Freigeben eines AMI für bestimmte AWS-Konten
Sie können ein AMI für bestimmte AWS-Konten freigeben, ohne das AMI öffentlich zu machen. Sie benötigen lediglich die AWS-Konto-IDs.
Eine AWS-Konto-ID ist eine 12-stellige Zahl, z. B. 012345678901, die ein AWS-Konto eindeutig identifiziert. Weitere Informationen finden Sie in der SQL-Referenz zu AWS-Konto im AWS Account Management-Entwicklerhandbuch.
Überlegungen
Beachten Sie Folgendes, wenn Sie AMIs für bestimmte AWS-Konten freigeben.
-
Eigentümerschaft – Um ein AMI freizugeben, muss Ihr AWS-Konto Besitzer des AMI sein.
-
Freigabelimits – Informationen zur maximalen Anzahl von Entitäten, für die ein AMI innerhalb einer Region freigegeben werden kann, finden Sie unter Amazon-EC2-Service-Quotas.
-
Tags – Sie können keine benutzerdefinierten Tags (Tags, die Sie einem AMI anfügen) freigeben. Wenn Sie ein AMI freigeben, sind Ihre benutzerdefinierten Tags für kein AWS-Konto verfügbar, für das das AMI freigegeben wurde.
-
Verschlüsselung und Schlüssel: Sie können AMIs freigeben, die durch unverschlüsselte und verschlüsselte Snapshots unterstützt werden.
-
Die verschlüsselten Snapshots müssen mit einem KMS-Schlüssel verschlüsselt werden. Sie können keine AMIs freigeben, die von Snapshots unterstützt werden, die mit dem verwalteten Standardschlüssel AWS verschlüsselt sind.
-
Wenn Sie ein AMI freigeben, das durch verschlüsselte Snapshots gesichert ist, können Sie dem AWS-Konten erlauben, die KMS-Schlüssel zu verwenden, die zur Verschlüsselung der Snapshots verwendet wurden. Weitere Informationen finden Sie unter Organisationen und OEs erlauben, einen KMS-Schlüssel zu verwenden. Um die Schlüsselrichtlinie einzurichten, die Sie benötigen, um Auto-Scaling-Instances zu starten, wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, siehe Erforderliche AWS KMS key-Richtlinie für die Verwendung mit verschlüsselten Volumes im Handbuch für Amazon EC2 Auto Scaling.
-
-
Region: AMIs sind eine regionale Ressource. Wenn Sie ein AMI freigeben, ist es nur in der entsprechenden Region verfügbar. Um ein AMI in einer anderen Region verfügbar zu machen, kopieren Sie das AMI in die Region und geben Sie es dann frei. Weitere Informationen finden Sie unter Kopieren eines Amazon-EC2-AMI.
-
Nutzung: Wenn Sie ein AMI freigeben, können Benutzer Instances nur über das AMI starten. Sie können es nicht löschen, teilen oder ändern. Nachdem sie jedoch eine Instance mit Ihrem AMI gestartet haben, können sie dann ein AMI aus ihrer eigenen Instance erstellen.
-
Kopieren gemeinsam verwendeter AMIs: Wenn Benutzer in einem anderen Konto ein freigegebenes AMI kopieren möchten, müssen Sie ihnen Leseberechtigungen für den Speicher erteilen, der das AMI sichert. Weitere Informationen finden Sie unter Kontoübergreifendes Kopieren.
-
Fakturierung – Wenn Ihr AMI von anderen AWS-Konten zum Starten von Instances verwendet wird, wird Ihnen dies nicht in Rechnung gestellt. Die Konten, die Instances mit dem AMI starten, werden für die Instances abgerechnet, die sie starten.
Erteilen expliziter Startberechtigungen mit der Konsole
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich die Option AMIs.
-
Wählen Sie das AMI in der Liste aus und wählen Sie dann Aktionen, AMI-Berechtigungen bearbeiten aus.
-
Wählen Sie Private (Privat) aus.
-
Wählen Sie unter Freigegebene Konten die Option Konto-ID hinzufügen aus.
-
Geben Sie für AWS-Konto-ID die AWS-Konto-ID ein, für die Sie das AMI freigeben möchten und wählen Sie dann AMI freigeben aus.
Um dieses AMI für mehrere Konten freizugeben, wiederholen Sie die Schritte 5 und 6, bis Sie alle erforderlichen Konto-IDs hinzugefügt haben.
Anmerkung
Sie brauchen die Amazon EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss geteilt werden. Das System stellt automatisch Instancezugriff auf die referenzierten Amazon EBS-Snapshots für den Start bereit. Sie müssen jedoch sämtliche KMS-Schlüssel teilen, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Amazon-EBS-Snapshot freigeben im Amazon-EBS-Benutzerhandbuch.
-
Wählen Sie abschließend Änderungen speichern aus.
-
(Optional) Um die AWS-Konto-IDs anzuzeigen, mit denen Sie das AMI freigegeben haben, wählen Sie das AMI in der Liste und dann die Registerkarte Permissions (Berechtigungen) aus. Um AMIs zu finden, die für Sie freigegeben wurden, lesen Sie Freigegebene AMIs zur Verwendung für Amazon-EC2-Instances suchen.
Verwenden Sie den Befehl modify-image-attribute (AWS CLI), um ein AMI wie in den folgenden Beispielen gezeigt freizugeben.
Erteilen expliziter Startberechtigungen
Der folgende Befehl erteilt Startberechtigungen für die angegebene AMI an das angegebene AWS-Konto. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID und account-id
aws ec2 modify-image-attribute \ --image-idami-0abcdef1234567890\ --launch-permission "Add=[{UserId=account-id}]"
Anmerkung
Sie brauchen die Amazon EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss geteilt werden. Das System stellt automatisch Instancezugriff auf die referenzierten Amazon EBS-Snapshots für den Start bereit. Sie müssen jedoch sämtliche KMS-Schlüssel teilen, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Amazon-EBS-Snapshot freigeben im Amazon-EBS-Benutzerhandbuch.
Entfernen von Startberechtigungen für ein Konto
Der folgende Befehl entfernt Startberechtigungen für die angegebene AMI vom angegebenen AWS-Konto. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID und account-id
aws ec2 modify-image-attribute \ --image-idami-0abcdef1234567890\ --launch-permission "Remove=[{UserId=account-id}]"
Entfernen aller Startberechtigungen
Der folgende Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID.
aws ec2 reset-image-attribute \ --image-idami-0abcdef1234567890\ --attribute launchPermission
Verwenden Sie den Befehl Edit-EC2ImageAttribute (Tools für Windows PowerShell), um ein AMI wie in den folgenden Beispielen gezeigt freizugeben.
Erteilen expliziter Startberechtigungen
Der folgende Befehl erteilt Startberechtigungen für die angegebene AMI an das angegebene AWS-Konto. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID und account-id
PS C:\>Edit-EC2ImageAttribute -ImageIdami-0abcdef1234567890-Attribute launchPermission -OperationType add -UserId "account-id"
Anmerkung
Sie brauchen die Amazon EBS-Snapshots, auf die ein AMI verweist, nicht zu teilen, um das AMI zu teilen. Nur das AMI selbst muss geteilt werden. Das System stellt automatisch Instancezugriff auf die referenzierten Amazon EBS-Snapshots für den Start bereit. Sie müssen jedoch sämtliche KMS-Schlüssel teilen, die zum Verschlüsseln von Snapshots verwendet werden, auf die das AMI verweist. Weitere Informationen finden Sie unter Amazon-EBS-Snapshot freigeben im Amazon-EBS-Benutzerhandbuch.
Entfernen von Startberechtigungen für ein Konto
Der folgende Befehl entfernt Startberechtigungen für die angegebene AMI vom angegebenen AWS-Konto. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID und account-id
PS C:\>Edit-EC2ImageAttribute -ImageIdami-0abcdef1234567890-Attribute launchPermission -OperationType remove -UserId "account-id"
Entfernen aller Startberechtigungen
Der folgende Befehl entfernt alle öffentlichen und expliziten Startberechtigungen vom angegebenen AMI. Hinweis: Der Besitzer des AMI hat immer Startberechtigungen und bleibt daher von dem Befehl unberührt. Ersetzen Sie im folgenden Beispiel die Beispiel-AMI-ID durch eine gültige AMI-ID.
PS C:\>Reset-EC2ImageAttribute -ImageIdami-0abcdef1234567890-Attribute launchPermission
