungen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) im *IAM-Benutzerhandbuch*. Weitere Informationen über kontoübergreifender Zugriff finden Sie im *AWS Key Management Service -Entwicklerhandbuch* unter [Zulassen der Verwendung eines KMS-Schlüssels durch Benutzer in anderen Konten](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html). # Gemeinsame Nutzung von AMI mit einer Organisation oder OU verwalten Verwalten Sie die gemeinsame AMI-Verwendung mit Organisationen und Organisationseinheiten (OUs), um zu kontrollieren, ob diese Amazon-EC2-Instances starten können. ## Sehen Sie sich die Organisationen an, OUs mit denen ein AMI geteilt wird Sie können die Organisationen finden, OUs mit denen Sie Ihr AMI geteilt haben. ------ #### [ Console ] **Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie Ihr AMI in der Liste aus, wählen Sie den Tab **Permissions** und scrollen Sie nach unten zu **Shared Organizations/ OUs**. Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter. [Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md) ------ #### [ AWS CLI ] **Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) mit dem Attribut `launchPermission`. ``` aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission ``` Nachfolgend finden Sie eine Beispielantwort. ``` { "ImageId": "ami-0abcdef1234567890", "LaunchPermissions": [ { "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example" } ] } ``` ------ #### [ PowerShell ] **Um zu überprüfen, mit welchen Organisationen und OUs Sie Ihr AMI geteilt haben** Verwenden Sie das cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html). ``` Get-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ``` ------ ## Ein AMI für eine Organisation oder einer OE freigeben Sie können ein AMI für eine Organisation oder einer OU freigeben **Anmerkung** Sie brauchen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss freigegeben werden. Das System stellt automatisch Instance-Zugriff auf die referenzierten EBS-Snapshots für den Start bereit. Sie müssen jedoch die KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md). ------ #### [ Console ] **So geben Sie ein AMI für eine Organisation oder einer OE frei** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus. 1. Unter **AMI-Verfügbarkeit** wählen Sie **Privat** aus. 1. Wählen Sie neben **Gemeinsam genutzte Organisationen/** die Option OUs ARN **hinzufügen organization/OU ** aus. 1. Geben Sie für **Organization/OU ARN** (ARN der Organisation/OE) den ARN der Organisation oder OE ein, für den Sie das AMI freigeben möchten, und wählen Sie dann **Share AMI** (AMI freigeben) aus. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID. Um dieses AMI mit mehreren Organisationen zu teilen oder wiederholen Sie diesen Schritt OUs, bis Sie alle erforderlichen Organisationen hinzugefügt haben oder OUs. 1. Wählen Sie abschließend **Save changes** (Änderungen speichern) aus. 1. (Optional) Um die Organisationen anzuzeigen oder OUs mit denen Sie das AMI geteilt haben, wählen Sie das AMI in der Liste aus, klicken Sie auf die Registerkarte **Berechtigungen** und scrollen Sie nach unten zu **Gemeinsam genutzte Organisationen/ OUs**. Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter. [Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md) ------ #### [ AWS CLI ] **So geben Sie ein AMI für eine Organisation frei** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html), um der angegebenen Organisation Startberechtigungen für das angegebene AMI zu erteilen. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]" ``` **So geben Sie ein AMI für eine OE frei** Der [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)Befehl gewährt der angegebenen Organisationseinheit Startberechtigungen für das angegebene AMI. Beachten Sie, dass Sie den vollständigen ARN angeben müssen, nicht nur die ID. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]" ``` ------ #### [ PowerShell ] Verwenden Sie den [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)Befehl (Tools für Windows PowerShell), um ein AMI gemeinsam zu nutzen, wie in den folgenden Beispielen gezeigt. **So geben Sie ein AMI für eine Organisation oder einer OE frei** Der folgende Befehl erteilt der angegebenen Organisation Startberechtigungen für das angegebene AMI. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType add ` -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example" ``` **So beenden Sie die Freigabe eines AMI für eine Organisation oder OE** Der folgende Befehl entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation: ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType remove ` -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example" ``` **Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten** Der folgende Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` Reset-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ``` ------ ## So beenden Sie die Freigabe eines AMI für eine Organisation oder OU Sie können die Freigabe eines AMI für eine Organisation oder OU beenden. **Anmerkung** Sie können die Freigabe eines AMI für ein bestimmtes Konto nicht beenden, wenn es sich in einer Organisation oder OE befindet, für die ein AMI freigegeben ist. Wenn Sie versuchen, die Freigabe des AMI zu beenden, indem Sie die Startberechtigungen für das Konto entfernen, gibt Amazon EC2 eine Erfolgsmeldung zurück. Das AMI ist jedoch weiterhin für das Konto freigegeben. ------ #### [ Console ] **So beenden Sie die Freigabe eines AMI für eine Organisation oder OE** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus. 1. Wählen Sie unter **Gemeinsam genutzte Organisationen/** die Organisationen ausOUs, für die Sie das AMI nicht mehr teilen möchten, und wählen Sie dann Ausgewählte **entfernen** aus. OUs 1. Wählen Sie abschließend **Save changes** (Änderungen speichern) aus. 1. (Optional) Um zu bestätigen, dass Sie das AMI nicht mehr mit den Organisationen teilenOUs, oder wählen Sie das AMI in der Liste aus, wählen Sie die Registerkarte **Berechtigungen** und scrollen Sie nach unten zu **Gemeinsam genutzte Organisationen/ OUs**. ------ #### [ AWS CLI ] **So beenden Sie die Freigabe eines AMI für eine Organisation oder OE** Verwenden Sie den Befehl [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Dieses Beispiel entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]" ``` **Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Dieses Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` aws ec2 reset-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission ``` ------ #### [ PowerShell ] **So beenden Sie die Freigabe eines AMI für eine Organisation oder OE** Verwenden Sie das cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). Dieses Beispiel entfernt Startberechtigungen für das angegebene AMI von der angegebenen Organisation. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType remove ` -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example" ``` **Um die gemeinsame Nutzung eines AMI mit allen Organisationen zu beenden OUs, und AWS-Konten** Verwenden Sie das cmdlet [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). Dieses Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` Reset-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute LaunchPermission ``` ------ # Teilen Sie ein AMI mit bestimmten AWS Konten Sie können ein AMI mit bestimmten Personen teilen, AWS-Konten ohne das AMI zu veröffentlichen. Alles was Sie brauchen ist die AWS-Konto IDs. Eine AWS-Konto ID ist eine 12-stellige Zahl`012345678901`, die z. B. eine AWS-Konto eindeutig identifiziert. Weitere Informationen finden Sie unter [AWS-Konto -Kennungen anzeigen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) im *Referenzleitfaden für AWS -Kontenverwaltung *. ## Überlegungen Beachten Sie beim Teilen AMIs mit bestimmten AWS-Konten Personen Folgendes. + **Eigentümerschaft** – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein. + **Freigabelimits** – Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter [Amazon-EC2-Service-Quotas](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2). + **Tags** – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI teilen, sind Ihre benutzerdefinierten Tags für niemanden verfügbar, mit dem AWS-Konto das AMI geteilt wird. + **Snapshots** – Sie müssen die Amazon-EBS-Snapshots, auf die ein AMI verweist, nicht freigeben, um das AMI freizugeben. Sie können nur das AMI selbst freigeben. Das System stellt automatisch Instance-Zugriff auf die referenzierten EBS-Snapshots für den Start bereit. Sie müssen jedoch sämtliche KMS-Schlüssel freigeben, die zum Verschlüsseln von Snapshots verwendet werden, auf die ein AMI verweist. Weitere Informationen finden Sie unter [Amazon-EBS-Snapshot freigeben](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) im *Amazon-EBS-Benutzerhandbuch*. + **Verschlüsselung und Schlüssel** — Sie können Daten teilen AMIs , die durch unverschlüsselte und verschlüsselte Snapshots gesichert sind. + Die verschlüsselten Snapshots müssen mit einem KMS-Schlüssel verschlüsselt werden. Sie können keine Dateien teilen AMIs , die auf Snapshots basieren, die mit dem verwalteten AWS Standardschlüssel verschlüsselt wurden. + Wenn Sie ein AMI teilen, das von verschlüsselten Snapshots unterstützt wird, müssen Sie zulassen, dass die AWS-Konten KMS-Schlüssel verwendet werden, die zum Verschlüsseln der Snapshots verwendet wurden. Weitere Informationen finden Sie unter [Erlauben Sie Organisationen und OUs die Verwendung eines KMS-Schlüssels](allow-org-ou-to-use-key.md). Informationen zur Einrichtung der Schlüsselrichtlinie, die Sie zum Starten von Auto Scaling Scaling-Instances benötigen, wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, finden Sie unter [Erforderliche AWS KMS key Richtlinie für die Verwendung mit verschlüsselten Volumes](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*. + **Region** — AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der entsprechenden Region verfügbar. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter [Kopieren eines Amazon-EC2-AMI](CopyingAMIs.md). + **Nutzung**: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Nachdem sie jedoch eine Instance mit Ihrem AMI gestartet haben, können sie dann ein AMI aus ihrer eigenen Instance erstellen. + **Geteiltes kopieren AMIs** — Wenn Benutzer in einem anderen Konto ein gemeinsam genutztes AMI kopieren möchten, müssen Sie ihnen Leseberechtigungen für den Speicher gewähren, der das AMI unterstützt. Weitere Informationen finden Sie unter [Kontoübergreifendes Kopieren](how-ami-copy-works.md#copy-ami-across-accounts). + **Abrechnung** — Ihnen wird nichts in Rechnung gestellt, wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten. ------ #### [ Console ] **Erteilen expliziter Startberechtigungen** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI in der Liste aus und wählen Sie dann **Aktionen**, **AMI-Berechtigungen bearbeiten** aus. 1. Wählen Sie **Private (Privat)** aus. 1. Wählen Sie unter **Freigegebene Konten** die Option **Konto-ID hinzufügen** aus. 1. Geben Sie unter **AWS-Konto ID** die AWS-Konto ID ein, mit der Sie das AMI teilen möchten, und wählen Sie dann **Share AMI** aus. Um dieses AMI mit mehreren Konten zu teilen, wiederholen Sie die Schritte 5 und 6, bis Sie alle erforderlichen Konten hinzugefügt haben IDs. 1. Wählen Sie abschließend **Änderungen speichern** aus. 1. (Optional) Um das zu sehen, AWS-Konto IDs mit dem Sie das AMI geteilt haben, wählen Sie das AMI in der Liste aus und klicken Sie dann auf die Registerkarte **Berechtigungen**. Informationen darüber AMIs , welche mit Ihnen geteilt wurden, finden Sie unter[Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md). ------ #### [ AWS CLI ] Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html), um ein AMI wie in den folgenden Beispielen gezeigt freizugeben. **Erteilen expliziter Startberechtigungen** Das folgende Beispiel erteilt Startberechtigungen für das angegebene AMI an das angegebene AWS-Konto. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{UserId=123456789012}]" ``` **Entfernen von Startberechtigungen für ein Konto** Das folgende Beispiel entfernt Startberechtigungen für das angegebene AMI vom angegebenen AWS-Konto. ``` aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{UserId=123456789012}]" ``` **Entfernen aller Startberechtigungen** Das folgende Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` aws ec2 reset-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission ``` ------ #### [ PowerShell ] Verwenden Sie den [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)Befehl (Tools für Windows PowerShell), um ein AMI gemeinsam zu nutzen, wie in den folgenden Beispielen gezeigt. **Erteilen expliziter Startberechtigungen** Das folgende Beispiel erteilt Startberechtigungen für das angegebene AMI an das angegebene AWS-Konto. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ` -OperationType add ` -UserId "123456789012" ``` **Entfernen von Startberechtigungen für ein Konto** Das folgende Beispiel entfernt Startberechtigungen für das angegebene AMI vom angegebenen AWS-Konto. ``` Edit-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission -OperationType remove ` -UserId "123456789012" ``` **Entfernen aller Startberechtigungen** Das folgende Beispiel entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. ``` Reset-EC2ImageAttribute ` -ImageId ami-0abcdef1234567890 ` -Attribute launchPermission ``` ------ # Kündigen Sie die gemeinsame Nutzung eines AMI mit Ihrem AWS-Konto Ein Amazon Machine Image (AMI) kann [für bestimmte AWS-Konten freigegeben werden](sharingamis-explicit.md), indem die Konten zu den Startberechtigungen des AMI hinzugefügt werden. Wenn ein AMI mit Ihrem geteilt wurde AWS-Konto und Sie nicht mehr möchten, dass es mit Ihrem Konto geteilt wird, können Sie Ihr Konto aus den Startberechtigungen des AMI entfernen. Sie tun dies, indem Sie den `cancel-image-launch-permission` AWS CLI Befehl ausführen. Wenn Sie diesen Befehl ausführen, werden Ihnen AWS-Konto die Startberechtigungen für das angegebene AMI entzogen. Informationen zu den Dateien AMIs , die mit Ihrem geteilt wurden AWS-Konto, finden Sie unter[Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen](usingsharedamis-finding.md). Sie können beispielsweise die Freigabe eines AMI für Ihr Konto aufheben, um die Wahrscheinlichkeit zu verringern, dass eine Instance mit einem ungenutzten oder veralteten AMI gestartet wird, das für Sie freigegeben wurde. Wenn Sie die Freigabe eines AMI für Ihr Konto aufheben, wird es nicht mehr in AMI-Listen in der EC2-Konsole oder in der Ausgabe für [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) angezeigt. **Topics** + [ ## Einschränkungen ](#cancel-sharing-an-AMI-limitations) + [ ## Aufheben der Freigabe eines AMI für Ihr Konto ](#cancel-image-launch-permission) ## Einschränkungen + Sie können Ihr Konto aus den Startberechtigungen eines AMI entfernen, das AWS-Konto nur mit Ihnen geteilt wird. Sie können es nicht verwenden`cancel-image-launch-permission`, um Ihr Konto aus den Startberechtigungen eines [AMI zu entfernen, das mit einer Organisation oder Organisationseinheit (OU) geteilt](share-amis-with-organizations-and-OUs.md) wurde, oder um den Zugriff auf die Öffentlichkeit zu entfernen AMIs. + Sie können Ihr Konto nicht dauerhaft aus den Startberechtigungen eines AMI entfernen. Ein AMI-Besitzer kann ein AMI wieder mit Ihrem -Konto teilen. + AMIs sind eine regionale Ressource. Beim Ausführen von `cancel-image-launch-permission` müssen Sie die Region angeben, in der sich das AMI befindet. Geben Sie entweder die Region im Befehl an, oder verwenden Sie die AWS\$1DEFAULT\$1REGION [Umgebungsvariable](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html). + Nur die SDKs AWS CLI und unterstützen das Entfernen Ihres Kontos aus den Startberechtigungen eines AMI. Die EC2-Konsole unterstützt diese Aktion derzeit nicht. ## Aufheben der Freigabe eines AMI für Ihr Konto **Anmerkung** Nachdem Sie die Freigabe eines AMI für Ihr Konto aufgehoben haben, können Sie dies nicht mehr rückgängig machen.. Um wieder Zugriff auf das AMI zu erhalten, muss der AMI-Besitzer es für Ihr Konto freigeben. ------ #### [ AWS CLI ] **So heben Sie die Freigabe eines AMI für Ihr Konto auf** Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html). ``` aws ec2 cancel-image-launch-permission \ --image-id ami-0abcdef1234567890 \ --region us-east-1 ``` ------ #### [ PowerShell ] **So heben Sie die Freigabe eines AMI für Ihr Konto auf** Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html). ``` Stop-EC2ImageLaunchPermission ` -ImageId ami-0abcdef1234567890 ` -Region us-east-1 ``` ------ # Empfehlungen für die Erstellung von gemeinsam genutztem Linux AMIs Verwenden Sie die folgenden Richtlinien, um die Angriffsfläche zu reduzieren und die Zuverlässigkeit AMIs Ihrer erstellten Dateien zu verbessern. **Wichtig** Die Liste der Sicherheitsrichtlinien kann sehr umfassend sein. Erstellen Sie Ihre geteilten Daten AMIs sorgfältig und nehmen Sie sich Zeit, um zu überlegen, wo Sie sensible Daten preisgeben könnten. **Topics** + [ ## Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer ](#public-amis-disable-password-logins-for-root) + [ ## Deaktivieren des lokalen Root-Zugriffs ](#restrict-root-access) + [ ## Entfernen von SSH-Host-Schlüsselpaaren ](#remove-ssh-host-key-pairs) + [ ## Installieren von Anmeldeinformationen für öffentliche Schlüssel ](#public-amis-install-credentials) + [ ## SSHD-DNS-Prüfungen deaktivieren (optional) ](#public-amis-disable-ssh-dns-lookups) + [ ## Sensible Daten entfernen ](#public-amis-protect-yourself) Wenn Sie AMIs dafür bauen AWS Marketplace, finden Sie AMIs im *AWS Marketplace Verkäuferleitfaden* unter [Bewährte Methoden für das Bauen](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) Richtlinien, Richtlinien und bewährte Methoden. ## Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer Die Verwendung fester Root-Passwörter für öffentliche AMIs ist ein Sicherheitsrisiko, das schnell bekannt werden kann. Wenn die Benutzer bei der ersten Anmeldung zum Ändern des Passworts aufgefordert werden, bietet sich hierbei eine potenzielle Möglichkeit des Missbrauchs. Um das Problem zu beheben, deaktivieren Sie die Passwort-basierte Remoteanmeldung für den Root-Benutzer. **Deaktivieren von passwortbasierten Fernanmeldungen für den Stammbenutzer** 1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Textbearbeitungsprogramm und suchen Sie nach folgender Zeile: ``` #PermitRootLogin yes ``` 1. Ändern Sie die Zeile folgendermaßen: ``` PermitRootLogin without-password ``` Der Speicherort dieser Konfigurationsdatei weicht von Ihrer Verteilung ggf. ab. Das ist auch der Fall, wenn Sie nicht OpenSSH verwenden. Ist dies der Fall, schlagen Sie in der entsprechenden Dokumentation nach. ## Deaktivieren des lokalen Root-Zugriffs Wenn Sie mit Shared arbeiten AMIs, empfiehlt es sich, direkte Root-Logins zu deaktivieren. Melden Sie sich hierfür in der ausgeführten Instance an und geben Sie den folgenden Befehl aus: ``` [ec2-user ~]$ sudo passwd -l root ``` **Anmerkung** Der Befehl beeinträchtigt nicht die Verwendung von `sudo`. ## Entfernen von SSH-Host-Schlüsselpaaren Wenn Sie ein von einem öffentlichen AMI abgeleitetes AMI teilen möchten, entfernen Sie die bestehenden SSH-Host-Schlüsselpaare in `/etc/ssh`. Dadurch wird SSH gezwungen, neue eindeutige SSH-Schlüsselpaare zu generieren, wenn jemand eine Instance mit Ihrem AMI startet, wodurch die Sicherheit verbessert und die Wahrscheinlichkeit von "man-in-the-middle" -Angriffen verringert wird. Entfernen Sie die folgenden Schlüsseldateien aus Ihrem System. + ssh\$1host\$1dsa\$1key + ssh\$1host\$1dsa\$1key.pub + ssh\$1host\$1key + ssh\$1host\$1key.pub + ssh\$1host\$1rsa\$1key + ssh\$1host\$1rsa\$1key.pub + ssh\$1host\$1ecdsa\$1key + ssh\$1host\$1ecdsa\$1key.pub + ssh\$1host\$1ed25519\$1key + ssh\$1host\$1ed25519\$1key.pub Sie können all diese Dateien mit folgendem Befehl sicher entfernen. ``` [ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub ``` **Warnung** Hilfsprogramme zum sicheren Entfernen wie **shred** entfernen möglicherweise nicht alle Kopien einer Datei vom Speichermedium. Journaling-Dateisysteme (u. a. Amazon Linux default ext4), Snapshots, Sicherungen, RAID und temporäres Caching erstellen möglicherweise versteckte Kopien von Dateien. Weitere Informationen finden Sie in der [shred-Dokumentation](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html). **Wichtig** Wenn Sie die bestehenden SSH-Host-Schlüsselpaare nicht aus dem öffentlichen AMI entfernen, benachrichtigt unser routinemäßiger Prüfprozess Sie und alle Kunden, die Instances des AMI ausführen, über potenzielle Sicherheitsrisiken. Nach einer kurzen Übergangsfrist wird das AMI als privat markiert. ## Installieren von Anmeldeinformationen für öffentliche Schlüssel Wenn Sie das AMI so konfigurieren, dass keine Passwortanmeldung möglich ist, müssen Sie eine anderen Anmeldemethode für die Benutzer bereitstellen. Amazon EC2 ermöglicht den Benutzern die Angabe eines öffentlich-privaten Schlüsselpaar-Namens beim Starten einer Instance. Wenn dem `RunInstances`-API-Aufruf (oder mittels Befehlszeilen-API-Tools) ein gültiger Schlüsselpaarname bereitgestellt wird, wird der öffentliche Schlüssel (der Teil des Schlüsselpaars, den Amazon EC2 nach einem `CreateKeyPair`- oder `ImportKeyPair`-Aufruf auf dem Server speichert) der Instance mittels HTTP-Abfrage gegen die Instance-Metadaten verfügbar gemacht. Wenn Sie sich via SSH anmelden möchten, muss das AMI den Schlüsselwert beim Starten abrufen und `/root/.ssh/authorized_keys` (oder der entsprechenden Datei für das entsprechende Benutzerkonto im AMI) anhängen. Benutzer können Instances des AMI mit einem Schlüsselpaar starten und sich ohne Root-Passwort anmelden. Viele Verteilungen, u. a. Amazon Linux und Ubuntu, verwenden das `cloud-init`-Paket zum Einfügen von Anmeldeinformationen für öffentliche Schlüssel für einen konfigurierten Benutzer. Wenn die Verteilung `cloud-init` nicht unterstützt, fügen Sie dem System-Startup-Skript (z. B. `/etc/rc.local`) den folgenden Code hinzu, um den öffentlichen Schlüssel abzurufen, den Sie beim Start für den Root-Benutzer angegeben haben. **Anmerkung** Im folgenden Beispiel ist die IP-Adresse http://169.254.169.254/ eine lokale (link-local) Adresse und nur von der Instance aus gültig. ------ #### [ IMDSv2 ] ``` if [ ! -d /root/.ssh ] ; then mkdir -p /root/.ssh chmod 700 /root/.ssh fi # Fetch public key using HTTP TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key if [ $? -eq 0 ] ; then cat /tmp/my-key >> /root/.ssh/authorized_keys chmod 700 /root/.ssh/authorized_keys rm /tmp/my-key fi ``` ------ #### [ IMDSv1 ] ``` if [ ! -d /root/.ssh ] ; then mkdir -p /root/.ssh chmod 700 /root/.ssh fi # Fetch public key using HTTP curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key if [ $? -eq 0 ] ; then cat /tmp/my-key >> /root/.ssh/authorized_keys chmod 700 /root/.ssh/authorized_keys rm /tmp/my-key fi ``` ------ Dies kann auf jeden Benutzer angewendet werden. Sie müssen es nicht auf den `root`-Benutzer beschränken. **Anmerkung** Beim erneuten Bündeln einer Instance basierend auf dem AMI wird der Schlüssel eingebunden, mit dem es gestartet wurde. Damit der Schlüssel nicht eingebunden wird, löschen (oder entfernen) Sie die `authorized_keys`-Datei oder schließen Sie diese Datei vom erneuten Bündeln aus. ## SSHD-DNS-Prüfungen deaktivieren (optional) Durch das Deaktivieren von sshd-DNS-Prüfungen wird die sshd-Sicherheit beeinträchtigt. Wenn bei der DNS-Auflösung allerdings ein Fehler auftritt, funktioniert die SSH-Anmeldung weiterhin. Wenn Sie die sshd-Prüfungen nicht deaktivieren, wird die Anmeldung durch Fehler bei der DNS-Auflösung verhindert. **Deaktivieren von sshd-DNS-Prüfungen** 1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Textbearbeitungsprogramm und suchen Sie nach folgender Zeile: ``` #UseDNS yes ``` 1. Ändern Sie die Zeile folgendermaßen: ``` UseDNS no ``` **Anmerkung** Der Speicherort dieser Konfigurationsdatei kann von Ihrer Verteilung abweichen. Das ist auch der Fall, wenn Sie nicht OpenSSH verwenden. Ist dies der Fall, schlagen Sie in der entsprechenden Dokumentation nach. ## Sensible Daten entfernen Wir empfehlen, keine empfindlichen Daten oder empfindliche Software auf AMIs zu speichern, die Sie teilen. Benutzer, die ein gemeinsames AMI starten, könnten es erneut bündeln und als ihr eigenes registrieren. Gehen Sie folgendermaßen vor, um keine Sicherheitsrisiken zu übersehen: + Wir empfehlen, die `--exclude directory`-Option für `ec2-bundle-vol` zu verwenden, um die Verzeichnisse und Unterverzeichnisse zu überspringen, die geheime Informationen enthalten. Schließen Sie insbesondere alle benutzereigenen public/private SSH-Schlüsselpaare und `authorized_keys` SSH-Dateien aus, wenn Sie das Image bündeln. Amazon Public AMIs speichert diese `/root/.ssh` für den Root-Benutzer und `/home/user_name/.ssh/` für normale Benutzer. Weitere Informationen finden Sie unter [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol). + Löschen Sie vor dem Bündeln immer den Shell-Verlauf. Wenn Sie versuchen, mehr als einen Bundle-Upload im selben AMI durchzuführen, enthält der Shell-Verlauf Ihren Zugriffsschlüssel. Das folgende Beispiel muss der letzte ausgeführte Befehl vor dem Bündeln in einer Instance sein. ``` [ec2-user ~]$ shred -u ~/.*history ``` **Warnung** Die in der Warnung oben beschriebenen Einschränkungen von **shred** gelten auch hier. Hinweis: Bash schreibt den Verlauf der aktuellen Sitzung beim Beenden auf den Datenträger. Wenn Sie sich nach dem Löschen von `~/.bash_history` von der Instance ab- und anschließend wieder anmelden, werden Sie feststellen, dass die `~/.bash_history`-Datei neu erstellt wurde und alle Befehle enthält, die während der vorherigen Sitzung ausgeführt wurden. Neben Bash schreiben auch andere Programme Verlaufsdaten auf den Datenträger. Seien Sie vorsichtig und entfernen Sie unnötige DOT-Dateien und -Verzeichnisse. + Zum Bündeln einer ausgeführten Instance sind Ihr privater Schlüssel und das X.509-Zertifikat erforderlich. Legen Sie diese Daten und anderen Anmeldeinformationen an einem Speicherort ab, der nicht gebündelt wird (z. B. den Instance-Speicher). # Überwachen Sie AMI-Ereignisse mit Amazon EventBridge Wenn sich der Status eines Amazon Machine Image (AMI) ändert, EC2 generiert Amazon ein Ereignis, das an Amazon gesendet wird EventBridge (früher bekannt als Amazon CloudWatch Events). Die Ereignisse werden im JSON-Format an den EventBridge Standard-Event-Bus gesendet. Sie können Amazon verwenden EventBridge , um diese Ereignisse zu erkennen und darauf zu reagieren. Sie tun dies, indem Sie Regeln erstellen EventBridge , die als Reaktion auf ein Ereignis eine Aktion auslösen. Sie können beispielsweise eine EventBridge Regel erstellen, die erkennt, wann der AMI-Erstellungsprozess abgeschlossen ist, und dann ein Amazon SNS SNS-Thema aufruft, um Ihnen eine E-Mail-Benachrichtigung zu senden. Amazon EC2 generiert ein `EC2 AMI State Change` Ereignis, wenn ein AMI in einen der folgenden Zustände eintritt: + `available` + `failed` + `deregistered` + `disabled` Ereignisse werden auf bestmögliche Weise ausgegeben. In der folgenden Tabelle sind die AMI-Vorgänge und die Zustände aufgeführt, in die ein AMI übergehen kann. In der Tabelle gibt **Ja** die Zustände an, in die das AMI übergehen kann, wenn der entsprechende Vorgang ausgeführt wird. | AMI-Vorgänge | available | failed | deregistered | disabled | | --- | --- | --- | --- | --- | | CopyImage | Ja | Ja | | | | CreateImage | Ja | Ja | | | | CreateRestoreImageTask | Ja | Ja | | | | DeregisterImage | | | Ja | | | DisableImage | | | | Ja | | EnableImage | Ja | | | | | RegisterImage | Ja | Ja | | | **EC2 AMI State Change-Ereignisse** + [ ## Ereignisdetails ](#ami-events) + [ ## available-Ereignisse ](#ami-event-available) + [ ## failed-Ereignisse ](#ami-event-failed) + [ ## deregistered-Ereignisse ](#ami-event-deregistered) + [ ## disabled-Ereignisse ](#ami-event-disabled) ## Ereignisdetails Die folgenden Felder des Ereignisses können verwendet werden, um Regeln zu erstellen, die eine Aktion auslösen: `"source": "aws.ec2"` Identifiziert, dass das Ereignis von Amazon stammt EC2. `"detail-type": "EC2 AMI State Change"` Identifiziert den Ereignisnamen. `"detail": { "ImageId": "ami-0abcdef1234567890", "State": "available", }` Stellt die AMI-ID und den Status des AMI (`available`, `failed`, `deregistered` oder `disabled`) bereit. Weitere Informationen finden Sie im * EventBridge Amazon-Benutzerhandbuch*: + [ EventBridge Amazon-Veranstaltungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) + [ EventBridge Amazon-Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) + [ EventBridge Amazon-Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) Ein Tutorial zum Erstellen einer Lambda-Funktion und einer EventBridge Regel, die die Lambda-Funktion ausführt, finden Sie unter [Tutorial: Den Status einer EC2 Amazon-Instance mithilfe protokollieren EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-log-ec2-instance-state.html) im *AWS Lambda Developer* Guide. ## available-Ereignisse Das Folgende ist ein Beispiel für ein Ereignis, das Amazon EC2 generiert, wenn das AMI nach einem erfolgreichen `EnableImage` Vorgang`CreateImage`,, `CopyImage` `RegisterImage``CreateRestoreImageTask`, oder in den `available` Status wechselt. `"State": "available"` zeigt an, dass der Vorgang erfolgreich war. ``` { "version": "0", "id": "example-9f07-51db-246b-d8b8441bcdf0", "detail-type": "EC2 AMI State Change", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"], "detail": { "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b", "ImageId": "ami-0abcdef1234567890", "State": "available", "ErrorMessage": "" } } ``` ## failed-Ereignisse Das Folgende ist ein Beispiel für ein Ereignis, das Amazon EC2 generiert, wenn das AMI nach einem fehlgeschlagenen`CreateImage`, `CopyImage``RegisterImage`, oder `CreateRestoreImageTask` Vorgang in den `failed` Status wechselt. Die folgenden Felder enthalten relevante Informationen: + `"State": "failed"` – Gibt an, dass ein Vorgang fehlgeschlagen ist. + `"ErrorMessage": ""` – Gibt den Grund für den fehlgeschlagenen Vorgang an. ``` { "version": "0", "id": "example-9f07-51db-246b-d8b8441bcdf0", "detail-type": "EC2 AMI State Change", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"], "detail": { "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b", "ImageId": "ami-0abcdef1234567890", "State": "failed", "ErrorMessage": "Description of failure" } } ``` ## deregistered-Ereignisse Das Folgende ist ein Beispiel für ein Ereignis, das Amazon EC2 generiert, wenn das AMI nach einem erfolgreichen `DeregisterImage` Vorgang in den `deregistered` Status wechselt. Wenn der Vorgang fehlschlägt, wird kein Ereignis generiert. Jeder Fehler ist sofort bekannt, da `DeregisterImage` ein synchroner Vorgang ist. `"State": "deregistered"` zeigt an, dass der `DeregisterImage`-Vorgang erfolgreich war. ``` { "version": "0", "id": "example-9f07-51db-246b-d8b8441bcdf0", "detail-type": "EC2 AMI State Change", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"], "detail": { "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b", "ImageId": "ami-0abcdef1234567890", "State": "deregistered", "ErrorMessage": "" } } ``` ## disabled-Ereignisse Das Folgende ist ein Beispiel für ein Ereignis, das Amazon EC2 generiert, wenn das AMI nach einem erfolgreichen `DisableImage` Vorgang in den `disabled` Status wechselt. Wenn der Vorgang fehlschlägt, wird kein Ereignis generiert. Jeder Fehler ist sofort bekannt, da `DisableImage` ein synchroner Vorgang ist. `"State": "disabled"` zeigt an, dass der `DisableImage`-Vorgang erfolgreich war. ``` { "version": "0", "id": "example-9f07-51db-246b-d8b8441bcdf0", "detail-type": "EC2 AMI State Change", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"], "detail": { "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b", "ImageId": "ami-0abcdef1234567890", "State": "disabled", "ErrorMessage": "" } } ``` # Verstehen von AMI-Fakturierungsdaten Es gibt viele Amazon Machine Images (AMIs), aus denen Sie beim Starten Ihrer Instances wählen können, und sie unterstützen eine Vielzahl von Betriebssystemplattformen und Funktionen. Um zu verstehen, wie sich das AMI, das Sie beim Start Ihrer Instance wählen, auf das Endergebnis Ihrer AWS Rechnung auswirkt, können Sie die zugehörige Betriebssystemplattform und die Abrechnungsinformationen überprüfen. Tun Sie dies, bevor Sie On-Demand oder Spot-Instances starten oder Reserved Instance kaufen. Hier sind zwei Beispiele dafür, wie die Untersuchung Ihres AMI im Voraus bei der Auswahl des AMI helfen kann, das Ihren Anforderungen am besten entspricht: + Für Spot-Instances können Sie anhand der AMI-**Plattformdetails** bestätigen, dass das AMI für Spot-Instances unterstützt wird. + Beim Kauf eines Reserved Instance können Sie sicherstellen, dass Sie die Betriebssystemplattform (**Plattform**) auswählen, die den AMI-**Plattformdetails** zugeordnet ist. Weitere Informationen zu Instance-Preisen finden Sie unter [ EC2 Amazon-Preise](https://aws.amazon.com/ec2/pricing/). **Topics** + [ # Felder für AMI-Fakturierungsdaten ](billing-info-fields.md) + [ # Informationen zur AMI-Fakturierung und Verwendung finden ](view-billing-info.md) + [ # Überprüfen Sie die AMI-Gebühren auf Ihrer Rechnung ](verify-ami-charges.md) # Felder für AMI-Fakturierungsdaten Die folgenden Felder enthalten Fakturierungsdaten, die einem AMI zugeordnet sind: Plattformdetails Die Plattformdetails, die mit dem Fakturierungscode des AMI verknüpft sind. Beispiel, `Red Hat Enterprise Linux`. Verwendungsvorgang Der Betrieb der EC2 Amazon-Instance und der Abrechnungscode, der dem AMI zugeordnet ist. Beispiel, `RunInstances:0010`. [Der **Nutzungsvorgang** entspricht der Spalte [LineItem/Vorgang](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation) in Ihrem AWS Kosten- und Nutzungsbericht (CUR) und in der Preislisten-API.AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/price-changes.html) Sie können diese Felder auf den **Instances** oder auf der **AMIs**Seite in der EC2 Amazon-Konsole oder in der Antwort anzeigen, die vom Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) oder [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)zurückgegeben wird. ## Beispieldaten: Verwendungsvorgang nach Plattform In der folgenden Tabelle sind einige der Plattformdetails und Nutzungsvorgangswerte aufgeführt, die auf den **Instances** oder **AMIs**Seiten in der EC2 Amazon-Konsole oder in der Antwort angezeigt werden können, die vom Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) oder [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). | Plattformdetails | Verwendungsvorgang 2 | | --- | --- | | Linux/UNIX | RunInstances | | Red Hat BYOL Linux | RunInstances:00g03 | | Red Hat Enterprise Linux | RunInstances:0010 | | Red Hat Enterprise Linux with HA | RunInstances:1010 | | Red Hat Enterprise Linux with SQL Server Standard and HA | RunInstances:1014 | | Red Hat Enterprise Linux with SQL Server Enterprise and HA | RunInstances:1110 | | Red Hat Enterprise Linux with SQL Server Standard | RunInstances:0014 | | Red Hat Enterprise Linux with SQL Server Web | RunInstances:0210 | | Red Hat Enterprise Linux with SQL Server Enterprise | RunInstances:0110 | | SQL Server Enterprise | RunInstances:0100 | | SQL Server Standard | RunInstances:0004 | | SQL Server Web | RunInstances:0200 | | SUSE Linux | RunInstances:000g | | Ubuntu Pro | RunInstances:0g00 | | Windows | RunInstances:0002 | | Windows BYOL | RunInstances:0800 | | Windows with SQL Server Enterprise1 | RunInstances:0102 | | Windows with SQL Server Standard1 | RunInstances:0006 | | Windows with SQL Server Web1 | RunInstances:0202 | 1 Wenn zwei Softwarelizenzen mit einem AMI verknüpft sind, werden im Feld **Plattformdetails** beide angezeigt. 2 Wenn Sie Spot-Instances ausführen, unterscheidet sich der in [https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)Ihrem AWS Kosten- und Nutzungsbericht angegebene Wert möglicherweise von dem Wert für den **Nutzungsvorgang**, der hier aufgeführt ist. Wenn beispielsweise `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)` angezeigt wird, bedeutet dies`RunInstances:0010:SV006`, dass Amazon EC2 Red Hat Enterprise Linux Spot Instance-Stunde in der Region USA Ost (Nord-Virginia) in Zone 6 ausführt. 3 Dies wird wie RunInstances (Linux/UNIX) in Ihren Nutzungsberichten angezeigt. # Informationen zur AMI-Fakturierung und Verwendung finden Die folgenden Eigenschaften können Ihnen helfen, AMI-Gebühren auf Ihrer Rechnung zu überprüfen: + **Plattformdetails** + **Verwendungsvorgang** + **AMI-ID** ------ #### [ Console ] **So suchen Sie AMI-Fakturierungsdaten für ein AMI** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **AMIs** aus. 1. Wählen Sie das AMI aus. 1. Suchen Sie auf der Registerkarte **Details** die Optionen **Plattformdetails** und **Nutzungsvorgang**. **So suchen Sie AMI-Fakturierungsdaten für eine Instance** 1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie im Navigationsbereich **Instances** aus. 1. Wählen Sie die Instance aus. 1. Erweitern Sie auf der Registerkarte **Details** die **Instance-Details** und suchen Sie nach **Plattformdetails** und **Nutzungsvorgang**. ------ #### [ AWS CLI ] **So suchen Sie AMI-Fakturierungsdaten für ein AMI** Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). ``` aws ec2 describe-images \ --image-ids ami-0abcdef1234567890 \ --query "Images[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}" ``` Nachstehend finden Sie eine Beispielausgabe für ein Linux-AMI. ``` [ { "PlatformDetails": "Linux/UNIX", "UsageOperation": "RunInstances" } ] ``` **So suchen Sie AMI-Fakturierungsdaten für eine Instance** Verwenden Sie den Befehl [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html). ``` aws ec2 describe-instances \ --instance-ids i-1234567890abcdef0 \ --query "Reservations[].Instances[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}" ``` Nachstehend finden Sie eine Beispielausgabe für eine Windows-Instance. ``` [ { "PlatformDetails": "Windows", "UsageOperation": "RunInstances:0002" } ] ``` ------ #### [ PowerShell ] **So suchen Sie AMI-Fakturierungsdaten für ein AMI** Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). ``` Get-EC2Image ` -ImageId ami-0abcdef1234567890 | ` Format-List PlatformDetails, UsageOperation ``` Nachstehend finden Sie eine Beispielausgabe für ein Linux-AMI. ``` PlatformDetails : Linux/UNIX UsageOperation : RunInstances ``` **So suchen Sie AMI-Fakturierungsdaten für eine Instance** Verwenden Sie das cmdlet [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html). ``` (Get-EC2Instance ` -InstanceId i-1234567890abcdef0).Instances | ` Format-List PlatformDetails, UsageOperation ``` Nachstehend finden Sie eine Beispielausgabe für eine Windows-Instance. ``` PlatformDetails : Windows UsageOperation : RunInstances:0002 ``` ------ # Überprüfen Sie die AMI-Gebühren auf Ihrer Rechnung Um sicherzustellen, dass Ihnen keine ungeplanten Kosten entstehen, können Sie überprüfen, ob die Rechnungsinformationen für eine Instance in Ihrem AWS Kosten- und Nutzungsbericht (CUR) mit den Abrechnungsinformationen übereinstimmen, die dem AMI zugeordnet sind, das Sie zum Starten der Instance verwendet haben. Um die Fakturierungsdaten zu bestätigen, suchen Sie die Instance-ID in Ihrem CUR und überprüfen Sie den entsprechenden Wert in der Spalte `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. Der Wert sollte mit dem Wert für **Usage operation (Verwendungsvorgang)** übereinstimmen, der dem AMI zugeordnet ist. Zum Beispiel hat das AMI `ami-0123456789EXAMPLE` die folgenden Fakturierungsdaten: + **Plattformdetails** = `Red Hat Enterprise Linux` + **Verwendungsvorgang** = `RunInstances:0010` Wenn Sie eine Instance mit diesem AMI gestartet haben, können Sie die Instance-ID in Ihrem CUR finden und den entsprechenden Wert in der Spalte `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)` überprüfen. In diesem Beispiel sollte der Wert `RunInstances:0010` sein. # AMI-Kontingente bei Amazon EC2 Die folgenden Kontingente gelten für das Erstellen und Teilen AMIs. Die Kontingente gelten pro AWS-Region. **** | Kontingentname | Description | Standardkontingent pro Region | | --- | --- | --- | | AMIs | Die maximal zulässige Anzahl öffentlicher und privater AMIs Dateien pro Region. Dazu gehören „Verfügbar“, „Ausstehend“ und „Deaktiviert AMIs“ sowie „ AMIs Im Papierkorb“. | 50 000 | | Öffentlich AMIs | Die maximal zulässige Anzahl an öffentlichen AMIs Inhalten, einschließlich der AMIs im Papierkorb befindlichen Personen, pro Region. | 5 | | Freigeben von AMIs | Die maximale Anzahl von Entitäten (Organisationen, Organisationseinheiten (OUs) und Konten), mit denen ein AMI in einer Region gemeinsam genutzt werden kann. Beachten Sie, dass bei Freigabe eines AMI für eine Organisation oder Organisationseinheit die Anzahl der Konten in der Organisation oder Organisationseinheit nicht auf das Kontingent angerechnet wird. | 1.000 | Wenn Sie Ihre Kontingente überschreiten und mehr erstellen oder teilen möchten AMIs, können Sie wie folgt vorgehen: + Wenn Sie Ihr gesamtes AMIs oder öffentliches AMIs Kontingent überschreiten, sollten Sie erwägen, ungenutzte Bilder abzumelden. + Wenn Sie Ihr öffentliches AMIs Kontingent überschreiten, sollten Sie in Erwägung ziehen, eines oder mehrere öffentlich AMIs als privat zu kennzeichnen. + Wenn Sie Ihr AMI-Sharing-Kontingent überschreiten, sollten Sie erwägen, es AMIs mit einer Organisation oder Organisationseinheit zu teilen, anstatt es mit separaten Konten zu teilen. + Beantragen Sie eine Erhöhung des Kontingents für AMIs. ## Beantragen Sie eine Quotenerhöhung für AMIs Wenn Sie mehr als das Standardkontingent benötigen AMIs, können Sie eine Kontingenterhöhung beantragen. **Um eine Kontingenterhöhung zu beantragen für AMIs** 1. Öffnen Sie die Service Quotas-Konsole unter [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/). 1. Wählen Sie im Navigationsbereich **AWS -Services**. 1. Wählen Sie **Amazon Elastic Compute Cloud (Amazon EC2)** aus der Liste aus, oder geben Sie den Namen des Dienstes in das Suchfeld ein. 1. Wählen Sie das AMI-Kontingent, um eine Erhöhung zu beantragen. Sie können folgende AMI-Kontingente auswählen: + AMIs + Öffentlich AMIs + Freigeben von AMIs 1. Wählen Sie **Kontingenterhöhung anfordern**. 1. Geben Sie unter **Change quota value** (Kontingentwert ändern) den neuen Kontingentwert ein und wählen Sie dann **Request** (Anforderung) aus. Um ausstehende oder kürzlich genehmigte Anfragen anzuzeigen, wählen Sie im Navigationsbereich die Option **Dashboard** . Wählen Sie für ausstehende Anfragen den Status der Anfrage, um die Anfrage zu öffnen. Der Anfangsstatus einer Anfrage ist **Pending** (Ausstehend). Nachdem sich der Status in **Quota requested** (Kontingent beantragt) geändert hat, wird Ihnen die Fallnummer unter **Support Center case number** (Support-Center-Fallnummer) angezeigt. Wählen Sie die Fallnummer, um das Ticket für Ihre Anfrage zu öffnen. Nachdem die Anfrage genehmigt wurde, wird **Applied quota value (Angewandter Kontingentwert)** für das Kontingent auf den neuen Wert eingestellt. Weitere Informationen zu diesem Service finden Sie im [Benutzerhandbuch für Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).