View a markdown version of this page

Uso de marcas de agua de AMI para rastrear e identificar las AMI - Amazon Elastic Compute Cloud

Uso de marcas de agua de AMI para rastrear e identificar las AMI

Una marca de agua de la AMI es un identificador que se asocia a las AMI privadas para rastrear la procedencia y aplicar las políticas de gobernanza. Las marcas de agua persisten durante todo el ciclo de vida de la AMI:

  • Si crea una nueva AMI a partir de una instancia en ejecución que se lanzó desde una AMI con marca de agua, la nueva AMI hereda la marca de agua.

  • Si copia una AMI con marca de agua, la copia incluirá la marca de agua.

  • Si guarda una AMI con marca de agua en S3 y la restaura, la AMI restaurada conserva la marca de agua.

  • Si comparte una AMI con marca de agua con otra cuenta, la marca de agua permanece visible para el destinatario.

El uso de marcas de agua de AMI le ayuda a:

Ventajas principales
  • Realizar un seguimiento de la procedencia en todas las cuentas y regiones: identifique qué AMI se derivan de sus imágenes base aprobadas.

  • Filtrar y buscar las AMI relacionadas en sus cuentas.

  • Ayudar a los consumidores de AMI a descubrir e identificar las AMI fiables asociadas a un proyecto u organización.

Cómo funcionan las marcas de agua de AMI

Las marcas de agua de las AMI son identificadores estructurados que se asocian a las AMI. A continuación se describen las características clave de las marcas de agua:

  • Persistente: cuando asocia una marca de agua a una AMI, esta se conserva en todas las AMI derivadas.

  • Solo para el propietario: solo el propietario de la AMI puede asociar marcas de agua a una AMI.

  • Visible para todos: cualquier persona con acceso a la AMI puede ver sus marcas de agua.

  • Límite de 5: una AMI puede tener hasta un total de 5 marcas de agua.

  • No disponible en AMI públicas: no puede asociar marcas de agua a las AMI públicas ni hacerlas públicas si tienen una marca de agua.

  • Filtrables: puede filtrar las AMI por marca de agua cuando utilice describe-images.

Formato de marca de agua

Una marca de agua es un objeto estructurado con los siguientes campos:

  • WatermarkKey: el identificador único de la marca de agua, compuesto por account-id:watermark-name La parte de ID de cuenta es el ID de cuenta de 12 dígitos de AWS del propietario de la AMI. La parte del nombre de la marca de agua es un nombre especificado por el cliente.

  • SourceImageRegion: La región de la AMI a la que originalmente asoció la marca de agua.

  • SourceImageId: la AMI a la que originalmente asoció la marca de agua.

  • SourceImageCreationDate: la fecha de creación de la AMI a la que originalmente asoció la marca de agua.

  • WatermarkCreationTime: la marca de tiempo del momento en que aplicó la marca de agua.

El nombre de la marca de agua debe tener entre 3 y 128 caracteres y puede contener caracteres alfanuméricos, paréntesis (()), corchetes ([]), espacios, puntos (.), barras diagonales (/), guiones (-), comillas simples ('), arrobas (@) o guiones bajos (_).

Permisos necesarios

Para crear y editar el componente de la aplicación, necesita los siguientes permisos de IAM:

  • ec2:AttachImageWatermark: para asociar una marca de agua a una AMI.

  • ec2:DetachImageWatermark: para desasociar una marca de agua de una AMI.

  • ec2:DescribeImages: para ver las marcas de agua de las AMI.

Asociación de una marca de agua a una AMI

Puede asociar una marca de agua a una AMI mediante la consola, la AWS CLI o PowerShell.

Console
Asociar una marca de agua a una AMI
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI.

  4. En la pestaña Detalles, dentro de la sección Marcas de agua, elija Administrar marcas de agua.

  5. Ingrese un nombre de marca de agua y seleccione Asociar.

AWS CLI
Asociar una marca de agua a una AMI

Utilice el comando attach-image-watermark.

aws ec2 attach-image-watermark \ --image-id ami-1111111111EXAMPLE \ --image-watermark-name "prod-baseline"

A continuación, se muestra un ejemplo del resultado.

{ "WatermarkKey": "123456789012:prod-baseline" }
PowerShell
Asociar una marca de agua a una AMI

Utilice el cmdlet Add-EC2ImageWatermark.

Add-EC2ImageWatermark ` -ImageId ami-1111111111EXAMPLE ` -ImageWatermarkName "prod-baseline"

Puede asociar hasta 5 marcas de agua a una única AMI.

Desasociar una marca de agua de una AMI

Puede desasociar una marca de agua de una AMI mediante la consola, AWS CLI o PowerShell.

Console
Desasociar una marca de agua de una AMI
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI.

  4. En la pestaña Detalles, dentro de la sección Marcas de agua, elija Administrar marcas de agua.

  5. Seleccione la marca de agua que desea eliminar y, a continuación, seleccione Eliminar.

AWS CLI
Desasociar una marca de agua de una AMI

Utilice el comando detach-image-watermark.

aws ec2 detach-image-watermark \ --image-id ami-1111111111EXAMPLE \ --image-watermark-key "111122223333:prod-baseline"
PowerShell
Desasociar una marca de agua de una AMI

Utilice el cmdlet Remove-EC2ImageWatermark.

Remove-EC2ImageWatermark ` -ImageId ami-1111111111EXAMPLE ` -ImageWatermarkKey "111122223333:prod-baseline"
nota

Al desasociar una marca de agua de una AMI, la marca de agua no se elimina de las AMI derivadas que ya la llevan. Para garantizar que las marcas de agua sigan siendo persistentes, conceda el permiso ec2:DetachImageWatermark únicamente a administradores de confianza que necesiten administrar marcas de agua.

Consultar marcas de agua de AMI

Puede consultar las marcas de agua de una AMI mediante la consola, la AWS CLI o PowerShell.

Console
Consultar las marcas de agua de una AMI
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI.

  4. Vea las marcas de agua en la sección Marcas de agua de la pestaña Detalles.

AWS CLI
Consultar las marcas de agua de una AMI

Utilice el comando describe-images .

aws ec2 describe-images \ --image-ids ami-046863d776a820ccd \ --region us-east-1

La respuesta incluye la matriz ImageWatermarks de cada AMI.

{ "Images": [ { "ImageId": "ami-046863d776a820ccd", "Public": false, "OwnerId": "123456789012", ... "ImageWatermarks": [ { "WatermarkKey": "111122223333:prod-baseline", "Region": "us-east-1", "SourceImageId": "ami-0b752bf1df193a6c4", "SourceImageCreationDate": "2024-07-10T08:15:00", "CreationDate": "2024-07-12T14:30:00" }, { "WatermarkKey": "222222222222:security-approved", "Region": "eu-north-1", "SourceImageId": "ami-12345678", "SourceImageCreationDate": "2024-06-01T10:00:00", "CreationDate": "2024-06-05T09:45:00" } ] } ] }
PowerShell
Consultar las marcas de agua de una AMI

Utilice el cmdlet Get-EC2Image.

(Get-EC2Image -ImageId ami-046863d776a820ccd).ImageWatermarks

Filtrar las AMI por marca de agua

Puede filtrar las AMI por marcas de agua mediante la consola, la AWS CLI o PowerShell.

Console
Filtrar las AMI por marca de agua
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. En la barra de búsqueda, elija el filtro Clave de marca de agua e ingrese el valor de la clave de marca de agua.

AWS CLI
Filtrar las AMI por marca de agua

Use el comando describe-images con el filtro image-watermark-key.

aws ec2 describe-images \ --filters "Name=image-watermark-key,Values=111122223333:prod-baseline"

Esto devuelve todas las AMI a las que tiene acceso y que llevan la marca de agua especificada, incluidas las AMI derivadas que la heredaron mediante operaciones de copia.

PowerShell
Filtrar las AMI por marca de agua

Utilice el cmdlet Get-EC2Image con el parámetro -Filter.

Get-EC2Image ` -Filter @{Name="image-watermark-key"; Values="111122223333:prod-baseline"}

Esto devuelve todas las AMI a las que tiene acceso y que llevan la marca de agua especificada, incluidas las AMI derivadas que la heredaron mediante operaciones de copia.