Uso de marcas de agua de AMI para rastrear e identificar las AMI
Una marca de agua de la AMI es un identificador que se asocia a las AMI privadas para rastrear la procedencia y aplicar las políticas de gobernanza. Las marcas de agua persisten durante todo el ciclo de vida de la AMI:
-
Si crea una nueva AMI a partir de una instancia en ejecución que se lanzó desde una AMI con marca de agua, la nueva AMI hereda la marca de agua.
-
Si copia una AMI con marca de agua, la copia incluirá la marca de agua.
-
Si guarda una AMI con marca de agua en S3 y la restaura, la AMI restaurada conserva la marca de agua.
-
Si comparte una AMI con marca de agua con otra cuenta, la marca de agua permanece visible para el destinatario.
El uso de marcas de agua de AMI le ayuda a:
Ventajas principales
-
Realizar un seguimiento de la procedencia en todas las cuentas y regiones: identifique qué AMI se derivan de sus imágenes base aprobadas.
-
Filtrar y buscar las AMI relacionadas en sus cuentas.
-
Ayudar a los consumidores de AMI a descubrir e identificar las AMI fiables asociadas a un proyecto u organización.
Temas
Cómo funcionan las marcas de agua de AMI
Las marcas de agua de las AMI son identificadores estructurados que se asocian a las AMI. A continuación se describen las características clave de las marcas de agua:
-
Persistente: cuando asocia una marca de agua a una AMI, esta se conserva en todas las AMI derivadas.
-
Solo para el propietario: solo el propietario de la AMI puede asociar marcas de agua a una AMI.
-
Visible para todos: cualquier persona con acceso a la AMI puede ver sus marcas de agua.
-
Límite de 5: una AMI puede tener hasta un total de 5 marcas de agua.
-
No disponible en AMI públicas: no puede asociar marcas de agua a las AMI públicas ni hacerlas públicas si tienen una marca de agua.
-
Filtrables: puede filtrar las AMI por marca de agua cuando utilice
describe-images.
Formato de marca de agua
Una marca de agua es un objeto estructurado con los siguientes campos:
-
WatermarkKey: el identificador único de la marca de agua, compuesto porLa parte de ID de cuenta es el ID de cuenta de 12 dígitos de AWS del propietario de la AMI. La parte del nombre de la marca de agua es un nombre especificado por el cliente.account-id:watermark-name -
SourceImageRegion: La región de la AMI a la que originalmente asoció la marca de agua. -
SourceImageId: la AMI a la que originalmente asoció la marca de agua. -
SourceImageCreationDate: la fecha de creación de la AMI a la que originalmente asoció la marca de agua. -
WatermarkCreationTime: la marca de tiempo del momento en que aplicó la marca de agua.
El nombre de la marca de agua debe tener entre 3 y 128 caracteres y puede contener caracteres alfanuméricos, paréntesis (()), corchetes ([]), espacios, puntos (.), barras diagonales (/), guiones (-), comillas simples ('), arrobas (@) o guiones bajos (_).
Permisos necesarios
Para crear y editar el componente de la aplicación, necesita los siguientes permisos de IAM:
-
ec2:AttachImageWatermark: para asociar una marca de agua a una AMI. -
ec2:DetachImageWatermark: para desasociar una marca de agua de una AMI. -
ec2:DescribeImages: para ver las marcas de agua de las AMI.
Asociación de una marca de agua a una AMI
Puede asociar una marca de agua a una AMI mediante la consola, la AWS CLI o PowerShell.
Puede asociar hasta 5 marcas de agua a una única AMI.
Desasociar una marca de agua de una AMI
Puede desasociar una marca de agua de una AMI mediante la consola, AWS CLI o PowerShell.
nota
Al desasociar una marca de agua de una AMI, la marca de agua no se elimina de las AMI derivadas que ya la llevan. Para garantizar que las marcas de agua sigan siendo persistentes, conceda el permiso ec2:DetachImageWatermark únicamente a administradores de confianza que necesiten administrar marcas de agua.
Consultar marcas de agua de AMI
Puede consultar las marcas de agua de una AMI mediante la consola, la AWS CLI o PowerShell.
Filtrar las AMI por marca de agua
Puede filtrar las AMI por marcas de agua mediante la consola, la AWS CLI o PowerShell.